(1)

Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (4) viza consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente, contribuind astfel la securitatea Uniunii și la funcționarea eficace a economiei și a societății sale.

(2)

De la intrarea în vigoare a Directivei (UE) 2016/1148, s-au înregistrat progrese semnificative în ceea ce privește creșterea nivelului de reziliență cibernetică în Uniune. Reexaminarea directivei respective a arătat că aceasta a servit drept catalizator pentru abordarea instituțională și de reglementare a securității cibernetice în Uniune, deschizând calea pentru o schimbare semnificativă a mentalității. Directiva respectivă a asigurat finalizarea cadrelor naționale privind securitatea rețelelor și a sistemelor informatice prin elaborarea unor strategii naționale referitoare la securitatea rețelelor și a sistemelor informatice și prin crearea de capacități naționale, precum și prin punerea în aplicare a unor măsuri de reglementare care să vizeze infrastructurile și entitățile esențiale identificate de fiecare stat membru. De asemenea, Directiva (UE) 2016/1148 a contribuit la cooperarea la nivelul Uniunii prin instituirea Grupului de cooperare și a rețelei de echipe naționale de intervenție în caz de incidente de securitate informatică. În pofida acestor realizări, reexaminarea Directivei (UE) 2016/1148 a evidențiat deficiențe inerente care o împiedică să soluționeze în mod eficace provocările actuale și cele emergente în materie de securitate cibernetică.

(3)

Rețelele și sistemele informatice au devenit o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a peisajului amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele sunt tot mai numeroase, mai ample, mai sofisticate, mai frecvente și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele pot împiedica desfășurarea activităților economice pe piața internă, pot genera pierderi financiare, pot submina încrederea utilizatorilor și pot provoca pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. În plus, securitatea cibernetică este un factor-cheie pentru ca multe sectoare critice să adopte cu succes transformarea digitală și să profite pe deplin de beneficiile economice, sociale și durabile ale digitalizării.

(4)

Temeiul juridic al Directivei (UE) 2016/1148 este articolul 114 din Tratatul privind funcționarea Uniunii Europene (TFUE), al cărui obiectiv este instituirea și funcționarea pieței interne prin consolidarea măsurilor de apropiere a normelor naționale. Cerințele în materie de securitate cibernetică impuse entităților care furnizează servicii sau desfășoară activități care sunt semnificative din punct de vedere economic variază considerabil de la un stat membru la altul în ceea ce privește tipul de cerință, nivelul lor de detaliere și metoda de supraveghere. Disparitățile respective implică costuri suplimentare și creează dificultăți pentru entitățile care oferă bunuri sau servicii la nivel transfrontalier. Cerințele impuse de un stat membru care sunt diferite sau chiar în conflict cu cele impuse de un alt stat membru pot afecta în mod substanțial astfel de activități transfrontaliere. În plus, posibilitatea ca cerințele de securitate să fie concepute sau puse în aplicare în mod necorespunzător într-un stat membru este probabil să aibă repercusiuni asupra nivelului de securitate cibernetică din alte state membre, în special având în vedere intensitatea schimburilor transfrontaliere. Revizuirea Directivei (UE) 2016/1148 a arătat că punerea sa în aplicare diferă foarte mult de la un stat membru la altul, inclusiv în ceea ce privește domeniul său de aplicare, a cărui delimitare a fost lăsată în mare măsură la latitudinea statelor membre. Directiva (UE) 2016/1148 a acordat, de asemenea, statelor membre o marjă de apreciere foarte largă în ceea ce privește punerea în aplicare a obligațiilor de raportare privind securitatea și incidentele pe care le prevede aceasta. Prin urmare, obligațiile respective au fost puse în aplicare în moduri foarte diferite la nivel național. Există divergențe similare în ceea ce privește punerea în aplicare a dispozițiilor Directivei (UE) 2016/1148 privind supravegherea și asigurarea respectării legii.

(5)

Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență cibernetică din cauza aplicării unor măsuri diferite. În cele din urmă, divergențele respective ar putea duce la o vulnerabilitate mai mare a unor state membre la amenințările cibernetice, cu potențiale efecte de propagare în întreaga Uniune. Prezenta directivă urmărește să elimine astfel de divergențe marcante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și măsuri de asigurare a respectării legii eficace care sunt esențiale pentru asigurarea efectivă a respectării acestor obligații. Prin urmare, Directiva (UE) 2016/1148 ar trebui să fie abrogată și înlocuită cu prezenta directivă.

(6)

Odată cu abrogarea Directivei (UE) 2016/1148, domeniul de aplicare pe sectoare ar trebui să fie extins la o parte mai mare a economiei pentru a oferi o acoperire cuprinzătoare a sectoarelor și a serviciilor de importanță vitală pentru activitățile societale și economice esențiale din cadrul pieței interne. În special, prezenta directivă vizează depășirea deficiențelor legate de diferențierea dintre operatorii de servicii esențiale și furnizorii de servicii digitale, care s-a dovedit a fi caducă, deoarece nu reflectă importanța sectoarelor sau a serviciilor pentru activitățile societale și economice din cadrul pieței interne.

(7)

În temeiul Directivei (UE) 2016/1148, statele membre erau responsabile de identificarea entităților ce îndeplineau criteriile pentru a se califica ca operatori de servicii esențiale. Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește măsurile de gestionare a riscurilor în materie de securitate cibernetică și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform pentru a determina entitățile care intră în domeniul de aplicare al prezentei directive. Criteriul respectiv ar trebui să constea în aplicarea unei norme de plafonare a dimensiunii, potrivit căreia toate entitățile care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE a Comisiei (5), sau depășesc plafoanele aferente întreprinderilor mijlocii prevăzute la alineatul (1) din respectivul articol, și care își desfășoară activitatea în sectoarele și furnizează tipurile de servicii sau desfășoară activitățile reglementate de prezenta directivă intră în domeniul său de aplicare. Statele membre ar trebui, de asemenea, să prevadă ca anumite întreprinderi mici și microîntreprinderi, astfel cum sunt definite la articolul 2 alineatele (2) și (3) din respectiva anexă, care îndeplinesc criterii specifice ce indică un rol esențial pentru societate, pentru economie sau pentru anumite sectoare sau tipuri de servicii, să intre în domeniul de aplicare al prezentei directive.

(8)

Excluderea entităților administrației publice din domeniul de aplicare al prezentei directive ar trebui să se aplice entităților ale căror activități se desfășoară predominant în domeniile securității naționale, securității publice, apărării sau aplicării legii, inclusiv în domeniul prevenirii, investigării, depistării și urmăririi penale a infracțiunilor. Cu toate acestea, entitățile administrației publice ale căror activități au doar o legătură redusă cu aceste domenii nu ar trebui să fie excluse din domeniul de aplicare al prezentei directive. În sensul prezentei directive, entitățile cu competențe de reglementare nu sunt considerate a desfășura activități în domeniul aplicării legii și, prin urmare, nu sunt excluse din acel motiv din domeniul de aplicare al prezentei directive. Entitățile administrației publice care sunt înființate în comun cu o țară terță în conformitate cu un acord internațional sunt excluse din domeniul de aplicare al prezentei directive. Prezenta directivă nu se aplică misiunilor diplomatice și consulare ale statelor membre în țări terțe sau rețelelor și sistemelor informatice ale acestora, în măsura în care aceste sisteme se află la sediul misiunii sau sunt utilizate pentru utilizatori dintr-o țară terță.

(9)

Statele membre ar trebui să fie în măsură să ia măsurile necesare pentru a asigura protecția intereselor vitale de securitate națională, a apăra ordinea publică și siguranța publică și a permite prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor. În acest scop, statele membre ar trebui să poată exonera anumite entități care desfășoară activități în domeniile securității naționale, siguranței publice, apărării sau aplicării legii, inclusiv în domeniul prevenirii, investigării, depistării și urmăririi penale a infracțiunilor, de anumite obligații prevăzute în prezenta directivă în ceea ce privește activitățile respective. În cazul în care o entitate prestează servicii exclusiv unei entități a administrației publice care este exclusă din domeniul de aplicare al prezentei directive, statele membre ar trebui să poată exonera entitatea respectivă de anumite obligații prevăzute în prezenta directivă în ceea ce privește serviciile în cauză. De asemenea, niciun stat membru nu ar trebui să aibă obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale securității naționale, siguranței publice sau apărării sale. Normele Uniunii sau cele naționale privind protecția informațiilor clasificate, acordurile de nedivulgare și acordurile de nedivulgare informale, cum ar fi protocolul de schimb de informații „Traffic Light Protocol”, ar trebui luate în considerare în respectivul context. Protocolul de schimb de informații „Traffic Light Protocol” trebuie înțeles ca un mijloc de a furniza informații cu privire la orice limitări în ce privește răspândirea ulterioară a informațiilor. Acesta este utilizat în aproape toate echipele de intervenție în caz de incidente de securitate informatică (denumite în continuare „echipe CSIRT”) și în unele centre de analiză și de schimb de informații.

(10)

Deși prezenta directivă se aplică entităților care desfășoară activități de producere a energiei electrice în centrale nucleare, unele dintre respectivele activități pot fi legate de securitatea națională. Într-un astfel de caz, un stat membru ar trebui să își poată exercita responsabilitatea de protejare a securității naționale în ceea ce privește activitățile respective, inclusiv activitățile din cadrul lanțului valoric nuclear, în conformitate cu tratatele.

(11)

Unele entități desfășoară activități în domeniul securității naționale, al securității publice, al apărării sau al aplicării legii, inclusiv în domeniul prevenirii, investigării, depistării și urmăririi penale a infracțiunilor, prestând în același timp servicii de încredere. Prestatorii de servicii de încredere care intră în domeniul de aplicare al Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului (6) ar trebui să intre în domeniul de aplicare al prezentei directive pentru a asigura același nivel de cerințe de securitate și de supraveghere ca cel prevăzut anterior în regulamentul respectiv în ceea ce privește prestatorii de servicii de încredere. În concordanță cu excluderea anumitor servicii specifice din Regulamentul (UE) nr. 910/2014, prezenta directivă nu ar trebui să se aplice prestării de servicii de încredere care sunt utilizate exclusiv în cadrul unor sisteme închise care decurg din dreptul intern sau din acorduri între un grup definit de participanți.

(12)

Furnizorii de servicii poștale astfel cum sunt definiți în Directiva 97/67/CE a Parlamentului European și a Consiliului (7), inclusiv furnizorii de servicii de curierat ar trebui să intre în domeniul de aplicare al prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special colectarea, sortarea, transportul sau distribuirea trimiterilor poștale, inclusiv serviciile de preluare, ținând seama totodată de gradul lor de dependență de rețele și de sistemele informatice. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape ar trebui să fie excluse din domeniul de aplicare al serviciilor poștale.

(13)

Având în vedere intensificarea și gradul sporit de sofisticare a amenințărilor cibernetice, statele membre ar trebui să depună eforturi pentru a se asigura că entitățile care sunt excluse din domeniul de aplicare al prezentei directive ating un nivel ridicat de securitate cibernetică și pentru a sprijini punerea în aplicare a unor măsuri echivalente de gestionare a riscurilor în materie de securitate cibernetică care să reflecte natura sensibilă a entităților respective.

(14)

Dreptul Uniunii privind protecția datelor și dreptul Uniunii privind protejarea confidențialității se aplică oricărei forme de prelucrare a datelor cu caracter personal în temeiul prezentei directive. În special, prezenta directivă nu aduce atingere Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului (8) și Directivei 2002/58/CE a Parlamentului European și a Consiliului (9). Prin urmare, prezenta directivă nu ar trebui să aducă atingere, printre altele, sarcinilor și competențelor autorităților competente să monitorizeze respectarea dreptului aplicabil al Uniunii în materie de protecție a datelor și a dreptului aplicabil al Uniunii privind protejarea confidențialității.

(15)

Entitățile care intră în domeniul de aplicare al prezentei directive în scopul respectării măsurilor de gestionare a riscurilor în materie de securitate cibernetică și a obligațiilor de raportare ar trebui clasificate în două categorii, entități esențiale și entități importante, reflectând măsura în care acestea sunt critice în ceea ce privește sectorul lor sau tipul de serviciu pe care îl prestează, precum și dimensiunea lor. În acest sens, ar trebui să se țină seama în mod corespunzător de orice evaluări ale riscurilor sau de orice orientări specifice unui sector relevante emise de către autoritățile competente, după caz. Regimurile de supraveghere și de asigurare a respectării legii corespunzătoare acestor două categorii de entități ar trebui să fie diferențiate pentru a asigura un echilibru corect între cerințele și obligațiile bazate pe riscuri, pe de o parte, și sarcina administrativă care decurge din supravegherea conformității, pe de altă parte.

(16)

Pentru a evita ca entitățile care au întreprinderi partenere sau care sunt întreprinderi afiliate să fie considerate entități esențiale sau entități importante în cazul în care acest lucru ar fi disproporționat, statele membre pot ține seama de gradul de independență de care se bucură o entitate în raport cu întreprinderile sale partenere sau afiliate atunci când aplică articolul 6 alineatul (2) din anexa la Recomandarea 2003/361/CE. În special, statele membre sunt în măsură să ia în considerare faptul că o entitate este independentă de întreprinderile sale partenere sau afiliate în ceea ce privește rețelele și sistemele informatice pe care le utilizează pentru furnizarea serviciilor sale și în ceea ce privește serviciile pe care le prestează entitatea. Pe această bază, dacă este cazul, statele membre sunt în măsură să considere că o astfel de entitate nu se califică drept o întreprindere mijlocie în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau nu depășește plafoanele pentru o întreprindere mijlocie prevăzute la alineatul (1) din respectivul articol dacă, după luarea în considerare a gradului de independență a entității respective, nu s-ar fi considerat că acea entitate se califică drept o întreprindere mijlocie sau că depășește plafoanele respective în cazul în care ar fi fost luate în considerare numai propriile date. Acest lucru nu aduce atingere obligațiilor prevăzute în prezenta directivă ale întreprinderilor partenere și afiliate care intră în domeniul de aplicare al prezentei directive.

(17)

Statele membre ar trebui să poată decide că entitățile identificate înainte de intrarea în vigoare a prezentei directive ca operatori de servicii esențiale în conformitate cu Directiva (UE) 2016/1148 trebuie să fie considerate entități esențiale.

(18)

Pentru a asigura o imagine de ansamblu clară a entităților care intră în domeniul de aplicare al prezentei directive, statele membre ar trebui să stabilească o listă a entităților esențiale și a entităților importante, precum și a entităților care furnizează servicii de înregistrare a numelor de domenii. În acest scop, statele membre ar trebui să solicite entităților să transmită autorităților competente cel puțin următoarele informații, și anume denumirea, adresa și datele de contact actualizate, inclusiv adresele de e-mail, seriile IP și numerele de telefon ale entității și, după caz, sectorul și subsectorul pertinente menționate în anexe, precum și, după caz, o listă a statelor membre în care prestează servicii care intră în domeniul de aplicare al prezentei directive. În acest scop, Comisia, cu sprijinul Agenției pentru Securitate Cibernetică a Uniunii Europene (ENISA), ar trebui să ofere, fără întârzieri nejustificate, orientări și modele privind obligația de a prezenta informații. Pentru a înlesni întocmirea și actualizarea listei entităților esențiale și a entităților importante, precum și a entităților care furnizează servicii de înregistrare a numelor de domenii, statele membre ar trebui să poată institui mecanisme naționale care să le permită entităților să se înregistreze ele însele. În cazul în care există registre la nivel național, statele membre pot decide cu privire la mecanismele adecvate care să permită identificarea entităților care intră în domeniul de aplicare al prezentei directive.

