(1)

Cieľom smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 (4) bolo budovať kapacity v oblasti kybernetickej bezpečnosti v celej Únii, zmierňovať hrozby pre siete a informačné systémy používané na poskytovanie základných služieb v kľúčových odvetviach a zabezpečiť kontinuitu takýchto služieb pri riešení incidentov, a tým prispievať k bezpečnosti Únie a účinnému fungovaniu jej hospodárstva a spoločnosti.

(2)

Od nadobudnutia účinnosti smernice (EÚ) 2016/1148 sa dosiahol významný pokrok pri zvyšovaní úrovne kybernetickej odolnosti Únie. Preskúmanie uvedenej smernice ukázalo, že slúžila ako katalyzátor inštitucionálneho a regulačného prístupu ku kybernetickej bezpečnosti v Únii a pripravila pôdu pre dôležitú zmenu v zmýšľaní. Uvedenou smernicou sa zabezpečilo dokončenie vnútroštátnych rámcov v oblasti bezpečnosti sietí a informačných systémov stanovením národných stratégií v oblasti bezpečnosti sietí a informačných systémov a stanovením vnútroštátnych kapacít a vykonávaním regulačných opatrení vzťahujúcich sa na kľúčové infraštruktúry a subjekty identifikované v každom členskom štáte. Smernica (EÚ) 2016/1148 prispela aj k spolupráci na úrovni Únie zriadením skupiny pre spoluprácu a siete národných jednotiek pre riešenie počítačových bezpečnostných incidentov. Bez ohľadu na tieto úspechy sa pri preskúmaní smernice (EÚ) 2016/1148 odhalili prirodzené nedostatky, ktoré jej bránia účinne riešiť súčasné a vznikajúce výzvy v oblasti kybernetickej bezpečnosti.

(3)

Siete a informačné systémy sa spolu s rýchlou digitálnou transformáciou a prepojenosťou spoločnosti, a to aj pri cezhraničných výmenách, stali bežnou súčasťou každodenného života. Uvedený vývoj viedol k nárastu kybernetických hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené, koordinované a inovatívne reakcie vo všetkých členských štátoch. Počet, rozsah, sofistikovanosť, frekvencia a vplyv incidentov sa zvyšujú a pre fungovanie sietí a informačných systémov predstavujú veľkú hrozbu. Vo výsledku môžu incidenty zabraňovať realizácii ekonomických aktivít na vnútornom trhu, spôsobovať finančné straty, narúšať dôveru používateľov a spôsobovať značné škody spoločnosti a hospodárstvu Únie. Pripravenosť a účinnosť v oblasti kybernetickej bezpečnosti sú preto teraz pre riadne fungovanie vnútorného trhu dôležitejšie ako kedykoľvek predtým. Kybernetická bezpečnosť je navyše kľúčovým faktorom, ktorý mnohým kritickým odvetviam umožňuje úspešne zvládnuť digitálnu transformáciu a plne využívať hospodárske, sociálne a udržateľné prínosy digitalizácie.

(4)

Právnym základom smernice (EÚ) 2016/1148 bol článok 114 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“), ktorého cieľom je vytvorenie a fungovanie vnútorného trhu posilnením opatrení na aproximáciu vnútroštátnych pravidiel. Požiadavky na kybernetickú bezpečnosť uložené subjektom poskytujúcim služby alebo vykonávajúcim činnosti, ktoré sú ekonomicky významné, sa v jednotlivých členských štátoch značne líšia, pokiaľ ide o typ požiadaviek, ich úroveň podrobnosti a metódu dohľadu. Uvedené rozdiely spôsobujú dodatočné náklady a subjektom, ktoré ponúkajú tovar alebo služby cezhranične, spôsobujú ťažkosti. Požiadavky jedného členského štátu, ktoré sa líšia od požiadaviek iného členského štátu alebo sú s nimi dokonca v rozpore, môžu takéto cezhraničné činnosti podstatne ovplyvniť. Okrem toho môžu mať nedostatočne navrhnuté alebo vykonávané požiadavky na kybernetickú bezpečnosť v jednom členskom štáte vplyv na úroveň kybernetickej bezpečnosti v iných členských štátoch, najmä vzhľadom na intenzitu cezhraničných výmen. Preskúmanie smernice (EÚ) 2016/1148 ukázalo, že v jej vykonávaní členskými štátmi existujú veľké rozdiely, a to aj pokiaľ ide o jej rozsah pôsobnosti, ktorého určenie bolo do veľmi veľkej miery ponechané na voľnom uvážení členských štátov. Smernica (EÚ) 2016/1148 poskytla členským štátom veľmi široký priestor na voľné konanie, aj pokiaľ ide o vykonávanie povinností týkajúcich sa bezpečnosti a oznamovania incidentov, ktoré sú v nej stanovené. Uvedené povinnosti boli preto na úrovni členských štátov vykonávané značne odlišne. Podobné rozdiely existujú vo vykonávaní ustanovení smernice (EÚ) 2016/1148 týkajúcich sa dohľadu a presadzovania.

(5)

Všetky tieto rozdiely spôsobujú fragmentáciu vnútorného trhu a môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickej odolnosti, v dôsledku uplatňovania rôznych opatrení. Uvedené rozdiely by v konečnom dôsledku mohli viesť k väčšej zraniteľnosti niektorých členských štátov voči kybernetickým hrozbám s možnými účinkami presahovania v celej Únii. Cieľom tejto smernice je odstrániť takéto veľké rozdiely medzi členskými štátmi, a to najmä stanovením minimálnych pravidiel týkajúcich sa fungovania koordinovaného regulačného rámca, stanovením mechanizmov účinnej spolupráce medzi zodpovednými orgánmi v každom členskom štáte, aktualizáciou zoznamu odvetví a činností podliehajúcich povinnostiam v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a opatrení presadzovania práva, ktoré sú kľúčové pre účinné presadzovanie týchto povinností. Smernica (EÚ) 2016/1148 by sa preto mala zrušiť a nahradiť touto smernicou.

(6)

Zrušením smernice (EÚ) 2016/1148 by sa rozsah uplatňovania podľa odvetví mal rozšíriť na väčšiu časť hospodárstva, aby boli komplexne pokryté odvetvia a služby, ktoré majú zásadný význam pre kľúčové spoločenské a hospodárske činnosti v rámci vnútorného trhu. Cieľom tejto smernice je najmä odstránenie nedostatkov v rozlišovaní medzi prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb, ktoré sa ukázalo ako zastarané, pretože neodráža význam odvetví alebo služieb pre spoločenské a hospodárske činnosti na vnútornom trhu.

(7)

Podľa smernice (EÚ) 2016/1148 boli členské štáty zodpovedné za identifikáciu subjektov, ktoré spĺňali kritériá na zaradenie medzi prevádzkovateľov základných služieb. S cieľom odstrániť veľké rozdiely medzi členskými štátmi v tejto súvislosti a zabezpečiť právnu istotu, pokiaľ ide o opatrenia na riadenie kybernetických rizík a oznamovacie povinnosti pre všetky príslušné subjekty, by sa malo stanoviť jednotné kritérium, ktorým sa určia subjekty, ktoré patria do rozsahu pôsobnosti tejto smernice. Uvedené kritérium by malo spočívať v uplatňovaní pravidla obmedzenia veľkosti, podľa ktorého všetky subjekty, ktoré sa považujú za stredné podniky podľa článku 2 prílohy k odporúčaniu Komisie 2003/361/ES (5), alebo ktoré prekračujú limity pre stredné podniky uvedené v odseku 1 uvedeného článku a pôsobia v rámci odvetví a poskytujú druhy služieb alebo vykonávajú činnosti, na ktoré sa vzťahuje táto smernica, patria do rozsahu jej pôsobnosti. Členské štáty by tiež mali stanoviť, že určité malé podniky a mikropodniky vymedzené v článku 2 ods. 2 a 3 uvedenej prílohy, ktoré spĺňajú osobitné kritériá, ktoré naznačujú kľúčovú úlohu pre spoločnosť, hospodárstvo alebo pre určité odvetvia alebo druhy služieb, patria do rozsahu pôsobnosti tejto smernice.

(8)

Vylúčenie subjektov verejnej správy z rozsahu pôsobnosti tejto smernice by sa malo vzťahovať na subjekty, ktorých činnosti sa prevažne vykonávajú v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane prevencie, vyšetrovania, odhaľovania a stíhania trestných činov. Subjekty verejnej správy, ktorých činnosti s uvedenými oblasťami súvisia len okrajovo, by však nemali byť vylúčené z rozsahu pôsobnosti tejto smernice. Na účely tejto smernice sa subjekty s regulačnými právomocami nepovažujú za subjekty vykonávajúce činnosti v oblasti presadzovania práva, a preto nie sú z uvedeného dôvodu vylúčené z rozsahu pôsobnosti tejto smernice. Subjekty verejnej správy, ktoré sú zriadené spoločne s treťou krajinou v súlade s medzinárodnou dohodou, sú vylúčené z rozsahu pôsobnosti tejto smernice. Táto smernica sa nevzťahuje na diplomatické a konzulárne misie členských štátov v tretích krajinách ani na ich siete a informačné systémy, pokiaľ sa takéto systémy nachádzajú v priestoroch misie alebo sú prevádzkované pre používateľov v tretej krajine.

(9)

Členské štáty by mali mať možnosť prijať potrebné opatrenia s cieľom zaručiť ochranu základných záujmov národnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť prevenciu, vyšetrovanie, odhaľovanie a stíhanie trestných činov. Na tento účel by členské štáty mali mať možnosť vyňať konkrétne subjekty, ktoré vykonávajú činnosti v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane prevencie, vyšetrovania, odhaľovania a stíhania trestných činov z určitých povinností stanovených v tejto smernici v súvislosti s uvedenými činnosťami. Ak subjekt poskytuje služby výlučne subjektu verejnej správy, ktorý je vylúčený z rozsahu pôsobnosti tejto smernice, členské štáty by mali mať možnosť vyňať daný subjekt z určitých povinností stanovených v tejto smernici v súvislosti s uvedenými službami. Okrem toho by žiaden členský štát nemal byť povinný poskytovať informácie, ktorých sprístupnenie by odporovalo základným záujmom jeho národnej bezpečnosti, verejnej bezpečnosti alebo obrany. V uvedenom kontexte by sa malo prihliadať na pravidlá Únie alebo členských štátov na ochranu utajovaných skutočností, dohody o zachovaní mlčanlivosti a neformálne dohody o zachovaní mlčanlivosti, ako napríklad semaforový protokol. Semaforový protokol sa má chápať ako prostriedok na poskytovanie informácií o akýchkoľvek obmedzeniach, pokiaľ ide o ďalšie šírenie informácií. Používa sa takmer vo všetkých jednotkách pre riešenie počítačových bezpečnostných incidentov (ďalej len „jednotky CSIRT“) a v niektorých centrách pre analýzu a výmenu informácií.

(10)

Hoci sa táto smernica vzťahuje na subjekty vykonávajúce činnosti v oblasti výroby elektrickej energie v jadrových elektrárňach, niektoré z uvedených činností môžu súvisieť s národnou bezpečnosťou. V takom prípade by členský štát mal mať v súlade so zmluvami možnosť uplatniť svoju zodpovednosť za ochranu národnej bezpečnosti v súvislosti s týmito činnosťami vrátane činností v rámci jadrového hodnotového reťazca.

(11)

Niektoré subjekty vykonávajú činnosti v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane prevencie, vyšetrovania, odhaľovania a stíhania trestných činov a zároveň poskytujú dôveryhodné služby. Poskytovatelia dôveryhodných služieb, ktorí patria do rozsahu pôsobnosti nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 (6), by mali patriť do rozsahu pôsobnosti tejto smernice s cieľom zabezpečiť rovnakú úroveň bezpečnostných požiadaviek a dohľadu, aká bola predtým stanovená v uvedenom nariadení, pokiaľ ide o poskytovateľov dôveryhodných služieb. V súlade s vyňatím určitých osobitných služieb z nariadenia (EÚ) č. 910/2014 by sa táto smernica nemala vzťahovať na poskytovanie dôveryhodných služieb, ktoré sa používajú výhradne v uzavretých systémoch na základe vnútroštátneho práva alebo dohôd medzi vymedzenou skupinou účastníkov.

(12)

Poskytovatelia poštových služieb v zmysle smernice Európskeho parlamentu a Rady 97/67/ES (7) vrátane poskytovateľov kuriérskych služieb by mali podliehať tejto smernici, ak zabezpečujú aspoň jeden z krokov v reťazci poštového doručovania, a to najmä vyberanie, triedenie, prepravu alebo distribúciu poštových zásielok vrátane služieb zberu, pričom treba zohľadniť stupeň ich závislosti od sietí a informačných systémov. Dopravné služby, ktoré sa nevykonávajú v spojení s jedným z týchto krokov, by mali byť vyňaté z rozsahu poštových služieb.

(13)

Vzhľadom na zintenzívnenie a zvýšenú sofistikovanosť kybernetických hrozieb by sa členské štáty mali usilovať zabezpečiť, aby subjekty vylúčené z rozsahu pôsobnosti tejto smernice dosiahli vysokú úroveň kybernetickej bezpečnosti, a mali by podporovať vykonávanie rovnocenných opatrení na riadenie kybernetických rizík, ktoré odrážajú citlivú povahu týchto subjektov.

(14)

Na každé spracúvanie osobných údajov podľa tejto smernice sa vzťahuje právo Únie v oblasti ochrany údajov a právo Únie v oblasti ochrany súkromia. Touto smernicou konkrétne nie je dotknuté nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (8) ani smernica Európskeho parlamentu a Rady 2002/58/ES (9). Touto smernicou by preto nemali byť dotknuté okrem iného úlohy a právomoci orgánov príslušných na monitorovanie dodržiavania platného práva Únie v oblasti ochrany údajov a práva Únie v oblasti ochrany súkromia.

(15)

Subjekty, ktoré patria do rozsahu pôsobnosti tejto smernice na účely dodržiavania opatrení na riadenie kybernetických rizík a oznamovacích povinností, by sa mali rozdeliť do dvoch kategórií, na kľúčové subjekty a dôležité subjekty, a to na základe rozsahu, v akom sú kritické, pokiaľ ide o ich odvetvie alebo druh služieb, ktoré poskytujú, ako aj ich veľkosti. V tejto súvislosti by sa v relevantných prípadoch mali náležite zohľadniť aj všetky príslušné odvetvové posúdenia rizík alebo usmernenia zo strany príslušných orgánov. Malo by sa rozlišovať medzi režimom dohľadu a režimom presadzovania práva pre tieto dve kategórie subjektov, aby sa zabezpečila spravodlivá rovnováha medzi požiadavkami a povinnosťami založenými na riziku na jednej strane a administratívnou záťažou vyplývajúcou z dohľadu nad dodržiavaním predpisov na strane druhej.

(16)

S cieľom zabrániť tomu, aby sa subjekty, ktoré majú partnerské podniky, alebo ktoré sú prepojenými podnikmi, považovali za kľúčové alebo dôležité subjekty v prípadoch, kde by to bolo neprimerané, môžu členské štáty pri uplatňovaní článku 6 ods. 2 prílohy k odporúčaniu 2003/361/ES zohľadniť mieru nezávislosti subjektu vo vzťahu k jeho partnerským alebo prepojeným podnikom. Členské štáty môžu zohľadniť najmä skutočnosť, že subjekt je nezávislý od svojich partnerských alebo prepojených podnikov, pokiaľ ide o siete a informačné systémy, ktoré daný subjekt používa pri poskytovaní svojich služieb, a pokiaľ ide o služby, ktoré daný subjekt poskytuje. Na tomto základe môžu členské štáty podľa potreby považovať takýto subjekt za subjekt, ktorý nemožno kvalifikovať ako stredný podnik podľa článku 2 prílohy k odporúčaniu 2003/361/ES, alebo za subjekt, ktorý neprekračuje limity pre stredný podnik stanovené v odseku 1 uvedeného článku, ak by sa po zohľadnení stupňa nezávislosti tohto subjektu tento subjekt nepovažoval za subjekt, ktorý možno kvalifikovať ako stredný podnik alebo ktorý prekračuje uvedené limity v prípade, že by sa zohľadnili len jeho vlastné údaje. Týmto nie sú dotknuté povinnosti, ktoré táto smernica ukladá partnerským a prepojeným podnikom, ktoré patria do rozsahu jej pôsobnosti.

(17)

Členské štáty by mali mať možnosť rozhodnúť, že subjekty, ktoré boli pred nadobudnutím účinnosti tejto smernice identifikované ako prevádzkovatelia základných služieb v súlade so smernicou (EÚ) 2016/1148, sa majú považovať za kľúčové subjekty.

