La 17 iulie 2023, Comisia a decis să nu se opună concentrării notificate menționate mai sus și să o declare compatibilă cu piața internă. Prezenta decizie se bazează pe articolul 6 alineatul (1) litera (b) din Regulamentul (CE) nr. 139/2004 al Consiliului (1). Textul integral al deciziei este disponibil doar în limba engleză și va fi făcut public după ce vor fi eliminate orice secrete de afaceri pe care le-ar putea conține. Va fi disponibil:

—

pe site-ul internet al Direcției Generale Concurență din cadrul Comisiei, în secțiunea consacrată concentrărilor (https://competition-cases.ec.europa.eu/search). Acest site internet oferă diverse facilități care permit identificarea deciziilor de concentrare individuale, inclusiv întreprinderea, numărul cazului, data și indexurile sectoriale;

—	în format electronic, pe site-ul internet EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=ro), cu numărul de document 32023M11106. EUR-Lex permite accesul online la legislația europeană.

---

(1)   JO L 24, 29.1.2004, p. 1.

I.   INTRODUCERE

1.

În temeiul articolului 4 alineatul (3) din Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS 2) (1), Comisia oferă, până la 17 iulie 2023, orientări care clarifică aplicarea articolului 4 alineatele (1) și (2) din directiva respectivă.

2.

Prezentele orientări clarifică aplicarea dispozițiilor respective, care se referă la relația dintre Directiva (UE) 2022/2555 și actele juridice sectoriale actuale și viitoare ale Uniunii care abordează măsurile de gestionare a riscurilor în materie de securitate cibernetică sau cerințele de raportare a incidentelor. Apendicele la aceste orientări enumeră actele juridice sectoriale ale Uniunii pe care Comisia le consideră ca intrând în domeniul de aplicare al articolului 4 din Directiva (UE) 2022/2555. Faptul că un act nu este enumerat în anexa menționată nu înseamnă în mod necesar că acesta nu intră în domeniul de aplicare al dispoziției respective.

3.

În aplicarea articolului 4 alineatul (3) a treia teză din Directiva (UE) 2022/2555, Comisia a ținut seama de observațiile Grupului de cooperare NIS și ale Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) înainte de adoptarea prezentelor orientări.

4.

Prezentele orientări nu aduc atingere interpretării dreptului Uniunii de către Curtea de Justiție a Uniunii Europene.

II.   ECHIVALENȚA CERINȚELOR DE SECURITATE CIBERNETICĂ DIN ACTELE JURIDICE SECTORIALE ALE UNIUNII

5.

Articolul 4 alineatul (1) din Directiva (UE) 2022/2555 prevede că, în cazul în care actele juridice sectoriale ale Uniunii impun entităților esențiale sau entităților importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidentele semnificative, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în directiva respectivă, dispozițiile relevante ale Directivei (UE) 2022/2555, inclusiv dispozițiile privind supravegherea și asigurarea respectării legii prevăzute în capitolul VII al directivei respective, nu se aplică acestor entități. Dispoziția respectivă prevede, de asemenea, că în cazul în care actele juridice sectoriale ale Uniunii nu acoperă toate entitățile dintr-un anumit sector care intră în domeniul de aplicare al Directivei (UE) 2022/2555, dispozițiile relevante ale directivei respective se aplică în continuare entităților care nu fac obiectul respectivelor acte juridice sectoriale ale Uniunii.

II.1.   Cerințe de gestionare a riscurilor în materie de securitate cibernetică

6.

Articolul 4 alineatul (2) litera (a) din Directiva (UE) 2022/2555 prevede că măsurile de gestionare a riscurilor în materie de securitate cibernetică pe care entitățile esențiale sau importante trebuie să le adopte în temeiul unor acte juridice sectoriale ale Uniunii sunt considerate a fi echivalente ca efect cu obligațiile prevăzute în Directiva (UE) 2022/2555 în cazul în care măsurile respective au un efect cel puțin echivalent cu cele prevăzute la articolul 21 alineatele (1) și (2) din directiva respectivă. Atunci când se evaluează dacă cerințele dintr-un act juridic sectorial al Uniunii privind măsurile de gestionare a riscurilor în materie de securitate cibernetică au un efect cel puțin echivalent cu cele prevăzute la articolul 21 alineatele (1) și (2) din Directiva (UE) 2022/2555, cerințele din respectivul act juridic sectorial al Uniunii ar trebui, cel puțin, să corespundă cerințelor dispozițiilor respective sau să aibă un caracter mai amplu, ceea ce înseamnă că dispozițiile sectoriale pot fi mai detaliate pe fond decât dispozițiile corespunzătoare din Directiva (UE) 2022/2555.

7.

În temeiul articolului 21 alineatul (1) primul paragraf din Directiva (UE) 2022/2555, statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru operațiunile lor sau pentru furnizarea serviciilor lor. Măsurile respective ar trebui să țină seama de expunerea la riscuri și să poată preveni sau reduce la minimum impactul incidentelor. Articolul 21 alineatul (1) al doilea paragraf din Directiva (UE) 2022/2555 specifică modul în care ar trebui evaluată proporționalitatea unor astfel de măsuri (2). Obligația prevăzută la articolul 21 alineatul (1) din Directiva (UE) 2022/2555 care impune entităților esențiale și importante să ia măsuri adecvate și proporționale de gestionare a riscurilor în materie de securitate cibernetică se referă la toate operațiunile și serviciile entității în cauză, nu numai la anumite active sau servicii informatice („IT”) critice pe care entitatea le furnizează.

