|
27.12.2022 |
SK |
Úradný vestník Európskej únie |
L 333/164 |
SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2022/2557
zo 14. decembra 2022
o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES
(Text s významom pre EHP)
EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 114,
so zreteľom na návrh Európskej komisie,
po postúpení návrhu legislatívneho aktu národným parlamentom,
so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru (1),
so zreteľom na stanovisko Výboru regiónov (2),
konajúc v súlade s riadnym legislatívnym postupom (3),
keďže:
|
(1) |
Kritické subjekty ako poskytovatelia základných služieb zohrávajú nenahraditeľnú úlohu pri udržiavaní životne dôležitých spoločenských funkcií alebo hospodárskych činností na vnútornom trhu v čoraz vzájomne závislejšom hospodárstve Únie. Preto má zásadný význam zriadiť rámec uplatniteľný v Únii, ktorého cieľom je posilnenie odolnosti kritických subjektov na vnútornom trhu ustanovením harmonizovaných minimálnych pravidiel, ako aj poskytovaním pomoci týmto subjektom prostredníctvom koherentných a cielených opatrení v oblasti podpory a dohľadu. |
|
(2) |
V smernici Rady 2008/114/ES (4) sa stanovuje postup na označenie európskej kritickej infraštruktúry v odvetviach energetiky a dopravy, ktorých narušenie alebo zničenie by malo významný cezhraničný vplyv na najmenej dva členské štáty. Uvedená smernica sa zameriava výlučne na ochranu takejto infraštruktúry. Pri hodnotení smernice 2008/114/ES, ktoré sa uskutočnilo v roku 2019, sa však zistilo, že vzhľadom na čoraz prepojenejšiu a cezhraničnú povahu operácií využívajúcich kritickú infraštruktúru nie sú ochranné opatrenia týkajúce sa len jednotlivých aktív dostatočné na to, aby zabránili všetkým narušeniam. Preto je potrebné zmeniť prístup smerom k lepšiemu zohľadňovaniu rizík, lepšie vymedziť a zosúladiť úlohu a povinnosti kritických subjektov ako poskytovateľov služieb nevyhnutných pre fungovanie vnútorného trhu a prijať pravidlá platné v Únii s cieľom zvýšiť odolnosť kritických subjektov. Kritické subjekty by mali byť schopné posilniť svoju schopnosť predchádzať incidentom, ktoré majú potenciál narušiť poskytovanie základných služieb, chrániť sa pred nimi, reagovať na ne, odolávať im, zmierňovať ich, absorbovať ich, prispôsobovať sa im a zotaviť sa z nich. |
|
(3) |
Hoci sa na podporu ochrany kritickej infraštruktúry v Únii zameriava niekoľko opatrení na úrovni Únie, ako je Európsky program na ochranu kritickej infraštruktúry, aj na vnútroštátnej úrovni, malo by sa vyvinúť väčšie úsilie o kvalitnejšie vybavenie subjektov, ktoré takú infraštruktúru prevádzkujú, aby mohli čeliť tým rizikám ohrozujúcim ich prevádzku, ktoré by mohli spôsobiť narušenie poskytovania základných služieb. Viac by sa tiež malo urobiť na zlepšenie vybavenia, pretože dochádza k dynamickej panoráme hrozieb, ktorá zahŕňa vyvíjajúce sa hybridné a teroristické hrozby, a k rastúcej vzájomnej závislosti medzi infraštruktúrou a odvetviami. Okrem toho existuje zvýšené fyzické riziko v dôsledku prírodných katastrof a zmeny klímy, ktorá zintenzívňuje frekvenciu a rozsah extrémnych výkyvov počasia a prináša dlhodobé zmeny priemerných klimatických podmienok, ktoré môžu znížiť kapacitu, efektívnosť a životnosť určitých typov infraštruktúry, ak sa nezavedú opatrenia na adaptáciu na zmenu klímy. Vnútorný trh okrem toho charakterizuje fragmentácia, pokiaľ ide o identifikáciu kritických subjektov, pretože príslušné odvetvia a kategórie subjektov nie sú vo všetkých členských štátoch konzistentne uznávané ako kritické. Touto smernicou by sa preto mala dosiahnuť solídna úroveň harmonizácie, pokiaľ ide o odvetvia a kategórie subjektov, ktoré patria do rozsahu jej pôsobnosti. |
|
(4) |
Hoci určité odvetvia hospodárstva, ako napríklad odvetvia energetiky a dopravy, sú už regulované odvetvovými právnymi aktmi Únie, uvedené právne akty obsahujú pravidlá týkajúce sa len určitých aspektov odolnosti subjektov pôsobiacich v týchto odvetviach. S cieľom komplexne upraviť otázku odolnosti subjektov, ktoré sú kritické pre riadne fungovanie vnútorného trhu, sa touto smernicou vytvára zastrešujúci rámec, ktorým sa upravuje otázka odolnosti kritických subjektov, pokiaľ ide o všetky nebezpečenstvá, či už prírodné alebo spôsobené ľudskou činnosťou, náhodné alebo úmyselné. |
|
(5) |
Rastúce vzájomné závislosti medzi infraštruktúrou a odvetviami sú výsledkom čoraz viac cezhraničnej a vzájomne závislej siete poskytovania služieb využívajúcej kľúčovú infraštruktúru v celej Únii v odvetviach energetiky, dopravy, bankovníctva, pitnej vody, odpadovej vody, výroby, spracúvania a distribúcie potravín, zdravotníctva, vesmíru, infraštruktúry finančného trhu a digitálnej infraštruktúry a v určitých aspektoch sektora verejnej správy. Vesmírny sektor patrí do rozsahu pôsobnosti tejto smernice, pokiaľ ide o poskytovanie určitých služieb, ktoré sú závislé od pozemnej infraštruktúry vlastnenej, riadenej a prevádzkovanej členskými štátmi alebo súkromnými subjektmi; preto infraštruktúra, ktorú vlastní, riadi alebo prevádzkuje Únia ako súčasť svojho vesmírneho programu, alebo je vlastnená, riadená alebo prevádzkovaná v jej mene, nepatrí do rozsahu pôsobnosti tejto smernice. Čo sa týka odvetvia energetiky a konkrétne metód výroby a prenosu elektrickej energie (pokiaľ ide o dodávku elektrickej energie), rozumie sa, že ak je to vhodné, výroba elektrickej energie môže zahŕňať časti jadrových elektrárni, ktoré slúžia na prenos elektrickej energie, ale výslovne sú z nej vylúčené jadrové prvky, na ktoré sa vzťahujú zmluvy a právo Únie vrátane príslušných právnych aktov Únie týkajúcich sa jadrovej energie. Proces identifikácie kritických subjektov v potravinárskom odvetví by mal primerane odrážať povahu vnútorného trhu v tomto odvetví a rozsiahle pravidlá Únie týkajúce sa všeobecných zásad a požiadaviek potravinového práva a bezpečnosti potravín. S cieľom zabezpečiť primeraný prístup a zodpovedajúco zohľadniť úlohu a význam uvedených subjektov na vnútroštátnej úrovni by sa preto kritické subjekty mali identifikovať len medzi tými potravinárskymi podnikmi, bez ohľadu na to, či ide o ziskové, neziskové, verejné alebo súkromné organizácie, ktoré sa zaoberajú výlučne logistikou a veľkoobchodnou distribúciou a veľkoobjemovou priemyselnou výrobou a spracovaním a majú významný podiel na trhu prejavujúci sa na vnútroštátnej úrovni. Uvedené vzájomné závislosti znamenajú, že akékoľvek narušenie základných služieb, dokonca sprvoti obmedzené na jeden subjekt alebo jedno odvetvie, môže mať kaskádové účinky v širšom meradle, čo môže viesť k ďalekosiahlemu a dlhotrvajúcemu negatívnemu vplyvu na poskytovanie služieb na celom vnútornom trhu. Veľké krízy, ako pandémia ochorenia COVID-19, poukázali na zraniteľnosť našich čoraz prepojenejších spoločností voči rizikám s nízkou pravdepodobnosťou a vysokým vplyvom. |
|
(6) |
Na subjekty zapojené do poskytovania základných služieb sa čoraz viac vzťahujú odlišné požiadavky, ktoré sú im ukladané podľa vnútroštátneho práva. Skutočnosť, že v niektorých členských štátoch sa na tieto subjekty vzťahujú menej prísne bezpečnostné požiadavky, nielenže vedie k odlišným úrovniam odolnosti, ale predstavuje aj riziko negatívne ovplyvňujúce zachovanie životne dôležitých spoločenských funkcií alebo hospodárskych činností v celej Únii a vedie aj k prekážkam riadneho fungovania vnútorného trhu. Investori a podniky sa môžu spoľahnúť na kritické subjekty, ktoré sú odolné, a dôverovať im, a spoľahlivosť a dôvera sú základnými kameňmi dobre fungujúceho vnútorného trhu. Podobné typy subjektov sa v niektorých členských štátoch považujú za kritické a v iných nie, a tie, ktoré sú identifikované ako kritické, podliehajú v rôznych členských štátoch rôznym požiadavkám. To vedie k dodatočnému a zbytočnému administratívnemu zaťaženiu pre spoločnosti, ktoré vykonávajú cezhraničné činnosti, najmä pre spoločnosti pôsobiace v členských štátoch s prísnejšími požiadavkami. Európskym rámcom by sa preto dosiahli aj rovnaké podmienky pre kritické subjekty v celej Únii. |
|
(7) |
Je potrebné ustanoviť harmonizované minimálne pravidlá s cieľom zabezpečiť poskytovanie základných služieb na vnútornom trhu, zvýšiť odolnosť kritických subjektov a zlepšiť cezhraničnú spoluprácu príslušných orgánov. Je dôležité, aby tieto pravidlá boli nadčasové, pokiaľ ide o ich povahu a vykonávanie, a zároveň umožňovali potrebnú flexibilitu. Takisto je nevyhnutné zlepšiť schopnosť kritických subjektov poskytovať základné služby v prípade rôznych rizík. |