(18)

S cieľom zabezpečiť jasný prehľad o subjektoch, ktoré patria do rozsahu pôsobnosti tejto smernice, by členské štáty mali zostaviť zoznam kľúčových a dôležitých subjektov ako aj subjektov poskytujúcich služby registrácie názvov domén. Na tento účel by členské štáty mali od subjektov vyžadovať, aby príslušným orgánom predložili aspoň tieto informácie, t. j. názov, adresu a aktuálne kontaktné údaje vrátane e-mailových adries, rozsahov IP adries a telefónnych čísel subjektu, a podľa potreby príslušné odvetvie a pododvetvie uvedené v prílohách, ako aj prípadne zoznam členských štátov, v ktorých poskytujú služby patriace do rozsahu pôsobnosti tejto smernice. Na tento účel by Komisia s pomocou Agentúry Európskej únie pre kybernetickú bezpečnosť (ďalej len „ENISA“) mala bez zbytočného odkladu poskytnúť usmernenia a vzory týkajúce sa povinnosti predkladať informácie. S cieľom uľahčiť zostavenie a aktualizáciu zoznamu kľúčových a dôležitých subjektov, ako aj subjektov poskytujúcich služby registrácie názvov domén, by členské štáty mali mať možnosť zaviesť vnútroštátne mechanizmy, pomocou ktorých by sa subjekty mohli zaregistrovať samé. Ak existujú registre na vnútroštátnej úrovni, členské štáty môžu rozhodnúť o vhodných mechanizmoch, ktoré umožnia identifikáciu subjektov, ktoré patria do rozsahu pôsobnosti tejto smernice.

(19)

Členské štáty by mali byť zodpovedné za to, aby Komisii predložili aspoň počet kľúčových a dôležitých subjektov za každé odvetvie a pododvetvie uvedené v prílohách, ako aj relevantné informácie o počte identifikovaných subjektov a o ustanovení tejto smernice, na základe ktorého boli identifikované, a o druhu služieb, ktoré poskytujú. Členské štáty sa vyzývajú, aby si s Komisiou vymieňali informácie o kľúčových a dôležitých subjektoch a v prípade rozsiahleho kybernetického incidentu relevantné informácie, napríklad názov dotknutého subjektu.

(20)

Komisia by mala v spolupráci so skupinou pre spoluprácu a po porade s relevantnými zainteresovanými stranami poskytnúť usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky na účely posúdenia, či patria do rozsahu pôsobnosti tejto smernice. Komisia by takisto mala zabezpečiť, aby sa mikropodnikom a malým podnikom, ktoré patria do rozsahu pôsobnosti tejto smernice, poskytli primerané usmernenia. Komisia by v tejto súvislosti mala s pomocou členských štátov poskytovať informácie mikropodnikom a malým podnikom.

(21)

Komisia by mohla poskytovať usmernenia na podporu členských štátov pri vykonávaní ustanovení tejto smernice týkajúcich sa rozsahu jej pôsobnosti a hodnotení primeranosti opatrení, ktoré sa majú prijať podľa tejto smernice, najmä pokiaľ ide o subjekty s komplexnými obchodnými modelmi alebo prevádzkovým prostredím, keď subjekt môže súčasne spĺňať kritériá pre kľúčové aj dôležité subjekty alebo môže súčasne vykonávať činnosti, z ktorých niektoré patria do rozsahu pôsobnosti tejto smernice a niektoré sú z neho vyňaté.

(22)

V tejto smernici sa stanovuje základ pre opatrenia na riadenie kybernetických rizík a oznamovacie povinnosti v odvetviach, ktoré patria do jej rozsahu pôsobnosti. Aby sa zabránilo fragmentácii ustanovení o kybernetickej bezpečnosti v rámci právnych aktov Únie, Komisia by v prípade, ak sa v záujme zabezpečenia vysokej úrovne kybernetickej bezpečnosti v celej Únii považujú za potrebné ďalšie odvetvové právne akty Únie, ktoré sa týkajú opatrení na riadenie kybernetických rizík a oznamovacích povinností, mala posúdiť, či by sa takéto ďalšie ustanovenia mohli stanoviť vo vykonávacom akte prijatom podľa tejto smernice. V prípade, ak by takýto vykonávací akt nebol na tento účel vhodný, k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti v celej Únii by mohli prispieť odvetvové právne akty Únie, pričom by sa v nich plne zohľadnili špecifiká a zložitosti dotknutých odvetví. Preto sa touto smernicou nebráni prijatiu ďalších odvetvových právnych aktov Únie, ktoré sa zaoberajú opatreniami na riadenie kybernetických rizík a oznamovacími povinnosťami a ktoré riadne zohľadňujú potrebu komplexného a súdržného rámca pre kybernetickú bezpečnosť. Touto smernicou nie sú dotknuté existujúce vykonávacie právomoci, ktoré boli Komisii udelené vo viacerých odvetviach vrátane dopravy a energetiky.

(23)

Ak odvetvový právny akt Únie obsahuje ustanovenia vyžadujúce, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetických rizík, alebo aby oznamovali významné incidenty, a ak majú tieto požiadavky aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, uvedené ustanovenia vrátane ustanovení o dohľade a presadzovaní práva by sa mali vzťahovať na takéto subjekty. Ak sa odvetvový právny akt Únie nevzťahuje na všetky subjekty v konkrétnom odvetví, ktoré patria do rozsahu pôsobnosti tejto smernice, na subjekty, na ktoré sa uvedený akt nevzťahuje, by sa mali naďalej vzťahovať príslušné ustanovenia tejto smernice.

(24)

Ak sa v ustanoveniach odvetvového právneho aktu Únie vyžaduje, aby kľúčové alebo dôležité subjekty dodržiavali oznamovacie povinnosti, ktoré majú aspoň rovnocenný účinok ako oznamovacie povinnosti stanovené v tejto smernici, mala by sa zabezpečiť konzistentnosť a účinnosť vybavovania oznámení o incidentoch. Na tento účel by ustanovenia odvetvového právneho aktu Únie týkajúce sa oznamovania incidentov mali poskytovať jednotkám CSIRT, príslušným orgánom alebo jednotným kontaktným miestam pre kybernetickú bezpečnosť (ďalej len „jednotné kontaktné miesta“) podľa tejto smernice okamžitý prístup k oznámeniam o incidentoch predkladaným v súlade s odvetvovým právnym aktom Únie. Takýto okamžitý prístup možno zabezpečiť najmä vtedy, ak sa oznámenia o incidentoch bez zbytočného odkladu postupujú jednotke CSIRT, príslušnému orgánu alebo jednotnému kontaktnému miestu podľa tejto smernice. V prípade potreby by členské štáty mali zaviesť mechanizmus automatického a priameho oznamovania, ktorý zabezpečí systematickú a okamžitú výmenu informácií s jednotkami CSIRT, príslušnými orgánmi alebo jednotným kontaktným miestom, pokiaľ ide o vybavovanie takýchto oznámení o incidentoch. Na účely zjednodušenia oznamovania a uplatňovania mechanizmu automatického a priameho oznamovania by členské štáty mohli v súlade s odvetvovým právnym aktom Únie používať jednotné kontaktné miesto.

(25)

V odvetvových právnych aktoch Únie, v ktorých sa stanovujú opatrenia na riadenie kybernetických rizík alebo oznamovacie povinnosti, ktoré majú aspoň rovnocenný účinok ako tie, ktoré sú stanovené v tejto smernici, by sa mohlo stanoviť, že príslušné orgány podľa takýchto aktov vykonávajú svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu k takýmto opatreniam alebo povinnostiam s pomocou príslušných orgánov podľa tejto smernice. Dotknuté príslušné orgány by na daný účel mohli uzatvárať dohody o spolupráci. V takýchto dohodách o spolupráci by sa okrem iného mohli špecifikovať postupy týkajúce sa koordinácie činností dohľadu vrátane postupov vyšetrovaní a inšpekcií na mieste v súlade s vnútroštátnym právom a mechanizmus výmeny relevantných informácií o dohľade a presadzovaní práva medzi príslušnými orgánmi vrátane prístupu ku kybernetickým informáciám, ktoré si vyžiadali príslušné orgány podľa tejto smernice.

(26)

Ak sa v odvetvových právnych aktoch Únie vyžadujú alebo poskytujú stimuly pre subjekty, aby oznamovali významné kybernetické hrozby, členské štáty by mali podporovať aj výmenu informácií o významných kybernetických hrozbách s jednotkami CSIRT, príslušnými orgánmi alebo jednotnými kontaktnými miestami podľa tejto smernice, aby sa zabezpečila zvýšená úroveň informovanosti uvedených orgánov o prostredí kybernetických hrozieb a umožnilo sa im účinne a včas reagovať, ak by sa významné kybernetické hrozby naplnili.

(27)

Budúce odvetvové právne akty Únie by mali náležite zohľadňovať vymedzenia pojmov a rámec dohľadu a presadzovania práva, ako sú stanovené v tejto smernici.

(28)

Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 (10) by sa v súvislosti s touto smernicou malo považovať za odvetvový právny akt Únie, pokiaľ ide o finančné subjekty. Namiesto ustanovení tejto smernice by sa mali uplatňovať ustanovenia nariadenia (EÚ) 2022/2554 týkajúce sa riadenia rizík v oblasti informačných a komunikačných technológií (ďalej len „IKT“), riadenia incidentov súvisiacich s IKT, a najmä oznamovania závažných incidentov súvisiacich s IKT, ako aj testovania digitálnej prevádzkovej odolnosti, mechanizmov výmeny informácií a rizík týkajúcich sa IKT zabezpečovaných tretími stranami. Členské štáty by preto nemali uplatňovať ustanovenia tejto smernice týkajúce sa riadenia kybernetických rizík a oznamovacích povinností a dohľadu a presadzovania práva na finančné subjekty, na ktoré sa vzťahuje nariadenie (EÚ) 2022/2554. Zároveň je dôležité zachovať pevné vzťahy a výmenu informácií s finančným odvetvím podľa tejto smernice. Na tento účel nariadenie (EÚ) 2022/2554 umožňuje európskym orgánom dohľadu (ESA) a príslušným orgánom podľa uvedeného nariadenia zúčastňovať sa na činnostiach skupiny pre spoluprácu a vymieňať si informácie a spolupracovať s jednotnými kontaktnými miestami, ako aj s jednotkami CSIRT a príslušnými orgánmi podľa tejto smernice. Príslušné orgány podľa nariadenia (EÚ) 2022/2554 by mali tiež zasielať podrobné údaje o závažných incidentoch súvisiacich s IKT a v prípade potreby o významných kybernetických hrozbách jednotkám CSIRT, príslušným orgánom alebo jednotným kontaktným miestam podľa tejto smernice. To je možné dosiahnuť poskytnutím okamžitého prístupu k oznámeniam o incidentoch a ich postúpením buď priamo alebo prostredníctvom jednotného kontaktného miesta. Členské štáty by okrem toho mali naďalej začleňovať finančné odvetvie do svojich stratégií kybernetickej bezpečnosti a jednotky CSIRT môžu zahrnúť finančné odvetvie do svojich činností.

(29)

Aby sa zabránilo medzerám alebo duplicite, pokiaľ ide o povinnosti v oblasti kybernetickej bezpečnosti uložené subjektom v odvetví letectva, vnútroštátne orgány podľa nariadení Európskeho parlamentu a Rady (ES) č. 300/2008 (11) a (EÚ) 2018/1139 (12) a príslušné orgány podľa tejto smernice by mali spolupracovať v súvislosti s vykonávaním opatrení na riadenie kybernetických rizík a dohľadom nad dodržiavaním týchto opatrení na vnútroštátnej úrovni. Súlad subjektu s bezpečnostnými požiadavkami stanovenými v nariadeniach (ES) č. 300/2008 a (EÚ) 2018/1139 a v príslušných delegovaných a vykonávacích aktoch prijatých podľa uvedených nariadení by príslušné orgány mohli považovať za súlad so zodpovedajúcimi požiadavkami stanovenými v tejto smernici.

(30)

Vzhľadom na prepojenia medzi kybernetickou bezpečnosťou a fyzickou bezpečnosťou subjektov by sa mal zabezpečiť jednotný prístup medzi smernicou Európskeho parlamentu a Rady (EÚ) 2022/2557 (13) a touto smernicou. Na dosiahnutie tohto cieľa by sa subjekty identifikované ako kritické subjekty podľa smernice (EÚ) 2022/2557 mali považovať za kľúčové subjekty podľa tejto smernice. Každý členský štát by navyše mal zabezpečiť, aby sa v jeho národnej stratégii kybernetickej bezpečnosti stanovil politický rámec pre posilnenú koordináciu v rámci daného členského štátu medzi jeho príslušnými orgánmi podľa tejto smernice a jeho príslušnými orgánmi podľa smernice (EÚ) 2022/2557 v kontexte výmeny informácií o rizikách, kybernetických hrozbách a incidentoch, ako aj o nekybernetických rizikách, hrozbách a incidentoch a v kontexte plnenia úloh v oblasti dohľadu. Príslušné orgány podľa tejto smernice a príslušné orgány podľa smernice (EÚ) 2022/2557 by mali spolupracovať a vymieňať si informácie bez zbytočného odkladu, najmä pokiaľ ide o identifikáciu kritických subjektov, riziká, kybernetické hrozby a incidenty, ako aj nekybernetické riziká, hrozby a incidenty, ktoré ovplyvňujú kritické subjekty, vrátane kybernetických a fyzických opatrení prijatých kritickými subjektmi, ako aj výsledkov činností dohľadu vykonávaných v súvislosti s takýmito subjektmi.

Okrem toho, s cieľom zefektívniť činnosti dohľadu medzi príslušnými orgánmi podľa tejto smernice a príslušnými orgánmi podľa smernice (EÚ) 2022/2557 a s cieľom minimalizovať administratívnu záťaž dotknutých subjektov, by sa uvedené príslušné orgány mali usilovať zharmonizovať vzorové formuláre na oznamovanie incidentov a postupy dohľadu. V prípade potreby by príslušné orgány podľa smernice (EÚ) 2022/2557 mali mať možnosť požiadať príslušné orgány podľa tejto smernice, aby vykonávali svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu k subjektu, ktorý je identifikovaný ako kritický subjekt podľa smernice (EÚ) 2022/2557. Na tento účel by príslušné orgány podľa tejto smernice a príslušné orgány podľa smernice (EÚ) 2022/2557 mali, podľa možnosti v reálnom čase, spolupracovať a vymieňať si informácie.

(31)

Subjekty patriace do odvetvia digitálnej infraštruktúry sú v podstate založené na sieťach a informačných systémoch, a preto by sa povinnosti, ktoré týmto subjektom podľa tejto smernice, mali komplexným spôsobom zaoberať fyzickou bezpečnosťou takýchto systémov ako súčasťou ich opatrení na riadenie kybernetických rizík a oznamovacích povinností. Keďže sa na uvedené záležitosti vzťahuje táto smernica, povinnosti stanovené v kapitolách III, IV a VI smernice (EÚ) 2022/2557 sa na takéto subjekty nevzťahujú.

(32)

Podpora a ochrana spoľahlivého, odolného a bezpečného systému názvov domén (ďalej len „DNS“ - domain name system) sú kľúčovým faktorom zachovania integrity internetu a sú nevyhnutné pre jeho nepretržité a stabilné fungovanie, od ktorého závisí digitálne hospodárstvo a spoločnosť. Táto smernica by sa preto mala vzťahovať na správcov názvov domén najvyššej úrovne (ďalej len „TLD“ - top-level-domain) a poskytovateľov služieb DNS, ktorí sa majú chápať ako subjekty poskytujúce verejne dostupné služby rekurzívneho rozlišovania názvov domén pre koncových používateľov internetu alebo služby autoritatívneho rozlišovania názvov domén pre použitie tretími stranami. Táto smernica by sa nemala vzťahovať na koreňové názvové servery.

(33)

Služby cloud computingu by mali zahŕňať digitálne služby, ktoré umožňujú správu na požiadanie a vzdialený širokopásmový prístup ku škálovateľnému a pružnému súboru zdieľateľných počítačových zdrojov, a to aj ak sa tieto zdroje nachádzajú na viacerých miestach. Počítačové zdroje zahŕňajú zdroje, ako sú siete, servery alebo iná infraštruktúra, operačné systémy, softvér, úložiská, aplikácie a služby. Modely služieb cloud computingu zahŕňajú okrem iného infraštruktúru ako službu (IaaS), platformu ako službu (PaaS), softvér ako službu (SaaS) a sieť ako službu (NaaS). Modely zavádzania cloud computingu by mali zahŕňať súkromný, komunitný, verejný a hybridný cloud. Modely služieb a nasadenia cloud computingu majú rovnaký význam ako podmienky poskytovania služieb a modely nasadenia vymedzené v norme ISO/IEC 17788:2014. Schopnosť používateľa cloud computingu jednostranne si zabezpečovať počítačové kapacity, ako je serverový čas alebo sieťové úložisko, bez ľudskej interakcie zo strany poskytovateľa služieb cloud computingu by sa mohla opísať ako správa na požiadanie.

Pojem „širokopásmový vzdialený prístup“ sa používa na opis toho, že cloudové kapacity sú poskytované cez sieť a prístupné prostredníctvom mechanizmov na podporu využívania heterogénnych tenkých alebo hrubých klientskych platforiem vrátane mobilných telefónov, tabletov, laptopov a pracovných staníc. Pojem „škálovateľné“ odkazuje na počítačové zdroje, ktoré pružne prideľuje poskytovateľ cloudových služieb bez ohľadu na zemepisnú polohu zdrojov s cieľom zvládať výkyvy v dopyte. Pojem „pružný súbor“ sa používa na označenie počítačových zdrojov, ktoré sa poskytujú a uvoľňujú na základe dopytu s cieľom rýchlo zvýšiť a znížiť dostupné zdroje v závislosti od záťaže. Pojem „zdieľateľný“ sa používa na označenie počítačových zdrojov, ktoré sa poskytujú viacerým používateľom, ktorí zdieľajú spoločný prístup k službe, ale spracúvanie sa vykonáva oddelene pre každého používateľa, hoci sa služba poskytuje z toho istého elektronického zariadenia. Pojem „distribuovaný“ sa používa na opis počítačových zdrojov, ktoré sa nachádzajú v rôznych sieťových počítačoch alebo zariadeniach a ktoré navzájom komunikujú a koordinujú sa prenosom správ.