8.

Atunci când se evaluează echivalența unui act juridic sectorial al Uniunii cu dispozițiile relevante privind gestionarea riscurilor cibernetice din Directiva (UE) 2022/2555, în evaluarea respectivă ar trebui să se acorde o importanță deosebită existenței, în obligațiile în materie de securitate din actul juridic respectiv, a unor măsuri menite să asigure securitatea rețelelor și a sistemelor informatice. În sensul articolului 6 punctul (2) din Directiva (UE) 2022/2555, prin „securitatea rețelelor și a sistemelor informatice” se înțelege capacitatea unei rețele și a unui sistem informatic de a rezista, la un nivel de încredere dat, oricărui eveniment care poate compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de rețeaua sau de sistemele informatice respective sau accesibile prin intermediul acestora. Utilizarea termenilor „disponibilitate”, „autenticitate”, „integritate” și „confidențialitate” în această definiție se referă la toate cele patru obiective de protecție legate de securitatea rețelelor și a sistemelor informatice. Termenul „rețele și sisteme informatice”, astfel cum este definit la articolul 6 punctul (1) din Directiva (UE) 2022/2555, include rețelele de comunicații electronice (3); orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată de date digitale; și datele digitale stocate, prelucrate, recuperate sau transmise de astfel de rețele sau dispozitive de comunicații electronice în scopul operării, al protecției sau al întreținerii lor. În consecință, măsurile de securitate impuse de un act juridic sectorial al Uniunii ar trebui să acopere, de asemenea, hardware-ul, firmware-ul și software-ul utilizate în activitățile unei entități.

9.

Un alt aspect important atunci când se evaluează echivalența unui act juridic sectorial al Uniunii cu cerințele de la articolul 21 alineatele (1) și (2) din Directiva (UE) 2022/2555 este faptul că măsurile de gestionare a riscurilor în materie de securitate cibernetică impuse de actul respectiv ar trebui să se bazeze pe o „abordare multirisc”. Întrucât amenințările la adresa securității rețelelor și a sistemelor informatice ar putea avea origini diferite, orice tip de eveniment poate avea un impact negativ asupra rețelelor și sistemelor informatice ale entității și poate conduce la un incident. Prin urmare, măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitate ar trebui să protejeze nu numai rețeaua și sistemele informatice ale entității, ci și mediul fizic al acestor sisteme împotriva unor evenimente precum sabotaje, furturi, incendii, inundații, defecțiuni la nivelul telecomunicațiilor sau al alimentării cu energie sau împotriva accesului fizic neautorizat, care pot compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise sau prelucrate sau a serviciilor oferite de rețele și sisteme informatice sau accesibile prin intermediul acestora. În consecință, măsurile de gestionare a riscurilor în materie de securitate cibernetică impuse de un act juridic sectorial al Uniunii ar trebui să abordeze în mod specific securitatea fizică și de mediu a rețelelor și a sistemelor informatice în caz de defectare a sistemelor, de erori umane, de acte răuvoitoare sau de fenomene naturale (4).

10.

Articolul 21 alineatul (2) din Directiva (UE) 2022/2555 impune, de asemenea, ca măsurile de gestionare a riscurilor în materie de securitate cibernetică să includă cerințele de securitate specifice enumerate la alineatul (2) literele (a)-(j) din dispoziția respectivă. Aceste cerințe acoperă măsuri precum politici referitoare la analiza riscurilor și securitatea sistemelor informatice, gestionarea incidentelor, continuitatea activității, gestionarea crizelor, securitatea lanțului de aprovizionare, politicile și procedurile privind utilizarea criptografiei și, după caz, a criptării. În temeiul articolului 21 alineatul (5) al doilea paragraf din Directiva (UE) 2022/2555, Comisia este împuternicită să adopte acte de punere în aplicare de stabilire a cerințelor tehnice și metodologice, precum și a cerințelor sectoriale, după caz, ale măsurilor de securitate menționate la articolul 21 alineatul (2) din directiva respectivă. În ceea ce privește furnizorii de servicii din cadrul sistemului de nume de domenii („DNS”), registrele de nume de domenii top-level („TLD”), furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere, Comisia adoptă, până la 17 octombrie 2024, acte de punere în aplicare de stabilire a cerințelor tehnice și metodologice ale măsurilor de securitate menționate la articolul 21 alineatul (2) din Directiva (UE) 2022/2555. Actele de punere în aplicare precizează în detaliu principalele condiții și criterii de punere în aplicare, astfel cum sunt prevăzute în actul de bază, fără a afecta esența actului respectiv (5).

II.2.   Cerințe de raportare

11.

Articolul 4 alineatul (2) litera (b) din Directiva (UE) 2022/2555 prevede că cerințele de raportare privind notificarea incidentelor semnificative sunt considerate a avea un efect echivalent cu cel al obligațiilor prevăzute în directiva respectivă în cazul în care un act juridic sectorial al Uniunii prevede accesul imediat, după caz automat și direct, la notificările incidentelor pentru echipele de intervenție în caz de incidente de securitate informatică („CSIRT”), autoritățile competente sau punctele unice de contact și dacă cerințele de notificare a incidentelor semnificative au un efect cel puțin echivalent cu cele prevăzute la articolul 23 alineatele (1)-(6) din Directiva (UE) 2022/2555.