|
(8) |
Na dosiahnutie vysokej úrovne odolnosti by členské štáty mali identifikovať kritické subjekty, ktoré budú podliehať osobitným požiadavkám a dohľadu a bude im poskytnutá osobitná podpora a poradenstvo v súvislosti so všetkými relevantnými rizikami. |
|
(9) |
Vzhľadom na význam kybernetickej bezpečnosti pre odolnosť kritických subjektov a v záujme konzistentnosti by vždy, keď je to možné, mal byť zabezpečený súdržný prístup medzi touto smernicou a smernicou Európskeho parlamentu a Rady (EÚ) 2022/2555 (5). So zreteľom na vyšší výskyt a osobitné črty kybernetických rizík sa smernicou (EÚ) 2022/2555 ukladajú veľkému množstvu subjektov komplexné požiadavky s cieľom zaistiť ich kybernetickú bezpečnosť. Vzhľadom na to, že kybernetická bezpečnosť sa dostatočne upravuje v smernici (EÚ) 2022/2555, záležitosti, na ktoré sa vzťahuje uvedená smernica, by sa mali vylúčiť z rozsahu pôsobnosti tejto smernice, a to bez toho, aby bol dotknutý osobitný režim pre subjekty v odvetví digitálnej infraštruktúry. |
|
(10) |
Ak sa v ustanoveniach odvetvových právnych aktov Únie vyžaduje, aby kritické subjekty prijali opatrenia na zvýšenie svojej odolnosti, a ak tieto požiadavky uznali členské štáty za prinajmenšom rovnocenné zodpovedajúcim povinnostiam stanoveným v tejto smernici, príslušné ustanovenia tejto smernice by sa nemali uplatňovať, aby sa zabránilo duplicite a zbytočnému zaťaženiu. V uvedenom prípade by sa mali uplatňovať príslušné ustanovenia takých právnych aktov Únie. Ak sa príslušné ustanovenia tejto smernice neuplatňujú, nemali by sa uplatňovať ani ustanovenia o dohľade a presadzovaní stanovené v tejto smernici. |
|
(11) |
Táto smernica nemá vplyv na právomoc členských štátov a ich orgánov, pokiaľ ide o správnu autonómiu alebo ich zodpovednosť za ochranu národnej bezpečnosti a obrany alebo ich právomoc chrániť iné základné funkcie štátu, najmä pokiaľ ide o verejnú bezpečnosť, územnú celistvosť a udržiavanie verejného poriadku. Vylúčenie subjektov verejnej správy z rozsahu pôsobnosti tejto smernice by sa malo vzťahovať na subjekty, ktorých činnosti sa prevažne vykonávajú v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane vyšetrovania, odhaľovania a stíhania trestných činov. Táto smernica by sa však mala vzťahovať na subjekty verejnej správy, ktorých činnosti s uvedenými oblasťami súvisia len okrajovo. Na účely tejto smernice sa subjekty s regulačnými právomocami nepovažujú za subjekty vykonávajúce činnosti v oblasti presadzovania práva, a preto nie sú na základe uvedeného dôvodu vylúčené z rozsahu pôsobnosti tejto smernice. Subjekty verejnej správy, ktoré sú v súlade s medzinárodnou dohodou zriadené spoločne s treťou krajinou, sú vylúčené z rozsahu pôsobnosti tejto smernice. Táto smernica sa nevzťahuje na diplomatické a konzulárne misie členských štátov v tretích krajinách. Určité kritické subjekty vykonávajú činnosti v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane vyšetrovania, odhaľovania a stíhania trestných činov alebo poskytujú služby výlučne subjektom verejnej správy, ktoré vykonávajú činnosti prevažne v uvedených oblastiach. Vzhľadom na zodpovednosť členských štátov za ochranu národnej bezpečnosti a obrany by členské štáty mali mať možnosť rozhodnúť, že povinnosti kritických subjektov stanovené v tejto smernici sa na tieto kritické subjekty úplne alebo čiastočne neuplatňujú, ak služby, ktoré poskytujú, alebo činnosti, ktoré vykonávajú, súvisia prevažne s oblasťami národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane vyšetrovania, odhaľovania a stíhania trestných činov. Do rozsahu pôsobnosti tejto smernice by však mali patriť kritické subjekty, ktorých služby alebo činnosti súvisia s uvedenými oblasťami len okrajovo. Od žiadneho členského štátu by sa nemalo požadovať, aby poskytoval informácie, ktorých zverejnenie by odporovalo základným záujmom jeho národnej bezpečnosti. Uplatňujú sa pravidlá Únie alebo vnútroštátne pravidlá na ochranu utajovaných skutočností a dohody o mlčanlivosti. |
|
(12) |
S cieľom neohroziť národnú bezpečnosť alebo bezpečnostné a obchodné záujmy kritických subjektov by sa prístup k citlivým informáciám, ich výmena a zaobchádzanie s nimi mali uskutočňovať prezieravo a s osobitnou pozornosťou venovanou použitým prenosovým kanálom a kapacitám uchovávania. |
|
(13) |
S cieľom zabezpečiť komplexný prístup k odolnosti kritických subjektov by každý členský štát mal mať zavedenú stratégiu na zvýšenie odolnosti kritických subjektov (ďalej len „stratégia“). Stratégia by mala stanoviť strategické ciele a politické opatrenia, ktoré sa majú vykonať. Stratégia by mala byť v záujme koherentnosti a efektívnosti koncipovaná tak, aby bezproblémovo integrovala existujúce politiky a vždy, keď je to možné, vychádzala z príslušných existujúcich národných a odvetvových stratégií, plánov alebo podobných dokumentov. S cieľom dosiahnuť komplexný prístup by členské štáty mali zabezpečiť, aby sa v ich stratégiách stanovil politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tejto smernice a príslušnými orgánmi podľa smernice (EÚ) 2022/2555 v kontexte zdieľania informácií o kybernetickobezpečnostných rizikách, kybernetických hrozbách a kybernetických incidentoch a nekybernetických rizikách, hrozbách a incidentoch a v kontexte plnenia úloh v oblasti dohľadu. Pri zavádzaní svojich stratégií by členské štáty mali náležite zohľadniť hybridnú povahu hrozieb pre kritické subjekty. |
|
(14) |
Členské štáty by mali oznámiť svoje stratégie a ich podstatné aktualizácie Komisii, najmä s cieľom umožniť jej posúdiť správne uplatňovanie tejto smernice, pokiaľ ide o politické prístupy k odolnosti kritických subjektov na vnútroštátnej úrovni. Stratégie by sa v prípade potreby mohli oznamovať ako utajované skutočnosti. Komisia by mala vypracovať súhrnnú správu o stratégiách oznámených členskými štátmi, ktorá by slúžila ako základ pre výmenu informácií s cieľom identifikovať najlepšie postupy a otázky spoločného záujmu v rámci skupiny pre odolnosť kritických subjektov. Vzhľadom na citlivú povahu súhrnných informácií zahrnutých v súhrnnej správe, či už utajenej alebo nie, by Komisia mala pri nakladaní so súhrnnou správou na primeranej úrovni zohľadňovať bezpečnosť kritických subjektov, členských štátov a Únie. Súhrnná správa a stratégie by sa mali chrániť pred protiprávnym alebo zlomyseľným konaním a mali by byť prístupné len oprávneným osobám, aby sa splnili ciele tejto smernice. Oznamovanie stratégií a ich podstatných aktualizácií by takisto malo pomôcť Komisii pochopiť vývoj prístupov k odolnosti kritických subjektov a prispieť k monitorovaniu vplyvu a pridanej hodnoty tejto smernice, ktoré má Komisia pravidelne preskúmavať. |
|
(15) |
Opatrenia členských štátov zamerané na identifikáciu kritických subjektov a pomoc pri zabezpečovaní ich odolnosti by sa mali riadiť prístupom založeným na riziku, ktorý sa zameriava na subjekty, ktoré sú najdôležitejšie z hľadiska výkonu životne dôležitých spoločenských funkcií alebo hospodárskych činností. S cieľom zabezpečiť takýto cielený prístup by mal každý členský štát v harmonizovanom rámci vykonať posúdenie relevantných prírodných a ľudskou činnosťou spôsobených rizík vrátane rizík medziodvetvovej a cezhraničnej povahy, ktoré by mohli ovplyvniť poskytovanie základných služieb, vrátane nehôd, prírodných katastrof, ohrozenia verejného zdravia, ako sú pandémie, a hybridných hrozieb alebo iných antagonistických hrozieb vrátane trestných činov terorizmu, prenikania trestnej činnosti a sabotáže (ďalej len „posúdenie rizika členskými štátmi“). Pri vykonávaní posúdení rizika členskými štátmi by členské štáty mali zohľadniť ďalšie všeobecné alebo odvetvové posúdenia rizika, ktoré sa vykonávajú podľa iných právnych aktov Únie, a mali by zvážiť mieru, v akej odvetvia závisia jedno od druhého, vrátane odvetví v iných členských štátoch a tretích krajinách. Výsledok posúdení rizika členskými štátmi by sa mal použiť na účely identifikácie kritických subjektov a na pomoc uvedeným subjektom pri plnení požiadaviek v oblasti odolnosti, ktoré sa na ne vzťahujú. Táto smernica sa vzťahuje len na členské štáty a kritické subjekty, ktoré pôsobia v Únii. Odborné znalosti a poznatky získané príslušnými orgánmi, najmä prostredníctvom posúdení rizík, a Komisiou, najmä prostredníctvom rôznych foriem podpory a spolupráce, by sa však v prípade potreby a v súlade s uplatniteľnými právnymi nástrojmi mohli využiť v prospech tretích krajín, najmä tých, ktoré sa nachádzajú v priamom susedstve Únie, a to tak, že prispejú k existujúcej spolupráci v oblasti odolnosti. |