(34)

Vzhľadom na vznik inovatívnych technológií a nových obchodných modelov sa očakáva, že sa na vnútornom trhu objavia nové modely služieb a nasadenia cloud computingu v reakcii na vyvíjajúce sa potreby zákazníkov. V tejto súvislosti sa služby cloud computingu môžu poskytovať vo vysoko distribuovanej forme, ešte bližšie k miestu, kde sa údaje generujú alebo zhromažďujú, čím sa prechádza od tradičného modelu k vysoko distribuovanému modelu (edge computing).

(35)

Služby ponúkané poskytovateľmi služieb dátového centra sa nemusia vždy poskytovať vo forme služby cloud computingu. Dátové centrá preto nemusia vždy tvoriť súčasť infraštruktúry cloud computingu. S cieľom riadiť všetky riziká spojené s bezpečnosťou sietí a informačných systémov by sa táto smernica preto mala vzťahovať na poskytovateľov služieb dátového centra, ktoré nie sú službami cloud computingu. Na účely tejto smernice by sa pojem „služba dátového centra“ mal vzťahovať na poskytovanie služby, ktorá zahŕňa štruktúry alebo skupiny štruktúr určené na centralizované umiestnenie, vzájomné prepojenie a prevádzku informačných technológií (IT) a sieťového vybavenia poskytujúcich služby ukladania, spracovania a prepravy dát spolu so všetkými zariadeniami a infraštruktúrami na distribúciu elektrickej energie a environmentálnu kontrolu. Pojem „služba dátového centra“ by sa nemal vzťahovať na interné podnikové dátové centrá vlastnené a prevádzkované na vlastné účely príslušného subjektu.

(36)

Výskumné činnosti zohrávajú kľúčovú úlohu pri vývoji nových produktov a procesov. Mnohé z uvedených činností vykonávajú subjekty, ktoré poskytujú, šíria alebo využívajú výsledky svojho výskumu na komerčné účely. Tieto subjekty preto môžu byť dôležitými aktérmi v hodnotových reťazcoch, vďaka čomu sa bezpečnosť ich sietí a informačných systémov stáva neoddeliteľnou súčasťou celkovej kybernetickej bezpečnosti vnútorného trhu. Výskumné organizácie by sa mali chápať tak, že zahŕňajú subjekty, ktoré zameriavajú podstatnú časť svojich činností na vykonávanie aplikovaného výskumu alebo experimentálneho vývoja v zmysle príručky vydanej Organizáciou pre hospodársku spoluprácu a rozvoj pod názvom Frascati Manual 2015: Guidelines for Collecting and Reporting Data on Research and Experimental Development (Usmernenia pre zber a vykazovanie údajov o výskume a experimentálnom vývoji), a to s cieľom využiť ich výsledky na komerčné účely, ako je výroba alebo vývoj výrobku či procesu, poskytovanie služby, alebo ich uvádzanie na trh.

(37)

Rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach ako sú energetika, doprava, digitálna infraštruktúra, pitná voda a odpadová voda, zdravie, určité aspekty verejnej správy, ako aj kozmický priestor, pokiaľ ide o poskytovanie určitých služieb závislých od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahuje na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírneho programu. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Intenzívnejšie kybernetické útoky počas pandémie ochorenia COVID-19 ukázali zraniteľnosť čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou.

(38)

Vzhľadom na rozdiely vo vnútroštátnych štruktúrach riadenia a s cieľom zachovať už existujúce odvetvové dohody alebo orgány dohľadu a regulačné orgány Únie by členské štáty mali mať možnosť určiť alebo zriadiť jeden alebo viaceré príslušné orgány zodpovedné za kybernetickú bezpečnosť a úlohy dohľadu podľa tejto smernice.

(39)

V záujme uľahčenia cezhraničnej spolupráce a komunikácie orgánov a s cieľom umožniť účinné vykonávanie tejto smernice je potrebné, aby každý členský štát určil jednotné kontaktné miesto zodpovedné za koordináciu záležitostí týkajúcich sa bezpečnosti sietí a informačných systémov a cezhraničnú spoluprácu na úrovni Únie.

(40)

Jednotné kontaktné miesta by mali zabezpečiť účinnú cezhraničnú spoluprácu s relevantnými orgánmi iných členských štátov a v prípade potreby s Komisiou a agentúrou ENISA. Jednotné kontaktné miesta by preto na žiadosť jednotky CSIRT alebo príslušného orgánu mali byť poverené zasielaním oznámení o významných incidentoch s cezhraničným dosahom jednotným kontaktným miestam iných postihnutých členských štátov. Na vnútroštátnej úrovni by jednotné kontaktné miesta mali umožňovať bezproblémovú medziodvetvovú spoluprácu s inými príslušnými orgánmi. Jednotné kontaktné miesta by mohli byť aj adresátmi relevantných informácií o incidentoch týkajúcich sa finančných subjektov od príslušných orgánov podľa nariadenia (EÚ) 2022/2554, ktoré by mali byť podľa potreby schopné postúpiť jednotkám CSIRT alebo príslušným orgánom podľa tejto smernice.

(41)

Členské štáty by mali mať primerané vybavenie, pokiaľ ide o technické a organizačné spôsobilosti, aby mohli predchádzať incidentom a rizikám, odhaľovať ich, reagovať na ne a zmierňovať ich vplyv. Členské štáty by preto mali zriadiť alebo určiť jednu alebo viacero jednotiek CSIRT podľa tejto smernice a zabezpečiť, aby mali primerané zdroje a technické kapacity. Jednotky CSIRT by mali spĺňať požiadavky stanovené v tejto smernici s cieľom zaručiť účinné a zlučiteľné kapacity na riešenie incidentov a rizík a zabezpečiť účinnú spoluprácu na úrovni Únie. Členské štáty by mali mať možnosť určiť existujúce tímy reakcie na núdzové počítačové situácie (CERT) za jednotky CSIRT. S cieľom posilniť dôverný vzťah medzi subjektmi a jednotkami CSIRT v prípadoch, keď je jednotka CSIRT súčasťou príslušného orgánu, by členské štáty mali mať možnosť zvážiť funkčné oddelenie operačných úloh poskytovaných jednotkami CSIRT, najmä pokiaľ ide o výmenu informácií a pomoc poskytovanú subjektom, od činností dohľadu príslušných orgánov.

(42)

Jednotky CSIRT sú poverené riešením incidentov. To zahŕňa spracovanie veľkých objemov niekedy citlivých údajov. Členské štáty by mali zabezpečiť, aby jednotky CSIRT mali infraštruktúru na výmenu a spracovanie informácií, ako aj dobre vybavený personál, ktorý zabezpečí dôvernosť a dôveryhodnosť ich operácií. Jednotky CSIRT by v tejto súvislosti mohli prijať aj kódexy správania.

(43)

Pokiaľ ide o osobné údaje, jednotky CSIRT by mali mať možnosť vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 na žiadosť kľúčového alebo dôležitého subjektu proaktívnu kontrolu sietí a informačných systémov používaných na poskytovanie služieb subjektu. Členské štáty by sa mali podľa potreby zamerať na zabezpečenie rovnakej úrovne technických kapacít pre všetky odvetvové jednotky CSIRT. Členské štáty by pri zriaďovaní svojich jednotiek CSIRT mali mať možnosť požiadať o pomoc agentúru ENISA.

(44)

Jednotky CSIRT by mali byť na žiadosť kľúčového alebo dôležitého subjektu schopné monitorovať aktíva subjektu orientované na internet v jeho priestoroch aj mimo nich s cieľom identifikovať, pochopiť a riadiť celkové organizačné riziká subjektu, pokiaľ ide o novoobjavené ohrozenia dodávateľského reťazca alebo kritické zraniteľnosti. Subjekt by sa mal nabádať, aby jednotke CSIRT oznámil, či prevádzkuje privilegované riadiace rozhranie, keďže by to mohlo ovplyvniť rýchlosť vykonávania zmierňujúcich opatrení.

(45)

Vzhľadom na význam medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti by sa malo jednotkám CSIRT umožniť, aby sa okrem siete jednotiek CSIRT zriadenej podľa tejto smernice mohli stať súčasťou sietí medzinárodnej spolupráce. Jednotky CSIRT a príslušné orgány by preto na účely vykonávania svojich úloh mali mať možnosť vymieňať si informácie vrátane osobných údajov s národnými jednotkami reakcie na počítačové bezpečnostné incidenty alebo príslušnými orgánmi tretích krajín za predpokladu, že sú splnené podmienky podľa práva Únie v oblasti ochrany údajov pre prenosy osobných údajov do tretích krajín, okrem iného podmienky podľa článku 49 nariadenia (EÚ) 2016/679.

(46)

Je nevyhnutné zabezpečiť primerané zdroje na splnenie cieľov tejto smernice a umožniť príslušným orgánom a jednotkám CSIRT vykonávať úlohy stanovené v tejto smernici. Členské štáty môžu na vnútroštátnej úrovni zaviesť mechanizmus financovania na pokrytie potrebných výdavkov v súvislosti s plnením úloh verejných subjektov zodpovedných za kybernetickú bezpečnosť v členskom štáte podľa tejto smernice. Takýto mechanizmus by mal byť v súlade s právom Únie a mal by byť primeraný a nediskriminačný a mal by zohľadňovať rôzne prístupy k poskytovaniu bezpečných služieb.

(47)

Sieť jednotiek CSIRT by mala naďalej prispievať k posilňovaniu dôvery a podporovať rýchlu a účinnú operačnú spoluprácu medzi členskými štátmi. S cieľom posilniť operačnú spoluprácu na úrovni Únie by sieť jednotiek CSIRT mala zvážiť prizývanie orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Europol, k účasti na svojej práci.

(48)

Na účely dosiahnutia a udržania vysokej úrovne kybernetickej bezpečnosti by národné stratégie kybernetickej bezpečnosti požadované podľa tejto smernice mali pozostávať zo súdržných rámcov stanovujúcich strategické ciele a priority v oblasti kybernetickej bezpečnosti a systém riadenia na ich dosiahnutie. Uvedené stratégie sa môžu skladať z jedného alebo viacerých legislatívnych alebo nelegislatívnych nástrojov.

(49)

Politiky kybernetickej hygieny poskytujú základy pre ochranu infraštruktúry sietí a informačných systémov, bezpečnosť hardvéru, softvéru a online aplikácií a ochranu obchodných údajov alebo údajov o koncových používateľoch, na ktoré sa subjekty spoliehajú. Politiky kybernetickej hygieny zahŕňajúce spoločný základný súbor postupov vrátane aktualizácií softvéru a hardvéru, zmeny hesiel, riadenia nových inštalácií, obmedzenia prístupových účtov na úrovni správcu a zálohovania údajov umožňujú proaktívny rámec pripravenosti a celkovej bezpečnosti a ochrany v prípade incidentov alebo kybernetických hrozieb. Agentúra ENISA by mala monitorovať a analyzovať politiky členských štátov v oblasti kybernetickej hygieny.

(50)

Informovanosť o kybernetickej bezpečnosti a kybernetická hygiena sú nevyhnutné na zvýšenie úrovne kybernetickej bezpečnosti v Únii, najmä vzhľadom na rastúci počet pripojených zariadení, ktoré sa čoraz viac využívajú pri kybernetických útokoch. Malo by sa vyvinúť úsilie na zvýšenie celkovej informovanosti o rizikách súvisiacich s takýmito zariadeniami, zatiaľ čo posúdenia na úrovni Únie by mohli pomôcť zabezpečiť spoločné chápanie takýchto rizík na vnútornom trhu.

(51)

Členské štáty by mali podporovať využívanie každej inovatívnej technológie vrátane umelej inteligencie, ktorej používanie by mohlo zlepšiť odhaľovanie a prevenciu kybernetických útokov, čo by umožnilo účinnejšie presmerovanie zdrojov na kybernetické útoky. Členské štáty by preto mali vo svojich národných stratégiách kybernetickej bezpečnosti podporovať činnosti v oblasti výskumu a vývoja s cieľom uľahčiť používanie takýchto technológií, najmä tých, ktoré sa týkajú automatizovaných alebo poloautomatizovaných nástrojov v oblasti kybernetickej bezpečnosti, a v prípade potreby spoločné využívanie údajov potrebných na odbornú prípravu používateľov takejto technológie a na jej zlepšenie. Používanie akejkoľvek inovatívnej technológie vrátane umelej inteligencie by malo byť v súlade s právom Únie v oblasti ochrany údajov vrátane zásad ochrany údajov, ktorými sú presnosť údajov, minimalizácia údajov, spravodlivosť a transparentnosť a bezpečnosť údajov, napríklad využitím najmodernejšieho šifrovania. Mali by sa v plnej miere využiť požiadavky na špecificky navrhnutú a štandardnú ochranu údajov stanovené v nariadení (EÚ) 2016/679.

(52)

Nástroje a aplikácie kybernetickej bezpečnosti s otvoreným zdrojovým kódom môžu prispieť k vyššej miere otvorenosti a môžu mať pozitívny vplyv na efektívnosť priemyselných inovácií. Otvorené normy uľahčujú interoperabilitu medzi bezpečnostnými nástrojmi, čo je prínosom pre bezpečnosť zainteresovaných strán z oblasti priemyslu. Nástroje a aplikácie kybernetickej bezpečnosti s otvoreným zdrojovým kódom môžu mobilizovať širšiu komunitu vývojárov a umožniť diverzifikáciu dodávateľov. Otvorený zdrojový kód môže viesť k transparentnejšiemu procesu overovania nástrojov súvisiacich s kybernetickou bezpečnosťou a ku komunitnému procesu objavovania zraniteľností. Členské štáty by preto mali mať možnosť podporovať používanie softvéru s otvoreným zdrojovým kódom a otvorených noriem uplatňovaním politík týkajúcich sa využívania otvorených údajov a otvoreného zdrojového kódu ako súčasti bezpečnosti prostredníctvom transparentnosti. Politiky podporujúce zavedenie a udržateľné využívanie nástrojov kybernetickej bezpečnosti s otvoreným zdrojovým kódom majú osobitný význam pre malé a stredné podniky, ktoré čelia značným nákladom na vykonávanie, ktoré by sa mohli minimalizovať znížením potreby špecifických aplikácií alebo nástrojov.

(53)

Verejnoprospešné služby sú čoraz viac napojené na digitálne siete v mestách s cieľom zlepšiť siete mestskej dopravy, modernizovať zariadenia na zásobovanie vodou a zneškodňovanie odpadu a zvýšiť efektívnosť osvetlenia a vykurovania budov. Uvedené digitalizované verejnoprospešné služby sú zraniteľné voči kybernetickým útokom a v prípade úspešného kybernetického útoku predstavujú riziko poškodenia občanov vo veľkom rozsahu z dôvodu ich vzájomnej prepojenosti. Členské štáty by mali v rámci svojej národnej stratégie kybernetickej bezpečnosti vypracovať politiku, ktorá sa bude zaoberať rozvojom takýchto prepojených alebo inteligentných miest a ich potenciálnym vplyvom na spoločnosť.

(54)

V posledných rokoch Únia čelila exponenciálnemu nárastu ransomvérových útokov, pri ktorých malvér šifruje údaje a systémy a požaduje platbu výkupného za odblokovanie. Nárast frekvencie a závažnosti ransomvérových útokov môže byť spôsobený viacerými faktormi, ako sú rôzne modely útokov, kriminálne obchodné modely súvisiace s „ransomvérom ako službou“ a kryptomenami, požiadavky na výkupné a nárast útokov na dodávateľské reťazce. Členské štáty by mali v rámci svojich národných stratégií kybernetickej bezpečnosti vypracovať politiku, ktorá bude riešiť nárast ransomvérových útokov.

(55)

Verejno-súkromné partnerstvá v oblasti kybernetickej bezpečnosti môžu poskytnúť vhodný rámec pre výmenu znalostí, výmenu najlepších postupov a vytvorenie spoločnej úrovne porozumenia medzi zainteresovanými stranami. Členské štáty by mali presadzovať politiky na podporu vytvárania verejno-súkromných partnerstiev zameraných špecificky na kybernetickú bezpečnosť. Pokiaľ ide o verejno-súkromné partnerstvá, uvedené politiky by mali spresniť okrem iného ich pôsobnosť a zapojené zainteresované strany, model riadenia, dostupné možnosti financovania a interakciu medzi zúčastnenými zainteresovanými stranami. Verejno-súkromné partnerstvá môžu využívať odborné znalosti subjektov súkromného sektora na pomoc príslušným orgánom pri rozvoji špičkových služieb a procesov vrátane výmeny informácií, včasného varovania, cvičení zameraných na kybernetické hrozby a incidenty, krízového riadenia a plánovania odolnosti.