12.

Întrucât cerințele unui act juridic sectorial al Uniunii de notificare a incidentelor semnificative trebuie să fie cel puțin echivalente ca efect cu cele prevăzute la articolul 23 alineatele (1)-(6) din Directiva (UE) 2022/2555 pentru ca actul respectiv să se aplice în locul obligațiilor de raportare prevăzute de directiva respectivă, cerințele prevăzute la articolul 23 alineatele (1)-(6) din directivă sunt deosebit de importante pentru evaluarea echivalenței. Articolul 23 alineatele (1)-(6) din Directiva (UE) 2022/2555 prevede mai detaliat ce tip de incidente trebuie raportate, cui trebuie raportate, în ce interval de timp și ce informații trebuie să conțină. Acestea sunt explicate mai detaliat în secțiunile următoare.

II.2.1.   Notificarea incidentelor semnificative către CSIRT, autoritățile competente și destinatari

13.

Articolul 23 alineatul (1) primul paragraf prima teză din Directiva (UE) 2022/2555 impune entităților esențiale și entităților importante să notifice, fără întârzieri nejustificate, echipei CSIRT sau, după caz, autorității sale competente, orice incident cu impact semnificativ. Articolul 23 alineatul (1) primul paragraf a doua teză din Directiva (UE) 2022/2555 impune entităților esențiale și entităților importante să notifice, dacă este cazul, fără întârzieri nejustificate, destinatarilor serviciilor lor incidentele semnificative care ar putea afecta în mod negativ prestarea serviciilor respective.

14.

În timp ce articolul 6 punctul (6) din Directiva (UE) 2022/2555 definește „incidentele” în sens foarte larg, ca fiind orice eveniment care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de rețele și sisteme informatice sau accesibile prin intermediul acestora, articolul 23 alineatul (1) din directiva respectivă supune numai incidentele semnificative unei obligații de raportare. Un incident este semnificativ dacă a provocat sau poate provoca perturbări operaționale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză [articolul 23 alineatul (3) litera (a)] sau dacă a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau morale considerabile [articolul 23 alineatul (3) litera (b)].

15.

Considerentul (101) din preambulul Directivei (UE) 2022/2555 clarifică faptul că raportarea incidentelor ar trebui să se bazeze pe o evaluare inițială efectuată de entitatea în cauză. O astfel de evaluare inițială ar trebui să ia în considerare, printre altele, rețeaua și sistemele informatice afectate, în special importanța acestora în furnizarea serviciilor entității, gravitatea și caracteristicile tehnice ale unei amenințări cibernetice și orice vulnerabilitate subiacentă care este exploatată, precum și experiența entității în ceea ce privește incidente similare. Indicatori precum măsura în care funcționarea serviciului este afectată, durata unui incident sau numărul de destinatari afectați ai serviciilor ar putea juca un rol important în identificarea gravității perturbării operaționale a serviciului.

16.

În temeiul articolului 23 alineatul (11) al doilea paragraf din Directiva (UE) 2022/2555, Comisia este împuternicită să adopte acte de punere în aplicare pentru a preciza mai în detaliu cazurile în care un incident este considerat semnificativ. În ceea ce privește furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, Comisia adoptă, până la 17 octombrie 2024, astfel de acte de punere în aplicare. Actele de punere în aplicare precizează în detaliu principalele condiții și criterii de punere în aplicare, astfel cum sunt prevăzute în actul de bază, fără a afecta esența actului respectiv (6).

II.2.2.   Abordarea în mai multe etape a raportării incidentelor semnificative și intervalul de raportare a incidentelor semnificative

17.

Directiva (UE) 2022/2555 stabilește o abordare în mai multe etape a raportării incidentelor semnificative, care implică o avertizare timpurie, o notificare a incidentului și un raport final. Aceste trei elemente pot fi completate de rapoarte intermediare și de un raport privind progresele înregistrate.

18.

Abordarea în mai multe etape urmărește atingerea unui echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor semnificative și le permite entităților esențiale și entităților importante să solicite asistență și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența cibernetică a entităților individuale și a unor sectoare întregi (7).

19.

În conformitate cu abordarea în mai multe etape, entitățile esențiale și importante trebuie să transmită mai întâi o avertizare timpurie, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care au luat cunoștință de incidentul semnificativ, echipei CSIRT sau autorității competente. Ulterior, entitățile respective trebuie să transmită o notificare a incidentului, fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore din momentul în care au luat cunoștință de incidentul semnificativ. Ulterior, un raport intermediar poate fi solicitat de o echipă CSIRT sau de o autoritate competentă. În cele din urmă, trebuie furnizat un raport final echipei CSIRT sau autorității competente în termen de cel mult o lună de la transmiterea notificării incidentului, cu excepția cazului în care incidentul este încă în desfășurare la momentul respectiv, caz în care trebuie furnizat un raport privind progresele înregistrate, iar raportul final în termen de o lună de la gestionarea incidentului.

20.