|
(16) |
S cieľom zabezpečiť, aby sa na všetky príslušné subjekty vzťahovali požiadavky tejto smernice týkajúce sa odolnosti, a znížiť rozdiely v tejto súvislosti, je dôležité stanoviť harmonizované pravidlá umožňujúce jednotnú identifikáciu kritických subjektov v celej Únii a zároveň umožniť členským štátom primerane zohľadniť úlohu a význam uvedených subjektov na vnútroštátnej úrovni. Pri uplatňovaní kritérií stanovených v tejto smernici by každý členský štát mal identifikovať subjekty, ktoré poskytujú jednu alebo viacero základných služieb a ktoré prevádzkujú a majú kritickú infraštruktúru nachádzajúcu sa na jeho území. Subjekt by sa mal považovať za subjekt pôsobiaci na území toho členského štátu, na území ktorého vykonáva činnosti potrebné pre danú základnú službu alebo služby a na území ktorého sa nachádza kritická infraštruktúra uvedeného subjektu používaná na poskytovanie uvedenej služby alebo služieb. Ak v členskom štáte tieto kritériá nespĺňa žiadny subjekt, tento členský štát by nemal mať povinnosť identifikovať kritický subjekt v príslušnom odvetví alebo pododvetví. V záujme účinnosti, efektívnosti, konzistentnosti a právnej istoty by sa mali stanoviť vhodné pravidlá týkajúce sa oznamovania subjektov, ktoré boli identifikované ako kritické subjekty. |
|
(17) |
Členské štáty by mali spôsobom, ktorý spĺňa ciele tejto smernice, predložiť Komisii zoznam základných služieb, počet kritických subjektov identifikovaných v súvislosti s každým odvetvím a pododvetvím stanoveným v prílohe a v súvislosti so základnou službou alebo službami, ktoré každý subjekt poskytuje, a prahové hodnoty, ak sa uplatňujú. Malo by byť možné poskytnúť prahové hodnoty ako také alebo v súhrnnej forme, čo znamená, že informácie možno spriemerovať podľa geografických oblastí, rokov, odvetví, pododvetví alebo inými prostriedkami a môžu zahŕňať informácie o rozsahu poskytnutých ukazovateľov. |
|
(18) |
Mali by sa stanoviť kritériá na určenie závažnosti rušivého vplyvu vyvolaného incidentom. Uvedené kritériá by mali vychádzať z kritérií stanovených v smernici Európskeho parlamentu a Rady (EÚ) 2016/1148 (6), aby sa využilo úsilie členských štátov pri identifikácii prevádzkovateľov základných služieb vymedzených v uvedenej smernici a skúsenosti získané v uvedenej súvislosti. Veľké krízy, ako je pandémia ochorenia COVID-19, poukázali na význam zaistenia bezpečnosti dodávateľského reťazca a ukázali, ako môže mať jeho narušenie negatívny hospodársky a spoločenský vplyv vo veľkom počte odvetví a naprieč hranicami. Členské štáty by preto mali pri určovaní miery, v akej iné odvetvia a pododvetvia závisia od základnej služby poskytovanej kritickým subjektom, v čo najväčšej možnej miere zvážiť aj účinky na dodávateľský reťazec. |
|
(19) |
V súlade s uplatniteľným právom Únie a vnútroštátnym právom vrátane nariadenia Európskeho parlamentu a Rady (EÚ) 2019/4521 (7), ktorým sa ustanovuje rámec na preverovanie priamych zahraničných investícií do Únie, treba uznať potenciálnu hrozbu, ktorú predstavuje zahraničné vlastníctvo kritickej infraštruktúry v Únii, pretože služby, hospodárstvo a voľný pohyb a bezpečnosť občanov Únie závisia od riadneho fungovania kritickej infraštruktúry. |
|
(20) |
V smernici (EÚ) 2022/2555 sa od subjektov patriacich do odvetvia digitálnej infraštruktúry, ktoré by mohli byť podľa tejto smernice identifikované ako kritické subjekty, vyžaduje, aby prijali vhodné a primerané technické, operačné a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, a na oznamovanie významných incidentov a kybernetických hrozieb. Keďže hrozby pre bezpečnosť sietí a informačných systémov môžu mať rôzny pôvod, v smernici (EÚ) 2022/2555 sa uplatňuje prístup zohľadňujúci všetky nebezpečenstvá, ktorý zahŕňa odolnosť sietí a informačných systémov, ako aj fyzických komponentov a prostredia uvedených systémov. Vzhľadom na to, že požiadavky stanovené v smernici (EÚ) 2022/2555 v uvedenej súvislosti sú prinajmenšom rovnocenné zodpovedajúcim povinnostiam stanoveným v tejto smernici, povinnosti stanovené v článku 11 a kapitolách III, IV a VI tejto smernice by sa na subjekty patriace do odvetvia digitálnej infraštruktúry nemali vzťahovať, aby sa predišlo duplicite a zbytočnému administratívnemu zaťaženiu. Vzhľadom na význam služieb poskytovaných subjektmi patriacimi do odvetvia digitálnej infraštruktúry kritickým subjektom patriacim do všetkých ostatných odvetví, by však členské štáty mali na základe kritérií a s použitím postupu stanoveného v tejto smernici identifikovať subjekty patriace do odvetvia digitálnej infraštruktúry ako kritické subjekty. V dôsledku toho by sa mali uplatňovať stratégie, posúdenia rizík členskými štátmi a podporné opatrenia stanovené v kapitole II tejto smernice. Členské štáty by mali mať možnosť prijať alebo zachovať ustanovenia vnútroštátneho práva na dosiahnutie vyššej úrovne odolnosti týchto kritických subjektov za predpokladu, že uvedené ustanovenia sú v súlade s uplatniteľným právom Únie. |
|
(21) |
V práve Únie v oblasti finančných služieb sa pre finančné subjekty stanovujú komplexné požiadavky, aby mohli riadiť všetky riziká, ktorým čelia, vrátane operačných rizík a zabezpečiť kontinuitu činností. Takéto právo zahŕňa nariadenia Európskeho parlamentu a Rady (EÚ) č. 648/2012 (8), (EÚ) č. 575/2013 (9) a (EÚ) č. 600/2014 (10) a smernice Európskeho parlamentu a Rady 2013/36/EÚ (11) a 2014/65/EÚ (12). Uvedený právny rámec sa dopĺňa nariadením Európskeho parlamentu a Rady (EÚ) 2022/2554 (13), ktorým sa stanovujú požiadavky vzťahujúce sa na finančné subjekty, pokiaľ ide o riadenie rizík v oblasti informačných a komunikačných technológii (ďalej len „IKT“), a to aj pokiaľ ide o ochranu fyzickej infraštruktúry IKT. Keďže odolnosť uvedených subjektov je teda komplexne upravená, článok 11 a kapitoly III, IV a VI tejto smernice by sa na tieto subjekty nemali vzťahovať, aby sa zabránilo duplicite a zbytočnému administratívnemu zaťaženiu. Vzhľadom na význam služieb poskytovaných subjektmi vo finančnom sektore kritickým subjektom, ktoré patria do všetkých ostatných odvetví, by však členské štáty mali na základe kritérií a s použitím postupu stanoveného v tejto smernici identifikovať subjekty patriace do finančného sektora ako kritické subjekty. V dôsledku toho by sa mali uplatňovať stratégie, posúdenia rizík členskými štátmi a podporné opatrenia stanovené v kapitole II tejto smernice. Členské štáty by mali mať možnosť prijať alebo zachovať ustanovenia vnútroštátneho práva na dosiahnutie vyššej úrovne odolnosti týchto kritických subjektov za predpokladu, že uvedené ustanovenia sú v súlade s uplatniteľným právom Únie. |
|
(22) |
Členské štáty by mali určiť alebo zriadiť orgány príslušné na dohľad nad uplatňovaním a v prípade potreby presadzovaním pravidiel tejto smernice a zabezpečiť, aby tieto orgány mali primerané právomoci a zdroje. Vzhľadom na rozdiely vo vnútroštátnych riadiacich štruktúrach, s cieľom chrániť existujúce odvetvové mechanizmy alebo orgány dohľadu a regulačné orgány Únie a zabrániť duplicite by členské štáty mali mať možnosť určiť alebo zriadiť viac ako jeden príslušný orgán. Ak členské štáty určia alebo zriadia viac ako jeden príslušný orgán, mali by jasne vymedziť príslušné úlohy dotknutých orgánov a zabezpečiť ich hladkú a účinnú spoluprácu. Všetky príslušné orgány by mali vo všeobecnosti spolupracovať aj s ostatnými príslušnými orgánmi na úrovni Únie, ako aj na vnútroštátnej úrovni. |
|
(23) |
S cieľom uľahčiť cezhraničnú spoluprácu a komunikáciu a umožniť účinné vykonávanie tejto smernice by mal každý členský štát bez toho, aby boli dotknuté požiadavky odvetvových právnych aktov Únie, určiť jedno jednotné kontaktné miesto zodpovedné za koordináciu otázok týkajúcich sa odolnosti kritických subjektov a cezhraničnej spolupráce v tejto oblasti na úrovni Únie (ďalej len „jednotné kontaktné miesto“), pokiaľ možno pri príslušnom orgáne. Každé jednotné kontaktné miesto by malo zabezpečovať styk a koordinovať komunikáciu s príslušnými orgánmi svojho členského štátu, s jednotnými kontaktnými miestami iných členských štátov a so skupinou pre odolnosť kritických subjektov. |