(56)

Členské štáty by sa mali vo svojich národných stratégiách kybernetickej bezpečnosti zaoberať osobitnými potrebami, ktoré majú v oblasti kybernetickej bezpečnosti malé a stredné podniky. Malé a stredné podniky predstavujú v celej Únii veľký percentuálny podiel priemyselného a obchodného trhu a často majú ťažkosti s prispôsobením sa novým obchodným postupom v prepojenejšom svete a digitálnemu prostrediu, v ktorom zamestnanci pracujú z domu a obchodné činnosti sa čoraz častejšie vykonávajú online. Niektoré malé a stredné podniky čelia osobitným výzvam v oblasti kybernetickej bezpečnosti, ako je nízke kybernetické povedomie, nedostatočná bezpečnosť vzdialených IT, vysoké náklady na riešenia v oblasti kybernetickej bezpečnosti a zvýšená úroveň hrozieb, ako je napríklad ransomvér, v súvislosti s ktorými by mali dostať usmernenia a podporu. Malé a stredné podniky sa čoraz viac stávajú terčom útokov na dodávateľské reťazce z dôvodu ich menej prísnych opatrení na riadenie kybernetických rizík a zvládanie útokov a skutočnosti, že majú obmedzené bezpečnostné zdroje. Takéto útoky na dodávateľské reťazce majú vplyv nielen na malé a stredné podniky a ich izolovanú činnosť, ale môžu mať aj kaskádový účinok na väčšie útoky na subjekty, ktorým poskytli dodávky. Členské štáty by mali prostredníctvom svojich národných stratégií kybernetickej bezpečnosti pomáhať malým a stredným podnikom pri riešení výziev, ktorým čelia vo svojich dodávateľských reťazcoch. Členské štáty by mali mať kontaktné miesto pre malé a stredné podniky na národnej alebo regionálnej úrovni, ktoré buď poskytuje usmernenia a pomoc malým a stredným podnikom, alebo ich nasmeruje na príslušné orgány, ktoré im poskytnú usmernenia a pomoc, pokiaľ ide o otázky súvisiace s kybernetickou bezpečnosťou. Členské štáty sa tiež nabádajú, aby mikropodnikom a malým podnikom, ktoré nemajú takéto kapacity, ponúkali služby, ako je konfigurácia a protokolovanie webových stránok.

(57)

Členské štáty by mali v rámci svojich národných stratégií kybernetickej bezpečnosti prijať politiky na podporu aktívnej kybernetickej ochrany ako súčasti širšej obrannej stratégie. Aktívna kybernetická ochrana je aktívna prevencia, odhaľovanie, monitorovanie, analýza a zmierňovanie narušení bezpečnosti siete v spojení s využitím spôsobilostí nasadených v zasiahnutej sieti a mimo nej, a nie reaktívne reagovanie. Mohla by zahŕňať poskytovanie bezplatných služieb alebo nástrojov určitým subjektom zo strany členských štátov, a to vrátane samoobslužných kontrol, detekčných nástrojov a služieb odstraňovania. Schopnosť rýchlo a automaticky si vymieňať a pochopiť informácie a analýzy týkajúce sa hrozieb, varovaní pred kybernetickou činnosťou a opatrení reakcie je zásadne dôležitá pre umožnenie jednotného úsilia o úspešnú prevenciu, odhaľovanie, riešenie a blokovanie útokov proti sieťam a informačným systémom. Aktívna kybernetická ochrana je založená na obrannej stratégii, ktorá vylučuje ofenzívne opatrenia.

(58)

Keďže využívanie zraniteľností v sieťach a informačných systémoch môže spôsobiť značné narušenie a škody, rýchla identifikácia a náprava takýchto zraniteľností je dôležitým faktorom pri znižovaní rizika. Subjekty, ktoré vyvíjajú alebo spravujú siete a informačné systémy, by preto mali zaviesť vhodné postupy na riešenie zistených zraniteľností. Keďže zraniteľnosti často odhaľujú a zverejňujú tretie strany, výrobca alebo poskytovateľ produktov IKT alebo služieb IKT by mal zaviesť aj potrebné postupy na prijímanie informácií o zraniteľnosti od tretích strán. V tejto súvislosti sa v medzinárodných normách ISO/IEC 30111 a ISO/IEC 29147 poskytujú usmernenia na riešenie zraniteľností a na poskytovanie informácií o zraniteľnostiach. Na umožnenie dobrovoľného rámca pre zverejňovanie zraniteľností je obzvlášť dôležité posilnenie koordinácie medzi oznamujúcimi fyzickými a právnickými osobami a výrobcami alebo poskytovateľmi produktov IKT alebo služieb IKT. Koordinované zverejňovanie zraniteľností stanovuje štruktúrovaný proces, v rámci ktorého sa zraniteľnosti hlásia výrobcovi alebo poskytovateľovi potenciálne zraniteľných produktov IKT alebo služieb IKT takým spôsobom, ktorý mu umožňuje diagnostikovať a odstrániť zraniteľnosť pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Koordinované zverejňovanie zraniteľností by malo zahŕňať aj koordináciu medzi oznamujúcou fyzickou alebo právnickou osobou a výrobcom alebo poskytovateľom potenciálne zraniteľných produktov IKT alebo služieb IKT, pokiaľ ide o načasovanie nápravy a zverejnenie zraniteľností.

(59)

Komisia, agentúra ENISA a členské štáty by mali naďalej podporovať zosúlaďovanie s medzinárodnými normami a existujúcimi najlepšími odvetvovými postupmi v oblasti riadenia kybernetických rizík, napríklad v oblastiach posudzovania bezpečnosti dodávateľského reťazca, výmeny informácií a poskytovania informácií o zraniteľnostiach.

(60)

Členské štáty v spolupráci s agentúrou ENISA by mali prijať opatrenia na uľahčenie koordinovaného zverejňovania zraniteľností zavedením príslušnej vnútroštátnej politiky. V rámci svojej vnútroštátnej politiky by sa členské štáty mali snažiť v súlade s vnútroštátnym právom v čo najväčšej miere riešiť výzvy, ktorým čelia výskumníci zaoberajúci sa zraniteľnosťami, vrátane ich možného vystavenia sa trestnej zodpovednosti. Vzhľadom na to, že fyzické a právnické osoby, ktoré skúmajú zraniteľnosti, by v niektorých členských štátoch mohli byť vystavené trestnej a občianskoprávnej zodpovednosti, členské štáty sa nabádajú, aby prijali usmernenia týkajúce sa nestíhania výskumníkov v oblasti bezpečnosti informácií a udelenia výnimky z občianskoprávnej zodpovednosti za ich činnosti.

(61)

Členské štáty by mali určiť jednu zo svojich jednotiek CSIRT ako koordinátora, ktorý by v prípade potreby pôsobil ako dôveryhodný sprostredkovateľ medzi oznamujúcimi fyzickými alebo právnickými osobami a výrobcami alebo poskytovateľmi produktov IKT alebo služieb IKT, v prípade ktorých je pravdepodobné, že budú dotknuté danou zraniteľnosťou. Úlohy jednotky CSIRT určenej za koordinátora by mali zahŕňať identifikáciu a kontaktovanie dotknutých subjektov, pomoc fyzickým alebo právnickým osobám oznamujúcim zraniteľnosť, rokovania o harmonograme zverejňovania a riadenie zraniteľností, ktoré majú vplyv na viaceré subjekty (viacstranné koordinované zverejňovanie zraniteľností). Ak by oznámená zraniteľnosť mohla mať významný vplyv na subjekty vo viac ako jednom členskom štáte, jednotky CSIRT určené za koordinátorov by mali podľa potreby spolupracovať v rámci siete jednotiek CSIRT.

(62)

Prístup k správnym a včasným informáciám o zraniteľnostiach ovplyvňujúcich produkty IKT a služby IKT prispieva k lepšiemu riadeniu kybernetických rizík. Zdroje verejne dostupných informácií o zraniteľnostiach sú dôležitým nástrojom pre subjekty a používateľov ich služieb, ale aj pre príslušné orgány a jednotky CSIRT. Z tohto dôvodu by agentúra ENISA mala zriadiť európsku databázu zraniteľností, v ktorej by subjekty, bez ohľadu nato, či patria do rozsahu pôsobnosti tejto smernice, a ich dodávatelia sietí a informačných systémov, ako aj príslušné orgány a jednotky CSIRT, mohli dobrovoľne zverejňovať a registrovať verejne známe zraniteľnosti s cieľom umožniť používateľom prijať vhodné zmierňujúce opatrenia. Cieľom uvedenej databázy je riešiť jedinečné výzvy, ktoré riziká predstavujú pre subjekty v Únii. Agentúra ENISA by okrem toho mala zaviesť vhodný postup, pokiaľ ide o proces zverejňovania, s cieľom poskytnúť subjektom čas na prijatie opatrení na zmiernenie ich zraniteľností a zaviesť najmodernejšie opatrenia na riadenie kybernetických rizík, ako aj strojovo čitateľné súbory údajov a zodpovedajúce rozhrania. S cieľom podporiť kultúru zverejňovania zraniteľností by zverejnenie nemalo spôsobiť žiadnu ujmu oznamujúcej fyzickej alebo právnickej osobe.

(63)

Hoci podobné registre alebo databázy zraniteľností existujú, ich hostiteľmi a správcami sú subjekty, ktoré nie sú usadené v Únii. Európska databáza zraniteľností vedená agentúrou ENISA by zabezpečila lepšiu transparentnosť, pokiaľ ide o proces zverejňovania pred tým, ako je daná zraniteľnosť verejne oznámená, ako aj odolnosť v prípade narušenia alebo prerušenia poskytovania podobných služieb. S cieľom v čo najväčšej miere zabrániť duplicite úsilia a usilovať sa o komplementárnosť by agentúra ENISA mala preskúmať možnosť uzatvorenia dohôd o štruktúrovanej spolupráci s podobnými registrami alebo databázami, ktoré patria do právomoci tretích krajín. Agentúra ENISA by mala preskúmať najmä možnosť úzkej spolupráce s prevádzkovateľmi systému spoločných zraniteľností a expozícií (CVE).

(64)

Skupina pre spoluprácu by mala podporovať a uľahčovať strategickú spoluprácu a výmenu informácií a tiež posilňovať dôveru medzi členskými štátmi. Skupina pre spoluprácu by mala každé dva roky stanoviť pracovný program. Pracovný program by mal zahŕňať opatrenia, ktoré má skupina pre spoluprácu vykonať na plnenie svojich cieľov a úloh. Časový rámec na stanovenie prvého pracovného programu podľa tejto smernice by sa mal zosúladiť s časovým rámcom posledného pracovného programu stanoveného podľa smernice (EÚ) 2016/1148 s cieľom zabrániť možným narušeniam práce skupiny pre spoluprácu.

(65)

Pri vypracúvaní usmerňujúcich dokumentov by skupina pre spoluprácu mala dôsledne zmapovať vnútroštátne riešenia a skúsenosti, posúdiť vplyv výstupov skupiny pre spoluprácu na vnútroštátne prístupy, diskutovať o výzvach pri vykonávaní a formulovať konkrétne odporúčania, najmä pokiaľ ide o uľahčenie zosúladenia pri transpozícii tejto smernice medzi členskými štátmi, ktoré sa má dosiahnuť lepším vykonávaním existujúcich pravidiel. Skupina pre spoluprácu by mohla zmapovať aj vnútroštátne riešenia s cieľom podporiť kompatibilitu riešení v oblasti kybernetickej bezpečnosti uplatňovaných v každom konkrétnom odvetví v celej Únii. Týka sa to najmä odvetví, ktoré majú medzinárodný alebo cezhraničný charakter.

(66)

Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mohla by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny pre spoluprácu a zhromažďovať údaje a informácie o nových politických výzvach. Skupina pre spoluprácu by okrem toho mala pravidelne posudzovať súčasný stav kybernetických hrozieb alebo incidentov, ako je ransomvér. S cieľom posilniť spoluprácu na úrovni Únie by skupina pre spoluprácu mala zvážiť prizývanie relevantných inštitúcií, orgánov, úradov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Európsky parlament, Europol, Európsky výbor pre ochranu údajov, Agentúra Európskej únie pre bezpečnosť letectva zriadená nariadením (EÚ) 2018/1139 a Agentúra Európskej únie pre vesmírny program zriadená nariadením Európskeho parlamentu a Rady (EÚ) 2021/696 (14), k účasti na svojej práci.

(67)

Príslušné orgány a jednotky CSIRT by mali mať možnosť zúčastňovať sa na výmenných programoch pre úradníkov z iných členských štátov na základe osobitného rámca a podľa potreby pod podmienkou požadovanej bezpečnostnej previerky úradníkov zúčastňujúcich sa na takýchto výmenných programoch, a to s cieľom zlepšovať spoluprácu a posilniť dôveru medzi členskými štátmi. Príslušné orgány by mali prijať potrebné opatrenia, ktoré úradníkom z iných členských štátov umožnia zohrávať účinnú úlohu v činnostiach hostiteľského príslušného orgánu alebo hostiteľskej jednotky CSIRT.

(68)

Členské štáty by mali prispieť k vytvoreniu rámca EÚ pre reakciu na kybernetické krízy, ako sa stanovuje v odporúčaní Komisie (EÚ) 2017/1584 (15), prostredníctvom existujúcich sietí spolupráce, najmä Európskej siete styčných organizácií pre kybernetické krízy (ďalej len „EU-CyCLONe“), siete jednotiek CSIRT a skupiny pre spoluprácu. Sieť EU-CyCLONe a sieť jednotiek CSIRT by mali spolupracovať na základe procesných opatrení, v ktorých sa spresňujú podrobnosti danej spolupráce, pričom by sa mali vyhnúť akejkoľvek duplicite úloh. V rokovacom poriadku siete EU-CyCLONe by sa mali ďalej spresniť mechanizmy fungovania danej siete vrátane úloh siete, prostriedkov spolupráce, interakcií s inými relevantnými aktérmi a vzorových formulárov na výmenu informácií, ako aj komunikačných prostriedkov. Pokiaľ ide o krízové riadenie na úrovni Únie, príslušné strany by sa mali opierať o integrované dojednania EÚ o politickej reakcii na krízu podľa vykonávacieho rozhodnutia Rady (EÚ) 2018/1993 (16) (dojednania IPCR). Komisia by mala na uvedený účel využiť ARGUS – medziodvetvový krízový koordinačný proces na vysokej úrovni. Ak má kríza výrazný externý rozmer alebo sa týka spoločnej bezpečnostnej a obrannej politiky, mal by sa aktivovať mechanizmus reakcie Európskej služby pre vonkajšiu činnosť na krízy.

(69)

V súlade s prílohou k odporúčaniu (EÚ) 2017/1584 by rozsiahly kybernetický incident mal znamenať incident, ktorý spôsobí narušenie na úrovni presahujúcej schopnosť členského štátu naň reagovať alebo ktorý má významný vplyv aspoň na dva členské štáty. Rozsiahle kybernetické incidenty sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu alebo predstavuje vážne riziká pre verejnú bezpečnosť a ochranu subjektov alebo občanov v niekoľkých členských štátoch alebo v Únii ako celku. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány, úrady a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii.

(70)

Rozsiahle kybernetické incidenty a krízy na úrovni Únie si z dôvodu vysokého stupňa previazanosti odvetví a členských štátov vyžadujú koordinované opatrenia na zabezpečenie rýchlej a účinnej reakcie. Dostupnosť kyberneticky odolných sietí a informačných systémov a dostupnosť, dôvernosť a integrita údajov sú nevyhnutné pre bezpečnosť Únie a ochranu jej občanov, podnikov a inštitúcií pred incidentmi a kybernetickými hrozbami, ako aj pre posilnenie dôvery jednotlivcov a organizácií v schopnosť Únie podporovať a chrániť globálny, otvorený, slobodný, stabilný a bezpečný kybernetický priestor založený na ľudských právach, základných slobodách, demokracii a právnom štáte.

(71)

Sieť EU-CyCLONe by mala fungovať ako sprostredkovateľ medzi technickou a politickou úrovňou počas rozsiahlych kybernetických incidentov a kríz a mala by posilniť spoluprácu na operačnej úrovni a podporovať rozhodovanie na politickej úrovni. V spolupráci s Komisiou a so zreteľom na právomoci Komisie v oblasti krízového riadenia by sieť EU-CyCLONe mala vychádzať zo zistení siete jednotiek CSIRT a využívať svoje vlastné kapacity na vypracovanie analýzy vplyvu rozsiahlych kybernetických incidentov a kríz.

(72)

Kybernetické útoky majú cezhraničnú povahu a významný incident môže narušiť a poškodiť kritické informačné infraštruktúry, od ktorých závisí hladké fungovanie vnútorného trhu. Odporúčanie (EÚ) 2017/1584 sa zaoberá úlohami všetkých príslušných aktérov. Komisia je okrem toho v rámci mechanizmu Únie v oblasti civilnej ochrany zriadeného rozhodnutím Európskeho parlamentu a Rady č. 1313/2013/EÚ (17) zodpovedná za všeobecné opatrenia v oblasti pripravenosti vrátane riadenia Koordinačného centra pre reakcie na núdzové situácie a spoločného systému komunikácie a poskytovania informácií v prípade núdzových situácií, udržiavania a ďalšieho rozvoja situačnej informovanosti a analytických kapacít a vytvárania a riadenia schopnosti mobilizovať a vysielať tímy odborníkov v prípade žiadosti o pomoc z členského štátu alebo tretej krajiny. Komisia je zodpovedná aj za poskytovanie analytických správ týkajúcich sa dojednaní IPCR podľa vykonávacieho rozhodnutia (EÚ) 2018/1993, a to aj v súvislosti so situačnou informovanosťou a pripravenosťou v oblasti kybernetickej bezpečnosti, ako aj za situačnú informovanosť a reakciu na krízy v oblastiach poľnohospodárstva, nepriaznivých poveternostných podmienok, mapovania a predpovedania konfliktov, systémov včasného varovania pred prírodnými katastrofami, núdzových zdravotných situácií, dohľadu nad infekčnými chorobami, zdravia rastlín, chemických incidentov, bezpečnosti potravín a krmív, zdravia zvierat, migrácie, colníctva, jadrových a rádiologických núdzových situácií, a energetiky.