În cazul prestatorilor de servicii de încredere se aplică un interval de timp diferit pentru notificarea incidentelor prevăzută la articolul 23 alineatul (4) al doilea paragraf din Directiva (UE) 2022/2555. Prestatorii respectivi trebuie să notifice incidentele semnificative care afectează prestarea serviciilor lor încredere, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care au luat cunoștință de incidentul semnificativ.

II.2.3.   Conținutul obligației de raportare a incidentelor semnificative către echipele CSIRT sau către autoritățile competente

21.

Ca regulă generală, articolul 23 alineatul (1) primul paragraf a treia teză din Directiva (UE) 2022/2555 impune statelor membre să se asigure că entitățile esențiale și entitățile importante raportează, printre altele, orice informație care permite echipei CSIRT competente sau, după caz, autorității competente să stabilească orice impact transfrontalier al incidentului. Această cerință privind conținutul obligației de raportare este detaliată la articolul 23 alineatul (4) din Directiva (UE) 2022/2555, care stabilește abordarea în mai multe etape.

22.

În conformitate cu articolul 23 alineatul (4) litera (a), o astfel de avertizare timpurie trebuie să includă, după caz, dacă există suspiciuni că incidentul semnificativ este cauzat de acte ilegale sau răuvoitoare sau ar putea avea (adică dacă este probabil să aibă) un impact transfrontalier. În conformitate cu considerentul 102 din preambulul Directivei (UE) 2022/2555, alerta timpurie ar trebui să includă numai informațiile necesare pentru a aduce la cunoștința echipei CSIRT sau a autorității competente incidentul semnificativ și pentru a permite entității în cauză să solicite asistență, dacă este necesar.

23.

Notificarea incidentului trebuie să includă, după caz, actualizări ale informațiilor transmise în cadrul alertei timpurii. În plus, aceasta trebuie să includă o evaluare inițială a incidentului semnificativ, inclusiv a gravității și a impactului acestuia, precum și, dacă este cazul, a indicatorilor de compromitere.

24.

În cazul în care se solicită un raport intermediar, acesta trebuie să includă actualizări relevante ale situației. Raportul final trebuie să includă o descriere detaliată a incidentului, inclusiv a gravității și a impactului acestuia, tipul de amenințare sau de cauză principală care este probabil să fi declanșat incidentul, măsurile de atenuare aplicate și în curs și, dacă este cazul, impactul transfrontalier al incidentului.

II.2.4.   Accesul imediat la notificările incidentelor

25.

Articolul 4 alineatul (2) litera (b) din Directiva (UE) 2022/2555 prevede că un act juridic sectorial al Uniunii, care se aplică în ceea ce privește cerințele de notificare în locul directivei respective, trebuie să ofere echipelor CSIRT, autorităților competente sau punctelor unice de contact, în temeiul Directivei (UE) 2022/2555, acces imediat la notificările incidentelor transmise în conformitate cu actul juridic sectorial al Uniunii. În conformitate cu considerentul 24 din preambulul Directivei (UE) 2022/2555, un astfel de acces imediat poate fi asigurat în special dacă notificările incidentelor sunt transmise fără întârzieri nejustificate către echipa CSIRT, autoritatea competentă sau punctul unic de contact.

26.

Accesul imediat poate fi asigurat prin mijloace automate și directe pe care statele membre ar trebui să le instituie, după caz. Mecanismele de raportare automată și directă asigură schimbul sistematic și imediat de informații cu echipele CSIRT, cu autoritățile competente sau cu punctele unice de contact cu privire la gestionarea notificărilor incidentelor. Statele membre pot utiliza, de asemenea, un punct de intrare unic care trebuie să respecte actul juridic sectorial al Uniunii, să simplifice raportarea și să pună în aplicare mecanismul de raportare automată și directă.

27.

Atunci când se evaluează dacă cerințele dintr-un act juridic sectorial al Uniunii de notificare a incidentelor semnificative au un efect cel puțin echivalent cu cele prevăzute la articolul 23 alineatele (1)-(6) din Directiva (UE) 2022/2555, cerințele din respectivul act juridic sectorial al Uniunii ar trebui, cel puțin, să corespundă cerințelor de la articolul 23 alineatele (1)-(6) sau să prevadă mai multe detalii decât dispozițiile respective. Cerințele ar trebui să se refere la tipul de incidente care trebuie raportate în conformitate cu Directiva (UE) 2022/2555, ținând seama în special de destinatari, de conținut și de termenele aplicabile.

III.   CONSECINȚELE ECHIVALENȚEI

III.1.   Supravegherea și asigurarea respectării legii

28.

În cazul în care actele juridice sectoriale ale Uniunii au un efect cel puțin echivalent cu obligațiile prevăzute în Directiva (UE) 2022/2555, nu numai dispozițiile relevante ale directivei respective referitoare la obligația de a adopta măsuri de gestionare a riscurilor în materie de securitate cibernetică sau de a notifica incidentele semnificative nu se aplică, ci și dispozițiile privind supravegherea și asigurarea respectării legii prevăzute în capitolul VII din Directiva (UE) 2022/2555.

29.