|
(24) |
Príslušné orgány podľa tejto smernice a príslušné orgány podľa smernice (EÚ) 2022/2555 by mali spolupracovať a vymieňať si informácie týkajúce sa kybernetickobezpečnostných rizík, kybernetických hrozieb a kybernetických incidentov a nekybernetických rizík, hrozieb a incidentov, ktoré majú vplyv na kritické subjekty, ako aj informácie týkajúce sa relevantných opatrení, ktoré prijali príslušné orgány podľa tejto smernice a príslušné orgány podľa smernice (EÚ) 2022/2555 Je dôležité, aby členské štáty zabezpečili, aby sa požiadavky stanovené v tejto smernici a smernici (EÚ) 2022/2555 vykonávali komplementárnym spôsobom a aby kritické subjekty nepodliehali administratívnemu zaťaženiu nad rámec toho, čo je potrebné na dosiahnutie cieľov tejto smernice a uvedenej smernice. |
|
(25) |
Členské štáty by mali podporovať kritické subjekty vrátané tých, ktoré sú kvalifikované ako malé alebo stredné podniky, pri posilňovaní ich odolnosti v súlade s povinnosťami členských štátov stanovenými v tejto smernici bez toho, aby bola dotknutá právna zodpovednosť kritických subjektov za zabezpečenie takéhoto súladu a zároveň predchádzať nadmernému administratívnemu zaťaženiu. Členské štáty by mohli najmä vypracúvať poradenský materiál a metodiky, podporovať organizovanie cvičení na testovanie odolnosti kritických subjektov a poskytovať poradenstvo a odbornú prípravu pracovníkom kritických subjektov. Ak je to potrebné a odôvodnené cieľmi verejného záujmu, členské štáty by mohli poskytovať finančné zdroje a mali by uľahčovať dobrovoľné zdieľanie informácií a výmenu osvedčených postupov medzi kritickými subjektmi bez toho, aby bolo dotknuté uplatňovanie pravidiel hospodárskej súťaže stanovených v Zmluve o fungovaní Európskej únie (ďalej len „ZFEÚ“). |
|
(26) |
S cieľom zvýšiť odolnosť kritických subjektov identifikovaných členskými štátmi a znížiť administratívne zaťaženie uvedených kritických subjektov by príslušné orgány mali medzi sebou konzultovať vždy, keď je to vhodné na účely zabezpečenia jednotného uplatňovania tejto smernice. Do týchto konzultácií by sa malo vstupovať na žiadosť ktoréhokoľvek zainteresovaného príslušného orgánu a konzultácie by sa mali zameriavať na zabezpečenie konvergentného prístupu, pokiaľ ide o vzájomne prepojené kritické subjekty, ktoré využívajú kritickú infraštruktúru fyzicky prepojenú medzi dvomi alebo viacerými členskými štátmi a ktoré patria do rovnakých skupín alebo podnikových štruktúr, alebo ktoré boli identifikované v jednom členskom štáte a základné služby poskytujú do iných členských štátov alebo v nich. |
|
(27) |
Ak právne predpisy Únie alebo vnútroštátne právne predpisy od kritických subjektov vyžadujú, aby posudzovali riziká relevantné na účely tejto smernice a prijímali opatrenia na zabezpečenie vlastnej odolnosti, tieto požiadavky by mali byť primerane zvážené z hľadiska dohľadu nad tým, či kritické subjekty dodržiavajú ustanovenia tejto smernice. |
|
(28) |
Kritické subjekty by mali mať komplexné znalosti o relevantných rizikách, ktorým sú vystavené, a povinnosť tieto riziká analyzovať. Na uvedený účel by mali vykonávať posúdenia rizík vždy, keď je to potrebné vzhľadom na ich konkrétnu situáciu a vývoj predmetných rizík, a v každom prípade každé štyri roky, s cieľom posúdiť všetky relevantné riziká, ktoré by mohli narušiť poskytovanie ich základných služieb (ďalej len „posúdenie rizika kritickými subjektmi“). Ak kritické subjekty vykonali iné posúdenia rizika alebo vypracovali dokumenty podľa povinností stanovených v iných právnych aktoch, ktoré sú relevantné pre posúdenie rizika kritickými subjektmi, mali by mať možnosť použiť uvedené posúdenia a dokumenty na splnenie požiadaviek stanovených v tejto smernici týkajúcich sa posúdení rizika kritickými subjektmi. Príslušný orgán by mal mať možnosť vyhlásiť, že existujúce posúdenie rizika vykonané kritickým subjektom, ktoré rozoberá relevantné riziká a relevantnú mieru závislosti, je úplne alebo čiastočne v súlade s povinnosťami stanovenými v tejto smernici. |
|
(29) |
Kritické subjekty by mali prijať technické, bezpečnostné a organizačné opatrenia, ktoré sú vhodné a primerané rizikám, ktorým čelia, aby predišli incidentu, chránili sa pred ním, reagovali naň, odolali mu, zmierňovali ho, absorbovali ho, prispôsobili sa mu a zotavili sa z neho. Kritické subjekty by mali prijať uvedené opatrenia v súlade s touto smernicou, pričom podrobnosti a rozsah takýchto opatrení by mali odrážať rôzne riziká, ktoré každý kritický subjekt identifikoval v rámci svojho posúdenia rizika kritickým subjektom, a osobitosti takéhoto subjektu vhodným a primeraným spôsobom. Komisia by s cieľom podporovať súdržný prístup v rámci Únie mala po konzultovaní so skupinou pre odolnosť kritických subjektov prijať nezávislé usmernenia na ďalšie spresnenie týchto technických, bezpečnostných a organizačných opatrení. Členské štáty by mali zabezpečiť, aby každý kritický subjekt určil styčného úradníka alebo rovnocennú osobu pre kontakt s príslušnými orgánmi. |
|
(30) |
S cieľom dosiahnuť účinnosť a zodpovednosť by kritické subjekty mali v pláne odolnosti alebo v dokumente či dokumentoch, ktoré sú rovnocenné plánu odolnosti, opísať opatrenia, ktoré prijímajú, a to s mierou podrobnosti postačujúcou na dosiahnutie cieľov účinnosti a zodpovednosti a zreteľom na zistené riziká, pričom by uvedený plán mali uplatňovať v praxi. Ak kritický subjekt už prijal technické, bezpečnostné a organizačné opatrenia a vypracoval dokumenty podľa iných právnych aktov, ktoré sú relevantné pre opatrenia na zabezpečenie odolnosti podľa tejto smernice, mal by mať možnosť tieto opatrenia a dokumenty použiť na splnenie požiadaviek, pokiaľ ide o opatrenia na zabezpečenie odolnosti podľa tejto smernice, s cieľom zabrániť duplicite. S cieľom zabrániť duplicite by príslušný orgán mal mať možnosť vyhlásiť, že existujúce opatrenia na zabezpečenie odolnosti prijaté kritickým subjektom, ktorými sa rieši jeho povinnosť prijať technické, bezpečnostné a organizačné opatrenia podľa tejto smernice, sú úplne alebo čiastočne v súlade s požiadavkami tejto smernice. |
|
(31) |
Nariadeniami Európskeho parlamentu a Rady (ES) č. 725/2004 (14) a (ES) č. 300/2008 (15) a smernicou Európskeho parlamentu a Rady 2005/65/ES (16) sa stanovujú požiadavky uplatniteľné na subjekty v odvetviach leteckej a námornej dopravy s cieľom predchádzať incidentom spôsobeným protiprávnymi činmi, odolávať takýmto incidentom a zmierňovať ich následky. Aj keď opatrenia požadované podľa tejto smernice sú širšie, pokiaľ ide o upravované riziká a druhy opatrení, ktoré sa majú prijať, kritické subjekty v uvedených odvetviach by mali vo svojom pláne odolnosti alebo rovnocenných dokumentoch zohľadniť opatrenia prijaté podľa uvedených iných právnych aktov Únie. Je potrebné, aby kritické subjekty zohľadnili aj smernicu Európskeho parlamentu a Rady 2008/96/ES (17), ktorou sa zavádza hodnotenie celej cestnej siete s cieľom zmapovať riziká nehôd a ktorou sa zavádzajú cielené kontroly bezpečnosti ciest s cieľom identifikovať nebezpečný stav, nedostatky a problémy, ktoré zvyšujú riziko nehôd a zranení, založené na obhliadkach existujúcich ciest alebo úsekov ciest. Zaistenie ochrany a odolnosti kritických subjektov je mimoriadne dôležité pre železničnú dopravu a pri vykonávaní opatrení na zabezpečenie odolnosti podľa tejto smernice sa kritické subjekty nabádajú, aby využívali nezáväzné usmernenia a dokumenty o osvedčených postupoch vypracované v rámci odvetvových pracovných tokov, ako je napríklad platforma EÚ pre bezpečnosť cestujúcich v železničnej doprave zriadená rozhodnutím Komisie 2018/C 232/03 (18). |
|
(32) |