(73)

Únia môže v prípade potreby v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na určitých činnostiach skupiny pre spoluprácu, siete jednotiek CSIRT a siete EU-CyCLONe. Takýmito dohodami by sa mali zabezpečiť záujmy Únie a primeraná ochrana údajov. Nemalo by sa tým vylučovať právo členských štátov spolupracovať s tretími krajinami v oblasti riadenia zraniteľností a riadenia kybernetických rizík, uľahčenia oznamovania a všeobecnej výmeny informácií v súlade s právom Únie.

(74)

S cieľom uľahčiť účinné vykonávanie tejto smernice, okrem iného pokiaľ ide o riadenie zraniteľností, opatrenia na riadenie kybernetických rizík, oznamovacie povinnosti a dohody o výmene informácií o kybernetickej bezpečnosti, môžu členské štáty spolupracovať s tretími krajinami a vykonávať činnosti, ktoré sa považujú za vhodné na daný účel, vrátane výmeny informácií o kybernetických hrozbách, incidentoch, zraniteľnostiach, nástrojoch a metódach, taktikách, technikách a postupoch, pripravenosti a cvičení v oblasti zvládania kybernetických kríz, odbornej prípravy, budovania dôvery a dohôd o štruktúrovanej výmene informácií.

(75)

Mali by sa zaviesť vzájomné hodnotenia s cieľom pomáhať učiť sa zo spoločných skúseností, posilňovať vzájomnú dôveru a dosahovať vysokú spoločnú úroveň kybernetickej bezpečnosti. Partnerské preskúmania môžu viesť k cenným poznatkom a odporúčaniam, ktoré posilnia celkové spôsobilosti kybernetickej bezpečnosti, čím sa vytvorí ďalšia funkčná cesta na výmenu najlepších postupov medzi členskými štátmi a prispeje k zvýšeniu úrovne vyspelosti členských štátov v oblasti kybernetickej bezpečnosti. V partnerských preskúmaniach by sa mali zohľadniť výsledky podobných mechanizmov, ako je systém partnerského preskúmania siete jednotiek CSIRT, a mali by prinášať pridanú hodnotu a vyhýbať sa duplicite. Zavedením partnerských preskúmaní by nemalo byť dotknuté právo Únie alebo vnútroštátne právo v oblasti ochrany dôverných alebo utajovaných skutočností.

(76)

Skupina pre spoluprácu by mala pre členské štáty zaviesť metodiku sebahodnotenia so zámerom pokryť faktory, ako je úroveň implementácie opatrení na riadenie kybernetických rizík a oznamovacích povinností, úroveň spôsobilostí a efektívnosť výkonu úloh príslušných orgánov, operačných spôsobilostí jednotiek CSIRT, úroveň implementácie vzájomnej pomoci, úrovne implementácie dohôd o výmene informácií o kybernetickej bezpečnosti alebo špecifických otázok cezhraničnej alebo medziodvetvovej povahy. Členským štátom by sa malo odporúčať, aby pravidelne vykonávali sebahodnotenia a aby výsledky svojho sebahodnotenia prezentovali a prediskutovali v rámci skupiny pre spoluprácu.

(77)

Zodpovednosť za zaisťovanie bezpečnosti sietí a informačných systémov nesú vo veľkej miere kľúčové a dôležité subjekty. Mala by sa podporovať a rozvíjať kultúra riadenia rizika vrátane posudzovania rizika a vykonávania takých opatrení na riadenie kybernetických rizík, ktoré sú primerané existujúcim rizikám.

(78)

Opatrenia na riadenie kybernetických rizík by mali zohľadňovať stupeň závislosti kľúčového alebo dôležitého subjektu od sietí a informačných systémov a mali by zahŕňať opatrenia na identifikáciu rizika incidentov, opatrenia na predchádzanie incidentom, ich odhaľovanie, reakciu na ne a zotavenie sa z nich, ako aj opatrenia na zmiernenie ich vplyvu. Bezpečnosť sietí a informačných systémov by mala zahŕňať bezpečnosť uchovávaných, prenášaných a spracúvaných údajov. Opatrenia na riadenie kybernetických rizík by mali zabezpečovať systémovú analýzu, pri ktorej sa zohľadní ľudský faktor, s cieľom získať úplný obraz o bezpečnosti siete a informačného systému.

(79)

Keďže ohrozenie bezpečnosti sietí a informačných systémov môže mať rôzny pôvod, v opatreniach na riadenie kybernetických rizík by sa mal uplatňovať prístup všetkých nebezpečenstiev, ktorého cieľom je ochrana sietí a informačných systémov a fyzické prostredie uvedených systémov pred udalosťami, ako je krádež, požiar, povodeň, výpadok telekomunikácie alebo elektrickej energie, alebo pred neoprávneným fyzickým prístupom, poškodením alebo zásahom v súvislosti s informáciami kľúčového alebo dôležitého subjektu a jeho zariadeniami na spracovanie informácií, čo by mohlo ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov. Opatrenia na riadenie kybernetických rizík by sa preto mali zaoberať aj fyzickou a environmentálnou bezpečnosťou sietí a informačných systémov tým, že budú zahŕňať opatrenia na ochranu takýchto systémov pred systémovými zlyhaniami, ľudskými chybami, zlomyseľným konaním alebo prírodnými javmi v súlade s európskymi a medzinárodnými normami, ako sú normy uvedené v sérii ISO/IEC 27000. V tejto súvislosti by sa kľúčové a dôležité subjekty mali v rámci svojich opatrení na riadenie kybernetických rizík zaoberať aj bezpečnosťou ľudských zdrojov a mali by mať zavedené vhodné postupy kontroly prístupu. Uvedené opatrenia by mali byť v súlade so smernicou (EÚ) 2022/2557.

(80)

Na účely preukázania súladu s opatreniami na riadenie kybernetických rizík a v prípade neexistencie vhodných európskych systémov certifikácie kybernetickej bezpečnosti prijatých v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2019/881 (18) by členské štáty mali konzultáciou so skupinou pre spoluprácu a európskou skupinou pre certifikáciu kybernetickej bezpečnosti podporovať používanie príslušných európskych a medzinárodných noriem kľúčovými a dôležitými subjektmi alebo môžu vyžadovať, aby subjekty používali certifikované produkty IKT, služby IKT a procesy IKT.

(81)

S cieľom vyhnúť sa neprimeranému finančnému a administratívnemu zaťaženiu kľúčových a dôležitých subjektov by opatrenia na riadenie kybernetických rizík mali byť primerané rizikám, ktorým čelí daná sieť a daný informačný systém, a zohľadňovať najnovší technický vývoj v oblasti takýchto opatrení a podľa potreby príslušné európske a medzinárodné normy, ako aj náklady na ich vykonávanie.

(82)

Opatrenia na riadenie kybernetických rizík by mali byť primerané stupňu vystavenia kľúčového alebo dôležitého subjektu rizikám a spoločenskému a hospodárskemu vplyvu, ktorý by incident mal. Pri stanovovaní opatrení na riadenie kybernetických rizík prispôsobených kľúčovým a dôležitým subjektom by sa mala náležite zohľadniť odlišná expozícia kľúčových a dôležitých subjektov voči rizikám, napríklad kritickosť subjektu, riziká vrátane spoločenských rizík, ktorým je vystavený, veľkosť subjektu a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského a hospodárskeho vplyvu.

(83)

Kľúčové a dôležité subjekty by mali zaistiť bezpečnosť sietí a informačných systémov, ktoré používajú vo svojich činnostiach. Ide predovšetkým o súkromné siete a informačné systémy, ktoré spravujú interní IT pracovníci kľúčových a dôležitých subjektov alebo ktorých bezpečnosť zaisťujú externí dodávatelia. Opatrenia na riadenie kybernetických rizík a oznamovacie povinnosti stanovené v tejto smernici by sa mali vzťahovať na príslušné kľúčové a dôležité subjekty bez ohľadu na to, či uvedené subjekty vykonávajú údržbu svojich sietí a informačných systémov interne alebo ju zabezpečujú externe.

(84)

Poskytovatelia služieb DNS, správcovia názvov TLD, poskytovatelia služieb cloud computingu, poskytovatelia služieb dátového centra, poskytovatelia sietí na sprístupňovanie obsahu, poskytovatelia riadených služieb, poskytovatelia riadených bezpečnostných služieb, poskytovatelia online trhov, internetových vyhľadávačov a platforiem služieb sociálnej siete a poskytovatelia dôveryhodných služieb by vzhľadom na svoj cezhraničný charakter mali podliehať vysokej miere harmonizácie na úrovni Únie. Vykonávanie opatrení na riadenie kybernetických rizík by sa preto malo, pokiaľ ide o uvedené subjekty, uľahčiť vykonávacím aktom.

(85)

Riešenie rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi, ako sú poskytovatelia služieb ukladania a spracúvania údajov alebo poskytovatelia riadených bezpečnostných služieb a vydavatelia softvéru, je obzvlášť dôležité vzhľadom na výskyt incidentov, keď sa subjekty stali obeťami kybernetických útokov a keď páchatelia s nekalými úmyslami dokázali ohroziť bezpečnosť sietí a informačných systémov subjektu využitím zraniteľností v produktoch a službách tretích strán. Kľúčové a dôležité subjekty by preto mali posúdiť a zohľadniť celkovú kvalitu a odolnosť produktov a služieb, opatrenia na riadenie kybernetických rizík, ktoré zahŕňajú, a postupy svojich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich bezpečných vývojových postupov. Kľúčové a dôležité subjekty by sa mali nabádať najmä k tomu, aby začlenili opatrenia na riadenie kybernetických rizík do zmluvných dohôd so svojimi priamymi dodávateľmi a poskytovateľmi služieb. Uvedené subjekty by mohli zvážiť riziká, ktoré vyplývajú zo strany dodávateľov a poskytovateľov služieb ďalších úrovní.

(86)

Spomedzi poskytovateľov služieb zohrávajú poskytovatelia riadených bezpečnostných služieb osobitne dôležitú úlohu v pomoci subjektom v ich úsilí o prevenciu, odhaľovanie incidentov, reakciu na ne alebo zotavenie sa z nich, a to v takých oblastiach, ako je reakcia na incidenty, penetračné testovanie, bezpečnostné audity a poradenstvo. Avšak aj samotní poskytovatelia riadených bezpečnostných služieb boli cieľom kybernetických útokov a ich úzke zapojenie do činnosti subjektov predstavuje osobitné riziko. Kľúčové a dôležité subjekty by preto mali výberu poskytovateľa riadených bezpečnostných služieb venovať zvýšenú pozornosť.

(87)

Príslušné orgány môžu v kontexte svojich úloh dohľadu využívať aj služby v oblasti kybernetickej bezpečnosti, ako sú bezpečnostné audity, penetračné testovanie alebo reakcie na incidenty.

(88)

Kľúčové a dôležité subjekty by mali riešiť aj riziká vyplývajúce z ich interakcií a vzťahov s inými zainteresovanými stranami v rámci širšieho ekosystému, a to aj s cieľom bojovať proti priemyselnej špionáži a chrániť obchodné tajomstvo. Predovšetkým by uvedené subjekty mali prijať vhodné opatrenia, aby sa ich spolupráca s akademickými a výskumnými inštitúciami uskutočňovala v súlade s ich politikami v oblasti kybernetickej bezpečnosti a aby sa riadila osvedčenými postupmi, pokiaľ ide o bezpečný prístup k informáciám a ich šírenie vo všeobecnosti, a konkrétne o ochranu duševného vlastníctva. Podobne by kľúčové a dôležité subjekty, ak sú závislé od služieb v oblasti transformácie údajov a analýzy údajov od tretích strán, mali prijať všetky vhodné opatrenia na riadenie kybernetických rizík, a to vzhľadom na význam a hodnotu údajov pre svoju činnosť.

(89)

Kľúčové a dôležité subjekty by mali prijať širokú škálu základných postupov v oblasti kybernetickej hygieny, ako sú zásady nulovej dôvery, aktualizácie softvéru, konfigurácia zariadení, segmentácia siete, správa identít a prístupu alebo informovanosť používateľov, organizovať školenia pre svojich zamestnancov a zvyšovať informovanosť o kybernetických hrozbách, phishingu alebo technikách sociálneho inžinierstva. Okrem toho by uvedené subjekty mali vyhodnotiť vlastné spôsobilosti v oblasti kybernetickej bezpečnosti a podľa potreby sa usilovať o integráciu technológií posilňujúcich kybernetickú bezpečnosť, ako sú systémy umelej inteligencie alebo strojového učenia, s cieľom posilniť svoje spôsobilosti a bezpečnosť sietí a informačných systémov.

(90)

V záujme ďalšieho riešenia rizík kľúčového dodávateľského reťazca a pomoci kľúčovým a dôležitým subjektom pôsobiacim v odvetviach, na ktoré sa vzťahuje táto smernica, pri náležitom riadení rizík súvisiacich s dodávateľským reťazcom a dodávateľmi, by skupina pre spoluprácu mala v spolupráci s Komisiou a agentúrou ENISA a podľa potreby po konzultácii s relevantnými zainteresovanými stranami vrátane priemyslu vykonať koordinované posúdenia bezpečnostných rizík kritických dodávateľských reťazcov, ktoré sa už vykonali v prípade sietí 5G v nadväznosti na odporúčanie Komisie (EÚ) 2019/534 (19) s cieľom identifikovať za každé odvetvie kritické služby IKT, systémy IKT alebo produkty IKT, relevantné hrozby a zraniteľnosti. Takéto koordinované posúdenia bezpečnostných rizík by mali určiť opatrenia, plány zmierňovania a najlepšie postupy vo vzťahu ku kritickým závislostiam, potenciálnym jediným bodom zlyhania, hrozbám, zraniteľnostiam a ďalším rizikám spojeným s dodávateľským reťazcom a mali by preskúmať spôsoby, ako ešte viac podporiť ich širšie prijatie kľúčovými a dôležitými subjektmi. Potenciálne netechnické rizikové faktory, ako je neprimeraný vplyv tretej krajiny na dodávateľov a poskytovateľov služieb, najmä v prípade alternatívnych modelov riadenia, zahŕňajú skryté zraniteľnosti alebo zadné dvierka a potenciálne systémové narušenie dodávok, najmä v prípade odkázanosti na určitého dodávateľa technológie alebo závislosti od poskytovateľa.

(91)

Pri koordinovanom posudzovaní bezpečnostných rizík v kritických dodávateľských reťazcoch by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v koordinovanom posúdení rizík na úrovni EÚ v oblasti kybernetickej bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu bezpečnostných rizík, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby IKT, systémy IKT alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb IKT, systémov IKT alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb IKT, systémov IKT alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb IKT, systémov IKT alebo produktov IKT počas ich životného cyklu voči rušivým udalostiam a v) v prípade vznikajúcich služieb IKT, systémov IKT alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. Okrem toho by sa osobitný dôraz mal klásť na služby IKT, systémy IKT alebo produkty IKT, na ktoré sa vzťahujú osobitné požiadavky, ktoré pochádzajú z tretích krajín.

(92)

S cieľom zjednodušiť povinnosti uložené poskytovateľom verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb a poskytovateľom dôveryhodných služieb v súvislosti s bezpečnosťou ich sietí a informačných systémov, ako aj umožniť uvedeným subjektom a príslušným orgánom podľa smernice Európskeho parlamentu a Rady (EÚ) 2018/1972 (20) a nariadenia (EÚ) č. 910/2014 využívať právny rámec stanovený touto smernicou vrátane určenia jednotky CSIRT zodpovednej za riešenie incidentov a účasti dotknutých príslušných orgánov na činnostiach skupiny pre spoluprácu a siete jednotiek CSIRT, by tieto subjekty mali patriť do rozsahu pôsobnosti tejto smernice. Zodpovedajúce ustanovenia nariadenia (EÚ) č. 910/2014 a smernice (EÚ) 2018/1972 týkajúce sa stanovenia požiadaviek na bezpečnosť a oznamovanie pre uvedené typy subjektov by sa preto mali vypustiť. Pravidlami týkajúcimi sa oznamovacích povinností stanovenými v tejto smernici by nemalo byť dotknuté nariadenie (EÚ) 2016/679 a smernica 2002/58/ES.