Considerentul 25 din preambulul Directivei (UE) 2022/2555 explică faptul că actele juridice sectoriale ale Uniunii care au un efect cel puțin echivalent ar putea prevedea că autoritățile competente în temeiul actelor respective își exercită competențele de supraveghere și de aplicare a legii în ceea ce privește gestionarea riscurilor în materie de securitate cibernetică sau obligațiile de notificare cu sprijinul autorităților competente desemnate în temeiul Directivei (UE) 2022/2555. Autoritățile competente în cauză ar putea încheia acorduri de cooperare în acest scop, care să includă proceduri privind coordonarea activităților de supraveghere, proceduri de investigare și de inspecție la fața locului în conformitate cu dreptul intern, precum și un mecanism pentru schimbul de informații relevante privind supravegherea și aplicarea legii între autoritățile competente. Un astfel de mecanism pentru schimbul de informații relevante ar putea implica accesul la informații legate de domeniul cibernetic solicitate de autoritățile competente în temeiul Directivei (UE) 2022/2555.

III.2.   Strategia națională de securitate cibernetică

30.

Fiecare stat membru trebuie să adopte o strategie națională de securitate cibernetică în temeiul articolului 7 alineatul (1) din Directiva (UE) 2022/2555. O strategie națională de securitate cibernetică este un cadru coerent al unui stat membru care prevede obiective și priorități strategice în domeniul securității cibernetice și cadrul de guvernanță pentru realizarea acestor obiective și priorități în statul membru respectiv [a se vedea articolul 6 punctul (4) din Directiva (UE) 2022/2555]. Strategia de securitate cibernetică trebuie să includă, printre altele, obiective și priorități care să acopere în special sectoarele menționate în anexele I și II la Directiva (UE) 2022/2555. În plus, această strategie trebuie să conțină un cadru de guvernanță pentru realizarea obiectivelor și priorităților respective, inclusiv politicile menționate la articolul 7 alineatul (2) din Directiva (UE) 2022/2555.

31.

Articolul 7 alineatul (1) litera (c) din Directiva (UE) 2022/2555 prevede, de asemenea, că strategia națională de securitate cibernetică trebuie să includă un cadru de guvernanță care să clarifice rolurile și responsabilitățile părților interesate relevante la nivel național, care să sprijine cooperarea și coordonarea la nivel național între autoritățile competente, punctele unice de contact și echipele CSIRT în temeiul Directivei (UE) 2022/2555, precum și coordonarea și cooperarea dintre aceste organisme și autoritățile competente în temeiul actelor juridice sectoriale ale Uniunii.

32.

Prin urmare, cerința de adoptare a unei strategii de securitate cibernetică în temeiul articolului 7 din Directiva (UE) 2022/2555 nu se referă nici la cerințele de securitate cibernetică impuse entităților esențiale și entităților importante în temeiul articolelor 21 și 23 din directiva respectivă, nici la dispozițiile referitoare la supravegherea și asigurarea respectării legii de către acestea prevăzute în capitolul VII, astfel cum se prevede la articolul 4 alineatele (1) și (2) din directivă. Dispoziția relevantă de la articolul 7 ar trebui să se aplice în continuare în ceea ce privește sectoarele, subsectoarele și tipurile de entități pentru care există acte juridice sectoriale ale Uniunii în sensul articolului 4 din Directiva (UE) 2022/2555.

III.3.   Desemnarea echipelor CSIRT

33.

În conformitate cu articolul 10 alineatul (1) din Directiva (UE) 2022/2555, statele membre trebuie să desemneze sau să instituie una sau mai multe echipe CSIRT care să acopere cel puțin sectoarele, subsectoarele și tipurile de entități menționate în anexele I și II la directivă, deci inclusiv sectoarele, subsectoarele și tipurile de entități pentru care există acte juridice sectoriale ale Uniunii. În mod normal, echipele CSIRT își vor îndeplini, de asemenea, sarcinile stabilite la articolul 11 alineatul (3) din Directiva (UE) 2022/2555 în această privință, cu excepția cazului în care anumite sarcini sunt specificate în actele juridice sectoriale ale Uniunii.

III.4.   Cadrele naționale de gestionare a crizelor cibernetice și EU-CyCLONe

34.

În temeiul articolului 9 alineatul (1) din Directiva (UE) 2022/2555, statele membre trebuie să desemneze sau să instituie una sau mai multe autorități de gestionare a crizelor cibernetice, responsabile cu gestionarea incidentelor de securitate cibernetică de mare amploare și a crizelor. În conformitate cu articolul 6 punctul (7) din directiva respectivă, „incident de securitate cibernetică de mare amploare” înseamnă un incident care provoacă un nivel de perturbare care depășește capacitatea unui stat membru de a răspunde la acesta sau care are un impact semnificativ asupra a cel puțin două state membre. Articolul 9 alineatul (4) din Directiva (UE) 2022/2555 impune ca fiecare stat membru să adopte un plan național de răspuns la incidente de securitate cibernetică de mare amploare și crize, în care să fie determinate obiectivele și modalitățile de gestionare a incidentelor de securitate cibernetică de mare amploare și a crizelor. Acest plan ar trebui să stabilească, printre altele, procedurile de gestionare a crizelor cibernetice, inclusiv integrarea acestora în cadrul național general de gestionare a crizelor și canalele de schimb de informații, precum și părțile interesate relevante din sectorul public și privat și infrastructura implicată. Astfel de proceduri de gestionare a crizelor cibernetice, precum și părțile interesate și infrastructura publice și private relevante ar putea implica proceduri și părți interesate la nivel sectorial.