Riziko, že zamestnanci kritických subjektov alebo ich zmluvných dodávateľov zneužijú napríklad svoje prístupové práva v rámci organizácie kritického subjektu na poškodenie a spôsobenie škody, vyvoláva čoraz väčšie obavy. Členské štáty by preto mali stanoviť podmienky, za ktorých sa kritickým subjektom v riadne odôvodnených prípadoch a pri zohľadnení posúdenia rizika členským štátom povoľuje predkladať žiadosti o previerku osôb, ktoré patria do osobitných kategórií pracovníkov. Malo by sa zabezpečiť, aby príslušné orgány posúdili také žiadosti v primeranej lehote a spracúvali ich v súlade s vnútroštátnym právom a postupmi, ako aj s príslušným a uplatniteľným právom Únie vrátane právnych predpisov o ochrane osobných údajov. S cieľom potvrdiť totožnosť osoby, ktorá podlieha previerke, je vhodné, aby členské štáty vyžadovali doklad totožnosti, ako je cestovný pas, občiansky preukaz alebo digitálna forma identifikácie, v súlade s uplatniteľným právom. Previerky by mali zahŕňať aj preskúmanie výpisu z registra trestov dotknutej osoby. Členské štáty by mali využívať Európsky informačný systém registrov trestov v súlade s postupmi stanovenými v rámcovom rozhodnutí Rady 2009/315/SVV (19), a ak je to relevantné a uplatniteľné, v nariadení Európskeho parlamentu a Rady (EÚ) 2019/816 (20) na účely získania informácií z registrov trestov vedených inými členskými štátmi. Členské štáty môžu v relevantných a uplatniteľných prípadoch využívať aj Schengenský informačný systém druhej generácie (SIS II) zriadený nariadením Európskeho parlamentu a Rady (EÚ) 2018/1862 (21), spravodajské informácie a akékoľvek iné dostupné objektívne informácie, ktoré môžu byť potrebné na určenie vhodnosti dotknutej osoby pracovať na pozícii, v súvislosti s ktorou kritický subjekt požiadal o previerku osoby. |
|
(33) |
Mal by sa vytvoriť mechanizmus oznamovania určitých incidentov, ktorý by príslušným orgánom umožnil rýchlo a primerane reagovať na incidenty a získať komplexný prehľad o vplyve, povahe, príčinách a možných dôsledkoch incidentov, ktoré kritické subjekty riešia. Kritické subjekty by mali bez zbytočného odkladu informovať príslušné orgány o incidentoch, ktoré významne narúšajú alebo majú potenciál významne narušiť poskytovanie základných služieb. Pokiaľ to je z prevádzkového hľadiska možné, kritické subjekty by mali predložiť prvé oznámenie najneskôr do 24 hodín po tom, ako nadobudli o incidente vedomosť. Prvotné oznámenie by malo obsahovať len informácie, ktoré sú nevyhnutne potrebné na to, aby príslušné orgány nadobudli o incidente vedomosť a v prípade potreby umožnili kritickému subjektu požiadať o pomoc. Ak je to možné, v takomto oznámení by sa mala uviesť predpokladaná príčina incidentu. Členské štáty by mali zabezpečiť, aby požiadavka na predloženie uvedeného prvotného oznámenia neodklonila zdroje kritického subjektu od činností súvisiacich s riešením incidentu, ktoré by mali byť prioritou. Po prvotnom oznámení by mala v prípade potreby nasledovať podrobná správa najneskôr do jedného mesiaca po incidente. Podrobná správa by mala doplniť pôvodné oznámenie a poskytnúť úplnejší prehľad o incidente. |
|
(34) |
Normalizácia by mala primárne zostať procesom riadeným trhom. Stále by však mohli nastať situácie, keď je vhodné vyžadovať súlad so špecifikovanými normami. Členské štáty by v užitočných prípadoch mali podporovať používanie európskych a medzinárodných noriem a technických špecifikácií relevantných pre bezpečnostné opatrenia a opatrenia na zabezpečenie odolnosti, ktoré sa vzťahujú na kritické subjekty. |
|
(35) |
Kritické subjekty vo všeobecnosti pôsobia ako súčasť čoraz prepojenejšej siete poskytovania služieb a infraštruktúry a často poskytujú základné služby vo viac ako jednom členskom štáte, pričom niektoré z uvedených kritických subjektov majú pre Úniu a jej vnútorný trh osobitný význam, pretože poskytujú základné služby do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, a preto by mohli profitovať z osobitnej podpory na úrovni Únie. Preto by sa mali ustanoviť pravidlá týkajúce sa poradných misií v súvislosti s takýmito kritickými subjektmi osobitného európskeho významu. Týmito pravidlami nie sú dotknuté pravidlá dohľadu a presadzovania ustanovené v tejto smernici. |
|
(36) |
Na základe odôvodnenej žiadosti Komisie alebo jedného alebo viacerých členských štátov, do ktorých alebo v ktorých sa základná služba poskytuje, ak sú potrebné dodatočné informácie na to, aby sa mohlo kritickému subjektu poskytnúť poradenstvo pri plnení jeho povinností podľa tejto smernice alebo posúdiť, či kritický subjekt osobitného európskeho významu dodržiava tieto povinnosti, členský štát, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt, by mal poskytnúť Komisii určité informácie stanovené v tejto smernici. Po dohode s členským štátom, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt, by Komisia mala mať možnosť zorganizovať poradnú misiu na posúdenie opatrení zavedených daným subjektom. S cieľom zabezpečiť riadne vykonávanie takýchto poradných misií by sa mali stanoviť doplňujúce pravidlá týkajúce sa najmä organizácie a vedenia poradných misií, následných opatrení, ktoré sa majú prijať, a povinností kritických subjektov osobitného európskeho významu. Poradná misia by sa mala bez toho, aby bola dotknutá povinnosť členského štátu, v ktorom sa poradná misia vedie, a dotknutého kritického subjektu dodržiavať pravidlá stanovené v tejto smernici, vykonávať na základe podrobných pravidiel právnych predpisov daného členského štátu, napríklad pokiaľ ide o presné podmienky, ktoré treba splniť na získanie prístupu do príslušných priestorov alebo k dokumentom, a o prostriedky súdnej nápravy. Osobitné odborné znalosti potrebné na takéto poradné misie by sa v prípade potreby mohli požadovať prostredníctvom Koordinačného centra pre reakcie na núdzové situácie zriadeného rozhodnutím Európskeho parlamentu a Rady č. 1313/2013/EÚ (22). |
|
(37) |
S cieľom podporiť Komisiu a uľahčiť spoluprácu medzi členskými štátmi a výmenu informácií vrátane najlepších postupov v otázkach týkajúcich sa tejto smernice by sa mala zriadiť skupina pre odolnosť kritických subjektov ako expertná skupina Komisie. Členské štáty by sa mali usilovať zabezpečiť, aby určení zástupcovia ich príslušných orgánov v skupine pre odolnosť kritických subjektov účinne a efektívne spolupracovali, podľa vhodnosti aj určením zástupcov s bezpečnostnou previerkou. Skupina pre odolnosť kritických subjektov by mala začať plniť svoje úlohy čo najskôr, aby bola ďalším z prostriedkov na primeranú spoluprácu počas transpozičného obdobia tejto smernice. Skupina pre odolnosť kritických subjektov by mala interagovať s inými relevantnými odvetvovými expertnými pracovnými skupinami. |
|
(38) |
Skupina pre odolnosť kritických subjektov by mala spolupracovať so skupinou pre spoluprácu zriadenou podľa smernice (EÚ) 2022/2555 s cieľom podporovať komplexný rámec pre kybernetickú a nekybernetickú odolnosť kritických subjektov. Skupina pre odolnosť kritických subjektov a skupina pre spoluprácu zriadená podľa smernice (EÚ) 2022/2555 by mali viesť pravidelný dialógu s cieľom podporovať spoluprácu medzi príslušnými orgánmi podľa tejto smernice a príslušnými orgánmi podľa smernice (EÚ) 2022/2555 a uľahčovať výmenu informácií, najmä o otázkach, ktoré sú relevantné pre obe skupiny. |
|
(39) |
V záujme dosiahnutia cieľov tejto smernice a bez toho, aby bola dotknutá právna zodpovednosť členských štátov a kritických subjektov za zabezpečenie dodržiavania ich príslušných povinností, ktoré sú v nej stanovené, by Komisia, ak to považuje za vhodné, mala podporovať príslušné orgány a kritické subjekty s cieľom uľahčiť im dodržiavanie ich príslušných povinností. Pri poskytovaní podpory členským štátom a kritickým subjektom pri plnení povinností podľa tejto smernice by Komisia mala vychádzať z existujúcich štruktúr a nástrojov, napríklad tých v rámci mechanizmu Únie v oblasti civilnej ochrany zriadeného rozhodnutím č. 1313/2013/EÚ a Európskej referenčnej siete na ochranu kritickej infraštruktúry. Okrem toho by mala informovať členské štáty o zdrojoch dostupných na úrovni Únie, napríklad v rámci Fondu pre vnútornú bezpečnosť zriadeného nariadením Európskeho parlamentu a Rady (EÚ) 2021/1149 (23), programu Horizont Európa zriadeného nariadením Európskeho parlamentu a Rady (EÚ) 2021/695 (24) alebo iných nástrojov relevantných pre odolnosť kritických subjektov. |
|
(40) |