(19)

Statele membre ar trebui să fie responsabile de transmiterea către Comisie cel puțin a numărului de entități esențiale și entități importante pentru fiecare sector și subsector menționat în anexe, precum și a informațiilor pertinente cu privire la numărul entităților identificate și dispoziția, dintre cele prevăzute în prezenta directivă, pe baza cărora au fost identificate, precum și tipul de serviciu pe care îl furnizează. Statele membre sunt încurajate să facă schimb de informații cu Comisia cu privire la entitățile esențiale și entitățile importante și, în cazul unui incident de securitate cibernetică de mare amploare, de informații pertinente, cum ar fi denumirea entității în cauză.

(20)

Comisia, în cooperare cu Grupul de cooperare și după consultarea părților interesate pertinente, ar trebui să ofere orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici pentru a evalua dacă acestea intră în domeniul de aplicare al prezentei directive. Comisia ar trebui, de asemenea, să asigure faptul că se oferă orientări adecvate microîntreprinderilor și întreprinderilor mici care intră în domeniul de aplicare al prezentei directive. Comisia ar trebui, cu sprijinul statelor membre, să le pună la dispoziție microîntreprinderilor și întreprinderilor mici informații în acest sens.

(21)

Comisia ar putea oferi orientări pentru a sprijini statele membre în punerea în aplicare a dispozițiilor prezentei directive privind domeniul de aplicare și în evaluarea proporționalității măsurilor care trebuie luate în temeiul prezentei directive, în special în ceea ce privește entitățile cu modele de afaceri sau medii de funcționare complexe, în care o entitate poate îndeplini simultan criteriile atribuite entităților esențiale și celor importante sau poate desfășura simultan activități, dintre care unele se încadrează în domeniul de aplicare al prezentei directive, iar altele nu se încadrează.

(22)

Prezenta directivă stabilește nivelul de referință pentru măsurile de gestionare a riscurilor în materie de securitate cibernetică și pentru obligațiile de raportare în toate sectoarele care intră în domeniul său de aplicare. Pentru a evita fragmentarea dispozițiilor privind securitatea cibernetică din actele juridice ale Uniunii, în cazul în care se consideră a fi necesare alte acte juridice sectoriale ale Uniunii referitoare la măsurile de gestionare a riscurilor în materie de securitate cibernetică și la obligațiile de raportare pentru a asigura un nivel ridicat de securitate cibernetică în întreaga Uniune, Comisia ar trebui să evalueze dacă astfel de dispoziții suplimentare ar putea fi stipulate într-un act de punere în aplicare în temeiul prezentei directive. În cazul în care un astfel de act de punere în aplicare nu este adecvat scopului respectiv, actele juridice sectoriale ale Uniunii ar putea contribui la asigurarea unui nivel ridicat de securitate cibernetică în întreaga Uniune, ținând seama pe deplin de particularitățile și de complexitatea sectoarelor în cauză. În acest scop, prezenta directivă nu împiedică adoptarea altor acte juridice sectoriale ale Uniunii care abordează măsurile de gestionare a riscurilor în materie de securitate cibernetică și obligațiile de raportare care iau în considerare în mod corespunzător necesitatea unui cadru de securitate cibernetică cuprinzător și coerent. Prezenta directivă nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei.

(23)

În cazul în care un act juridic sectorial al Uniunii cuprinde dispoziții care impun entităților esențiale sau entităților importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidentele semnificative, și în cazul în care cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, dispozițiile respective, inclusiv cele privind supravegherea și aplicarea legii, ar trebui să se aplice acestor entități. În cazul în care un act juridic sectorial al Uniunii nu include toate entitățile dintr-un anumit sector care intră în domeniul de aplicare al prezentei directive, dispozițiile relevante ale prezentei directive ar trebui să se aplice în continuare entităților care nu fac obiectul dispozițiilor actului respectiv.

(24)

În cazul în care dispozițiile unui act juridic sectorial al Uniunii impun entităților esențiale sau entităților importante să respecte obligațiile de raportare care au un efect cel puțin echivalent cu cel al obligațiilor de raportare prevăzute în prezenta directivă, ar trebui să se asigure coerența și eficacitatea gestionării notificărilor incidentelor. În acest scop, dispozițiile privind notificarea incidentelor din actul juridic sectorial al Uniunii ar trebui, în temeiul prezentei directive, să ofere echipelor CSIRT, autorităților competente sau punctelor unice de contact privind securitatea cibernetică (denumite în continuare „puncte unice de contact”) un acces imediat la notificările incidentelor transmise în conformitate cu actul juridic sectorial al Uniunii. În special, un astfel de acces imediat poate fi asigurat dacă notificările incidentelor sunt înaintate fără întârzieri nejustificate către echipa CSIRT, autoritatea competentă sau punctul unic de contact în temeiul prezentei directive. După caz, statele membre ar trebui să instituie un mecanism de raportare automată și directă care să asigure schimbul sistematic și imediat de informații cu echipele CSIRT, cu autoritățile competente sau cu punctele unice de contact cu privire la gestionarea unor astfel de notificări ale incidentelor. În scopul simplificării informării și al punerii în aplicare a mecanismului de raportare automată și directă, statele membre ar putea, în concordanță cu actul juridic sectorial al Uniunii, să utilizeze un punct de intrare unic.

(25)

Actele juridice sectoriale ale Uniunii care prevăd măsuri de gestionare a riscurilor în materie de securitate cibernetică sau obligații de raportare care au un efect cel puțin echivalent cu cele prevăzute în prezenta directivă ar putea prevedea ca autoritățile competente în temeiul respectivelor acte să își exercite competențele de supraveghere și de aplicare a legii în raport cu respectivele măsuri sau obligații, cu sprijinul autorităților competente desemnate în temeiul prezentei directive. Autoritățile competente în cauză ar putea încheia acorduri de cooperare în acest scop. Astfel de acorduri de cooperare ar putea specifica, printre altele, procedurile privind coordonarea activităților de supraveghere, inclusiv procedurile de investigare și de inspecție la fața locului în conformitate cu dreptul intern, precum și un mecanism pentru schimbul de informații relevante privind supravegherea și aplicarea legii între autoritățile competente, inclusiv accesul la informațiile legate de domeniul cibernetic solicitate de autoritățile competente în temeiul prezentei directive.

(26)

În cazul în care actele juridice sectoriale ale Uniunii impun entităților sau oferă stimulente acestora pentru ca acestea să notifice amenințările cibernetice semnificative, statele membre ar trebui, de asemenea, să încurajeze schimbul de informații cu privire la amenințările cibernetice semnificative cu echipele CSIRT, cu autoritățile competente sau cu punctele unice de contact în temeiul prezentei directive, pentru a asigura un nivel sporit de conștientizare a organismelor respective cu privire la contextul amenințărilor cibernetice și pentru a le permite să răspundă în mod eficace și în timp util în cazul în care amenințările cibernetice semnificative se materializează.

(27)

Viitoarele acte juridice sectoriale ale Uniunii ar trebui să țină seama în mod corespunzător de definițiile și de cadrul de supraveghere și de asigurare a respectării legii prevăzute în prezenta directivă.

(28)

Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului (10) ar trebui considerat a fi un act juridic sectorial al Uniunii în legătură cu prezenta directivă în ce privește entitățile financiare. Dispozițiile Regulamentului (UE) 2022/2554 referitoare la gestionarea riscurilor legate de tehnologia informației și comunicațiilor (TIC), la gestionarea incidentelor legate de TIC și, în special, la raportarea incidentelor majore legate de TIC, precum și la testarea rezilienței operaționale digitale, la acordurile privind schimbul de informații și la riscurile TIC generate de părți terțe ar trebui să se aplice în locul celor prevăzute în prezenta directivă. Prin urmare, statele membre nu ar trebui să aplice dispozițiile prezentei directive privind gestionarea riscurilor în materie de securitate cibernetică și obligațiile de raportare, supraveghere și aplicarea legii, entităților financiare care fac obiectul Regulamentului (UE) 2022/2554. În același timp, este important ca, în temeiul prezentei directive, să se mențină o relație puternică cu sectorul financiar și să se facă un schimb de informații cu acesta. În acest scop, Regulamentul (UE) 2022/2554 permite autorităților europene de supraveghere (AES) și autorităților competente în temeiul respectivului regulament să participe la activitățile Grupului de cooperare și să facă schimb de informații și să coopereze cu punctele unice de contact, precum și cu echipele CSIRT și cu autoritățile competente în temeiul prezentei directive. Autoritățile competente în temeiul Regulamentului (UE) 2022/2554 ar trebui, de asemenea, să transmită detaliile incidentelor majore legate de TIC și, după caz, ale amenințărilor cibernetice semnificative echipelor CSIRT, autorităților competente sau punctelor unice de contact în temeiul prezentei directive. Acest lucru se poate realiza prin asigurarea accesului imediat la notificările privind incidentele și prin înaintarea acestora fie în mod direct, fie prin intermediul unui punct de intrare unic. În plus, statele membre ar trebui să includă în continuare sectorul financiar în strategiile lor de securitate cibernetică, iar echipele CSIRT pot include sectorul financiar în activitățile lor.

(29)

Pentru a evita lacunele și suprapunerile obligațiilor în materie de securitate cibernetică impuse entităților din sectorul aviației, autoritățile naționale desemnate în temeiul Regulamentului (CE) nr. 300/2008 (11) și Regulamentului (UE) 2018/1139 (12) ale Parlamentului European și ale Consiliului și autoritățile competente desemnate în temeiul prezentei directive ar trebui să coopereze în ceea ce privește punerea în aplicare a măsurilor de gestionare a riscurilor în materie de securitate cibernetică și supravegherea conformării cu aceste măsuri la nivel național. Respectarea de către o entitate a cerințelor de securitate prevăzute în Regulamentul (CE) nr. 300/2008 și Regulamentul (UE) 2018/1139 și în actele delegate și de punere în aplicare relevante adoptate în temeiul regulamentelor respective ar putea fi considerată de către autoritățile competente în temeiul prezentei directive ca reprezentând conformarea cu cerințele corespunzătoare prevăzute în prezenta directivă.

(30)

Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului (13) și prezenta directivă. Pentru a realiza acest lucru, entitățile identificate drept entități critice în temeiul Directivei (UE) 2022/2557 ar trebui să fie considerate a fi entități esențiale în temeiul prezentei directive. Mai mult, fiecare stat membru ar trebui să se asigure că strategia sa națională de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată în statul membru respectiv între autoritățile sale competente în temeiul prezentei directive și cele competente în temeiul Directivei (UE) 2022/2557 în contextul schimbului de informații privind riscurile, amenințările cibernetice și incidentele, precum și privind riscurile, amenințările și incidentele de altă natură decât cibernetică și cel al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul prezentei directive și cele competente în temeiul Directivei (UE) 2022/2557 ar trebui să coopereze și să facă schimb de informații fără întârzieri nejustificate, în special în ceea ce privește identificarea entităților critice, a riscurilor, a amenințărilor cibernetice și a incidentelor, precum și în legătură cu riscurile, amenințările și incidentele de altă natură decât cibernetică ce afectează entitățile critice, inclusiv măsurile în materie de securitate cibernetică și măsurile fizice adoptate de entitățile critice precum și rezultatele activităților de supraveghere desfășurate în legătură cu astfel de entități.

În plus, pentru a raționaliza activitățile de supraveghere între autoritățile competente în temeiul prezentei directive și al Directivei (UE) 2022/2557 și pentru a reduce la minimum sarcina administrativă pentru entitățile în cauză, autoritățile competente ar trebui să depună eforturi pentru a armoniza modelele de notificare a incidentelor și procesele de supraveghere. După caz, autoritățile competente în temeiul Directivei (UE) 2022/2557 ar trebui să poată solicita autorităților competente în temeiul prezentei directive să își exercite competențele de supraveghere și de asigurare a respectării legii în legătură cu o entitate care este identificată drept o entitate critică în temeiul Directivei (UE) 2022/2557. Autoritățile competente în temeiul prezentei directive și cele competente în temeiul Directivei (UE) 2022/2557 ar trebui, atunci când este posibil în timp real, să coopereze și să facă schimb de informații în acest scop.

(31)

Entitățile care aparțin sectorului infrastructurii digitale se bazează, în esență, pe rețele și sisteme informatice și, prin urmare, obligațiile impuse acestor entități în temeiul prezentei directive ar trebui să abordeze în mod cuprinzător securitatea fizică a acestor sisteme, ca parte a măsurilor lor de gestionare a riscurilor și a obligațiilor de raportare în materie de securitate cibernetică. Întrucât aceste aspecte sunt reglementate de prezenta directivă, obligațiile prevăzute în capitolele III, IV și VI din Directiva (UE) 2022/2557 nu se aplică acestor entități.

(32)

Sprijinirea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) reprezintă factori-cheie pentru menținerea integrității internetului și sunt esențiali pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice registrelor de nume de domenii de prim nivel (TLD) și prestatorilor de servicii DNS care trebuie înțelese ca fiind entități care furnizează servicii de rezolvare recursivă a numelor de domenii accesibile publicului pentru utilizatorii finali de internet sau ca servicii de rezolvare a numelor de domenii cu autoritate pentru utilizarea de către terți. Prezenta directivă nu ar trebui să se aplice serverelor pentru numele primare.

(33)

Serviciile de cloud computing ar trebui să cuprindă serviciile digitale care permit administrarea la cerere și accesul amplu de la distanță la un bazin redimensionabil și elastic de resurse informatice care pot fi puse în comun, inclusiv atunci când aceste resurse sunt distribuite în mai multe locuri. Resursele informatice includ resurse precum rețelele, serverele sau alte infrastructuri, sistemele de operare, programele informatice (software), stocarea, aplicațiile și serviciile. Modelele de servicii de cloud computing includ, printre altele, infrastructura ca serviciu (IaaS), platforma ca serviciu (PaaS), software-ul ca serviciu (SaaS) și rețeaua ca serviciu (NaaS). Modelele de implementare a cloud computingului ar trebui să includă tehnologiile de tip cloud private, comunitare, publice și hibride. Modelele de servicii și de implementare de cloud computing au același înțeles ca și termenii modelelor de servicii și de implementare definiți în standardul ISO/IEC 17788:2014. Capacitatea utilizatorului de cloud computing de a furniza în mod unilateral capacități de calcul autonome, cum ar fi ora serverului sau stocarea în rețea, fără nicio interacțiune umană din partea furnizorului de servicii de cloud computing, ar putea fi descrisă ca administrare la cerere.