35.

Articolul 16 din Directiva (UE) 2022/2555 instituie Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe), al cărei scop este de a sprijini gestionarea coordonată, la nivel operațional, a incidentelor de securitate cibernetică de mare amploare și a crizelor și de a asigura schimbul periodic de informații relevante între statele membre și instituțiile, organele și agențiile Uniunii.

36.

Întrucât articolul 9 privind cadrele de gestionare a crizelor cibernetice și articolul 16 privind EU-CyCLONe nu se referă la cerințele de securitate cibernetică impuse entităților în temeiul articolelor 21 și 23 din Directiva (UE) 2022/2555 sau la supravegherea și asigurarea respectării legii prevăzute în capitolul VII, astfel cum se prevede la articolul 4 alineatele (1) și (2) din directiva respectivă, articolele 9 și 16 ar trebui să se aplice în întregime sectoarelor, în pofida existenței unor acte juridice sectoriale ale Uniunii în sensul articolului 4. Prin urmare, statele membre trebuie să desemneze sau să instituie una sau mai multe autorități de gestionare a crizelor cibernetice responsabile cu gestionarea incidentelor de securitate cibernetică de mare amploare și a crizelor care au loc în sectoarele vizate de actele juridice sectoriale ale Uniunii. În plus, sectoarele vizate de actele juridice sectoriale ale Uniunii nu ar trebui ignorate atunci când se adoptă planul național de răspuns la incidente de securitate cibernetică de mare amploare și crize. În cele din urmă, EU-CyCLONe ar trebui să își îndeplinească sarcinile consacrate la articolul 16 din Directiva (UE) 2022/2555 în raport cu sectoarele în care entitățile fac obiectul unor acte juridice sectoriale ale Uniunii.

III.5.   Excluderea aplicării articolului 3 alineatele (3) și (4), a articolului 20 și a articolului 27 alineatele (2) și (3)

37.

În temeiul articolului 3 alineatul (3) din Directiva (UE) 2022/2555, statele membre au obligația de a întocmi o listă a entităților esențiale și a entităților importante, precum și a entităților care furnizează servicii de înregistrare a numelor de domenii care intră în domeniul de aplicare al directivei. În temeiul articolului 27 alineatul (2), statele membre solicită entităților menționate la articolul 27 alineatul (1) din directiva respectivă să transmită anumite informații autorităților competente. Întrucât scopul acestor dispoziții este de a asigura o imagine de ansamblu clară a entităților care intră în domeniul de aplicare al Directivei (UE) 2022/2555 pentru a sprijini supravegherea entităților esențiale și a entităților importante care intră în domeniul său de aplicare, rezultă că aceste dispoziții nu ar trebui să se aplice entităților pentru care se aplică un act juridic sectorial al Uniunii cu privire la cerințele de gestionare a riscurilor și de raportare în materie de securitate cibernetică. Acest lucru nu împiedică statele membre să includă astfel de entități pe listă. În temeiul articolului 20 alineatul (1) din Directiva (UE) 2022/2555, organele de conducere ale entităților esențiale și ale entităților importante trebuie să aprobe măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitățile respective pentru a se conforma articolului 21, să supravegheze punerea în aplicare a acestuia și pot fi trase la răspundere pentru încălcarea de către entități a respectivului articol. În temeiul articolului 20 alineatul (2) din directivă, statele membre se asigură că membrii organelor de conducere din cadrul entităților esențiale și al entităților importante au obligația de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și entitățile importante să ofere o formare similară tuturor angajaților în mod regulat. Întrucât obligațiile care decurg din articolul 20 din Directiva (UE) 2022/2555 sunt legate în mod intrinsec de cerințele de la articolul 21 din directiva respectivă, rezultă că articolul 20 nu ar trebui să se aplice în cazul actelor juridice sectoriale ale Uniunii în sensul articolului 4 din directiva respectivă care se aplică în ceea ce privește cerințele de gestionare a riscurilor în materie de securitate cibernetică.

---

(1)   JO L 333, 27.12.2022, p. 80.

(2)  A se vedea de asemenea considerentele 78, 81 și 82 din preambulul Directivei (UE) 2022/2555.

(3)  Articolul 2 alineatul (1) din Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice (JO L 321, 17.12.2018, p. 36).

(4)  A se vedea considerentul 79 din preambulul Directivei (UE) 2022/2555.

(5)  A se vedea capitolul D Norme suplimentare de punere în aplicare a actului de bază, Criterii neobligatorii pentru aplicarea articolelor 290 și 291 din Tratatul privind funcționarea Uniunii Europene – 18 iunie 2019 (JO C 223, 3.7.2019, p. 1).

(6)  A se vedea capitolul D Norme suplimentare de punere în aplicare a actului de bază, Criterii neobligatorii pentru aplicarea articolelor 290 și 291 din Tratatul privind funcționarea Uniunii Europene – 18 iunie 2019 (JO C 223, 3.7.2019, p. 1).

(7)  A se vedea considerentul 101 din preambulul Directivei (UE) 2022/2555.