Členské štáty by mali zabezpečiť, aby ich príslušné orgány mali určité osobitné právomoci na riadne uplatňovanie a presadzovanie tejto smernice vo vzťahu ku kritickým subjektom, ak tieto subjekty patria do ich jurisdikcie, ako sa uvádza v tejto smernici. Tieto právomoci by mali zahŕňať najmä právomoc vykonávať inšpekcie a audity, právomoc vykonávať dohľad, právomoc vyžadovať od kritických subjektov, aby poskytovali informácie a dôkazy týkajúce sa opatrení, ktoré prijali na splnenie svojich povinností, a v prípade potreby právomoc vydávať príkazy na nápravu zistených porušení. Pri vydávaní takýchto príkazov by členské štáty nemali vyžadovať opatrenia, ktoré presahujú rámec toho, čo je nevyhnutné a primerané na zabezpečenie toho, aby dotknutý kritický subjekt dodržiaval povinnosti podľa tejto smernice, a to najmä so zreteľom na závažnosť porušenia a hospodársku kapacitu dotknutého kritického subjektu. Všeobecnejšie by tieto právomoci mali byť sprevádzané primeranými a účinnými zárukami, ktoré sa stanovia vo vnútroštátnom práve v súlade s Chartou základných práv Európskej únie. Pri posudzovaní toho, či kritický subjekt dodržiava svoje povinnosti stanovené v tejto smernici, by príslušné orgány podľa tejto smernice mali mať možnosť požiadať príslušné orgány podľa smernice (EÚ) 2022/2555, aby uplatnili svoje právomoci v oblasti dohľadu a presadzovania v súvislosti so subjektom podľa uvedenej smernice, ktorý bol identifikovaný ako kritický subjekt podľa tejto smernice. Príslušné orgány podľa tejto smernice a príslušné orgány podľa smernice (EÚ) 2022/2555 by mali na uvedený účel spolupracovať a vymieňať si informácie. |
|
(41) |
S cieľom uplatňovať túto smernicu účinne a konzistentne by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ, aby doplnila túto smernicu vypracovaním zoznamu základných služieb. Uvedený zoznam by mali používať príslušné orgány na účely vykonávania posúdení rizika členskými štátmi a identifikovania kritických subjektov podľa tejto smernice. Vzhľadom na prístup minimálnej harmonizácie, ktorý sa uplatňuje v tejto smernici, nie je uvedený zoznam vyčerpávajúci a členské štáty by ho mohli doplniť dodatočnými základnými službami na vnútroštátnej úrovni s cieľom zohľadniť vnútroštátne osobitosti pri poskytovaní základných služieb. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (25). Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov. |
|
(42) |
S cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (26). |
|
(43) |
Keďže ciele tejto smernice, a to zabezpečiť, aby služby nevyhnutné na zachovanie životne dôležitých spoločenských funkcií alebo hospodárskych činností boli poskytované nerušeným spôsobom na vnútornom trhu a zvýšiť odolnosť kritických subjektov poskytujúcich takéto služby, nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodu účinkov tohto opatrenia ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku 5 táto smernica neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov. |
|
(44) |
S európskym dozorným úradníkom pre ochranu údajov sa konzultovalo v súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (27) a európsky dozorný úradník pre ochranu údajov vydal stanovisko 11. augusta 2021. |
|
(45) |
Smernica 2008/114/ES by sa preto mala zrušiť, |
PRIJALI TÚTO SMERNICU:
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
Článok 1
Predmet úpravy a rozsah pôsobnosti
1. Touto smernicou sa:
|
a) |
pre členské štáty stanovujú povinnosti prijať osobitné opatrenia s cieľom zabezpečiť, aby služby, ktoré sú nevyhnutné na zachovanie životne dôležitých spoločenských funkcií alebo hospodárskych činností v rámci rozsahu pôsobnosti článku 114 ZFEÚ, boli poskytované nerušeným spôsobom na vnútornom trhu, najmä povinnosti identifikovať kritické subjekty a podporiť kritické subjekty pri plnení povinností, ktoré im boli uložené; |
|
b) |
pre kritické subjekty stanovujú povinnosti zamerané na zvýšenie ich odolnosti a schopnosti poskytovať služby uvedené v písmene a) na vnútornom trhu; |
|
c) |
stanovujú pravidlá:
|
|
d) |
stanovujú spoločné postupy spolupráce a podávania správ o uplatňovaní tejto smernice; |
|
e) |
stanovujú opatrenia na dosiahnutie vysokej úrovne odolnosti kritických subjektov s cieľom zabezpečiť poskytovanie základných služieb v Únii a zlepšiť fungovanie vnútorného trhu. |
2. Táto smernica sa neuplatňuje na záležitosti, na ktoré sa vzťahuje smernica (EÚ) 2022/2555, bez toho, aby bol dotknutý článok 8 tejto smernice. Vzhľadom na vzťah medzi fyzickou bezpečnosťou a kybernetickou bezpečnosťou kritických subjektov členské štáty zabezpečia, aby táto smernica a smernica (EÚ) 2022/2555 boli implementované koordinovaným spôsobom.
3. Ak sa v ustanoveniach odvetvových právnych aktov Únie vyžaduje, aby kritické subjekty prijali opatrenia na zvýšenie svojej odolnosti, a ak sú tieto požiadavky uznané členskými štátmi ako aspoň rovnocenné so zodpovedajúcimi povinnosťami stanovenými v tejto smernici, príslušné ustanovenia tejto smernice vrátane ustanovení o dohľade a presadzovaní uvedených v kapitole VI sa neuplatňujú.
4. Bez toho, aby bol dotknutý článok 346 ZFEÚ, informácie, ktoré sú dôverné podľa predpisov Únie alebo vnútroštátnych predpisov, ako napríklad predpisov o dôverných obchodných informáciách, sa vymieňajú s Komisiou a inými príslušnými orgánmi v súlade s touto smernicou, len ak je táto výmena potrebná na účely uplatňovania tejto smernice. Vymieňané informácie sa obmedzujú na tie informácie, ktoré sú relevantné a primerané účelu danej výmeny. Pri výmene informácií sa zachováva dôvernosť týchto informácií a chránia sa bezpečnostné a obchodné záujmy kritických subjektov, pričom sa dbá na bezpečnosť členských štátov.
5. Touto smernicou nie je dotknutá zodpovednosť členských štátov chrániť národnú bezpečnosť a zaisťovať obranu ani ich právomoc chrániť iné základné funkcie štátu vrátane zabezpečenia územnej celistvosti štátu a udržiavania verejného poriadku.
6. Táto smernica sa nevzťahuje na subjekty verejnej správy, ktoré vykonávajú svoju činnosť v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane vyšetrovania, odhaľovania a stíhania trestných činov.
7. Členské štáty môžu rozhodnúť, že článok 11 a kapitoly III, IV a VI sa úplne alebo čiastočne neuplatňujú na konkrétne kritické subjekty, ktoré vykonávajú činnosti v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane vyšetrovania, odhaľovania a stíhania trestných činov alebo ktoré poskytujú služby výlučne subjektom verejnej správy uvedeným v odseku 6 tohto článku.
8. Povinnosti stanovené v tejto smernici nezahŕňajú poskytovanie informácií, ktorých zverejnenie by bolo v rozpore so základnými záujmami členských štátov v oblasti národnej bezpečnosti, verejnej bezpečnosti alebo obrany.
Článok 2
Vymedzenie pojmov
Na účely tejto smernice sa uplatňuje toto vymedzenie pojmov:
|
1. |
„kritický subjekt“ je verejný alebo súkromný subjekt, ktorý členský štát v súlade s článkom 6 identifikoval ako subjekt patriaci do jednej z kategórií uvedených v treťom stĺpci tabuľky v prílohe; |
|
2. |
„odolnosť“ je schopnosť kritického subjektu predísť incidentu, chrániť sa pred ním, reagovať naň, odolávať mu, zmierňovať ho, absorbovať ho, prispôsobiť sa mu a zotaviť sa z neho; |
|
3. |
„incident“ je udalosť, ktorá môže významne narušiť alebo skutočne narúša poskytovanie základnej služby, a to aj vtedy, keď ovplyvňuje vnútroštátne systémy, ktoré chránia právny štát; |
|
4. |
„kritická infraštruktúra“ je aktívum, zariadenie, vybavenie, sieť alebo systém, alebo časť aktíva, zariadenia, vybavenia, siete alebo systému, ktoré sú potrebné na poskytovanie základnej služby; |
|
5. |
„základná služba“ je služba, ktorá má zásadný význam z hľadiska zachovania životne dôležitých spoločenských funkcií, hospodárskych činností, verejného zdravia a bezpečnosti alebo životného prostredia; |
|
6. |
„riziko“ je potenciál straty alebo narušenia v dôsledku incidentu a má byť vyjadrené ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu incidentu; |
|
7. |
„posúdenie rizika “ je celkový proces na určenie povahy a rozsahu rizika identifikáciou a analýzou potenciálnych relevantných hrozieb, zraniteľností a nebezpečenstiev, ktoré by mohli viesť k incidentu, a vyhodnotením potenciálnej straty alebo narušenia poskytovania základnej služby spôsobeného uvedeným incidentom; |
|
8. |
„norma“ je norma v zmysle článku 2 bodu 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. 1025/2012 (30); |
|
9. |
„technická špecifikácia“ je technická špecifikácia v zmysle článku 2 bodu 4 nariadenia (EÚ) č. 1025/2012; |
|
10. |
„subjekt verejnej správy“ je subjekt, ktorý je ako taký uznaný v členskom štáte v súlade s vnútroštátnym právom, okrem súdnictva, parlamentov a centrálnych bánk, a ktorý spĺňa tieto kritériá:
|
Článok 3
Minimálna harmonizácia
Táto smernica nebráni členským štátom, aby prijali alebo ponechali v platnosti ustanovenia vnútroštátneho práva, ktorých cieľom je dosiahnuť vyššiu úroveň odolnosti kritických subjektov, ak nie sú takéto ustanovenia v rozpore s povinnosťami členských štátov stanovenými v práve Únie.