Termenul „acces amplu de la distanță” este utilizat pentru a descrie faptul că capacitățile de cloud sunt furnizate prin rețea și accesate prin mecanisme care promovează utilizarea unor platforme eterogene, subțiri sau groase, pentru clienți, inclusiv telefoane mobile, tablete, laptopuri și stații de lucru. Termenul „redimensionabil” se referă la resursele informatice care sunt alocate în mod flexibil de către furnizorul de servicii de cloud, indiferent de localizarea geografică a resurselor, pentru a face față fluctuațiilor cererii. Termenul „bazin elastic” se referă la resursele informatice care sunt furnizate și puse la dispoziție în funcție de cerere, pentru a amplifica și a reduce rapid resursele disponibile în conformitate cu volumul de lucru. Expresia „care pot fi puse în comun” este utilizată pentru a descrie acele resurse informatice care sunt furnizate mai multor utilizatori care au acces comun la serviciu, dar tratamentul se efectuează separat pentru fiecare utilizator, deși serviciul este prestat de același echipament electronic. Termenul „distribuit” se referă la resursele informatice care sunt situate pe diferite calculatoare sau dispozitive în rețea și care comunică și se coordonează între ele prin transmiterea de mesaje.

(34)

Având în vedere apariția unor tehnologii inovatoare și a unor noi modele de afaceri, se preconizează că pe piața internă vor apărea noi servicii de cloud computing și noi modele de implementare ca răspuns la nevoile în continuă evoluție ale clienților. În acest context, serviciile de cloud computing pot fi prestate într-o formă foarte distribuită, chiar mai aproape de locul în care datele sunt generate sau colectate, trecând astfel de la modelul tradițional la unul foarte distribuit („tehnica de calcul la margine” – edge computing).

(35)

Este posibil ca serviciile oferite de prestatorii de servicii de centre de date să nu fie întotdeauna prestate sub formă de servicii de cloud computing. În consecință, este posibil ca centrele de date să nu constituie întotdeauna o parte a infrastructurii de cloud computing. Pentru a gestiona toate riscurile la adresa securității rețelelor și a sistemelor informatice, prezenta directivă ar trebui să vizeze, prin urmare, furnizorii de servicii de centre de date care nu sunt servicii de cloud computing. În sensul prezentei directive, termenul „serviciu de centre de date” ar trebui să includă prestarea unui serviciu care cuprinde structuri sau grupuri de structuri destinate instalării centralizate, interconectării și funcționării tehnologiei informației (IT) și echipamentelor de rețea care furnizează servicii de stocare, prelucrare și transport de date, împreună cu toate instalațiile și infrastructurile de distribuție a energiei electrice și de control al mediului. Termenul „serviciu de centru de date” nu ar trebui să se aplice centrelor de date corporative interne, deținute și exploatate de entitatea în cauză, în scopuri proprii.

(36)

Activitățile de cercetare joacă un rol esențial în dezvoltarea de noi produse și procese. Multe dintre respectivele activități sunt desfășurate de entități care partajează, diseminează sau exploatează rezultatele cercetării lor în scopuri comerciale. Prin urmare, aceste entități pot fi actori importanți în lanțurile valorice, ceea ce face ca securitatea rețelelor și a sistemelor lor informatice să fie parte integrantă din securitatea cibernetică globală a pieței interne. Organizațiile de cercetare ar trebui înțelese ca incluzând entitățile care își concentrează partea esențială a activităților pe desfășurarea de cercetare aplicată sau dezvoltare experimentală, în sensul Manualului Frascati 2015 al Organizației pentru Cooperare și Dezvoltare Economică: Guidelines for Collecting and Reporting Data on Research and Experimental Development (Orientări pentru colectarea și raportarea datelor privind cercetarea și dezvoltarea experimentală), în vederea exploatării rezultatelor acestora în scopuri comerciale, cum ar fi fabricarea sau dezvoltarea unui produs sau a unui proces, furnizarea unui serviciu sau comercializarea acestora.

(37)

Interdependențele din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de prestare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu cuprinde, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programului său spațial. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Intensificarea atacurilor cibernetice în timpul pandemiei de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere.

(38)

Având în vedere diferențele dintre structurile naționale de administrare și pentru a proteja acordurile specifice unui sector sau organismele de supraveghere și de reglementare ale Uniunii deja existente, statele membre ar trebui să fie în măsură să desemneze sau să instituie una sau mai multe autorități competente responsabile cu securitatea cibernetică și cu sarcinile de supraveghere în temeiul prezentei directive.

(39)

Pentru a facilita cooperarea și comunicarea transfrontalieră între autorități și pentru a permite punerea în aplicare efectivă a prezentei directive, este necesar ca fiecare stat membru să desemneze un punct unic de contact responsabil cu coordonarea aspectelor legate de securitatea rețelelor și a sistemelor informatice și cu cooperarea transfrontalieră la nivelul Uniunii.

(40)

Punctele unice de contact ar trebui să asigure o cooperare transfrontalieră eficace cu autoritățile competente din alte state membre și, după caz, cu Comisia și cu ENISA. Punctele unice de contact ar trebui, prin urmare, să fie însărcinate cu înaintarea notificărilor incidentelor semnificative cu impact transfrontalier către punctele unice de contact ale altor state membre afectate, la cererea echipei CSIRT sau a autorității competente. La nivel național, punctele unice de contact ar trebui să înlesnească o bună cooperare transsectorială cu alte autorități competente. Punctele unice de contact ar putea fi, de asemenea, destinatarii informațiilor relevante privind incidentele referitoare la entitățile financiare transmise de autoritățile competente în temeiul Regulamentului (UE) 2022/2554 pe care ele ar trebui să le poată înainta, după caz, echipelor CSIRT sau autorităților competente în temeiul prezentei directive.

(41)

Statele membre ar trebui să fie dotate în mod adecvat, din punctul de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a răspunde și a se redresa de pe urma incidentelor și a riscurilor, precum și a atenua impactul acestora. Prin urmare, statele membre ar trebui să instituie sau să desemneze una sau mai multe echipe CSIRT în temeiul prezentei directive și să se asigure că acestea dispun de resurse și capacități tehnice adecvate. Echipele CSIRT ar trebui să respecte cerințele stabilite în prezenta directivă pentru a garanta existența unor capacități efective și compatibile de gestionare a incidentelor și a riscurilor și pentru a asigura o cooperare eficientă la nivelul Uniunii. Statele membre ar trebui să poată desemna în calitate de echipe CSIRT echipe existente de intervenție în caz de urgență informatică („CERT”). În vederea consolidării relației de încredere dintre entități și echipe CSIRT, în cazurile în care o echipe CSIRT face parte din autoritatea competentă, statele membre ar trebui să poată avea în vedere separarea funcțională a sarcinilor operaționale furnizate de echipele CSIRT, în special în ceea ce privește schimbul de informații și sprijinul acordat entităților, și activitățile de supraveghere ale autorităților competente.

(42)

Echipele CSIRT au sarcina de a administra incidentele. Aceasta include prelucrarea unor volume mari de date uneori sensibile. Statele membre ar trebui să se asigure că echipele CSIRT dispun de o infrastructură pentru schimbul de informații și prelucrarea acestora, precum și de personal bine echipat, care asigură confidențialitatea și credibilitatea operațiunilor lor. Echipele CSIRT ar putea adopta, de asemenea, coduri de conduită în acest sens.

(43)

În ceea ce privește datele cu caracter personal, echipele CSIRT ar trebui să poată furniza, în concordanță cu Regulamentul (UE) 2016/679, la cererea unei entități esențiale sau a unei entități importante, o scanare proactivă a rețelelor și a sistemelor informatice utilizate pentru prestarea serviciilor lor. Atunci când este cazul, statele membre ar trebui să vizeze asigurarea unui nivel egal de capacități tehnice pentru toate echipele CSIRT specifice unui sector. Statele membre ar trebui să poată solicita asistența ENISA pentru instituirea echipelor lor CSIRT.

(44)

Echipele CSIRT ar trebui să aibă capacitatea, la cererea unei entități esențiale sau a unei entități importante, de a monitoriza resursele conectate la internet ale entității, atât la locurile în care își desfășoară activitatea, cât și în exteriorul acestora, pentru identifica, a înțelege și a gestiona riscurile organizaționale generale ale entității cu privire la compromisurile sau vulnerabilitățile critice nou-identificate din lanțul de aprovizionare. Entitatea ar trebui să fie încurajată să comunice echipei CSIRT dacă utilizează o interfață de gestionare privilegiată, deoarece acest lucru ar putea afecta viteza de desfășurare a unor acțiuni de atenuare.

(45)

Având în vedere importanța cooperării internaționale în privința securității cibernetice, echipele CSIRT ar trebui să aibă posibilitatea de a participa la rețele de cooperare internațională, în plus față de rețeaua CSIRT instituită prin prezenta directivă. Prin urmare, în scopul îndeplinirii sarcinilor care le revin, echipele CSIRT și autoritățile competente ar trebui să poată face schimb de informații, inclusiv de date cu caracter personal, cu echipele naționale de intervenție în caz de incidente de securitate informatică sau cu autoritățile competente din țări terțe, cu condiția să fie îndeplinite condițiile prevăzute de dreptul Uniunii privind protecția datelor pentru transferurile de date cu caracter personal către țări terțe, printre altele cele prevăzute la articolul 49 din Regulamentul (UE) 2016/679.

(46)

Este esențial să se asigure resurse adecvate pentru îndeplinirea obiectivelor prevăzute în prezenta directivă și pentru a facilita îndeplinirea de către autoritățile competente și echipele CSIRT a sarcinilor prevăzute în prezenta directivă. Statele membre pot institui la nivel național un mecanism de finanțare care să acopere cheltuielile necesare în legătură cu îndeplinirea sarcinilor entităților publice responsabile cu securitatea cibernetică în statul membru în temeiul prezentei directive. Un astfel de mecanism ar trebui să respecte dreptul Uniunii și ar trebui să fie proporțional și nediscriminatoriu și ar trebui să țină seama de diferitele abordări în ceea ce privește prestarea de servicii sigure.

(47)

Rețeaua CSIRT ar trebui să contribuie în continuare la consolidarea încrederii și la promovarea unei cooperări operaționale rapide și eficace între statele membre. Pentru a consolida cooperarea operațională la nivelul Uniunii, rețeaua CSIRT ar trebui să aibă în vedere invitarea organelor și agențiilor Uniunii implicate în politica de securitate cibernetică, cum ar fi Europol, să participe la activitatea sa.

(48)

În scopul atingerii și menținerii unui nivel ridicat de securitate cibernetică, strategiile naționale de securitate cibernetică necesare în temeiul prezentei directive ar trebui să constea în cadre coerente care să ofere obiective și priorități strategice în domeniul securității cibernetice și administrarea necesară pentru realizarea acestora. Aceste strategii pot fi compuse dintr-unul sau mai multe instrumente legislative sau fără caracter legislativ.

(49)

Politicile de igienă cibernetică asigură baza pentru protecția infrastructurilor de rețele și sisteme informatice, pentru securitatea hardware, software și a aplicațiilor online, precum și pentru protecția datelor întreprinderilor sau ale utilizatorilor finali pe care se bazează entitățile. Politicile de igienă cibernetică care cuprind un set de practici de referință comun, inclusiv actualizări de software și hardware, modificări ale parolelor, gestionarea noilor instalări, limitarea conturilor cu acces la nivel de administrator și copierea de rezervă a datelor, permit un cadru proactiv de pregătire și de siguranță și securitate generale în caz de incidente sau amenințări cibernetice. ENISA ar trebui să monitorizeze și să analizeze politicile de igienă cibernetică ale statelor membre.

(50)

Sensibilizarea cu privire la securitatea cibernetică și igiena cibernetică sunt esențiale pentru a crește nivelul de securitate cibernetică în Uniune, în special având în vedere numărul crescând de dispozitive conectate care sunt utilizate din ce în ce mai mult în atacurile cibernetice. Ar trebui depuse eforturi pentru a crește nivelul general de conștientizare a riscurilor legate de astfel de dispozitive, în timp ce evaluările la nivelul Uniunii ar putea contribui la asigurarea unei înțelegeri comune a acestor riscuri în cadrul pieței interne.

(51)

Statele membre ar trebui să încurajeze utilizarea oricărei tehnologii inovatoare, inclusiv a inteligenței artificiale, a cărei utilizare ar putea îmbunătăți detectarea și prevenirea atacurilor cibernetice, permițând deturnarea resurselor către atacuri cibernetice într-un mod mai eficace. Prin urmare, statele membre ar trebui să încurajeze, în cadrul strategiei lor naționale de securitate cibernetică, activitățile de cercetare și dezvoltare pentru a înlesni utilizarea unor astfel de tehnologii, în special a celor legate de instrumentele automatizate sau semi automatizate în materie de securitate cibernetică și, după caz, schimbul de date necesare pentru formarea utilizatorilor unei astfel de tehnologii și pentru îmbunătățirea acesteia. Utilizarea oricărei tehnologii inovatoare, inclusiv a inteligenței artificiale, ar trebui să respecte dreptul Uniunii în materie de protecție a datelor, inclusiv principiile de protecție a datelor, și anume acuratețea, reducerea la minimum a datelor, echitatea și transparența, precum și securitatea datelor, cum ar fi criptarea de ultimă generație. Cerințele privind protecția datelor începând cu momentul conceperii și protecția implicită a datelor prevăzute în Regulamentul (UE) 2016/679 ar trebui să fie exploatate pe deplin.

(52)

Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot contribui la un grad mai ridicat de deschidere și pot avea un impact pozitiv asupra eficienței inovării industriale. Standardele deschise înlesnesc interoperabilitatea dintre instrumentele de securitate, aducând beneficii securității părților interesate din industrie. Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot stimula comunitatea mai largă a dezvoltatorilor, permițând diversificarea furnizorilor. Sursa deschisă poate duce la un proces mai transparent de verificare a instrumentelor legate de securitatea cibernetică și la un proces de descoperire a vulnerabilităților bazat pe comunitate. Prin urmare, statele membre ar trebui să fie în măsură să promoveze utilizarea de software cu sursă deschisă și de standarde deschise prin aplicarea de politici privind utilizarea datelor deschise și a surselor deschise ca parte a securității prin transparență. Politicile care promovează introducerea și utilizarea durabilă a instrumentelor de securitate cibernetică cu sursă deschisă sunt de o importanță deosebită pentru întreprinderile mici și mijlocii care se confruntă cu costuri semnificative pentru punerea în aplicare, care ar putea fi reduse prin reducerea nevoii de aplicații sau instrumente specifice.

(53)

Utilitățile sunt din ce în ce mai conectate la rețelele digitale din orașe, în scopul îmbunătățirii rețelelor de transport urban, al modernizării instalațiilor de alimentare cu apă și de eliminare a deșeurilor și al creșterii eficienței iluminatului și a încălzirii clădirilor. Respectivele utilități digitalizate sunt vulnerabile la atacurile cibernetice și riscă, în cazul unui atac cibernetic reușit, să prejudicieze cetățenii la scară largă din cauza interconectării lor. Statele membre ar trebui să elaboreze o politică care să abordeze dezvoltarea unor astfel de orașe conectate sau inteligente și efectele lor potențiale asupra societății, ca parte a strategiei lor naționale de securitate cibernetică.