Informațiile prezentate în continuare sunt aduse la cunoștința persoanelor și entităților care figurează în anexa la Decizia 2011/235/PESC a Consiliului (1), astfel cum este pusă în aplicare prin Decizia de punere în aplicare (PESC) 2023/1780 a Consiliului (2), și în anexa I la Regulamentul (UE) nr. 359/2011 al Consiliului (3), astfel cum este pus în aplicare prin Regulamentul de punere în aplicare (UE) 2023/1779 al Consiliului (4) privind măsuri restrictive împotriva anumitor persoane, entități și organisme având în vedere situația din Iran.

Consiliul Uniunii Europene a decis ca persoanele și entitățile respective să fie incluse pe lista persoanelor și entităților cărora li se aplică măsurile restrictive prevăzute în Decizia 2011/235/PESC și în Regulamentul (UE) nr. 359/2011.

Se atrage atenția persoanelor și entităților în cauză asupra posibilității de a adresa o cerere autorităților competente din statul membru (statele membre) relevant(e), conform indicațiilor de pe site-urile care figurează în anexa II la Regulamentul (UE) nr. 359/2011, pentru a obține autorizația de a utiliza fonduri înghețate pentru nevoi de bază sau plăți specifice (a se vedea articolul 4 din regulament).

Persoanele și entitățile în cauză pot înainta Consiliului, înainte de 1 ianuarie 2024, o cerere însoțită de documente justificative, prin care să solicite reanalizarea deciziei de a le include pe lista menționată anterior, la următoarea adresă:

Consiliul Uniunii Europene

Secretariatul General

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

E-mail: sanctions@consilium.europa.eu

De asemenea, se atrage atenția persoanelor și entităților în cauză asupra posibilității de a contesta decizia Consiliului în fața Tribunalului Uniunii Europene, în conformitate cu condițiile stabilite la articolul 275 al doilea paragraf și la articolul 263 al patrulea și al șaselea paragraf din Tratatul privind funcționarea Uniunii Europene.

---

(1)   JO L 100, 14.4.2011, p. 51.

(2)   JO L 228 I, 15.9.2023, p. 6.

(3)   JO L 100, 14.4.2011, p. 1.

(4)   JO L 228 I, 15.9.2023, p. 1.

În conformitate cu articolul 16 din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (1), se atrage atenția persoanelor vizate asupra informațiilor prezentate în continuare.

Temeiurile juridice ale acestei operațiuni de prelucrare sunt Decizia 2011/235/PESC a Consiliului (2), astfel cum este pusă în aplicare prin Decizia de punere în aplicare (PESC) 2023/1780 a Consiliului (3), și Regulamentul (UE) nr. 359/2011 a Consiliului (4), astfel cum este pus în aplicare prin Regulamentul de punere în aplicare (UE) 2023/1779 al Consiliului (5).

Operatorul pentru această operațiune de prelucrare este Consiliul Uniunii Europene, reprezentat de directorul general al Direcției generale Relații externe (RELEX) din cadrul Secretariatului General al Consiliului, iar departamentul însărcinat cu operațiunea de prelucrare este RELEX.1, care poate fi contactat la următoarea adresă:

Consiliul Uniunii Europene

Secretariatul General

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

E-mail: sanctions@consilium.europa.eu

Responsabilul cu protecția datelor în cadrul Consiliului poate fi contactat la următoarea adresă:

Responsabilul cu protecția datelor

data.protection@consilium.europa.eu

Scopul operațiunii de prelucrare este întocmirea și actualizarea listei persoanelor cărora li se aplică măsuri restrictive în conformitate cu Decizia 2011/235/PESC, astfel cum este pusă în aplicare prin Decizia de punere în aplicare (PESC) 2023/1780, și cu Regulamentul (UE) nr. 359/2011, astfel cum este pus în aplicare prin Regulamentul de punere în aplicare (UE) 2023/1779.

Persoanele vizate sunt persoanele fizice care îndeplinesc criteriile de includere pe listă, astfel cum sunt prevăzute în Decizia 2011/235/PESC și în Regulamentul (UE) nr. 359/2011.

Datele cu caracter personal colectate cuprind datele necesare identificării corecte a persoanei în cauză, expunerea de motive și orice alte date legate de motivele includerii pe listă.

Temeiurile juridice pentru prelucrarea datelor cu caracter personal sunt deciziile Consiliului adoptate în temeiul articolului 29 din TUE și regulamentele Consiliului adoptate în temeiul articolului 215 din TFUE de desemnare a unor persoane fizice (persoane vizate) și de impunere a înghețării activelor și a unor restricții de călătorie.

Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public în conformitate cu articolul 5 alineatul (1) litera (a) și în vederea îndeplinirii obligațiilor legale prevăzute în actele juridice menționate anterior care îi revin operatorului în conformitate cu articolul 5 alineatul (1) litera (b) din Regulamentul (UE) 2018/1725.

Prelucrarea este necesară din motive de interes public major, în conformitate cu articolul 10 alineatul (2) litera (g) din Regulamentul (UE) 2018/1725.

Consiliul poate obține date cu caracter personal ale persoanelor vizate de la statele membre și/sau de la Serviciul European de Acțiune Externă. Destinatarii datelor cu caracter personal sunt statele membre, Comisia Europeană și Serviciul European de Acțiune Externă.