KAPITOLA II
VNÚTROŠTÁTNE RÁMCE V OBLASTI ODOLNOSTI KRITICKÝCH SUBJEKTOV
Článok 4
Stratégia v oblasti odolnosti kritických subjektov
1. Po konzultácii, ktorá je v prakticky možnej miere otvorená pre príslušné zainteresované strany, každý členský štát prijme do 17. januára 2026 stratégiu na zvýšenie odolnosti kritických subjektov (ďalej len „stratégia“). Stratégia stanovuje strategické ciele a politické opatrenia, ktoré vychádzajú z príslušných existujúcich vnútroštátnych a odvetvových stratégií, plánov alebo podobných dokumentov, s cieľom dosiahnuť a udržať vysokú úroveň odolnosti kritických subjektov a pokryť aspoň odvetvia uvedené v prílohe.
2. Každá stratégia obsahuje minimálne tieto prvky:
|
a) |
strategické ciele a priority na účely zvýšenia celkovej odolnosti kritických subjektov s prihliadnutím na cezhraničné a medziodvetvové závislosti a vzájomné závislosti; |
|
b) |
rámec riadenia na dosiahnutie strategických cieľov a priorít vrátane opisu úloh a zodpovedností rôznych orgánov, kritických subjektov a iných strán zapojených do vykonávania stratégie; |
|
c) |
opis opatrení potrebných na zvýšenie celkovej odolnosti kritických subjektov vrátane opisu posúdenia rizika podľa článku 5; |
|
d) |
opis procesu, ktorým sa kritické subjekty identifikujú; |
|
e) |
opis procesu, ktorým sa podporujú kritické subjekty v súlade s touto kapitolou vrátane opatrení na posilnenie spolupráce medzi verejným sektorom na jednej strane a súkromným sektorom a verejnými a súkromnými subjektmi na strane druhej; |
|
f) |
zoznam hlavných orgánov a príslušných zainteresovaných strán okrem kritických subjektov zapojených do vykonávania stratégie; |
|
g) |
politický rámec pre koordináciu medzi príslušnými orgánmi podľa tejto smernice (ďalej len „príslušné orgány“) a príslušnými orgánmi podľa smernice (EÚ) 2022/2555 na účely zdieľania informácií o kybernetickobezpečnostných rizikách, kybernetických hrozbách a kybernetických incidentoch a nekybernetických rizikách, hrozbách a incidentoch a vykonávaní úloh dohľadu; |
|
h) |
opis už zavedených opatrení, ktoré sú zamerané na uľahčenie vykonávania povinností podľa kapitoly III tejto smernice malými a strednými podnikmi v zmysle prílohy k odporúčaniu Komisie 2003/361/ES (31), ktoré predmetné členské štáty identifikovali ako kritické subjekty. |
Po konzultácii, ktorá je v prakticky možnej miere otvorená pre príslušné zainteresované strany, členské štáty aktualizujú svoje stratégie aspoň každé štyri roky.
3. Členské štáty oznámia Komisii svoje stratégie a ich významné aktualizácie do troch mesiacov od ich prijatia.
Článok 5
Posúdenie rizika členskými štátmi
1. Komisia je splnomocnená prijať delegovaný akt v súlade s článkom 23 do 17. novembra 2023 s cieľom doplniť túto smernicu stanovením nevyčerpávajúceho zoznamu základných služieb v odvetviach a pododvetviach uvedených v prílohe. Príslušné orgány použijú uvedený zoznam základných služieb na účely vykonania posúdenia rizika (ďalej len „posúdenie rizika členskými štátmi) do 17. januára 2026, následne kedykoľvek v prípade potreby a aspoň každé štyri roky. Príslušné orgány použijú posúdenia rizika členskými štátmi na identifikáciu kritických subjektov v súlade s článkom 6 a na pomoc uvedeným kritickým subjektom pri prijímaní opatrení podľa článku 13.
V posúdeniach rizika členskými štátmi sa zohľadňujú všetky relevantné prírodné riziká a riziká spôsobené ľudskou činnosťou vrátane rizík medziodvetvovej alebo cezhraničnej povahy, nehôd, prírodných katastrof, ohrození verejného zdravia a hybridných hrozieb alebo iných antagonistických hrozieb vrátane trestných činov terorizmu, ako sa stanovuje v smernici Európskeho parlamentu a Rady (EÚ) 2017/541 (32).
2. Pri vykonávaní posúdení rizika členskými štátmi členské štáty zohľadňujú aspoň:
|
a) |
všeobecné posúdenie rizika vykonané podľa článku 6 ods. 1 rozhodnutia č. 1313/2013/EÚ; |
|
b) |
iné relevantné posúdenia rizík vykonané v súlade s požiadavkami príslušných odvetvových právnych aktov Únie vrátane nariadení Európskeho parlamentu a Rady (EÚ) 2017/1938 (33) a (EÚ) 2019/941 (34) a smerníc Európskeho parlamentu a Rady 2007/60/ES (35) a 2012/18/EÚ (36); |
|
c) |
relevantné riziká vyplývajúce z miery, v akej odvetvia uvedené v prílohe závisia jedno od druhého, a to aj z miery, v akej závisia od subjektov nachádzajúcich sa v iných členských štátov a tretích krajinách, a vplyv, ktorý môže mať významné narušenie v jednom odvetví na iné odvetvia vrátane akýchkoľvek významných rizík pre občanov a vnútorný trh; |
|
d) |
akékoľvek informácie o incidentoch oznámených v súlade s článkom 15. |
Na účely prvého pododseku písm. c) členské štáty podľa potreby spolupracujú s príslušnými orgánmi iných členských štátov a s príslušnými orgánmi tretích krajín.
3. Členské štáty sprístupnia relevantné prvky posúdení rizika členskými štátmi kritickým subjektom, ktoré identifikovali v súlade s článkom 6, prípadne prostredníctvom svojich jednotných kontaktných miest. Členské štáty zabezpečia, aby informácie poskytnuté kritickým subjektom im pomáhali pri vykonávaní ich posúdení rizika podľa článku 12 a pri prijímaní opatrení na zabezpečenie ich odolnosti podľa článku 13.
4. Do troch mesiacov od vykonania posúdenia rizika členským štátom poskytne členský štát Komisii relevantné informácie o typoch zistených rizík a výsledkoch vyplývajúcich z uvedeného posúdenia rizika členským štátu podľa odvetví a pododvetví uvedených v prílohe.
5. Komisia v spolupráci s členskými štátmi vypracuje dobrovoľný spoločný vzor na podávanie správ na účely dosiahnutia súladu s odsekom 4.
Článok 6
Identifikácia kritických subjektov
1. Každý členský štát do 17. júla 2026 identifikujú kritické subjekty pre odvetvia a pododvetvia uvedené v prílohe.
2. Keď členský štát identifikuje kritické subjekty podľa odseku 1, zohľadňuje výsledky svojho posúdenia rizika členským štátom a svoju stratégiu a uplatňuje všetky z týchto kritérií:
|
a) |
subjekt poskytuje jednu alebo viac základných služieb; |
|
b) |
subjekt pôsobí a jeho kritická infraštruktúra sa nachádza na území daného členského štátu a |
|
c) |
incident by mal na základe určenia podľa článku 7 ods. 1 významné rušivé vplyvy na poskytovanie zo strany subjektu jednej alebo viacerých základných služieb alebo na poskytovanie iných základných služieb v odvetviach uvedených v prílohe, ktoré závisia od uvedenej základnej služby alebo od uvedených základných služieb. |
3. Každý členský štát zostaví zoznam identifikovaných kritických subjektov podľa odseku 2 a zabezpečí, aby bolo týmto kritickým subjektom oznámené, že boli identifikované ako kritické subjekty, do jedného mesiaca od tejto identifikácie. Členské štáty informujú tieto kritické subjekty o ich povinnostiach podľa kapitol III a IV a o dátume, od ktorého sa na ne tieto povinnosti vzťahujú, a to bez toho, aby bol dotknutý článok 8. Členské štáty informujú kritické subjekty v odvetviach uvedených v bodoch 3, 4 a 8 tabuľky v prílohe o tom, že nemajú žiadne povinnosti podľa kapitol III a IV, pokiaľ sa vo vnútroštátnych opatreniach nestanovuje inak.
V prípade dotknutých kritických subjektov sa kapitola III uplatňuje po uplynutí 10 mesiacov odo dňa oznámenia uvedeného v prvom pododseku tohto odseku.
4. Členské štáty zabezpečia, aby ich príslušné orgány podľa tejto smernice oznámili príslušným orgánom podľa smernice (EÚ) 2022/2555 totožnosť subjektov, ktoré identifikovali ako kritické subjekty podľa tohto článku, a to do jedného mesiaca od tejto identifikácie. V uvedenom oznámení sa prípadne uvedie, že dotknuté kritické subjekty sú subjektami v odvetviach uvedených v bodoch 3, 4 a 8 tabuľky v prílohe k tejto smernici a že nemajú žiadne povinnosti podľa jej kapitol III a IV.
5. Členské štáty v prípade potreby a v každom prípade aspoň každé štyri roky preskúmajú a v náležitých prípadoch aktualizujú zoznam identifikovaných kritických subjektov uvedený v odseku 3. Ak uvedené aktualizácie vedú k identifikácii ďalších kritických subjektov, odseky 3 a 4 sa uplatňujú na tieto ďalšie kritické subjekty. Členské štáty okrem toho zabezpečia, aby subjekty, ktoré už nie sú identifikované ako kritické subjekty na základe akejkoľvek takejto aktualizácie, boli v náležitej lehote informované o uvedenej skutočnosti a o skutočnosti, že odo dňa doručenia tohto oznámenia viac nepodliehajú povinnostiam podľa kapitoly III.
6. Komisia v spolupráci s členskými štátmi vypracuje odporúčania a nezáväzné usmernenia na podporu členských štátov pri identifikácii kritických subjektov.