(54)

În ultimii ani, Uniunea s-a confruntat cu o creștere exponențială a atacurilor de tip ransomware, în care programele malware criptează date și sisteme și solicită o plată de răscumpărare pentru a le decripta. Frecvența și gravitatea tot mai mare a atacurilor de tip ransomware pot fi determinate de mai mulți factori, cum ar fi modele diferite de atac, modele de afaceri infracționale în jurul „ransomware ca serviciu” (ransomware as a service) și criptomonedele, cererile de răscumpărare și intensificarea atacurilor asupra lanțului de aprovizionare. Statele membre ar trebui să elaboreze o politică care să abordeze creșterea numărului de atacuri de tip ransomware ca parte a strategiei lor naționale de securitate cibernetică.

(55)

Parteneriatele public-private (PPP) în domeniul securității cibernetice pot asigura un cadru adecvat pentru schimbul de cunoștințe, de bune practici și pentru stabilirea unui nivel comun de înțelegere între părțile interesate. Statele membre ar trebui să promoveze politici care stau la baza instituirii unor PPP specifice securității cibernetice. Respectivele politici ar trebui să clarifice, printre altele, domeniul de aplicare și părțile interesate implicate, modelul de administrare, opțiunile de finanțare disponibile, precum și interacțiunea dintre părțile interesate participante în ceea ce privește PPP. PPP pot valorifica cunoștințele specializate ale entităților din sectorul privat pentru a ajuta autoritățile competente în dezvoltarea unor servicii și procese de ultimă generație, inclusiv în schimbul de informații, alertele timpurii, exercițiile pentru amenințări cibernetice și incidente, gestionarea crizelor și planificarea rezilienței.

(56)

În strategiile lor naționale de securitate cibernetică, statele membre ar trebui să abordeze nevoile specifice în materie de securitate cibernetică ale întreprinderilor mici și mijlocii. La nivelul Uniunii, întreprinderile mici și mijlocii reprezintă un procentaj ridicat din piața industrială și de afaceri și adesea se luptă să se adapteze la noile practici comerciale într-o lume mai conectată și la mediul digital, în care angajații lucrează de acasă, iar activitățile de afaceri se desfășoară tot mai mult online. Unele întreprinderi mici și mijlocii se confruntă cu provocări specifice în materie de securitate cibernetică, cum ar fi un nivel scăzut de sensibilizare în domeniul cibernetic, lipsa securității informatice de la distanță, costul ridicat al soluțiilor de securitate cibernetică și un nivel crescut de amenințare, cum ar fi programele de tip ransomware, pentru care ar trebui să primească îndrumări și ajutor. Întreprinderile mici și mijlocii devin din ce în ce mai mult ținta atacurilor asupra lanțului de aprovizionare, din cauza măsurilor lor mai puțin riguroase de gestionare a riscurilor în materie de securitate cibernetică și a gestionării atacurilor, precum și din cauza faptului că au resurse de securitate limitate. Astfel de atacuri asupra lanțului de aprovizionare nu numai că au un impact asupra întreprinderilor mici și mijlocii și asupra operațiunilor acestora în mod izolat, ci pot avea, de asemenea, un efect în cascadă rezultând în atacuri mai ample asupra entităților pe care le-au aprovizionat. Prin intermediul strategiilor lor naționale de securitate cibernetică, statele membre ar trebui să ajute întreprinderile mici și mijlocii să abordeze provocările cu care se confruntă în lanțurile lor de aprovizionare. Statele membre ar trebui să aibă un punct de contact pentru întreprinderile mici și mijlocii la nivel național sau regional, care fie să ofere orientări și asistență întreprinderilor mici și mijlocii, fie să le direcționeze către organele corespunzătoare pentru orientare și asistență în ceea ce privește aspectele legate de securitatea cibernetică. Statele membre sunt încurajate, de asemenea, să ofere servicii precum configurarea de site-uri web și înlesnirea jurnalizării pentru microîntreprinderile și întreprinderile mici care nu dispun de aceste capacități.

(57)

Ca parte a strategiilor lor naționale de securitate cibernetică, statele membre ar trebui să adopte politici privind promovarea unei protecții cibernetice active ca parte a unei strategii defensive mai ample. În loc să răspundă reactiv, protecția cibernetică activă constă în prevenirea, detectarea, monitorizarea, analizarea și atenuarea în mod activ ale încălcărilor securității rețelei, combinată cu utilizarea capacităților desfășurate în interiorul și în afara rețelei afectate. Aceasta ar putea include oferirea de către statele membre a unor servicii sau instrumente gratuite anumitor entități, inclusiv verificări în regim de autoservire, instrumente de detectare și servicii de retragere. Capacitatea de a partaja și a înțelege rapid și automat informații și analize privind amenințările, alertele privind activitățile cibernetice și acțiunile de răspuns este esențială pentru a permite unitatea eforturilor în prevenirea, detectarea, abordarea și blocarea cu succes a atacurilor împotriva rețelelor și a sistemelor informatice. Protecția cibernetică activă se bazează pe o strategie defensivă care exclude măsurile ofensive.

(58)

Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a unor astfel de vulnerabilități constituie un factor important în reducerea riscului. Entitățile care dezvoltă sau administrează rețele și sisteme informatice ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și divulgate de părți terțe, producătorul sau furnizorul de produse TIC sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29147 oferă orientări privind gestionarea și divulgarea vulnerabilităților. Întărirea coordonării dintre persoanele fizice și juridice raportoare și producătorii ori furnizorii de produse TIC sau servicii TIC este deosebit de importantă în scopul facilitării cadrului voluntar de divulgare a vulnerabilităților. Divulgarea coordonată a vulnerabilităților definește un proces structurat prin care informații privind vulnerabilitățile sunt transmise producătorului sau furnizorului de produse TIC sau de servicii TIC potențial vulnerabile într-o manieră care să îi permită acestuia să diagnosticheze și să remedieze vulnerabilitatea înainte ca informațiile detaliate privind vulnerabilitatea să fie dezvăluite unor terțe părți sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre persoana fizică sau juridică raportoare și producătorul sau furnizorul de produse TIC sau de servicii TIC potențial vulnerabile în ceea ce privește calendarul de remediere și publicare a vulnerabilităților.

(59)

Comisia, ENISA și statele membre ar trebui să continue să încurajeze alinierea la standardele internaționale și la bunele practici existente din sector în domeniul gestionării riscurilor în materie de securitate cibernetică, de exemplu în domeniul evaluărilor securității lanțului de aprovizionare, al schimbului de informații și al divulgării vulnerabilităților.

(60)

Statele membre, în cooperare cu ENISA, ar trebui să ia măsuri pentru a înlesni divulgarea coordonată a vulnerabilităților prin stabilirea unei politici naționale relevante. Ca parte a politicii lor naționale, statele membre ar trebui să își propună să facă față, în măsura posibilului, încercărilor cu care se confruntă cercetătorii în domeniul vulnerabilității, inclusiv expunerea potențială a acestora la răspunderea penală, în conformitate cu dreptul intern. Având în vedere faptul că persoanele fizice și juridice care cercetează vulnerabilități ar putea fi expuse, în unele state membre, răspunderii penale și civile, statele membre sunt încurajate să adopte orientări în ceea ce privește neurmărirea penală a cercetătorilor în domeniul securității informațiilor și exonerarea de răspundere civilă pentru activitățile desfășurate de aceștia.

(61)

Statele membre ar trebui să desemneze una din echipele sale CSIRT drept coordonator, acționând, dacă este necesar, ca intermediar de încredere între persoanele fizice sau juridice care raportează și producătorii sau furnizorii de produse TIC sau servicii TIC care ar putea fi afectați de vulnerabilitate. Sarcinile echipei CSIRT desemnate drept coordonator ar trebui să includă identificarea și contactarea entităților în cauză, asistarea persoanelor fizice sau juridice care raportează o vulnerabilitate, negocierea calendarelor de divulgare și gestionarea vulnerabilităților care afectează mai multe entități (divulgarea coordonată a vulnerabilităților de către mai multe părți). Atunci când vulnerabilitatea raportată ar putea avea un impact semnificativ asupra entităților în mai multe state membre, echipele CSIRT desemnate drept coordonatori ar trebui să coopereze în cadrul rețelei CSIRT, dacă este cazul.

(62)

Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele TIC și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. Sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important pentru entități și pentru utilizatorii serviciilor acestora, dar și pentru autoritățile competente și pentru echipele CSIRT. Din acest motiv, ENISA ar trebui să creeze o bază de date europeană a vulnerabilităților în care entitățile, indiferent dacă intră în domeniul de aplicare al prezentei directive sau nu, și furnizorii lor de rețele și sisteme informatice, precum și autoritățile competente și echipele CSIRT să poată divulga și înregistra, în mod voluntar, vulnerabilități cunoscute publicului, pentru a permite utilizatorilor să ia măsuri adecvate de atenuare. Scopul acestei baze de date este de a răspunde provocărilor unice pe care le constituie riscurile pentru entitățile din Uniune. În plus, ENISA ar trebui să stabilească o procedură adecvată în ceea ce privește procesul de publicare, pentru a acorda entităților timpul necesar pentru a lua măsuri de atenuare a vulnerabilităților lor și pentru a utiliza măsuri de gestionare a riscului în materie de securitate cibernetică de ultimă generație, precum și seturi de date care pot fi citite automat și interfețele corespunzătoare. Pentru a încuraja o cultură a divulgării vulnerabilităților, divulgarea nu ar trebui să aibă efecte negative asupra persoanei fizice sau juridice raportoare.

(63)

Deși există registre sau baze de date ale vulnerabilităților similare, ele sunt găzduite și întreținute de entități care nu sunt stabilite în Uniune. O bază de date europeană a vulnerabilităților întreținută de ENISA ar oferi o mai mare transparență în ceea ce privește procesul de publicare înainte de dezvăluirea oficială a vulnerabilității, precum și reziliență în cazul unei perturbări sau al unei întreruperi ale furnizării de servicii similare. Pentru a evita, în măsura posibilului, dublarea eforturilor și pentru a urmări complementaritatea, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu registre sau baze de date similare care intră sub jurisdicția unei țări terțe. În special, ENISA ar trebui să analizeze posibilitatea unei cooperări strânse cu operatorii sistemului comun de vulnerabilități și expuneri (CVE).

(64)

Grupul de cooperare ar trebui să sprijine și să înlesnească cooperarea strategică și schimbul de informații, precum și să întărească încrederea între statele membre. Grupul de cooperare ar trebui să elaboreze un program de lucru o dată la doi ani. Programul de lucru ar trebui să includă acțiunile ce urmează să fie întreprinse de Grupul de cooperare în vederea punerii în aplicare a obiectivelor și sarcinilor sale. Calendarul pentru instituirea primului program de lucru în temeiul prezentei directive ar trebui să fie aliniat la calendarul ultimului program de lucru stabilit în temeiul Directivei (UE) 2016/1148, pentru a se evita eventualele perturbări ale activității Grupului de cooperare.

(65)

Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui, în mod consecvent, să inventarieze soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice, în special în ceea ce privește înlesnirea alinierii în transpunerea prezentei directive în statele membre, care să fie abordată printr-o mai bună punere în aplicare a normelor existente. Grupul de cooperare ar putea, de asemenea, să inventarieze soluțiile naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din întreaga Uniune. Acest lucru este deosebit de relevant pentru sectoarele care au un caracter internațional sau transfrontalier.

(66)

Grupul de cooperare ar trebui să rămână un forum flexibil și să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar putea organiza reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta despre activitățile pe care le desfășoară Grupul de cooperare și a colecta date și informații cu privire la provocările emergente în materie de politici. În plus, Grupul de cooperare ar trebui să efectueze o evaluare periodică a situației amenințărilor sau incidentelor cibernetice, cum ar fi cele de tip ransomware. Pentru a întări cooperarea la nivelul Uniunii, Grupul de cooperare ar trebui să aibă în vedere invitarea instituțiilor, organelor, oficiilor și agențiilor relevante ale Uniunii implicate în politica de securitate cibernetică, cum ar fi Parlamentul European, Europol, Comitetul european pentru protecția datelor, Agenția Uniunii Europene pentru Siguranța Aviației, instituită prin Regulamentul (UE) 2018/1139, și Agenția Uniunii Europene pentru Programul Spațial, instituită prin Regulamentul (UE) 2021/696 al Parlamentului European și al Consiliului (14), să participe la lucrările sale.

(67)

Autoritățile competente și echipele CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre, într-un cadru specific și, după caz, sub rezerva autorizării de securitate necesare a funcționarilor care participă la aceste programe de schimb, în vederea îmbunătățirii cooperării și a întăririi încrederii dintre statele membre. Autoritățile competente ar trebui să ia măsurile necesare ca funcționarii din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă sau ale echipelor CSIRT gazdă.

(68)

Statele membre ar trebui să contribuie la instituirea cadrului UE de răspuns la crizele de securitate cibernetică, astfel cum este prevăzut în Recomandarea (UE) 2017/1584 a Comisiei (15), prin intermediul rețelelor de cooperare existente, în special Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe), rețeaua CSIRT și Grupul de cooperare. EU-CyCLONe și rețeaua CSIRT ar trebui să coopereze pe baza modalităților procedurale care precizează detaliile acestei cooperări și să evite orice suprapunere a sarcinilor. Regulamentul de procedură al EU-CyCLONe ar trebui să precizeze în detaliu modalitățile prin care ar trebui să funcționeze această rețea, inclusiv rolurile, mijloacele de cooperare, interacțiunile rețelei cu alți actori relevanți și modelele pentru schimbul de informații, precum și mijloacele de comunicare. Pentru gestionarea crizelor la nivelul Uniunii, părțile relevante ar trebui să se bazeze pe mecanismul integrat al UE pentru un răspuns politic la crize în temeiul Deciziei de punere în aplicare (UE) 2018/1993 a Consiliului (16) (mecanismul IPCR). În acest scop, Comisia ar trebui să utilizeze procesul ARGUS de coordonare transsectorială la nivel înalt în situații de criză. În cazul în care criza presupune o importantă dimensiune externă sau de politică de securitate și apărare comună, ar trebui activat mecanismul de răspuns în caz de criză al Serviciului European de Acțiune Externă.

(69)

În conformitate cu anexa la Recomandarea (UE) 2017/1584, un incident de securitate cibernetică de mare amploare ar trebui să însemne un incident care provoacă un nivel de perturbare care depășește capacitatea unui stat membru de a răspunde la acesta sau care are un impact semnificativ asupra a cel puțin două state membre. În funcție de cauza și de impactul lor, incidentele de securitate cibernetică de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne sau să prezinte riscuri grave pentru securitatea și siguranța publică, pentru entități sau cetățeni, în mai multe state membre sau în Uniune în ansamblul său. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele, oficiile și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune.