(93)

Povinnosti v oblasti kybernetickej bezpečnosti stanovené v tejto smernici by sa mali považovať za doplnkové k požiadavkám uloženým poskytovateľom dôveryhodných služieb podľa nariadenia (EÚ) č. 910/2014. Od poskytovateľov dôveryhodných služieb by sa malo vyžadovať, aby prijali všetky vhodné a primerané opatrenia na riadenie rizík ohrozujúcich ich služby, a to aj vo vzťahu k zákazníkom a spoliehajúcim sa tretím stranám, a aby oznamovali incidenty podľa tejto smernice. Takéto povinnosti v oblasti kybernetickej bezpečnosti a oznamovania by sa mali týkať aj fyzickej ochrany poskytovaných služieb. Požiadavky na kvalifikovaných poskytovateľov dôveryhodných služieb stanovené v článku 24 nariadenia (EÚ) č. 910/2014 sa naďalej uplatňujú.

(94)

Členské štáty môžu prideliť úlohu príslušných orgánov, pokiaľ ide o dôveryhodné služby, orgánom dohľadu podľa nariadenia (EÚ) č. 910/2014 s cieľom zabezpečiť pokračovanie súčasných postupov a stavať na poznatkoch a skúsenostiach získaných pri uplatňovaní uvedeného nariadenia. V takom prípade by príslušné orgány podľa tejto smernice mali úzko a včas spolupracovať s uvedenými orgánmi dohľadu formou výmeny relevantných informácií s cieľom zabezpečiť účinný dohľad a súlad poskytovateľov dôveryhodných služieb s požiadavkami stanovenými v tejto smernici a v nariadení (EÚ) č. 910/2014. V náležitých prípadoch by jednotka CSIRT alebo príslušný orgán podľa tejto smernice mal bezodkladne informovať orgán dohľadu podľa nariadenia (EÚ) č. 910/2014 o každej oznámenej významnej kybernetickej hrozbe alebo incidente ovplyvňujúcich dôveryhodné služby, ako aj o akomkoľvek porušení tejto smernice zo strany poskytovateľa dôveryhodných služieb. Na účely oznamovania môžu členské štáty podľa potreby použiť jednotný vstupný bod zriadený v záujme dosiahnutia spoločného a automatického oznamovania incidentov orgánu dohľadu podľa nariadenia (EÚ) č. 910/2014 a jednotke CSIRT alebo príslušnému orgánu podľa tejto smernice.

(95)

V prípade potreby a s cieľom zabrániť zbytočnému narušeniu by sa pri transpozícii tejto smernice mali zohľadniť existujúce vnútroštátne usmernenia prijaté na účely transpozície pravidiel týkajúcich sa bezpečnostných opatrení stanovených v článkoch 40 a 41 smernice (EÚ) 2018/1972, čím by sa stavalo na poznatkoch a skúsenostiach získaných podľa smernice (EÚ) 2018/1972 v súvislosti s bezpečnostnými opatreniami a oznamovaním incidentov. Agentúra ENISA môže vypracovať aj usmernenia zamerané na požiadavky týkajúce sa bezpečnosti a na oznamovacie povinnosti určené poskytovateľom verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb s cieľom uľahčiť harmonizáciu a prechod a minimalizovať narušenie. Členské štáty môžu prideliť úlohu príslušných orgánov pre elektronické komunikácie národným regulačným orgánom podľa smernice (EÚ) 2018/1972 s cieľom zabezpečiť pokračovanie súčasných postupov a stavať na poznatkoch a skúsenostiach získaných pri vykonávaní uvedenej smernice.

(96)

Vzhľadom na rastúci význam interpersonálnych komunikačných služieb nezávislých od číslovania, ako sú vymedzené v smernici (EÚ) 2018/1972, je potrebné zabezpečiť, aby takéto služby tiež podliehali príslušným bezpečnostným požiadavkám vzhľadom na ich špecifický charakter a hospodársky význam. Keďže priestor na útoky sa naďalej rozširuje, interpersonálne komunikačné služby nezávislé od číslovania, ako sú služby zasielania správ, sa stávajú veľmi rozšírenými vektormi útokov. Páchatelia s nekalými úmyslami využívajú platformy na komunikáciu s obeťami a ich nalákanie na otvorenie napadnutých webových stránok, čím sa zvyšuje pravdepodobnosť incidentov zahŕňajúcich zneužívanie osobných údajov, čo má následne vplyv na bezpečnosť sietí a informačných systémov. Poskytovatelia interpersonálnych komunikačných služieb nezávislých od číslovania by mali zabezpečiť takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá daným rizikám. Vzhľadom na to, že poskytovatelia interpersonálnych komunikačných služieb nezávislých od číslovania obyčajne nemajú skutočnú kontrolu nad prenosom signálov v sieťach, miera rizík pre takéto služby sa môže v niektorých aspektoch považovať za nižšiu ako v prípade tradičných elektronických komunikačných služieb. To isté platí pre interpersonálne komunikačné služby, ako sú vymedzené v smernici (EÚ) 2018/1972, ktoré využívajú čísla a ktoré nemajú skutočnú kontrolu nad prenosom signálu.

(97)

Vnútorný trh je viac než kedykoľvek závislý od fungovania internetu. Služby takmer všetkých kľúčových a dôležitých subjektov sú závislé od služieb poskytovaných cez internet. V záujme zabezpečenia bezproblémového poskytovania služieb kľúčovými a dôležitými subjektmi je dôležité, aby všetci poskytovatelia verejných elektronických komunikačných sietí mali zavedené vhodné opatrenia na riadenie kybernetických rizík a aby oznamovali významné incidenty, ktoré sa ich týkajú. Členské štáty by mali zabezpečiť zachovanie bezpečnosti verejných elektronických komunikačných sietí a ochranu svojich životne dôležitých bezpečnostných záujmov pred sabotážou a špionážou. Keďže medzinárodná konektivita zlepšuje a urýchľuje konkurencieschopnú digitalizáciu Únie a jej hospodárstva, incidenty ovplyvňujúce podmorské komunikačné káble by sa mali oznamovať jednotke CSIRT alebo prípadne príslušnému orgánu. V národnej stratégii kybernetickej bezpečnosti by sa v prípade potreby mala zohľadňovať kybernetická bezpečnosť podmorských komunikačných káblov a mala by zahŕňať mapovanie potenciálnych kybernetických rizík a zmierňujúce opatrenia na zabezpečenie najvyššej úrovne ich ochrany.

(98)

S cieľom zaistiť bezpečnosť verejných elektronických komunikačných sietí a verejne dostupných elektronických komunikačných služieb by sa malo podporovať používanie šifrovacích technológií, najmä šifrovania bez medzifáz, ako aj bezpečnostných koncepcií zameraných na údaje, ako je kartografia, segmentácia, označovanie, politika prístupu a riadenie prístupu a automatizované rozhodnutia o prístupe. V prípade potreby by malo byť používanie šifrovania, najmä šifrovania bez medzifáz, povinné pre poskytovateľov verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb v súlade so zásadami štandardnej a špecificky navrhnutej bezpečnosti a ochrany súkromia na účely tejto smernice. Používanie šifrovania bez medzifáz by sa malo zosúladiť s právomocami členských štátov na zabezpečenie ochrany ich základných bezpečnostných záujmov a verejnej bezpečnosti a na umožnenie prevencie, vyšetrovania, odhaľovania a stíhania trestných činov v súlade s právom Únie. Nemalo by to však oslabiť šifrovanie bez medzifáz, ktoré je zásadnou technológiou pre účinnú ochranu údajov a súkromia a bezpečnosti komunikácií.

(99)

S cieľom zaistiť bezpečnosť a zabrániť zneužívaniu verejných elektronických komunikačných sietí a verejne dostupných elektronických komunikačných služieb a manipulácii s nimi by sa malo podporovať používanie noriem bezpečného smerovania, aby sa zabezpečila integrita a spoľahlivosť funkcií smerovania v rámci celého ekosystému poskytovateľov služieb prístupu k internetu.

(100)

V záujme zabezpečenia funkčnosti a integrity internetu a podpory bezpečnosti a odolnosti DNS by sa mali príslušné zainteresované strany vrátane subjektov súkromného sektora, poskytovateľov verejne dostupných elektronických komunikačných služieb, najmä poskytovateľov služieb prístupu k internetu, a poskytovateľov internetových vyhľadávačov v Únii nabádať k tomu, aby prijali stratégiu diverzifikácie rozlišovania DNS. Členské štáty by navyše mali podporovať rozvoj a používanie verejnej a bezpečnej európskej služby resolverov DNS.

(101)

V tejto smernici sa stanovuje viacfázový prístup k oznamovaniu významných incidentov s cieľom nájsť správnu rovnováhu medzi rýchlym oznamovaním na jednej strane, ktoré pomáha zmierniť potenciálne šírenie významných incidentov a umožňuje kľúčovým a dôležitým subjektom hľadať pomoc, a na druhej strane podávaním podrobných správ, ktoré poskytuje cenné ponaučenia z jednotlivých incidentov a časom zlepšuje kybernetickú odolnosť jednotlivých subjektov a celých odvetví. V tejto súvislosti by táto smernica mala zahŕňať oznamovanie incidentov, pri ktorých by sa na základe prvotného posúdenia vykonaného dotknutým subjektom mohlo predpokladať, že by mohli viesť k vážnemu narušeniu prevádzky služieb alebo finančným stratám uvedeného subjektu alebo by mohli zasiahnuť iné fyzické alebo právnické osoby tým, že by im spôsobili značnú majetkovú alebo nemajetkovú ujmu. V takomto prvotnom posúdení by sa mali zohľadniť okrem iného dotknuté siete a informačné systémy, najmä ich význam pri poskytovaní služieb subjektu, závažnosť a technické vlastnosti kybernetickej hrozby a všetky súvisiace zraniteľnosti, ktoré sa využívajú, ako aj skúsenosti subjektu s podobnými incidentmi. Ukazovatele, ako je rozsah, v akom je zasiahnuté fungovanie služby, trvanie incidentu alebo počet zasiahnutých príjemcov služieb, by mohli zohrávať dôležitú úlohu pri určovaní toho, či je narušenie prevádzky služby závažné.

(102)

Keď sa kľúčové alebo dôležité subjekty dozvedia o významnom incidente, mali by byť povinné vyhlásiť včasné varovanie bezodkladne a v každom prípade do 24 hodín. Po uvedenom včasnom varovaní by malo nasledovať oznámenie o incidente. Dotknuté subjekty by mali nahlásiť incident bezodkladne a v každom prípade do 72 hodín po tom, ako sa dozvedia o významnom incidente, najmä za účelom aktualizácie informácií poskytnutých vo včasnom varovaní a s uvedením prvotného hodnotenia významného incidentu, vrátane jeho závažnosti a vplyvu, ako aj prípadných ukazovateľov narušenia. Záverečná správa by sa mala zaslať najneskôr jeden mesiac po nahlásení incidentu. Včasné varovanie by malo obsahovať len tie informácie, ktoré sú potrebné na oznámenie významného incidentu jednotke CSIRT, prípadne príslušnému orgánu, a na základe ktorých môže dotknutý subjekt v prípade potreby požiadať o pomoc. V takomto včasnom varovaní by sa malo uviesť prípadné podozrenie, či bol významný incident spôsobený konaním, ktoré je nezákonné alebo so zlým úmyslom, a či môže mať cezhraničný dosah. Členské štáty by mali zabezpečiť, aby povinnosť zaslať uvedené včasné varovanie alebo následné oznámenie o incidente neodvádzala zdroje oznamujúceho subjektu od činností súvisiacich s riešením incidentu, ktoré by mali mať prednosť, aby pre povinnosť oznámiť incident nedochádzalo k odvádzaniu zdrojov od riešenia reakcie na významné incidenty alebo k inému ohrozeniu úsilia subjektu v uvedenej súvislosti. Ak v čase zaslania záverečnej správy incident ešte prebieha, členské štáty ba mali zabezpečiť, aby dotknuté subjekty v uvedenom čase poskytli priebežnú správu a záverečnú správu vypracovali do jedného mesiaca odo dňa, keď významný incident vyriešili.

(103)

V prípade potreby by kľúčové a dôležité subjekty mali bez zbytočného odkladu informovať príjemcov svojich služieb o akýchkoľvek opatreniach alebo prostriedkoch nápravy, ktoré môžu prijať na zmiernenie rizík vyplývajúcich z významnej kybernetickej hrozby. Uvedené subjekty by mali tiež v prípade potreby, a najmä ak je pravdepodobné, že významná kybernetická hrozba sa naplní, informovať príjemcov svojich služieb aj o samotnej hrozbe. Požiadavka informovať týchto príjemcov o významných kybernetických hrozbách by sa mala splniť s vynaložením maximálneho úsilia, ale nemala by uvedené subjekty zbaviť povinnosti na vlastné náklady prijať vhodné a okamžité opatrenia na prevenciu alebo odstránenie akýchkoľvek takýchto hrozieb a obnovenie bežnej úrovne bezpečnosti služby. Takéto informácie o významných kybernetických hrozbách by sa mali príjemcom služieb poskytovať bezplatne a mali by byť formulované v ľahko zrozumiteľnom jazyku.

(104)

Poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb by mali uplatňovať špecificky navrhnutú a štandardnú bezpečnosť a informovať príjemcov svojich služieb o významných kybernetických hrozbách a o opatreniach, ktoré môžu prijať na ochranu bezpečnosti svojich zariadení a svojej komunikácie, napríklad použitím určitých typov softvéru alebo šifrovacích technológií.

(105)

Aktívny prístup ku kybernetickým hrozbám je základnou súčasťou riadenia rizík kybernetickej bezpečnosti, ktoré by malo príslušným orgánom umožniť účinne zabrániť tomu, aby sa z kybernetických hrozieb stali incidenty, ktoré by mohli spôsobiť značnú materiálnu alebo nemateriálnu ujmu. Preto je oznamovanie kybernetických hrozieb mimoriadne dôležité. Na uvedený účel sa subjektom odporúča, aby kybernetické hrozby oznamovali dobrovoľne.

(106)

S cieľom zjednodušiť oznamovanie informácií požadovaných podľa tejto smernice, ako aj znížiť administratívnu záťaž pre subjekty, členské štáty by na poskytovanie relevantných informácií, ktoré sa majú oznamovať, mali poskytnúť technické prostriedky ako jednotný kontaktné miesto, automatizované systémy, online formuláre, ľahko použiteľné rozhrania, šablóny, špecializované platformy na použitie pre subjekty, bez ohľadu na to, či patria do rozsahu pôsobnosti tejto smernice. Financovanie Únie na podporu vykonávanie tejto smernice, najmä v rámci programu Digitálna Európa zriadeného nariadením Európskeho parlamentu a Rady (EÚ) 2021/694 (21), by mohlo zahŕňať podporu jednotných kontaktných miest. Navyše subjekty sa často nachádzajú v situácii, keď sa konkrétny incident z dôvodu jeho charakteristík musí oznámiť rôznym orgánom v dôsledku oznamovacej povinnosti zahrnutej v rôznych právnych nástrojoch. Takéto prípady vytvárajú dodatočnú administratívnu záťaž a mohli by viesť aj k nejasnostiam, pokiaľ ide o formát a postupy takéhoto oznamovania. Ak je zriadené jednotné kontaktné miesto, členským štátom sa odporúča, aby toto jednotné kontaktné miesto používali aj na oznamovanie bezpečnostných incidentov, ktoré sa vyžaduje podľa iných právnych predpisov Únie, než je nariadenie (EÚ) 2016/679 a smernica 2002/58/ES. Používanie takéhoto jednotného kontaktného miesta na oznamovanie bezpečnostných incidentov podľa nariadenia (EÚ) 2016/679 a smernice 2002/58/ES by nemalo mať vplyv na uplatňovanie ustanovení nariadenia (EÚ) 2016/679 a smernice 2002/58/ES, najmä nie na uplatňovanie ustanovení o nezávislosti orgánov v nich uvedených. Agentúra ENISA v spolupráci so skupinou pre spoluprácu by mala vypracovať spoločné vzorové formuláre oznámení prostredníctvom usmernení na zjednodušenie a zefektívnenie poskytovania informácií, ktoré sa majú oznamovať podľa práva Únie, a na zníženie administratívnej záťaže pre oznamujúce subjekty.

(107)

Ak existuje podozrenie, že incident súvisí so závažnou trestnou činnosťou podľa práva Únie alebo vnútroštátneho práva, členské štáty by mali nabádať kľúčové a dôležité subjekty na základe platných pravidiel trestného konania v súlade s právom Únie, aby príslušným orgánom presadzovania práva oznamovali incidenty, pri ktorých existuje podozrenie o ich súvise so závažnou trestnou činnosťou. V prípade potreby a bez toho, aby boli dotknuté pravidlá ochrany osobných údajov, ktoré sa vzťahujú na Europol, je žiaduce, aby Európske centrum boja proti počítačovej kriminalite (EC3) a agentúra ENISA uľahčili koordináciu medzi príslušnými orgánmi a orgánmi presadzovania práva jednotlivých členských štátov.

(108)

V dôsledku incidentov je v mnohých prípadoch ohrozená ochrana osobných údajov. V uvedenej súvislosti by príslušné orgány mali spolupracovať a vymieňať si informácie o všetkých relevantných záležitostiach s orgánmi uvedenými v nariadení (EÚ) 2016/679 a smernici 2002/58/ES.