Toate datele cu caracter personal prelucrate de Consiliu în contextul măsurilor restrictive autonome ale UE vor fi păstrate timp de 5 ani de la data la care persoana vizată a fost eliminată de pe lista persoanelor care fac obiectul înghețării activelor sau de la expirarea valabilității măsurii sau, în cazul în care se introduce o acțiune în justiție în fața Curții de Justiție, până la pronunțarea unei hotărâri definitive. Datele cu caracter personal conținute în documentele înregistrate de Consiliu sunt păstrate de Consiliu în scopuri de arhivare în interes public, în sensul articolului 4 alineatul (1) litera (e) din Regulamentul (UE) 2018/1725.

Consiliul ar putea fi nevoit să facă schimb de date cu caracter personal cu privire la o persoană vizată cu o țară terță sau cu o organizație internațională în contextul transpunerii de către Consiliu a desemnărilor ONU sau în contextul cooperării internaționale în ceea ce privește politica UE privind măsurile restrictive.

În absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate, transferul de date cu caracter personal către o țară terță sau o organizație internațională se bazează pe următoarea (următoarele) condiție (condiții), în temeiul articolului 50 din Regulamentul (UE) 2018/1725: transferul este necesar din considerente importante de interes public; transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță.

În prelucrarea datelor cu caracter personal ale persoanei vizate nu este implicat niciun proces decizional automatizat.

Persoanele vizate au dreptul de a fi informate și dreptul de a-și accesa datele cu caracter personal. De asemenea, au dreptul de a-și corecta și completa datele cu caracter personal. În anumite circumstanțe, ele pot avea dreptul de a obține ștergerea datelor lor cu caracter personal, de a formula obiecții cu privire la prelucrarea datelor lor cu caracter personal sau de a solicita restricționarea acestora.

Persoanele vizate își pot exercita aceste drepturi trimițând un e-mail operatorului, cu o copie către responsabilul cu protecția datelor, astfel cum se indică mai sus.

În anexă la cererea lor, persoanele vizate trebuie să furnizeze o copie a unui act de identitate care să le confirme identitatea (carte de identitate sau pașaport). Actul respectiv trebuie să conțină un număr de identificare, țara de emitere, perioada de valabilitate, numele, adresa și data nașterii. Toate celelalte date care figurează pe copia actului de identitate, cum ar fi fotografia sau orice caracteristică personală, pot fi ocultate.

Persoanele vizate au dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în conformitate cu Regulamentul (UE) 2018/1725 (edps@edps.europa.eu).

Înainte de a face acest lucru, se recomandă ca persoanele vizate să încerce mai întâi să obțină o soluție contactând operatorul și/sau responsabilul cu protecția datelor din cadrul Consiliului.

---

(1)   JO L 295, 21.11.2018, p. 39.

(2)   JO L 100, 14.4.2011, p. 51.

(3)   JO L 228 I, 15.9.2023, p. 6.

(4)   JO L 100, 14.4.2011, p. 1.

(5)   JO L 228 I, 15.9.2023, p. 1.

Decizie de retragere a unei autorizații

Referința deciziei (2)	Data deciziei	Denumirea substanței	Destinatarul deciziei	Utilizare retrasă	Decizia abrogată	Motivele care au stat la baza deciziei
C(2023) 6014	11 septembrie 2023	Dicromat de sodiu Nr. CE 234-190-3; Nr. CAS 10588-019 (anhidru); Nr. CAS 7789-12-0 (dihidrat)	Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Prato, Italia	Ca preparat pentru mordansare în vopsirea lânii cu culori închise	C(2017) 8331	Raportul de reexaminare nu a demonstrat absența unor alternative adecvate pentru solicitant, în conformitate cu articolul 60 alineatul (4) din Regulamentul (CE) nr. 1907/2006.

---

(1)   JO L 396, 30.12.2006, p. 1.

(2)  Decizia este disponibilă pe site-ul web al Comisiei Europene, la adresa: Authorisation (europa.eu).

1 euro =

	Moneda	Rata de schimb
USD	dolar american	1,0658
JPY	yen japonez	157,50
DKK	coroana daneză	7,4573
GBP	lira sterlină	0,85878
SEK	coroana suedeză	11,8730
CHF	franc elvețian	0,9554
ISK	coroana islandeză	145,30
NOK	coroana norvegiană	11,4220
BGN	leva bulgărească	1,9558
CZK	coroana cehă	24,496
HUF	forint maghiar	383,75
PLN	zlot polonez	4,6308
RON	leu românesc nou	4,9698
TRY	lira turcească	28,7513
AUD	dolar australian	1,6498
CAD	dolar canadian	1,4409
HKD	dolar Hong Kong	8,3416
NZD	dolar neozeelandez	1,8008
SGD	dolar Singapore	1,4524
KRW	won sud-coreean	1 415,78
ZAR	rand sud-african	20,2968
CNY	yuan renminbi chinezesc	7,7561
IDR	rupia indoneziană	16 379,21
MYR	ringgit Malaiezia	4,9922
PHP	peso Filipine	60,612
RUB	rubla rusească
THB	baht thailandez	38,145
BRL	real brazilian	5,1860
MXN	peso mexican	18,2275
INR	rupie indiană	88,6150

---

(1)   Sursă: rata de schimb de referință publicată de către Banca Centrală Europeană.

---

(1)   JO L 24, 29.1.2004, p. 1 („Regulamentul privind concentrările economice”).

(2)   JO C 366, 14.12.2013, p. 5.