(70)

Incidentele de securitate cibernetică de mare amploare și crizele de la nivelul Uniunii necesită acțiuni coordonate pentru a asigura un răspuns rapid și eficace, din cauza gradului ridicat de interdependență dintre sectoare și statele membre. Disponibilitatea unor rețele și sisteme informatice reziliente din punct de vedere cibernetic, precum și disponibilitatea, confidențialitatea și integritatea datelor sunt vitale pentru securitatea Uniunii și pentru protecția cetățenilor, întreprinderilor și instituțiilor acesteia împotriva incidentelor și a amenințărilor cibernetice, precum și pentru consolidarea încrederii persoanelor și a organizațiilor în capacitatea Uniunii de a promova și de a proteja un spațiu cibernetic global, deschis, liber, stabil și sigur, bazat pe drepturile omului, libertățile fundamentale, democrație și statul de drept.

(71)

EU-CyCLONe ar trebui să acționeze ca intermediar între nivelul tehnic și cel politic în timpul incidentelor de securitate cibernetică de mare amploare și al crizelor și ar trebui să consolideze cooperarea la nivel operațional și să sprijine procesul decizional la nivel politic. În cooperare cu Comisia, având în vedere competența Comisiei în domeniul gestionării crizelor, EU-CyCLONe ar trebui să se bazeze pe constatările rețelei CSIRT și să își utilizeze propriile capacități pentru a crea o analiză a impactului incidentelor de securitate cibernetică de mare amploare și al crizelor.

(72)

Atacurile cibernetice au un caracter transfrontalier, iar un incident semnificativ poate perturba și afecta infrastructurile critice de informații de care depinde buna funcționare a pieței interne. Recomandarea (UE) 2017/1584 abordează rolul tuturor actorilor relevanți. În plus, Comisia este responsabilă, în cadrul mecanismului de protecție civilă al Uniunii instituit prin Decizia nr. 1313/2013/UE a Parlamentului European și a Consiliului (17), de acțiunile generale în materie de pregătire, inclusiv de gestionarea Centrului de coordonare a răspunsului la situații de urgență și a sistemului comun de comunicare și informare în caz de urgență, de menținerea și dezvoltarea în continuare a capacității de conștientizare a situației și de analiză, precum și de instituirea și gestionarea capacității de a mobiliza și de a trimite echipe de experți în cazul unei cereri de asistență din partea unui stat membru sau a unei țări terțe. Comisia are, de asemenea, responsabilitatea de a furniza rapoarte analitice pentru mecanismul IPCR în temeiul Deciziei de punere în aplicare (UE) 2018/1993, inclusiv în ceea ce privește conștientizarea situației și pregătirea în materie de securitate cibernetică, precum și conștientizarea situației și răspunsul la situații de criză în domeniile agriculturii, condițiilor meteorologice nefavorabile, cartografierii și prognozelor privind conflictele, sistemelor de alertă timpurie în caz de dezastre naturale, urgențelor sanitare, supravegherii bolilor infecțioase, sănătății plantelor, incidentelor chimice, siguranței alimentelor și a hranei pentru animale, sănătății animalelor, migrației, vămilor, urgențelor nucleare și radiologice și energiei.

(73)

După caz, Uniunea poate să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare, ale rețelei CSIRT, precum și ale EU-CyCLONe. Astfel de acorduri ar trebui să asigure interesele Uniunii și o protecție adecvată a datelor. Acest lucru nu ar trebui să excludă dreptul statelor membre de a coopera cu țări terțe în legătură cu gestionarea vulnerabilităților și a riscurilor în materie de securitate cibernetică, înlesnind raportarea și schimbul general de informații în conformitate cu dreptul Uniunii.

(74)

Pentru a facilita punerea în aplicare eficace a prezentei directive în ceea ce privește, printre altele, gestionarea vulnerabilităților, măsurile de gestionare a riscurilor în materie de securitate cibernetică, obligațiile de raportare și acordurile privind schimbul de informații în materie de securitate cibernetică, statele membre pot coopera cu țări terțe și pot desfășura activități considerate a fi adecvate acestui scop, inclusiv schimburi de informații cu privire la amenințări cibernetice, incidente, vulnerabilități, instrumente și metode, tactici, tehnici și proceduri, pregătire și exerciții pentru gestionarea crizelor în materie de securitate cibernetică, formare, consolidare a încrederii și acorduri structurate privind schimbul de informații.

(75)

Ar trebui introduse evaluări inter pares pentru a se putea învăța din experiențe comune, a consolida încrederea reciprocă și a atinge un nivel comun ridicat de securitate cibernetică. Evaluările inter pares pot conduce la idei și recomandări valoroase, consolidând capacitățile generale în materie de securitate cibernetică, creând o altă cale funcțională pentru schimbul de bune practici între statele membre și contribuind la îmbunătățirea nivelurilor de maturitate ale statelor membre în materie de securitate cibernetică. În plus, evaluările inter pares ar trebui să țină seama de rezultatele unor mecanisme similare, cum ar fi sistemul de evaluare inter pares al rețelei CSIRT, să aducă valoare adăugată și să evite suprapunerile. Implementarea sistemului de evaluări inter pares nu ar trebui să aducă atingere dreptului Uniunii sau dreptului intern privind protecția informațiilor confidențiale sau clasificate.

(76)

Grupul de cooperare ar trebui să stabilească o metodologie de autoevaluare pentru statele membre, cu scopul de a acoperi factori precum nivelul de punere în aplicare a măsurilor de gestionare a riscurilor în materie de securitate cibernetică și a obligațiilor de raportare, nivelul capacităților și eficacitatea exercitării sarcinilor autorităților competente, capacitățile operaționale ale echipelor CSIRT, nivelul de punere în aplicare a asistenței reciproce, nivelul de punere în aplicare a acordurilor privind schimbul de informații în materie de securitate cibernetică sau aspecte specifice de natură transfrontalieră sau transsectorială. Statele membre ar trebui să fie încurajate să efectueze autoevaluări în mod regulat și să prezinte și să discute rezultatele autoevaluării lor în cadrul Grupului de cooperare.

(77)

Responsabilitatea de a asigura securitatea rețelelor și a sistemelor informatice revine în mare măsură entităților esențiale și entităților importante. Ar trebui să se promoveze și să se dezvolte o cultură a gestionării riscurilor, care să implice evaluări ale riscurilor și aplicarea unor măsuri de gestionare a riscurilor în materie de securitate cibernetică adecvate riscurilor întâmpinate.

(78)

Măsurile de gestionare a riscurilor în materie de securitate cibernetică ar trebui să țină seama de gradul de dependență al entității esențiale sau al entității importante de rețelele și sistemele informatice și să includă măsuri pentru identificarea oricăror riscuri de incidente, prevenirea și detectarea incidentelor, răspunsul la incidente și redresarea în urma acestora, precum și pentru atenuarea impactului lor. Securitatea rețelelor și a sistemelor informatice ar trebui să includă securitatea datelor stocate, transmise și prelucrate. Măsurile de gestionare a riscurilor în materie de securitate cibernetică ar trebui să asigure o analiză sistemică, ținând seama de factorul uman, cu scopul de a obține o imagine completă privind securitatea rețelelor și a sistemelor informatice.

(79)

Întrucât amenințările la adresa securității rețelelor și a sistemelor informatice pot avea origini diferite, măsurile de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie bazate pe o abordare multirisc, care vizează protecția rețelelor și a sistemelor informatice și a mediului fizic al acestor sisteme împotriva unor evenimente cum ar fi furturile, incendiile, inundațiile, defecțiunile la nivelul telecomunicațiilor sau al alimentării cu energie, accesul fizic neautorizat și deteriorarea și interferența la nivelul informațiilor deținute de o entitate esențială sau de o entitate importantă sau al echipamentelor entității respective de prelucrare a informațiilor, care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise sau prelucrate sau a serviciilor oferite de rețelele și sistemele informatice sau accesibile prin intermediul acestora. Prin urmare, măsurile de gestionare a riscurilor în materie de securitate cibernetică ar trebui să abordeze, de asemenea, securitatea fizică și a mediului în cazul rețelelor și al sistemelor informatice prin includerea unor măsuri pentru a le proteja împotriva defecțiunilor de sistem, a erorilor umane, a acțiunilor răuvoitoare sau a fenomenelor naturale, în conformitate cu standardele europene și internaționale, cum ar fi cele incluse în seria ISO/IEC 27000. În acest sens, entitățile esențiale și entitățile importante ar trebui, în cadrul măsurilor lor de gestionare a riscurilor în materie de securitate cibernetică, să abordeze și securitatea resurselor umane și să dispună de politici adecvate de control al accesului. Măsurile respective ar trebui să respecte Directiva (UE) 2022/2557.

(80)

Pentru a dovedi respectarea măsurilor de gestionare a riscurilor în materie de securitate cibernetică și în absența unor sisteme europene adecvate de certificare a securității cibernetice adoptate în conformitate cu Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului (18), statele membre ar trebui, cu consultarea Grupului de cooperare și a Grupului european pentru certificarea securității cibernetice, să promoveze utilizarea standardelor europene și internaționale relevante de către entitățile esențiale și entitățile importante sau pot solicita entităților să utilizeze produse TIC, servicii TIC și procese TIC certificate.

(81)

Pentru a se evita impunerea unei sarcini financiare și administrative disproporționate asupra entităților esențiale și entităților importante, măsurile de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu riscurile la care sunt expuse rețeaua și sistemul informatic în cauză, ținându-se seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri și, după caz, de standardele europene și internaționale relevante, precum și de costul punerii lor în aplicare.

(82)

Măsurile de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu gradul de expunere a entității esențiale sau a entității importante la riscuri și cu impactul societal și economic pe care un incident l-ar avea. Atunci când se stabilesc măsuri de gestionare a riscurilor în materie de securitate cibernetică adaptate entităților esențiale și entităților importante, ar trebui să se țină seama în mod corespunzător de expunerea divergentă la risc a entităților esențiale și a entităților importante, cum ar fi importanța critică a entității, riscurile, inclusiv riscurile societale, la care este expusă, dimensiunea entității și probabilitatea producerii incidentelor și gravitatea acestora, inclusiv impactul lor societal și economic.

(83)

Entitățile esențiale și entitățile importante ar trebui să asigure securitatea rețelelor și a sistemelor informatice pe care le utilizează pentru a-și desfășura activitatea. Aceste sisteme sunt în principal rețele și sisteme informatice private, care sunt gestionate de către personalul IT intern al entităților esențiale și al entităților importante sau a căror securitate a fost externalizată. Măsurile de gestionare a riscurilor în materie de securitate cibernetică și obligațiile de raportare prevăzute în prezenta directivă ar trebui să li se aplice entităților esențiale și entităților importante relevante, indiferent dacă entitățile respective întrețin la nivel intern rețelele și sistemele lor informatice sau dacă externalizează întreținerea acestora.

(84)

Având în vedere caracterul lor transfrontalier, furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea și prestatorii de servicii de încredere ar trebui să facă obiectul unui grad ridicat de armonizare la nivelul Uniunii. Prin urmare, implementarea măsurilor de gestionare a riscurilor în materie de securitate cibernetică în ceea ce privește respectivele entități ar trebui facilitată printr-un act de punere în aplicare.

(85)

Abordarea riscurilor care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi, cum ar fi furnizorii de servicii de stocare și de prelucrare de date sau furnizorii de servicii de securitate gestionate și editorii de software, este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au fost victime ale atacurilor cibernetice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile unei părți terțe. Prin urmare, entitățile esențiale și entitățile importante ar trebui să evalueze și să țină seama de calitatea generală și de reziliența produselor și a serviciilor, de măsurile de gestionare a riscurilor în materie de securitate cibernetică integrate în acestea, precum și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. Entitățile esențiale și entitățile importante ar trebui, în special, să fie încurajate să includă măsuri de gestionare a riscurilor în materie de securitate cibernetică în acordurile contractuale cu furnizorii lor direcți și cu prestatorii lor de servicii direcți. Entitățile respective ar putea lua în considerare riscurile generate de alte niveluri de furnizori și de prestatori de servicii.

(86)

În rândul furnizorilor de servicii, furnizorii de servicii de securitate gestionate în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a preveni și de a detecta incidente, de a răspunde la acestea și de a se redresa după incidente. Totuși, și furnizorii de servicii de securitate gestionate au fost ținta atacurilor cibernetice și, din cauza integrării lor strânse în operațiunile entităților, prezintă un risc deosebit. Prin urmare, entitățile esențiale și entitățile importante ar trebui să dea dovadă de o diligență sporită în selectarea unui furnizor de servicii de securitate gestionate.

(87)

Autoritățile competente, în contextul sarcinilor lor de supraveghere, pot beneficia, de asemenea, de servicii de securitate cibernetică, cum ar fi audituri de securitate, teste de penetrare sau răspunsuri la incidente.

(88)

Entitățile esențiale și entitățile importante ar trebui, de asemenea, să abordeze riscurile care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg, inclusiv în ceea ce privește combaterea spionajului industrial și protejarea secretelor comerciale. În special, entitățile respective ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile esențiale și entitățile importante, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile respective ar trebui să ia toate măsurile adecvate de gestionare a riscurilor în materie de securitate cibernetică.

(89)

Entitățile esențiale și entitățile importante ar trebui să adopte o gamă largă de practici de bază în materie de igienă cibernetică, cum ar fi principii „încredere zero”, actualizări ale software-ului, configurarea dispozitivelor, segmentarea rețelelor, gestionarea identității și a accesului sau sensibilizarea utilizatorilor, să organizeze cursuri pentru personalul lor și să crească gradul de informare cu privire la amenințările cibernetice, phishing sau tehnici de inginerie socială. În plus, entitățile respective ar trebui să își evalueze propriile capacități în materie de securitate cibernetică și, atunci când este cazul, să urmărească integrarea tehnologiilor de îmbunătățire a securității cibernetice, cum ar fi sisteme de inteligență artificială sau de învățare automată pentru a consolida capacitățile proprii și securitatea rețelelor și a sistemelor informatice.

(90)

Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților esențiale și entitățile importante care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în privința gestionării adecvate a riscurilor legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare ar trebui să efectueze, în cooperare cu Comisia și ENISA și, după caz, după consultarea părților interesate relevante, inclusiv din industrie, evaluări coordonate ale riscurilor de securitate la nivelul lanțurilor de aprovizionare critice, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 a Comisiei (19), cu scopul de a identifica, pentru fiecare sector în parte, serviciile TIC, sistemele TIC sau produsele TIC critice, amenințările și vulnerabilitățile relevante. Astfel de evaluări coordonate ale riscurilor de securitate ar trebui să identifice măsurile, planurile de atenuare și cele mai bune practici împotriva dependențelor critice, a potențialelor puncte unice de defecțiune, a amenințărilor, a vulnerabilităților și a altor riscuri asociate lanțului de aprovizionare și ar trebui să exploreze modalități de a încuraja adoptarea lor pe scară mai largă de către entități esențiale și entități importante. Printre factorii de risc potențiali fără caracter tehnic, cum ar fi influența nejustificată a unei țări terțe asupra furnizorilor și a prestatorilor de servicii, în special în cazul modelelor alternative de guvernanță, se numără vulnerabilitățile ascunse sau „ușile secrete” și eventualele întreruperi sistemice ale aprovizionării, în special în cazul blocajelor tehnologice sau al dependenței de furnizori.