(109)

Udržiavanie presných a úplných databáz registračných údajov názvov domén (údaje WHOIS) a poskytovanie zákonného prístupu k takýmto údajom je nevyhnutné na zaistenie bezpečnosti, stability a odolnosti DNS, čo zase prispieva k vysokej spoločnej úrovni kybernetickej bezpečnosti v celej Únii. Na tento konkrétny účel by sa od registrov názvov TLD a subjektov poskytujúcich služby registrácie názvov domén malo vyžadovať spracovanie určitých údajov potrebných na dosiahnutie uvedeného účelu. Takéto spracovanie by malo byť zo zákona povinné v zmysle článku 6 ods. 1 písm. c) nariadenia (EÚ) 2016/679. Uvedenou povinnosťou nie je dotknutá možnosť zhromažďovať registračné údaje názvov domén na iné účely, napríklad na základe zmluvných dojednaní alebo právnych požiadaviek ustanovených v iných právnych predpisoch Únie alebo členských štátov. Cieľom uvedenej povinnosti je získať úplný a presný súbor registračných údajov a nemala by viesť k opakovanému zberu tých istých údajov. Na zamedzenie duplicity uvedenej úlohy by registre názvov TLD a subjekty poskytujúce služby registrácie názvov domén mali navzájom spolupracovať.

(110)

Dostupnosť a včasná prístupnosť registračných údajov názvov domén pre legitímnych žiadateľov o prístup je nevyhnutná na prevenciu a boj proti zneužívaniu DNS a na prevenciu a odhaľovanie incidentov a na reakciu na ne. Legitímnymi žiadateľmi o prístup sa rozumie akákoľvek fyzická alebo právnická osoba, ktorá podala žiadosť podľa práva Únie alebo vnútroštátneho práva. Môžu k nim patriť orgány, ktoré sú príslušné podľa tejto smernice, a orgány, ktoré sú podľa práva Únie alebo vnútroštátneho práva príslušné na prevenciu, vyšetrovanie, odhaľovanie alebo stíhanie trestných činov a jednotky CERT alebo CSIRT. Od registrov názvov TLD a subjektov poskytujúcich služby registrácie názvov domén by sa malo vyžadovať, aby legitímnym žiadateľom o prístup ku konkrétnym údajom o registrácii názvov domén, ktoré sú potrebné na účely žiadosti o prístup, umožnili zákonný prístup v súlade s právom Únie a členského štátu. K žiadosti oprávnených žiadateľov o prístup by malo byť pripojené odôvodnenie, ktoré umožní posúdiť potrebu prístupu k údajom.

(111)

S cieľom zabezpečiť dostupnosť presných a úplných registračných údajov názvov domén by správcovia registrov názvov TLD a subjekty poskytujúce služby registrácie názvov domén mali zhromažďovať registračné údaje názvov domén a zaručovať ich integritu a dostupnosť. Správcovia registrov názvov TLD a subjekty poskytujúce služby registrácie názvov domén by mali najmä stanoviť politiky a postupy zhromažďovania a uchovávania presných a úplných registračných údajov názvov domén, ako aj predchádzania nepresným registračným údajom a ich opravy, v súlade s právom Únie v oblasti ochrany údajov. Uvedené politiky a postupy by mali v rámci možností zohľadňovať normy vypracované štruktúrami riadenia so zapojením viacerých zainteresovaných strán na medzinárodnej úrovni. Registre názvov TLD a subjekty poskytujúce služby registrácie názvov domén by mali prijať a zaviesť primerané postupy na overovanie registračných údajov názvov domén. Uvedené postupy by mali odzrkadľovať najlepšie postupy používané v tejto oblasti a v rámci možností aj pokrok v oblasti elektronickej identifikácie. K príkladom overovacích postupov môžu patriť kontroly ex ante vykonávané v čase registrácie a kontroly ex post vykonávané po registrácii. Registre názvov TLD a subjekty poskytujúce služby registrácie názvov domén by mali najmä overovať aspoň jednu možnosť kontaktu žiadateľa o registráciu.

(112)

Od registrov názvov TLD a subjektov poskytujúcich služby registrácie názvov domén, by sa v súlade s úvodnými ustanoveniami nariadenia (EÚ) 2016/679 malo požadovať, aby zverejňovali registračné údaje názvov domén, ktoré nepatria do rozsahu pôsobnosti práva Únie v oblasti ochrany údajov, ako sú údaje o právnických osobách. V prípade právnických osôb by registre názvov TLD a subjekty poskytujúce služby registrácie názvov domén mali verejne sprístupniť aspoň meno/názov žiadateľa o registráciu a kontaktné telefónne číslo. Zverejnená by mala byť aj kontaktná e-mailová adresa, ak neobsahuje osobné údaje, ako je to v prípade použitia e-mailových aliasov alebo funkčných účtov. Registre názvov TLD a subjekty poskytujúce služby registrácie názvov domén by oprávneným záujemcom o prístup mali tiež umožniť zákonný prístup k špecifickým registračným údajom názvov domén týkajúcich sa fyzických osôb podľa práva Únie v oblasti ochrany údajov. Členské štáty by mali vyžadovať, aby registre názvov TLD a subjekty poskytujúce služby registrácie názvov domén bez zbytočného odkladu reagovali na žiadosti o sprístupnenie registračných údajov názvov domén od oprávnených žiadateľov o prístup. Registre názvov TLD a subjekty poskytujúce služby registrácie názvov domén by na vybavovanie žiadostí o sprístupnenie od oprávnených žiadateľov o prístup mali stanoviť politiky a postupy zverejňovania a sprístupňovania registračných údajov vrátane dohôd o úrovni poskytovaných služieb. Uvedené politiky a postupy by mali v rámci možností zohľadňovať všetky usmernenia a normy vypracované štruktúrami riadenia so zapojením viacerých zainteresovaných strán na medzinárodnej úrovni. Súčasťou postupu sprístupnenia by mohlo byť aj použitie rozhrania, portálu alebo iného technického nástroja na zabezpečenie účinného systému na podávanie žiadostí o poskytnutie registračných údajov a prístupu k nim. Na podporu harmonizovaného postupu na celom vnútornom trhu môže Komisia bez toho, aby boli dotknuté právomoci Európskeho výboru pre ochranu údajov, poskytovať usmernenia o takýchto postupoch, ktoré pokiaľ možno zohľadnia normy vypracované viacstrannými riadiacimi štruktúrami na medzinárodnej úrovni. Členské štáty by mali zabezpečiť, aby všetky druhy prístupu k osobným a iným ako osobným registračným údajom názvov domén boli bezplatné.

(113)

Subjekty patriace do rozsahu pôsobnosti tejto smernice by sa mali považovať za subjekty podliehajúce právomoci členského štátu, v ktorom sú usadené. Poskytovatelia verejných elektronických komunikačných sietí alebo poskytovatelia verejne dostupných elektronických komunikačných služieb by sa však mali považovať za poskytovateľov podliehajúcich právomoci členského štátu, v ktorom poskytujú služby. Poskytovatelia služieb DNS, správcovia názvov TLD, subjekty, ktoré poskytujú služby registrácie názvov domén pre TLD, poskytovatelia služieb cloud computingu, poskytovatelia služieb dátových centier, poskytovatelia sietí na sprístupňovanie obsahu, poskytovatelia riadených služieb, poskytovatelia riadených bezpečnostných služieb, ako aj o poskytovatelia online trhov, internetových vyhľadávačov a platforiem služieb sociálnych sietí by mali byť považovaní za subjekty podliehajúce právomoci toho členského štátu, v ktorom majú hlavnú prevádzkareň v Únii. Subjekty verejnej správy by mali podliehať právomoci členského štátu, v ktorom sú usadené. Ak subjekt poskytuje služby alebo je usadený vo viac ako jednom členskom štáte, mal by podliehať samostatnej a súbežnej právomoci každého z týchto členských štátov. Príslušné orgány uvedených členských štátov by mali spolupracovať, vzájomne si pomáhať a v prípade potreby vykonávať spoločné opatrenia dohľadu. Ak členské štáty vykonávajú právomoc, podľa zásady ne bis in idem by nemali ukladať opatrenia presadzovania práva alebo sankcie za rovnaké počínanie viac ako raz.

(114)

S cieľom zohľadniť cezhraničnú povahu služieb a operácií poskytovateľov služieb DNS, registrov názvov TLD by subjekty poskytujúce služby registrácie názvov domén, poskytovatelia služieb cloud computingu, poskytovatelia služieb dátových centier, poskytovatelia sietí na sprístupňovanie obsahu, poskytovatelia riadených služieb, poskytovatelia riadených bezpečnostných služieb, ako aj o poskytovatelia online trhov, internetových vyhľadávačov a platforiem služieb sociálnych sietí mali podliehať právomoci iba jedného členského štátu. Právomoc by mal mať ten členský štát, v ktorom má dotknutý subjekt hlavnú prevádzkareň v Únii. Z kritéria prevádzkarne na účely tejto smernice vyplýva skutočné vykonávanie činnosti na základe stabilných dojednaní. Právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom. Splnenie uvedeného kritéria by nemalo závisieť od toho, či sa sieť a informačné systémy fyzicky nachádzajú na danom mieste; samotná prítomnosť a používanie takýchto systémov ako takých nepredstavuje hlavnú prevádzkareň, a preto nejde o rozhodujúce kritérium na určenie hlavnej prevádzkarne. Za hlavnú prevádzkareň by sa mal považovať členský štát, kde sa najčastejšie prijímajú rozhodnutia o opatreniach na riadenie rizík kybernetickej bezpečnosti. Zvyčajne bude zodpovedať miestu ústredia subjektov v Únii. Ak takýto členský štát nemožno určiť alebo ak sa takéto rozhodnutia neprijímajú v Únii, za hlavnú prevádzkareň by sa mal považovať členský štát, v ktorom sa operácie kybernetickej bezpečnosti vykonávajú. Ak takýto členský štát nemožno určiť, za hlavnú prevádzkareň by sa mal považovať členský štát, v ktorom má subjekt prevádzkareň s najvyšším počtom zamestnancov v Únii. Ak služby vykonáva skupina podnikov, hlavná prevádzkareň riadiaceho podniku by sa mala považovať za hlavnú prevádzkareň skupiny podnikov.

(115)

Ak verejne dostupnú rekurzívnu službu DNS poskytuje poskytovateľ verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb len ako súčasť služby prístupu na internet, subjekt by sa mal považovať za subjekt podliehajúci právomoci všetkých členských štátov, v ktorých sa jeho služby poskytujú.

(116)

Ak poskytovateľ služieb DNS, register názvov TLD, subjekt, ktorý poskytuje služby registrácie názvov domén, poskytovateľ služieb cloud computingu, poskytovateľ služieb dátového centra, poskytovateľ sietí na sprístupňovanie obsahu, poskytovateľ riadených služieb, poskytovateľ riadených bezpečnostných služieb alebo poskytovateľ online trhu, internetového vyhľadávača a platformy služieb sociálnych sietí, ktorý nie je usadený v Únii a v Únii poskytuje služby, mal by určiť v Únii zástupcu. Aby bolo možné určiť, či takýto subjekt poskytuje služby v Únii, malo by sa zistiť, či daný subjekt mieni poskytovať služby osobám v jednom alebo vo viacerých členských štátoch. Samotná dostupnosť webového sídla subjektu alebo jeho sprostredkovateľa v Únii alebo e-mailovej adresy alebo iných kontaktných údajov alebo použitie jazyka, ktorý sa všeobecne používa v tretej krajine, v ktorej je subjekt usadený, by sa na potvrdenie takého úmyslu malo považovať za nedostatočné. Na základe faktorov, ako je používanie jazyka alebo meny bežne používaných v jednom alebo vo viacerých členských štátoch s možnosťou objednania služieb v tomto jazyku alebo zmienka o zákazníkoch alebo používateľoch, ktorí sa nachádzajú v Únii, by však mohlo byť zjavné, že subjekt hodlá poskytovať služby v Únii. Zástupca by mal konať v mene subjektu a príslušné orgány alebo jednotky CSIRT by mali mať možnosť obrátiť sa na neho. Subjekt by mal prostredníctvom písomného mandátu výslovne určiť zástupcu oprávneného konať v mene subjektu v súvislosti s jeho povinnosťami stanovenými v tejto smernici vrátane oznamovania incidentov.

(117)

Na zabezpečenie jednoznačného prehľadu by poskytovatelia služieb DNS, správcovia názvov TLD, subjekty poskytujúce služby registrácie názvov domén pre TLD, poskytovatelia služieb cloud computingu, poskytovatelia služieb dátových centier, poskytovatelia sietí na sprístupňovanie obsahu, poskytovatelia riadených služieb, poskytovatelia riadených bezpečnostných služieb, ako aj o poskytovatelia online trhov, internetových vyhľadávačov a platforiem služieb sociálnych sietí, ktorí poskytujú služby v celej Únii a patria do pôsobnosti tejto smernice, by agentúra ENISA mala zriadiť a viesť register takýchto subjektov na základe informácií poskytnutých členským štátom, prípadne aj prostredníctvom vnútroštátnych mechanizmov zriadených pre subjekty, aby sa registrovali samé. Agentúre ENISA by informácie a všetky ich zmeny mali odovzdávať jednotné kontaktné miesta. Na zabezpečenie presnosti a úplnosti informácií, ktoré sa majú zapísať do uvedeného registra, môžu členské štáty zasielať agentúre ENISA informácie o týchto subjektoch dostupné v ľubovoľných vnútroštátnych registroch. Agentúra ENISA a členské štáty by mali prijať opatrenia na podporu interoperability takýchto registrov a zároveň zabezpečiť ochranu dôverných informácií alebo utajovaných skutočností. Na zaistenie bezpečnosti a dôvernosti sprístupnených informácií a obmedzenie prístupu, uchovávania a prenosu takýchto informácií predpokladaným používateľom by agentúra ENISA mala zaviesť príslušné protokoly na klasifikáciu a riadenie informácií.

(118)

Ak sa informácie, ktoré sú utajované v súlade s právom Únie alebo vnútroštátnym právom, vymieňajú, oznamujú alebo inak zdieľajú podľa tejto smernice, mali by sa uplatňovať príslušné pravidlá zaobchádzania s utajovanými skutočnosťami. Agentúra ENISA by okrem toho mala mať zavedenú infraštruktúru, postupy a pravidlá pre citlivé a utajované skutočnosti v súlade s platnými bezpečnostnými predpismi na ochranu utajovaných skutočností EÚ.

(119)

Keďže kybernetické hrozby sú čoraz zložitejšie a sofistikovanejšie, dobré opatrenia na odhaľovanie takýchto hrozieb a ich prevenciu do značnej miery závisia od pravidelného zdieľania spravodajských informácií o hrozbách a zraniteľnosti medzi subjektmi. Zdieľanie informácií prispieva k zvýšenej informovanosti o kybernetických hrozbách, čo zase zvyšuje schopnosť subjektov predchádzať tomu, aby sa takéto hrozby stali incidentmi, a subjektom umožňuje lepšie obmedziť vplyvy incidentov a účinnejšie sa z nich zotaviť. Keďže na úrovni Únie príslušné usmernenia neexistujú, zdá sa, že takémuto zdieľaniu spravodajských informácií bránia rôzne faktory, najmä neistá zlučiteľnosť s pravidlami hospodárskej súťaže a zodpovednosti.

(120)

Členské štáty by mali subjektom odporúčať a pomáhať im v spoločnom využívaní svojich individuálnych znalostí a praktických skúseností na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť si spôsobilosti na primeranú prevenciu a detekciu hrozieb, reakciu na ne alebo zotavenie z incidentov či zmiernenie ich vplyvu. Preto je potrebné umožniť na úrovni Únie vznik dobrovoľného zdieľania informácií o kybernetickej bezpečnosti. Na uvedený účel by členské štáty mali aktívne pomáhať a povzbudzovať subjekty, ako sú subjekty poskytujúce služby a výskum kybernetickej bezpečnosti, ako aj príslušné subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, aby sa zúčastňovali na takýchto dohodách o výmene informácií o kybernetickej bezpečnosti. Uvedené dohody by sa mali uzatvárať v súlade s pravidlami Únie pre hospodársku súťaž a právom Únie v oblasti ochrany údajov.