(91)

Evaluările coordonate ale riscurilor de securitate din cadrul lanțurilor de aprovizionare critice, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată de UE a riscurilor legate de securitatea cibernetică a rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor de securitate, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și entitățile importante utilizează și se bazează pe servicii TIC, sisteme TIC sau produse TIC critice specifice; (ii) relevanța serviciilor TIC, a sistemelor TIC sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii TIC, sisteme TIC sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii TIC, sisteme TIC sau produse TIC pe parcursul întregului lor ciclu de viață împotriva evenimentelor perturbatoare și (v) pentru serviciile TIC, sistemele TIC sau produsele TIC emergente, potențiala lor importanță viitoare pentru activitățile entităților. În plus, ar trebui să se pună un accent deosebit pe serviciile TIC, sistemele TIC sau produsele TIC care fac obiectul unor cerințe specifice impuse de țări terțe.

(92)

Pentru a raționaliza obligațiile impuse furnizorilor de rețele publice de comunicații electronice sau de servicii de comunicații electronice accesibile publicului și prestatorilor de servicii de încredere în ceea ce privește securitatea rețelelor și a sistemelor lor informatice, precum și pentru a permite acestor entități și autorităților competente în temeiul Directivei (UE) 2018/1972 a Parlamentului European și a Consiliului (20) și, respectiv, al Regulamentului (UE) nr. 910/2014 să beneficieze de cadrul juridic instituit prin prezenta directivă, inclusiv desemnarea unei echipe CSIRT responsabile de gestionarea incidentelor, participarea autorităților competente în cauză la activitățile Grupului de cooperare și ale rețelei CSIRT, entitățile respective ar trebui să intre în domeniul de aplicare al prezentei directive. Prin urmare, dispozițiile corespunzătoare prevăzute în Regulamentul (UE) nr. 910/2014 și în Directiva (UE) 2018/1972 referitoare la impunerea de cerințe de securitate și de notificare pentru aceste tipuri de entități ar trebui eliminate. Normele privind obligațiile de raportare prevăzute în prezenta directivă nu ar trebui să aducă atingere nici Regulamentului (UE) 2016/679, nici Directivei 2002/58/CE.

(93)

Obligațiile în materie de securitate cibernetică prevăzute în prezenta directivă ar trebui considerate a fi complementare cerințelor impuse prestatorilor de servicii de încredere în temeiul Regulamentului (UE) nr. 910/2014. Prestatorilor de servicii de încredere ar trebui să li se impună să ia toate măsurile adecvate și proporționale pentru a gestiona riscurile la care sunt expuse serviciile lor, inclusiv în ceea ce privește clienții și beneficiarii terți, și să raporteze incidentele în temeiul prezentei directive. Astfel de obligații în materie de securitate cibernetică și de raportare ar trebui să vizeze, de asemenea, protecția fizică a serviciilor prestate. Cerințele pentru prestatorii de servicii de încredere calificați prevăzute la articolul 24 din Regulamentul (UE) nr. 910/2014 continuă să se aplice.

(94)

Statele membre pot atribui rolul autorităților competente pentru serviciile de încredere organismelor de supraveghere în temeiul Regulamentului (UE) nr. 910/2014, pentru a asigura continuarea practicilor curente și pentru a valorifica cunoștințele și experiența dobândite odată cu aplicarea regulamentului respectiv. Într-un astfel de caz, autoritățile competente în temeiul prezentei directive ar trebui să coopereze îndeaproape și în timp util cu respectivele organisme de supraveghere prin schimburi de informații relevante, pentru a asigura supravegherea eficace și conformarea prestatorilor de servicii de încredere cu cerințele prevăzute în prezenta directivă și în Regulamentul (UE) nr. 910/2014. Dacă este cazul, echipa CSIRT sau autoritatea competentă în temeiul prezentei directive ar trebui să informeze imediat organismul de supraveghere în temeiul Regulamentului (UE) nr. 910/2014 cu privire la orice amenințare cibernetică semnificativă sau incident notificat care afectează serviciile de încredere, precum și cu privire la orice încălcare de către un prestator de servicii de încredere a prezentei directive. În scopul raportării, statele membre pot utiliza, după caz, punctul de intrare unic instituit pentru a realiza o raportare automată și comună a incidentelor atât către organismul de supraveghere în temeiul Regulamentului (UE) nr. 910/2014, cât și către echipa CSIRT sau autoritatea competentă în temeiul prezentei directive.

(95)

După caz și pentru a evita perturbările inutile, orientările naționale existente adoptate pentru transpunerea normelor referitoare la măsurile de securitate prevăzute la articolele 40 și 41 din Directiva (UE) 2018/1972 ar trebui să fie luate în considerare la transpunerea prezentei directive, valorificând astfel cunoștințele și competențele deja dobândite în temeiul Directivei (UE) 2018/1972 privind măsurile de securitate și notificarea incidentelor. ENISA poate, de asemenea, să elaboreze orientări privind cerințele în materie de securitate și obligațiile de raportare pentru furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice accesibile publicului, pentru a facilita armonizarea și tranziția și pentru a reduce la minimum perturbările. Statele membre pot atribui rolul de autorități competente pentru comunicațiile electronice autorităților de reglementare naționale în temeiul Directivei (UE) 2018/1972, pentru a asigura continuarea practicilor curente și pentru a valorifica cunoștințele și experiența dobândite ca rezultat al punerii în aplicare a respectivei directive.

(96)

Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, astfel cum sunt definite în Directiva (UE) 2018/1972, este necesar să se asigure că astfel de servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Pe măsură ce suprafața de atac continuă să se extindă, serviciile de comunicații interpersonale care nu se bazează pe numere, cum ar fi serviciile de mesagerie, devin vectori de atac larg răspândiți. Actorii răuvoitori utilizează platformele pentru a comunica și a atrage victimele să deschidă pagini web compromise, crescând așadar probabilitatea unor incidente care implică exploatarea datelor cu caracter personal și, prin extensie, securitatea rețelelor și a sistemelor informatice. Furnizorii serviciilor de comunicații interpersonale care nu se bazează pe numere ar trebui să asigure un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscurilor prezentate. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale, astfel cum sunt definite în Directiva (UE) 2018/1972, care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului.

(97)

Piața internă depinde mai mult decât oricând de funcționarea internetului. Serviciile ale aproape tuturor entităților esențiale și entităților importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și entități importante, este important ca toți furnizorii de rețele publice de comunicații electronice să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele semnificative legate de aceasta. Statele membre ar trebui să se asigure că securitatea rețelelor publice de comunicații electronice este menținută și că interesele lor vitale de securitate sunt protejate împotriva sabotajului și a spionajului. Întrucât conectivitatea internațională consolidează și accelerează digitalizarea competitivă a Uniunii și a economiei sale, incidentele care afectează cablurile de comunicații submarine ar trebui raportate echipei CSIRT sau, după caz, autorității competente. Strategia națională de securitate cibernetică ar trebui, după caz, să țină seama de securitatea cibernetică a cablurilor de comunicații submarine și să includă o inventariere a riscurilor potențiale în materie de securitate cibernetică și măsuri de atenuare pentru a asigura cel mai înalt nivel de protecție a acestora.

(98)

Pentru a se garanta securitatea rețelelor publice de comunicații electronice și a serviciilor de comunicații electronice accesibile publicului, ar trebui promovată utilizarea tehnologiilor de criptare, în special a criptării de la un capăt la altul, și a conceptelor de securitate centrate pe date, cum ar fi cartografierea, segmentarea, etichetarea, politica de acces și gestionarea accesului, precum și deciziile privind accesul automat. Atunci când este necesar, utilizarea criptării, în special a criptării de la un capăt la altul, ar trebui să fie obligatorie pentru furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice accesibile publicului, în conformitate cu principiile securității și confidențialității implicite și din momentul conceperii, în sensul prezentei directive. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Acest lucru nu ar trebui însă să slăbească criptarea de la un capăt la altul, care este o tehnologie esențială pentru protecția eficace a datelor și a confidențialității și pentru securitatea comunicațiilor.

(99)

Pentru a proteja securitatea și a preveni abuzul și manipularea rețelelor publice de comunicații electronice și ale serviciilor de comunicații electronice accesibile publicului, ar trebui promovată utilizarea unor standarde de rutare sigure pentru a asigura integritatea și robustețea funcțiilor de rutare în întregul ecosistem al furnizorilor de servicii de acces la internet.

(100)

Pentru a proteja funcționalitatea și integritatea internetului și pentru a promova securitatea și reziliența DNS, părțile interesate relevante, inclusiv entitățile din sectorul privat din Uniune, furnizorii de servicii de comunicații electronice accesibile publicului, în special furnizorii de servicii de acces la internet, și furnizorii de motoare de căutare online, ar trebui încurajate să adopte o strategie de diversificare a rezoluției DNS. În plus, statele membre ar trebui să încurajeze dezvoltarea și utilizarea unui serviciu european public și sigur de rezoluție a DNS.

(101)

Prezenta directivă stabilește o abordare în mai multe etape a raportării incidentelor semnificative pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor semnificative și le permite entităților esențiale și entităților importante să solicite asistență și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența cibernetică a entităților individuale și a unor sectoare întregi. În acest sens, prezenta directivă ar trebui să includă raportarea incidentelor care, pe baza unei evaluări inițiale efectuate de entitatea în cauză, ar putea cauza entității respective perturbări operaționale ale serviciilor sau pierderi financiare substanțiale sau ar putea afecta alte persoane fizice sau juridice, provocând prejudicii materiale sau morale considerabile. O astfel de evaluare inițială ar trebui să ia în considerare, printre altele, rețeaua și sistemele informatice afectate, în special importanța acestora în furnizarea serviciilor entității, gravitatea și caracteristicile tehnice ale unei amenințări cibernetice și orice vulnerabilitate subiacentă care este exploatată, precum și experiența entității în ceea ce privește incidente similare. Indicatori precum măsura în care funcționarea serviciului este afectată, durata unui incident sau numărul de destinatari afectați ai serviciilor ar putea juca un rol important în identificarea gravității perturbării operaționale a serviciului.

(102)

Dacă entitățile esențiale sau entitățile importante iau cunoștință de un incident semnificativ, acestea ar trebui să aibă obligația de a transmite o alertă timpurie fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore. Această alertă timpurie ar trebui să fie urmată de o notificare a incidentului. Entitățile în cauză ar trebui să transmită o notificare a incidentului fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore din momentul în care au luat cunoștință de incidentul semnificativ, cu scopul, în special, de a actualiza informațiile transmise prin alerta timpurie și de a prezenta o evaluare inițială a incidentului semnificativ, inclusiv a gravității și a impactului acestuia, precum și a indicatorilor de compromitere, dacă sunt disponibili. Un raport final ar trebui prezentat în termen de cel mult o lună de la notificarea incidentului. Alerta timpurie ar trebui să includă numai informațiile necesare pentru a aduce la cunoștința echipei CSIRT sau, după caz, a autorității competente incidentul semnificativ și pentru a permite entității în cauză să solicite asistență, dacă este necesar. O astfel de alertă timpurie, după caz, ar trebui să indice dacă se suspectează că incidentul semnificativ a fost cauzat de acte ilegale sau răuvoitoare și dacă este probabil să aibă un impact transfrontalier. Statele membre ar trebui să se asigure că obligația de a transmite respectiva alertă timpurie sau notificarea ulterioară a incidentului nu deviază resursele entității notificatoare de la activitățile legate de gestionarea incidentelor cărora ar trebui să li se acorde prioritate, pentru a preîntâmpina ca obligațiile de raportare a incidentului fie să devieze resurse de la gestionarea răspunsului la incidente semnificative, fie să compromită în alt mod eforturile entității în acest sens. În cazul unui incident în desfășurare la momentul prezentării raportului final, statele membre ar trebui să se asigure că entitățile în cauză prezintă la momentul respectiv un raport privind progresele înregistrate și un raport final în termen de o lună de la gestionarea incidentului semnificativ.

(103)

După caz, entitățile esențiale și entitățile importante ar trebui să comunice fără întârziere destinatarilor serviciilor lor orice măsură sau măsură corectivă pe care o pot lua pentru a atenua riscurile generate de o amenințare cibernetică semnificativă. Entitățile respective ar trebui, după caz și în special dacă este probabil ca amenințarea cibernetică semnificativă să se materializeze, să își informeze, de asemenea, destinatarii serviciilor cu privire la amenințarea în sine. Cerința de a informa destinatarii cu privire la amenințările cibernetice semnificative ar trebui îndeplinită cu maxima diligență posibilă, dar nu ar trebui să scutească entitățile respective de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice astfel de amenințare și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările cibernetice semnificative la adresa securității destinatarilor serviciilor ar trebui să fie gratuită și informațiile ar trebui să fie redactate într-un limbaj ușor de înțeles.

(104)

Furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să pună în aplicare securitatea din momentul conceperii și securitatea implicită și să își informeze destinatarii serviciilor cu privire la amenințările cibernetice semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea dispozitivelor și a comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare.

(105)

O abordare proactivă a amenințărilor cibernetice este o componentă vitală a măsurilor de gestionare a riscurilor în materie de securitate cibernetică, care ar trebui să permită autorităților competente să prevină în mod eficace materializarea amenințărilor cibernetice în incidente care pot cauza prejudicii materiale sau morale considerabile. În acest scop, notificarea amenințărilor cibernetice prezintă o importanță majoră. În acest sens, entitățile sunt încurajate să raporteze în mod voluntar amenințările cibernetice.

(106)

Pentru a simplifica raportarea informațiilor solicitate în temeiul prezentei directive, precum și pentru a reduce sarcina administrativă pentru entități, statele membre ar trebui să pună la dispoziție mijloace tehnice, cum ar fi un punct de intrare unic, sisteme automatizate, formulare online, interfețe ușor de utilizat, modele, platforme specifice pentru utilizarea de către entități, indiferent dacă intră în domeniul de aplicare al prezentei directive sau nu, pentru transmiterea informațiilor relevante care trebuie raportate. Finanțarea din partea Uniunii în sprijinul punerii în aplicare a prezentei directive, în special în cadrul programului Europa digitală instituit prin Regulamentul (UE) 2021/694 al Parlamentului European și al Consiliului (21), ar putea include sprijin pentru punctele de intrare unice. În plus, entitățile se află adesea într-o situație în care, din cauza caracteristicilor sale, un anumit incident trebuie raportat mai multor autorități ca urmare a obligațiilor de notificare incluse în diferite instrumente juridice. Astfel de cazuri creează o sarcină administrativă suplimentară și ar putea conduce, de asemenea, la incertitudini în ceea ce privește formatul unor asemenea notificări și procedurile aferente acestora. În cazul în care se instituie un punct de intrare unic, statele membre sunt încurajate, de asemenea, să utilizeze respectivul punct de intrare unic pentru notificarea incidentelor de securitate solicitată în temeiul altor acte legislative ale Uniunii, cum ar fi Regulamentul (UE) 2016/679 și Directiva 2002/58/CE. Utilizarea unui astfel de punct de intrare unic pentru raportarea incidentelor de securitate în temeiul Regulamentului (UE) 2016/679 și al Directivei 2002/58/CE nu ar trebui să afecteze aplicarea dispozițiilor Regulamentului (UE) 2016/679 și ale Directivei 2002/58/CE, în special a celor referitoare la independența autorităților menționate în acestea. ENISA, în cooperare cu Grupul de cooperare, ar trebui să elaboreze modele comune de notificare prin intermediul unor orientări pentru a simplifica și a raționaliza informațiile care trebuie raportate în temeiul dreptului Uniunii și a reduce sarcina administrativă impusă entităților notificatoare.

(107)

Atunci când există suspiciuni că un incident ar fi legat de activități infracționale grave în temeiul dreptului Uniunii sau al dreptului intern, statele membre ar trebui să încurajeze entitățile esențiale și entitățile importante, pe baza normelor aplicabile în materie de proceduri penale în conformitate cu dreptul Uniunii, să raporteze autorităților de aplicare a legii incidentele despre care există suspiciuni că ar avea un caracter infracțional grav. După caz și fără a aduce atingere normelor de protecție a datelor cu caracter personal aplicabile Europol, este de dorit ca procesul de coordonare dintre autoritățile competente și autoritățile de aplicare a legii din diferite state membre să fie facilitat de Centrul european de combatere a criminalității informatice (EC3) și de ENISA.

(108)

În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. În acest context, autoritățile competente ar trebui să coopereze și să facă schimb de informații cu privire la toate aspectele relevante cu autoritățile menționate în Regulamentul (UE) 2016/679 și Directiva 2002/58/CE.

(109)

Menținerea unor baze de date exacte și complete conținând datele de înregistrare a numelor de domenii (date WHOIS) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în întreaga Uniune. În acest scop specific, registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să aibă obligația de a prelucra anumite date necesare pentru atingerea acestui scop. O astfel de prelucrare ar trebui să constituie o obligație legală în sensul articolului 6 alineatul (1) litera (c) din Regulamentul (UE) 2016/679. Respectiva obligație nu aduce atingere posibilității de a colecta date privind înregistrarea numelor de domenii în alte scopuri, de exemplu pe baza unor dispoziții contractuale sau a unor cerințe juridice stabilite în alte acte legislative ale Uniunii sau naționale. Obligația respectivă vizează realizarea unui set complet și exact de date de înregistrare și nu ar trebui să conducă la colectarea acelorași date de mai multe ori. Registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să coopereze pentru a evita duplicarea acestei sarcini.

(110)

Disponibilitatea și accesibilitatea în timp util a datelor de înregistrare a numelor de domenii pentru solicitanții legitimi de acces sunt esențiale pentru prevenirea și combaterea utilizării abuzive a DNS, precum și pentru prevenirea și detectarea incidentelor și răspunsul la acestea. Prin solicitanți legitimi de acces se înțelege orice persoană fizică sau juridică care formulează o cerere în temeiul dreptului Uniunii sau al dreptului intern. Printre acestea se pot număra autoritățile competente în temeiul prezentei directive și cele care sunt competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor, precum și CERT sau echipele CSIRT. Registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să aibă obligația de a permite accesul legal al solicitanților legitimi de acces la date specifice de înregistrare a numelor de domenii, care sunt necesare în scopul cererii de acces, în conformitate cu dreptul Uniunii și cu dreptul intern. Cererea solicitanților legitimi de acces ar trebui să fie însoțită de o expunere de motive care să permită evaluarea necesității accesului la date.

(111)

Pentru a asigura disponibilitatea unor date exacte și complete de înregistrare a numelor de domeniu, registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să colecteze și să garanteze integritatea și disponibilitatea datelor de înregistrare a numelor de domenii. În special, registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru colectarea și păstrarea unor date de înregistrare a numelor de domenii exacte și complete, precum și pentru prevenirea și corectarea datelor de înregistrare inexacte, în conformitate cu dreptul Uniunii privind protecția datelor. Respectivele politici și proceduri ar trebui să țină seama, în măsura posibilului, de standardele elaborate de structurile de guvernanță multipartite la nivel internațional. Registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să adopte și să pună în aplicare proceduri proporționale pentru a verifica datele de înregistrare a numelor de domenii. Aceste proceduri ar trebui să reflecte cele mai bune practici utilizate în domeniu și, în măsura posibilului, progresele înregistrate în domeniul identificării electronice. Printre exemplele de proceduri de verificare se pot număra controalele ex ante efectuate în momentul înregistrării și controalele ex post efectuate după înregistrare. Registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui, în special, să verifice cel puțin un mijloc de contact al solicitantului înregistrării.

(112)

Registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să aibă obligația de a pune la dispoziția publicului datele de înregistrare a numelor de domenii care nu intră în domeniul de aplicare al dreptului Uniunii privind protecția datelor, cum ar fi datele care se referă la persoanele juridice, în conformitate cu preambulul Regulamentului (UE) 2016/679. Pentru persoanele juridice, registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului cel puțin numele solicitantului înregistrării și numărul de telefon de contact. Adresa de e-mail de contact ar trebui, de asemenea, publicată, cu condiția să nu conțină date cu caracter personal cum ar fi în cazul pseudonimelor de e-mail sau al conturilor funcționale. Registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui, de asemenea, să le permită solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii privind persoanele fizice. Statele membre ar trebui să solicite registrelor de nume TLD și entităților care furnizează servicii de înregistrare a numelor de domenii să răspundă fără întârzieri nejustificate solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele de nume TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Respectivele politici și proceduri ar trebui să țină seama, în măsura posibilului, de orice orientări și standarde elaborate de structurile de guvernanță multipartite la nivel internațional. Procedura de acces ar putea include, de asemenea, utilizarea unei interfețe, a unui portal sau a unui alt instrument tehnic, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate, fără a aduce atingere competențelor Comitetului european pentru protecția datelor, să ofere orientări cu privire la astfel de proceduri, care să țină seama, în măsura posibilului, de standardele elaborate de structurile de guvernanță multipartite la nivel internațional. Statele membre ar trebui să se asigure că toate tipurile de acces la datele de înregistrare a numelor de domenii cu caracter personal și fără caracter personal sunt gratuite.

(113)

Entitățile care intră în domeniul de aplicare al prezentei directive ar trebui considerate ca fiind sub jurisdicția statului membru în care sunt stabilite. Totuși, ar trebui să se considere că furnizorii de rețele publice de comunicații electronice sau furnizorii de servicii de comunicații electronice accesibile publicului intră sub jurisdicția statului membru în care își prestează serviciile. Ar trebui să se considere că furnizorii de servicii DNS, registrele de nume TLD, entitățile care furnizează servicii de înregistrare a numelor de domenii, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, precum și furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea se află sub jurisdicția statului membru în care își au sediul principal în Uniune. Entitățile administrației publice ar trebui să intre sub jurisdicția statului membru care le-a instituit. În cazul în care entitatea furnizează servicii sau își are sediul în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre respectivele state membre. Autoritățile competente din respectivele state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere. În cazul în care statele membre își exercită jurisdicția, acestea nu ar trebui să aplice măsuri de asigurare a respectării legii sau sancțiuni de mai multe ori pentru același comportament, în conformitate cu principiul ne bis in idem.

(114)

Pentru a ține seama de caracterul transfrontalier al serviciilor și operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale entităților care furnizează servicii de înregistrare a numelor de domenii, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date, ale furnizorilor de rețele de furnizare de conținut, ale furnizorilor de servicii gestionate, ale furnizorilor de servicii de securitate gestionate, precum și ale furnizorilor de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, doar un stat membru ar trebui să aibă jurisdicție asupra entităților respective. Jurisdicția ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor forme de instalare stabilă. Forma juridică a unor astfel de instalări stabile, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, acestea nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui considerat a fi în statul membru în care sunt luate în mod predominant deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Acesta va corespunde, de regulă, locului în care se află administrația centrală a entităților din Uniune. Dacă un astfel de stat membru nu poate fi stabilit sau dacă astfel de decizii nu sunt luate în Uniune, sediul principal ar trebui considerat a fi în statul membru în care se desfășoară operațiunile de securitate cibernetică. Dacă un astfel de stat membru nu poate fi determinat, ar trebui să se considere că sediul principal se află în statul membru în care entitatea are sediul cu cel mai mare număr de angajați din Uniune. Dacă serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi.

(115)

Dacă un serviciu DNS recurent accesibil publicului este furnizat de un furnizor de rețele publice de comunicații electronice sau de servicii de comunicații electronice accesibile publicului numai ca parte a serviciului de acces la internet, entitatea ar trebui să fie considerată a se afla sub jurisdicția tuturor statelor membre în care sunt furnizate serviciile sale.

(116)

În cazul în care un furnizor de servicii DNS, un registru de nume TLD, o entitate care furnizează servicii de înregistrare a numelor de domenii, un furnizor de servicii de cloud computing, un furnizor de servicii de centru de date, un furnizor de rețele de furnizare de conținut, un furnizor de servicii gestionate, un furnizor de servicii de securitate gestionate sau un furnizor al unei piețe online, al unui motor de căutare online sau al unei platforme de servicii de socializare în rețea, care nu este stabilit în Uniune, oferă servicii în Uniune, acesta ar trebui să desemneze un reprezentant în Uniune. Pentru a determina dacă o astfel de entitate oferă servicii în cadrul Uniunii, ar trebui să se determine dacă entitatea intenționează să ofere servicii persoanelor din unul sau mai multe state membre. Simpla accesibilitate în Uniune a unui site al entității sau al unui intermediar ori disponibilitatea unei adrese de e-mail sau a altor date de contact sau utilizarea unei limbi folosite în general în țara terță în care este stabilită entitatea ar trebui să fie considerate insuficiente pentru a se confirma o astfel de intenție. Cu toate acestea, factori precum utilizarea unei limbi sau a unei monede utilizate în general în unul sau mai multe state membre cu posibilitatea de a comanda servicii în respectiva limbă ori menționarea unor clienți sau utilizatori din Uniune ar putea conduce la concluzia că entitatea intenționează să ofere servicii în Uniune. Reprezentantul ar trebui să acționeze în numele entității, iar autoritățile competente sau echipele CSIRT ar trebui să se poată adresa reprezentantului. Reprezentantul ar trebui să fie desemnat explicit printr-un mandat scris al entității pentru a acționa în numele acesteia în privința obligațiilor acesteia prevăzute în prezenta directivă, inclusiv în privința raportării incidentelor.

(117)

Pentru a asigura o imagine de ansamblu clară asupra furnizorilor de servicii DNS, a registrelor de nume TLD, a entităților care furnizează servicii de înregistrare a numelor de domenii, a furnizorilor de servicii de cloud computing, a furnizorilor de servicii de centre de date, a furnizorilor de rețele de furnizare de conținut, a furnizorilor de servicii gestionate, a furnizorilor de servicii de securitate gestionate, precum și a furnizorilor de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, care furnizează servicii care intră în domeniul de aplicare al prezentei directive în întreaga Uniune, ENISA ar trebui să creeze și să mențină un registru al acestor entități, pe baza informațiilor primite de statele membre, dacă este cazul prin intermediul mecanismelor naționale instituite pentru ca entitățile să se poată înregistra. Punctele unice de contact ar trebui să înainteze către ENISA informațiile și orice modificare a acestora. Pentru a asigura acuratețea și exhaustivitatea informațiilor care urmează să fie incluse în acest registru, statele membre pot să transmită către ENISA informațiile disponibile în orice registru național cu privire la aceste entități. ENISA și statele membre ar trebui să ia măsuri pentru a facilita interoperabilitatea acestor registre, asigurând, în același timp, protecția informațiilor confidențiale sau clasificate. ENISA ar trebui să instituie protocoale adecvate de clasificare și gestionare a informațiilor pentru a asigura securitatea și confidențialitatea informațiilor divulgate și ar trebui să restricționeze accesul la informațiile respective, stocarea și transmiterea acestora către utilizatorii vizați.

(118)

În cazul în care se face schimb de informații care sunt clasificate în conformitate cu dreptul Uniunii sau cu dreptul național ori astfel de informații sunt raportate sau partajate în alt mod în temeiul prezentei directive, ar trebui să se aplice normele corespunzătoare privind tratarea informațiilor clasificate. În plus, ENISA ar trebui să dispună de infrastructura, procedurile și normele în vigoare pentru a trata informațiile sensibile și clasificate în conformitate cu normele de securitate aplicabile pentru protecția informațiilor clasificate ale UE.

(119)

Amenințările cibernetice devenind tot mai complexe și mai sofisticate, eficacitatea măsurilor de detectare a unor astfel de amenințări și prevenirea lor depinde în mare măsură de schimbul regulat de informații privind amenințările și vulnerabilitățile care are loc între entități. Schimbul de informații contribuie la creșterea gradului de sensibilizare cu privire la amenințările cibernetice, ceea ce, la rândul său, consolidează capacitatea entităților de a preveni materializarea unor astfel de amenințări în incidente și le permite entităților să controleze mai bine efectele incidentelor și să se redreseze mai eficient. În absența unor orientări la nivelul Uniunii, diverși factori par să fi împiedicat un astfel de schimb de informații, în special incertitudinea cu privire la compatibilitatea cu normele în materie de concurență și răspundere.

(120)

Entitățile ar trebui încurajate și asistate de statele membre să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de a preveni, a detecta, a furniza un răspuns în mod adecvat la incidente și de a se redresa în urma acestora sau de a diminua impactul lor. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor acorduri privind schimbul voluntar de informații în materie de securitate cibernetică. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ entitățile, precum cele care furnizează servicii de securitate cibernetică și de cercetare, precum și cele relevante care nu intră în domeniul de aplicare al prezentei directive, să participe la astfel de acorduri privind schimbul de informații în materie de securitate cibernetică. Aceste mecanisme ar trebui să fie stabilite în conformitate cu normele Uniunii în materie de concurență și cu dreptul Uniunii în materie de protecție a datelor.