(121)

Spracovanie osobných údajov v nevyhnutnom a primeranom rozsahu na účely zaistenia bezpečnosti sieťových a informačných systémov kľúčovými a dôležitými subjektmi by sa mohlo považovať za zákonné na základe toho, že takéto spracovanie je v súlade so zákonnou povinnosťou, ktorej podlieha prevádzkovateľ v súlade s požiadavkami článku 6 ods. 1 písm. c) a článku 6 ods. 3 nariadenia (EÚ) 2016/679. Spracovanie osobných údajov by mohlo byť potrebné aj pre oprávnené záujmy kľúčových a dôležitých subjektov, ako aj pre poskytovateľov bezpečnostných technológií a služieb, ktorí konajú v mene uvedených subjektov podľa článku 6 ods. 1 písm. f) nariadenia (EÚ) 2016/679, a to aj vtedy, keď je takéto spracovanie nevyhnutné na účely dohôd o výmene informácií o kybernetickej bezpečnosti alebo dobrovoľného zasielania relevantných informácií v súlade s touto smernicou. Opatrenia súvisiace s prevenciou, odhaľovaním, identifikáciou, obmedzovaním následkov, analýzou incidentov a reakciami na ne, opatrenia na zvýšenie informovanosti o konkrétnych kybernetických hrozbách, výmena informácií v kontexte nápravy zraniteľnosti a koordinovaného zverejňovania zraniteľností, dobrovoľná výmena informácií o týchto incidentoch a o kybernetických hrozbách a zraniteľnostiach, ukazovatele kompromitácie, taktiky, techniky a postupy, kybernetické bezpečnostné varovania a konfiguračné nástroje by mohli vyžadovať spracovanie určitých kategórií osobných údajov, ako sú IP adresy, jednotné vyhľadávače prostriedkov (URL), názvy domén, e-mailové adresy, a ak tieto prezrádzajú osobné údaje, časové pečiatky. Spracovanie osobných údajov príslušnými orgánmi, jednotnými kontaktnými miestami a jednotkami CSIRT by mohlo založiť zákonnú povinnosť alebo by sa mohlo považovať za nevyhnutné na vykonanie úlohy vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi podľa článku 1 písm. c) alebo e) a článku 6 ods. 3 nariadenia (EÚ) 2016/679 alebo na sledovanie oprávneného záujmu kľúčových a dôležitých subjektov podľa článku 6 ods. ), bod f) uvedeného nariadenia. Okrem toho by sa vo vnútroštátnom práve mohli stanoviť pravidlá umožňujúce príslušným orgánom, jednotným kontaktným miestam a jednotkám CSIRT v rozsahu, ktorý je potrebný a primeraný na účely zaistenia bezpečnosti sietí a informačných systémov kľúčových a dôležitých subjektov, spracovávať osobitné kategórie osobných údajov podľa článku 9 nariadenia (EÚ) 2016/679, najmä ustanovením vhodných konkrétnych opatrení na ochranu základných práv a záujmov fyzických osôb vrátane technických obmedzení opakovaného použitia takýchto údajov a použitia najmodernejších bezpečnostných opatrení a opatrení na ochranu súkromia, ako je pseudonymizácia alebo šifrovanie, ak anonymizácia môže výrazne ovplyvniť sledovaný účel.

(122)

S cieľom posilniť právomoci a opatrenia v oblasti dohľadu, ktoré pomáhajú zabezpečiť účinné dodržiavanie predpisov, by sa v tejto smernici mal stanoviť minimálny zoznam opatrení a prostriedkov dohľadu, prostredníctvom ktorých môžu príslušné orgány vykonávať dohľad nad kľúčovými a dôležitými subjektmi. Okrem toho by sa touto smernicou malo zaviesť rozlišovanie režimu dohľadu nad kľúčovými a dôležitými subjektmi s cieľom zabezpečiť spravodlivú rovnováhu povinností pre uvedené subjekty a pre príslušné orgány. Kľúčové subjekty by preto mali podliehať komplexnému režimu dohľadu ex ante a ex post, pričom dôležité subjekty by mali podliehať iba ľahkému režimu dohľadu ex post. Od dôležitých subjektov by sa nemalo vyžadovať, aby systematicky dokumentovali súlad s opatreniami na riadenie rizík kybernetickej bezpečnosti, pričom príslušné orgány by k dohľadu mali pristupovať reaktívne ex post, a preto by nemali mať všeobecnú povinnosť vykonávať dohľad nad týmito subjektmi. Dohľad nad dôležitými subjektmi ex post môžu vyvolať dôkazy, indície alebo informácie, na ktoré boli príslušné orgány upozornené a ktoré tieto orgány považujú za potenciálne porušenie tejto smernice. Takéto dôkazy, indície alebo informácie môžu byť napríklad takého druhu, aký príslušným orgánom poskytujú iné orgány, subjekty, občania, médiá alebo iné zdroje alebo verejne dostupné informácie, alebo by mohli vyplynúť z iných činností, ktoré príslušné orgány vykonávajú pri plnení svojich úloh.

(123)

Výkon úloh dohľadu príslušnými orgánmi by nemal zbytočne prekážať podnikateľskej činnosti dotknutého subjektu. Ak príslušné orgány vykonávajú svoje úlohy dohľadu vo vzťahu ku kľúčovým subjektom vrátane výkonu inšpekcií na mieste a dohľadu na diaľku, vyšetrovania porušení tejto smernice a výkonu bezpečnostných auditov alebo bezpečnostných skenov, mali by minimalizovať vplyv na podnikateľskú činnosť dotknutého subjektu.

(124)

Pri výkone dohľadu ex ante by príslušné orgány mali mať možnosť primeraným spôsobom rozhodnúť o prednostnom použití opatrení a prostriedkov v oblasti dohľadu, ktoré majú k dispozícii. To znamená, že príslušné orgány môžu rozhodnúť o prednosti na základe metodík dohľadu, ktoré by mali vychádzať z prístupu založeného na riziku. Konkrétnejšie, takéto metodiky by mohli zahŕňať kritériá alebo referenčné hodnoty na klasifikáciu kľúčových subjektov do kategórií rizík a zodpovedajúce opatrenia a prostriedky v oblasti dohľadu odporúčané pre jednotlivé kategórie rizík, ako je použitie, frekvencia alebo typy inšpekcií na mieste, cielených bezpečnostných auditov alebo bezpečnostných kontrol, druh informácií, ktoré sa majú vyžadovať, a úroveň podrobnosti týchto informácií. Takéto metodiky dohľadu by mohli byť sprevádzané pracovnými programami a môžu sa pravidelne posudzovať a preskúmavať, a to aj pokiaľ ide o aspekty, ako je prideľovanie zdrojov a potreby na úrovni zdrojov. V súvislosti so subjektmi verejnej správy by sa právomoci v oblasti dohľadu mali vykonávať v súlade s vnútroštátnymi rámcami právnych predpisov a inštitucionálnymi rámcami.

(125)

Príslušné orgány by mali zabezpečiť, aby ich úlohy dohľadu vo vzťahu kú kľúčovým a dôležitým subjektom vykonávali školení odborníci, ktorí by na výkon týchto úloh mali mať potrebnú kvalifikáciu, najmä pokiaľ ide o výkon inšpekcií na mieste a dohľadu na diaľku, vrátane identifikácie slabých miest v databázach, hardvéri, firewalloch, šifrovaní a sieťach. Uvedené inšpekcie a uvedený dohľad by sa mali vykonávať objektívnym spôsobom.

(126)

V riadne odôvodnených prípadoch, keď si je príslušný orgán vedomý závažnej kybernetickej hrozby alebo hroziaceho rizika, mal by mať možnosť prijímať okamžité rozhodnutia o presadzovaní práva s cieľom zabrániť incidentu alebo reagovať naň.

(127)

Aby bolo presadzovanie práva účinné, mal by sa stanoviť minimálny zoznam právomocí presadzovania práva, ktoré sa môžu uplatňovať za porušenie opatrení v oblasti riadenia rizík kybernetickej bezpečnosti a oznamovania stanovených v tejto smernici, ktorým sa stanoví jasný a konzistentný rámec pre takéto presadzovanie práva v celej Únii. Náležitá pozornosť by sa mala venovať povahe, závažnosti a trvaniu porušenia tejto smernice, spôsobenej hmotnej a nehmotnej ujme nezávisle od toho, či bolo porušenie úmyselné alebo z nedbanlivosti, opatrení prijatých na zabránenie alebo zmiernenie hmotnej alebo nehmotnej ujmy, miere zodpovednosti alebo akémukoľvek relevantnému predchádzajúcemu porušeniu, miere spolupráce s príslušným orgánom a akýmkoľvek ďalším priťažujúcim alebo poľahčujúcim faktorom. Opatrenia presadzovania práva vrátane správnych pokút by mali byť primerané a ich ukladanie by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie (ďalej len „charta“) vrátane účinného opravného prostriedku a spravodlivého procesu, prezumpcie neviny a práva na obhajobu.

(128)

Táto smernica od členských štátov nevyžaduje, aby stanovili trestnoprávnu alebo občianskoprávnu zodpovednosť v súvislosti s fyzickými osobami zodpovednými za zabezpečenie súladu subjektu s touto smernicou za škodu, ktorú tretie strany utrpeli v dôsledku porušenia tejto smernice.

(129)

S cieľom zabezpečiť účinné presadzovanie povinností stanovených v tejto smernici by mal mať každý príslušný orgán právomoc uložiť správne pokuty alebo požiadať o ich uloženie.

(130)

Ak sa správna pokuta ukladá kľúčovému alebo dôležitému subjektu, ktorý je podnikom, na tieto účely by sa za podnik mal považovať podnik podľa článkov 101 a 102 ZFEÚ. Ak sa správna pokuta ukladá osobe, ktorá nie je podnikom, príslušný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby. Členské štáty by mali rozhodnúť, či orgány verejnej moci budú podliehať správnym pokutám a do akej miery. Uloženie správnej pokuty nemá vplyv na uplatňovanie iných právomocí príslušných orgánov alebo iných sankcií stanovených vo vnútroštátnych predpisoch, ktorými sa transponuje táto smernica.

(131)

Členské štáty by mali mať možnosť stanoviť pravidlá o trestných sankciách za porušenie vnútroštátnych pravidiel, ktorými sa transponuje táto smernica. Uloženie trestných sankcií za porušenia takýchto vnútroštátnych predpisov a uloženie súvisiacich správnych sankcií by však nemalo viesť k porušeniu zásady ne bis in idem, ako ju vykladá Súdny dvor Európskej únie.

(132)

Členské štáty by mali zaviesť systém, ktorým sa zabezpečia účinné, primerané a odrádzajúce sankcie v prípadoch, keď sa touto smernicou neharmonizujú správne sankcie alebo, ak je to potrebné, aj v iných prípadoch, napríklad v prípade závažného porušenia tejto smernice. Povaha týchto sankcií a to, či sú trestné alebo správne, by sa mala určiť podľa vnútroštátneho práva.

(133)

S cieľom ďalej posilniť účinnosť a odrádzajúci účinok opatrení presadzovania práva za porušenie tejto smernice by príslušné orgány mali byť oprávnené dočasne pozastaviť a požadovať dočasné pozastavenie certifikácie alebo povolenia časti alebo všetkých relevantných služieb alebo činností, ktoré poskytuje kľúčový subjekt, a požadovať uloženie dočasného zákazu fyzickej osobe vykonávať riadiace funkcie akoukoľvek fyzickou osobou na úrovni výkonného riaditeľa alebo právneho zástupcu. Takéto dočasné pozastavenia alebo zákazy by sa vzhľadom na svoju závažnosť a vplyv na činnosti subjektov a v konečnom dôsledku na používateľov mali uplatňovať len úmerne k závažnosti porušenia a s prihliadnutím na okolnosti každého jednotlivého prípadu vrátane skutočnosti, či išlo o úmyselné alebo nedbanlivostné porušenie, a akýchkoľvek opatrení prijatých na zabránenie alebo zmiernenie vzniknutej hmotnej alebo nehmotnej ujmy. Takéto dočasné pozastavenia alebo zákazy by sa mali uplatňovať len ako posledná možnosť, teda až po vyčerpaní ostatných príslušných opatrení na presadzovanie povinností stanovených v tejto smernici, a len do vtedy, kým dotknutý subjekt neprijme potrebné opatrenia na nápravu nedostatkov alebo na splnenie požiadaviek príslušného orgánu, v prípade ktorých sa takéto dočasné pozastavenia alebo zákazy uplatnili. Ukladanie takýchto dočasných pozastavení alebo zákazov by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a charty vrátane práva na účinný prostriedok nápravy a spravodlivý proces, prezumpcie neviny a práva na obhajobu.

(134)

Na účely zabezpečenia, že subjekty budú dodržiavať svoje povinnosti stanovené v tejto smernici, by členské štáty mali spolupracovať a navzájom si pomáhať, pokiaľ ide o opatrenia dohľadu a presadzovania, najmä ak subjekt poskytuje služby vo viac ako jednom členskom štáte, alebo ak sa jeho sieť a informačné systémy nachádzajú v inom členskom štáte, než v ktorom poskytuje služby. Pri poskytovaní pomoci by mal dožiadaný príslušný orgán prijať opatrenia dohľadu alebo presadzovania v súlade s vnútroštátnym právom. S cieľom zabezpečiť bezproblémové fungovanie vzájomnej pomoci podľa tejto smernice by príslušné orgány mali využívať skupinu pre spoluprácu ako fórum na diskusiu o prípadoch a konkrétnych žiadostiach o pomoc.

(135)

S cieľom zabezpečiť účinný dohľad a presadzovanie práva, najmä v situácii s cezhraničným rozmerom, by členský štát, ktorému bola doručená žiadosť o vzájomnú pomoc, mal v rozsahu uvedenej žiadosti prijať primerané opatrenia v oblasti dohľadu a presadzovania práva vo vzťahu k subjektu, ktorého sa uvedená žiadosť týka a ktorý poskytuje služby alebo má sieť a informačný systém na území uvedeného členského štátu.

(136)

Touto smernicou by sa mali stanoviť pravidlá spolupráce medzi príslušnými orgánmi a dozornými orgánmi podľa nariadenia (EÚ) 2016/679 s cieľom riešiť porušenia tejto smernice týkajúce sa osobných údajov.

(137)

Cieľom tejto smernice by malo byť zabezpečiť vysokú úroveň zodpovednosti za opatrenia v oblasti riadenia rizík kybernetickej bezpečnosti a oznamovacích povinností na úrovni kľúčových a dôležitých subjektov. Preto by riadiace orgány kľúčových a dôležitých subjektov mali schvaľovať opatrenia na riadenie rizík kybernetickej bezpečnosti a dohliadať na ich vykonávanie.

(138)

S cieľom zabezpečiť vysokú úroveň kybernetickej bezpečnosti v celej Únii na základe tejto smernice by mala byť Komisia splnomocnená prijímať akty v súlade s článkom 290 ZFEÚ na doplnenie tejto smernice tým, že bližšie určí, od ktorých kategórií kľúčových a dôležitých subjektov sa má vyžadovať, aby používali určité certifikované produkty IKT, služby IKT a procesy IKT alebo získali certifikát v rámci niektorého európskeho systému kybernetickej bezpečnosti. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (22). Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

(139)

S cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice by sa mali na Komisiu preniesť vykonávacie právomoci, aby stanovila procesné opatrenia potrebné na fungovanie skupiny pre spoluprácu a technické a metodické, ako aj odvetvové požiadavky týkajúce sa opatrení na riadenie kybernetických rizík, a bližšie špecifikovala druh informácií, formát a postup v prípade incidentu, kybernetických hrozieb a oznámení o situáciách, keď takmer došlo k nehode, a oznamovania významných kybernetických hrozieb, ako aj prípadov, keď sa incident považuje za významný. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (23).

(140)

Komisia by mala túto smernicu pravidelne preskúmavať a po porade so zainteresovanými stranami najmä s cieľom určiť, či je vhodné navrhnúť zmeny vzhľadom na zmeny spoločenských, politických, technologických alebo trhových podmienok. V rámci týchto preskúmaní by Komisia mala posúdiť relevantnosť veľkosti dotknutých subjektov a odvetví, pododvetví a typu subjektu, uvedených v prílohách k tejto smernici pre fungovanie hospodárstva a spoločnosti v súvislosti s kybernetickou bezpečnosťou. Komisia by mala okrem iného posúdiť, či poskytovatelia patriaci do rozsahu pôsobnosti tejto smernice, ktorí sú v zmysle článku 33 nariadenia Európskeho parlamentu a Rady (EÚ) 2022/2065 (24) určení ako veľmi veľké online platformy, by sa podľa tejto smernice mohli považovať za kľúčové subjekty.

(141)

Táto smernica vytvára nové úlohy pre agentúru ENISA, čím sa posilňuje jej úloha, a môže viesť tiež k tomu, že agentúra ENISA bude musieť vykonávať svoje súčasné úlohy podľa nariadenia (EÚ) 2019/881 na vyššej úrovni ako predtým. S cieľom zabezpečiť, aby agentúra ENISA mala potrebné finančné a ľudské zdroje na vykonávanie súčasných a nových úloh, ako aj na dosahovanie akejkoľvek vyššej úrovne výkonu uvedených úloh vyplývajúcich z jej posilnenej úlohy, jej rozpočet by sa mal adekvátne zvýšiť. Aby sa zabezpečilo efektívne využívanie zdrojov, agentúre ENISA by sa mala navyše poskytnúť väčšia flexibilita, pokiaľ ide o spôsob, akým je schopná interne prideľovať zdroje, s cieľom efektívneho výkonu úloh a plnenia očakávaní.

(142)

Keďže cieľ tejto smernice, a to dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii, nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodov účinku opatrení ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku táto smernica neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa.

(143)

V tejto smernici sa rešpektujú základné práva a dodržiavajú zásady uznané v charte, najmä právo na rešpektovanie súkromného života a komunikácií, ochranu osobných údajov, slobodu podnikania, právo vlastniť majetok, právo na účinný prostriedok nápravy a na spravodlivý proces, prezumpcia neviny a právo na obhajobu. Právo na účinný prostriedok nápravy sa vzťahuje aj na príjemcov služieb poskytovaných kľúčovými a dôležitými subjektmi. Táto smernica by sa mala vykonávať v súlade s uvedenými právami a zásadami.

(144)

S európskym dozorným úradníkom pre ochranu údajov sa konzultovalo v súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (25) a európsky dozorný úradník pre ochranu údajov vydal stanovisko 11. marca 2021 (26),