(121)

Prelucrarea datelor cu caracter personal, în măsura necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entități esențiale și entitățile importante, ar putea fi considerată legală pe baza faptului că o astfel de prelucrare respectă o obligație legală care îi revine operatorului, în conformitate cu cerințele de la articolul 6 alineatul (1) litera (c) și de la articolul 6 alineatul (3) din Regulamentul (UE) 2016/679. Prelucrarea datelor cu caracter personal ar putea fi, de asemenea, necesară pentru interesele legitime urmărite de entitățile esențiale și entitățile importante, precum și de furnizorii de tehnologii și servicii de securitate care acționează în numele acestor entități, în temeiul articolului 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679, inclusiv în cazul în care o astfel de prelucrare este necesară pentru acordurile privind schimbul de informații în materie de securitate cibernetică sau pentru notificarea voluntară a informațiilor relevante în conformitate cu prezenta directivă. Măsuri legate de prevenirea, detectarea, identificarea, limitarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate a vulnerabilității, schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromitere, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare ar putea necesita prelucrarea anumitor categorii de date cu caracter personal, cum ar fi adrese IP, localizatoare uniforme de resurse (URL), nume de domenii, adrese de e-mail și, în cazul în care acestea dezvăluie date cu caracter personal, marcaje temporale. Prelucrarea datelor cu caracter personal de către autoritățile competente, punctele unice de contact și echipele CSIRT ar putea constitui o obligație legală sau ar putea fi considerată necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice cu care este învestit operatorul de date în temeiul articolului 6 alineatul (1) litera (c) sau (e) și al articolului 6 alineatul (3) din Regulamentul (UE) 2016/679 sau pentru urmărirea unui interes legitim al entităților esențiale și al entităților importante, astfel cum se menționează la articolul 6 alineatul (1) litera (f) din respectivul regulament. În plus, dreptul național ar putea stabili norme care să permită autorităților competente, punctelor unice de contact și echipelor CSIRT, în măsura în care acest lucru este necesar și proporțional pentru a asigura securitatea rețelelor și a sistemelor informatice ale entităților esențiale și ale entităților importante, să prelucreze categorii speciale de date cu caracter personal în conformitate cu articolul 9 din Regulamentul (UE) 2016/679, în special prin prevederea unor măsuri adecvate și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanelor fizice, inclusiv limitări tehnice privind reutilizarea acestor date și utilizarea unor măsuri de ultimă generație de securitate și de protejare a confidențialității, cum ar fi pseudonimizarea sau criptarea, în cazul în care anonimizarea poate afecta în mod semnificativ scopul urmărit.

(122)

Pentru a consolida competențele și măsurile de supraveghere care contribuie la asigurarea respectării efective, prezenta directivă ar trebui să prevadă o listă minimă de acțiuni și măsuri de supraveghere prin care autoritățile competente pot supraveghea entitățile esențiale și entitățile importante. În plus, prezenta directivă ar trebui să stabilească o diferențiere între regimul de supraveghere al entităților esențiale și cel al entităților importante, în vederea asigurării unui echilibru echitabil al obligațiilor pentru entitățile respective și pentru autoritățile competente. Prin urmare, entitățile esențiale ar trebui să fie supuse unui regim de supraveghere ex ante și ex post cuprinzător, în timp ce entitățile importante ar trebui să fie supuse unui regim de supraveghere simplificat, doar ex post. Entitățile importante nu ar trebui, așadar, să aibă obligația să documenteze în mod sistematic respectarea măsurilor de gestionare a riscurilor în materie de securitate cibernetică, în timp ce autoritățile competente ar trebui să pună în aplicare o abordare reactivă ex post a supravegherii și, prin urmare, să nu aibă o obligație generală de a supraveghea entitățile respective. Supravegherea ex post a entităților importante poate fi declanșată de dovezi, indicii sau informații aduse la cunoștința autorităților competente, cu privire la care aceste autorități consideră că sugerează potențiale încălcări ale prezentei directive. De exemplu, astfel de dovezi, indicii sau informații ar putea fi de tipul celor furnizate autorităților competente de către alte autorități, de entități, cetățeni, mass-media sau alte surse, sau informații aflate la dispoziția publicului, sau ar putea rezulta din alte activități desfășurate de autoritățile competente în îndeplinirea sarcinilor lor.

(123)

Executarea sarcinilor de supraveghere de către autoritățile competente nu ar trebui să împiedice în mod inutil activitățile comerciale ale entității în cauză. În cazul în care autoritățile competente își îndeplinesc sarcinile de supraveghere în legătură cu entitățile esențiale, inclusiv efectuarea de inspecții la fața locului și supravegherea ex situ, investigarea încălcărilor prezentei directive și efectuarea de audituri de securitate sau scanări de securitate, ar trebui să reducă la minimum impactul asupra activităților economice ale entității în cauză.

(124)

În exercitarea supravegherii ex ante, autoritățile competente ar trebui să fie în măsură să decidă cu privire la ierarhizarea utilizării măsurilor și mijloacelor de supraveghere de care dispun, în mod proporțional. Acest lucru implică faptul că autoritățile competente pot decide cu privire la o astfel de ierarhizare a priorităților pe baza metodologiilor de supraveghere care ar trebui să urmeze o abordare bazată pe riscuri. Mai precis, astfel de metodologii ar putea include criterii sau valori de referință pentru clasificarea entităților esențiale în categorii de risc, alături de măsuri de supraveghere corespunzătoare și mijloace recomandate pentru fiecare categorie de risc, cum ar fi utilizarea, frecvența sau tipul inspecțiilor la fața locului, al auditurilor de securitate specifice sau al scanărilor de securitate, tipul de informații care trebuie solicitate și nivelul de detaliere al informațiilor respective. Astfel de metodologii de supraveghere ar putea fi, de asemenea, însoțite de programe de lucru și pot fi evaluate și revizuite periodic, inclusiv cu privire la aspecte precum alocarea resurselor și nevoile. În ceea ce privește entitățile administrației publice, competențele de supraveghere ar trebui exercitate în conformitate cu cadrele legislative și instituționale naționale.

(125)

Autoritățile competente ar trebui să se asigure că sarcinile lor de supraveghere în legătură cu entitățile esențiale și entitățile importante sunt îndeplinite de profesioniști cu formare în domeniu, care să dețină competențele necesare pentru a îndeplini sarcinile respective, în special în ceea ce privește efectuarea de inspecții la fața locului și supravegherea ex situ, inclusiv identificarea deficiențelor din bazele de date, de hardware, firewall-uri, de criptare și de rețele. Inspecțiile respective și supravegherea respectivă ar trebui să se desfășoare într-un mod obiectiv.

(126)

În cazuri justificate în mod corespunzător în care are cunoștință de o amenințare cibernetică semnificativă sau de un risc iminent, autoritatea competentă ar trebui să fie în măsură să ia decizii imediate de executare cu scopul de a preveni un incident sau de a răspunde la acesta.

(127)

Pentru ca asigurarea respectării legii să fie eficace, ar trebui stabilită o listă minimă de competențe de asigurare a respectării legii care pot fi exercitate pentru încălcarea măsurilor de gestionare a riscurilor de securitate cibernetică și a obligațiilor de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru asigurarea respectării legii în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării prezentei directive, de prejudiciile materiale sau morale cauzate, de caracterul intenționat al încălcării sau de comiterea din neglijență a încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul material sau moral, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Măsurile de asigurare a respectării legii, inclusiv amenzile administrative, ar trebui să fie proporționale, iar aplicarea lor ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), inclusiv dreptul la o cale de atac eficientă și la un proces echitabil, prezumția de nevinovăție și dreptul la apărare.

(128)

Prezenta directivă nu impune statelor membre să prevadă răspunderea penală sau civilă a persoanelor fizice care au responsabilitatea de a se asigura că o entitate respectă prezenta directivă pentru prejudiciile suferite de terți ca urmare a încălcării prezentei directive.

(129)

Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezenta directivă, fiecare autoritate competentă ar trebui să aibă competența de a aplica sau de a solicita aplicarea de amenzi administrative.

(130)

În cazul în care o amendă administrativă este aplicată unei entități esențiale sau unei entități importante care este o întreprindere, întreprinderea ar trebui înțeleasă ca fiind o întreprindere în conformitate cu articolele 101 și 102 din TFUE în aceste scopuri. În cazul în care o amendă administrativă se aplică unei persoane care nu este o întreprindere, autoritatea competentă ar trebui să țină seama de nivelul general al veniturilor din statul membru respectiv, precum și de situația economică a persoanei atunci când estimează cuantumul adecvat al amenzii. Competența de a stabili dacă și în ce măsură autorităților publice ar trebui să li se poată aplica amenzi administrative ar trebui să revină statelor membre. Aplicarea unei amenzi administrative nu aduce atingere exercitării altor competențe de către autoritățile competente sau aplicarea altor sancțiuni prevăzute în normele naționale de transpunere a prezentei directive.

(131)

Statele membre ar trebui să poată stabili norme privind sancțiunile penale pentru încălcarea normelor naționale de transpunere a prezentei directive. Cu toate acestea, aplicarea de sancțiuni penale pentru încălcări ale unor asemenea norme de drept intern și de sancțiuni administrative conexe nu ar trebui să ducă la încălcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justiție a Uniunii Europene.

(132)

În cazul în care prezenta directivă nu armonizează sancțiunile administrative sau în alte cazuri, acolo unde este necesar, de exemplu în cazul unei încălcări grave a prezentei directive, statele membre ar trebui să pună în aplicare un sistem care să prevadă sancțiuni efective, proporționale și cu efect de descurajare. Natura unor astfel de sancțiuni și caracterul lor penal sau administrativ ar trebui stabilite de dreptul intern.

(133)

Pentru a consolida și mai mult eficacitatea și efectul de descurajare al măsurilor de asigurare a respectării legii aplicabile în cazul încălcării prezentei directive, autoritățile competente ar trebui să fie împuternicite să suspende temporar sau să solicite suspendarea temporară a unei certificări sau a unei autorizații privind o parte din serviciile relevante furnizate de o entitate esențială sau privind ansamblul acestor servicii și să ceară impunerea unei interdicții temporare de a exercita funcții de conducere de către orice persoană fizică la nivel de director executiv sau de reprezentant legal. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra utilizatorilor, aceste suspendări sau interdicții temporare ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele fiecărui caz individual, inclusiv de caracterul intenționat al încălcării sau de comiterea din neglijență a încălcării și de orice măsuri luate pentru a preveni sau a atenua prejudiciul material sau moral. Astfel de suspendări sau interdicții temporare ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legii prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste suspendări sau interdicții temporare. Impunerea unor astfel de suspendări sau interdicții temporare ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu carta, inclusiv dreptul la o cale de atac eficientă și la un proces echitabil, prezumția de nevinovăție și dreptul la apărare.

(134)

Pentru a asigura respectarea de către entități a obligațiilor lor prevăzute în prezenta directivă, statele membre ar trebui să coopereze și să își acorde asistență reciprocă în ceea ce privește măsurile de supraveghere și de asigurare a respectării legii, în special dacă o entitate furnizează servicii în mai multe state membre sau dacă rețelele și sistemele sale informatice sunt situate într-un alt stat membru decât cel în care furnizează servicii. Atunci când acordă asistență, autoritatea competentă căreia i se adresează solicitarea ar trebui să ia măsuri de supraveghere sau de asigurare a respectării legii în conformitate cu dreptul intern. Pentru a asigura buna funcționare a asistenței reciproce în temeiul prezentei directive, autoritățile competente ar trebui să utilizeze Grupul de cooperare ca forum pentru discutarea cazurilor și a cererilor specifice de asistență.

(135)

Pentru a asigura eficacitatea supravegherii și a asigurării respectării legii, îndeosebi într-o situație cu o dimensiune transfrontalieră, un stat membru care a primit o cerere de asistență reciprocă ar trebui ca, în limitele cererii respective, să ia măsuri adecvate de supraveghere și de asigurare a respectării legii în legătură cu entitatea care face obiectul cererii respective și care furnizează servicii sau deține o rețea și un sistem informatic pe teritoriul statului membru respectiv.

(136)

Prezenta directivă ar trebui să stabilească norme de cooperare între autoritățile competente și autoritățile de supraveghere în conformitate cu Regulamentul (UE) 2016/679 pentru tratarea cazurilor de încălcare a prezentei directive în materie de date cu caracter personal.

(137)

Prezenta directivă ar trebui să vizeze asigurarea unui nivel ridicat de responsabilitate pentru măsurile de gestionare a riscurilor în materie de securitate cibernetică și pentru obligațiile de raportare la nivelul entităților esențiale și al entităților importante. Din aceste motive, organele de conducere ale entităților esențiale și ale entităților importante ar trebui să aprobe măsurile privind riscurile în materie de securitate cibernetică și să supravegheze punerea lor în aplicare.

(138)

Pentru a asigura un nivel comun ridicat de securitate cibernetică în întreaga Uniune pe baza prezentei directive, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește completarea prezentei directive prin specificarea categoriilor de entități esențiale și entități importante care au obligația de a utiliza anumite produse TIC, servicii TIC și procese TIC certificate sau de a obține un certificat în cadrul unui sistem european de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (22). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(139)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentei directive, Comisiei ar trebui să i se confere competențe de executare pentru a stabili dispozițiile procedurale necesare pentru funcționarea Grupului de cooperare și cerințele tehnice și metodologice, precum și cerințele sectoriale referitoare la măsurile de gestionare a riscurilor în materie de securitate cibernetică, precum și pentru a specifica mai în detaliu tipul de informații, formatul și procedura de notificare a incidentelor, a amenințărilor cibernetice și a incidentelor evitate la limită și a comunicărilor de amenințări cibernetice semnificative, precum și cazurile în care un incident trebuie considerat semnificativ. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (23).

(140)

Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu părțile interesate, în special pentru a stabili dacă este adecvat să propună modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață. În cadrul acestor revizuiri, Comisia ar trebui să evalueze relevanța dimensiunii entităților vizate și a sectoarelor, a subsectoarelor și a tipurilor de entități menționate în anexele la prezenta directivă pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. Comisia ar trebui să evalueze, printre altele, dacă furnizorii care intră în domeniul de aplicare al prezentei directive și care sunt desemnați drept platforme online foarte mari în sensul articolului 33 din Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului (24) ar putea fi identificați ca entități esențiale în temeiul prezentei directive.

(141)

Prezenta directivă creează noi sarcini pentru ENISA, consolidând astfel rolul acesteia, și ar putea avea totodată drept rezultat o obligație a ENISA de a-și îndeplini sarcinile existente în temeiul Regulamentului (UE) 2019/881 la un nivel mai ridicat decât înainte. Pentru a se asigura că ENISA dispune de resursele financiare și umane necesare pentru a îndeplini sarcinile existente și cele noi, precum și pentru a îndeplini orice nivel mai ridicat de execuție a sarcinilor care rezultă din rolul său consolidat, bugetul său ar trebui majorat în consecință. În plus, pentru a asigura utilizarea eficientă a resurselor, ENISA ar trebui să beneficieze de o mai mare flexibilitate în ceea ce privește modul în care poate să aloce resurse la nivel intern pentru a-și îndeplini în mod eficace sarcinile și pentru a răspunde așteptărilor.

(142)

Întrucât obiectivul prezentei directive, și anume obținerea unui nivel comun ridicat de securitate cibernetică în Uniune, nu poate fi realizat în mod satisfăcător de către statele membre, dar, având în vedere efectele acțiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezenta directivă nu depășește ceea ce este necesar pentru realizarea obiectivului respectiv.

(143)

Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de cartă, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă și la un proces echitabil, prezumția de nevinovăție și dreptul la apărare. Dreptul la o cale de atac eficientă se extinde la beneficiarii serviciilor furnizate de entități esențiale și de entități importante. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate.

(144)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (25) și a emis un aviz la 11 martie 2021 (26),