Článok 7
Významný rušivý vplyv
1. Pri určovaní významnosti rušivého vplyvu uvedeného v článku 6 ods. 2 písm. c) členské štáty zohľadňujú tieto kritériá:
|
a) |
počet používateľov využívajúcich základnú službu, ktorú dotknutý subjekt poskytuje; |
|
b) |
mieru, v akej iné odvetvia a pododvetvia uvedené v prílohe závisia od predmetnej základnej služby; |
|
c) |
vplyv, ktorý by mohli mať incidenty z hľadiska závažnosti a trvania na hospodárske a spoločenské činnosti, životné prostredie, verejnú ochranu a bezpečnosť, alebo zdravie obyvateľstva; |
|
d) |
trhový podiel subjektu na trhu s dotknutou základnou službou alebo dotknutými základnými službami; |
|
e) |
geografická oblasť, ktorú by incident mohol ovplyvniť, vrátane akéhokoľvek cezhraničného vplyvu, s prihliadnutím na zraniteľnosť súvisiacu so stupňom izolácie určitých typov geografických oblastí, ako sú ostrovné regióny, vzdialené regióny alebo horské oblasti; |
|
f) |
význam subjektu z hľadiska zachovania dostatočnej úrovne základnej služby berúc do úvahy dostupnosť alternatívnych spôsobov poskytovania danej základnej služby. |
2. Po identifikácii kritických subjektov podľa článku 6 ods. 1 každý členský štát bez zbytočného odkladu predloží Komisii tieto informácie:
|
a) |
zoznam základných služieb v uvedenom členskom štáte, ak existujú akékoľvek ďalšie základné služby v porovnaní so zoznamom základných služieb uvedeným v článku 5 ods. 1; |
|
b) |
počet kritických subjektov identifikovaných pre každé odvetvie a pododvetvie uvedené v prílohe a pre každú základnú službu; |
|
c) |
akékoľvek prahové hodnoty použité na určenie jedného alebo viacerých kritérií uvedených v odseku 1. |
Prahové hodnoty uvedené v prvom pododseku písm. c) sa môžu predložiť ako také alebo v súhrnnej forme.
Členské štáty následne informácie uvedené v prvom pododseku predkladajú kedykoľvek v prípade potreby a aspoň každé štyri roky.
3. Komisia po konzultácii so skupinou pre odolnosť kritických subjektov uvedenou v článku 19 prijme nezáväzné usmernenia na uľahčenie uplatňovania kritérií uvedených v odseku 1 tohto článku, pričom zohľadní informácie uvedené v odseku 2 tohto článku.
Článok 8
Kritické subjekty v odvetví bankovníctva, infraštruktúry finančného trhu a digitálnej infraštruktúry
Členské štáty zabezpečia, aby sa článok 11 a kapitoly III, IV a VI neuplatňovali v súvislosti s kritickými subjektmi, ktoré identifikovali v odvetviach uvedených v bodoch 3, 4 a 8 tabuľky v prílohe. Členské štáty môžu prijať alebo zachovať ustanovenia vnútroštátneho práva na dosiahnutie vyššej úrovne odolnosti týchto kritických subjektov za predpokladu, že uvedené ustanovenia sú v súlade s uplatniteľným právom Únie.
Článok 9
Príslušné orgány a jednotné kontaktné miesto
1. Každý členský štát určí alebo zriadi jeden alebo viacero príslušných orgánov zodpovedných za správne uplatňovanie, a v prípade potreby presadzovanie, pravidiel stanovených v tejto smernici na vnútroštátnej úrovni.
Pokiaľ ide o kritické subjekty v odvetviach uvedených v bodoch 3 a 4 tabuľky v prílohe k tejto smernici, príslušné orgány sú v zásade príslušnými orgánmi uvedenými v článku 46 nariadenia (EÚ) 2022/2554 Pokiaľ ide o kritické subjekty v odvetví uvedenom v bode 8 tabuľky v prílohe k tejto smernici, príslušné orgány sú v zásade príslušnými orgánmi podľa smernice (EÚ) 2022/2555 Členské štáty môžu určiť iný príslušný orgán pre odvetvia uvedené v bodoch 3, 4 a 8 tabuľky v prílohe k tejto smernici v súlade s existujúcimi vnútroštátnymi rámcami.
Ak členské štáty určia alebo zriadia viac ako jeden príslušný orgán, jasne stanovia úlohy každého z dotknutých orgánov a zabezpečia ich účinnú spoluprácu pri plnení ich úloh podľa tejto smernice, a to aj pokiaľ ide o určenie a činnosti jednotného kontaktného miesta uvedeného v odseku 2.
2. Každý členský štát určí alebo zriadi jedno jednotné kontaktné miesto na plnenie styčnej funkcie na účely zabezpečenia cezhraničnej spolupráce s jednotnými kontaktnými miestami iných členských štátov a so skupinou pre odolnosť kritických subjektov uvedenou v článku 19 (ďalej len „jednotné kontaktné miesto“). V prípade potreby členský štát určí svoje jednotné kontaktné miesto v rámci príslušného orgánu. V prípade potreby členský štát môže stanoviť, že jeho jednotné kontaktné miesto tiež vykonáva styčnú funkciu s Komisiou a zabezpečuje spoluprácu s tretími krajinami.
3. Do 17. júla 2028 a potom každé dva roky predložia jednotné kontaktné miesta Komisii a skupine pre odolnosť kritických subjektov uvedenej v článku 19 súhrnnú správu o prijatých oznámeniach vrátane počtu oznámení, povahy oznámených incidentov a opatrení prijatých v súlade s článkom 15 ods. 3.
Komisia v spolupráci so skupinou pre odolnosť kritických subjektov vypracuje spoločný vzor na podávanie správ. Príslušné orgány môžu dobrovoľne používať uvedený spoločný vzor na podávanie správ na účely predkladania súhrnných správ uvedených v prvom pododseku.
4. Každý členský štát zabezpečí, aby jeho príslušný orgán a jednotné kontaktné miesto mali právomoci a primerané finančné, ľudské a technické zdroje na účinné a efektívne vykonávanie úloh, ktoré im boli zverené.
5. Každý členský štát zabezpečí, aby jeho príslušný orgán vždy, keď je to vhodné a v súlade s právom Únie a vnútroštátnym právom, konzultoval a spolupracoval s inými príslušnými vnútroštátnymi orgánmi, vrátane tých, ktoré sú zodpovedné za civilnú ochranu, presadzovanie práva a ochranu osobných údajov, a s kritickými subjektmi a príslušnými zainteresovanými stranami.
6. Každý členský štát zabezpečí, aby jeho príslušný orgán podľa tejto smernice spolupracoval a vymieňal si informácie s príslušnými orgánmi podľa smernice (EÚ) 2022/2555 v oblasti kybernetickobezpečnostných rizík, kybernetických hrozieb a kybernetických incidentov a nekybernetických rizík, hrozieb a incidentov ovplyvňujúcich kritické subjekty, vrátane informácií o relevantných opatreniach prijatých jeho príslušným orgánom a príslušnými orgánmi podľa smernice (EÚ) 2022/2555.
7. Do troch mesiacov od určenia alebo zriadenia príslušného orgánu a jednotného kontaktného miesta každý členský štát oznámi Komisii ich identitu a ich úlohy a povinnosti podľa tejto smernice, ich kontaktné údaje a všetky ich následné zmeny. Členské štáty informujú Komisiu, ak sa rozhodnú za príslušné orgány v súvislosti s kritickými subjektmi v odvetviach uvedených v bodoch 3, 4 a 8 tabuľky v prílohe určiť iný orgán, než sú príslušné orgány uvedené v odseku 1 druhom pododseku. Každý členský štát zverejní identitu svojho príslušného orgánu a jednotného kontaktného miesta.
8. Komisia uverejní zoznam jednotných kontaktných miest.
Článok 10
Podpora členských štátov pre kritické subjekty
1. Členské štáty podporujú kritické subjekty pri zvyšovaní ich odolnosti. Táto podpora môže zahŕňať vypracúvanie poradenského materiálu a metodiky, podporu v súvislosti s organizovaním cvičení na testovanie ich odolnosti a poskytovanie poradenstva a odbornej prípravy zamestnancom kritických subjektov. Bez toho, aby boli dotknuté uplatniteľné pravidlá štátnej pomoci, členské štáty môžu poskytnúť finančné prostriedky kritickým subjektom, ak je to potrebné a odôvodnené cieľmi verejného záujmu.
2. Každý členský štát zabezpečí, aby jeho príslušný orgán spolupracoval a vymieňal si informácie a osvedčené postupy s kritickými subjektmi pôsobiacimi v odvetviach uvedených v prílohe.
3. Členské štáty uľahčujú dobrovoľné zdieľanie informácií medzi kritickými subjektmi v súvislosti so záležitosťami, na ktoré sa vzťahuje táto smernica, a to v súlade s právom Únie a vnútroštátnym právom týkajúcim sa najmä utajovaných skutočností a citlivých informácií, hospodárskej súťaže a ochrany osobných údajov.
Článok 11
Spolupráca členských štátov
1. Vždy, keď je to vhodné členské štáty vedú vzájomné konzultácie týkajúce sa kritických subjektov s cieľom zabezpečiť jednotné uplatňovanie tejto smernice. Takéto konzultácie sa uskutočnia najmä v súvislosti s kritickými subjektmi, ktoré:
|
a) |
využívajú kritickú infraštruktúru, ktorá je fyzicky prepojená medzi dvoma alebo viacerými členskými štátmi; |
|
b) |
sú súčasťou podnikových štruktúr, ktoré sú prepojené alebo spojené s kritickými subjektmi v iných členských štátoch; |
|
c) |
boli identifikované ako kritické subjekty v jednom členskom štáte a základné služby poskytujú do iných členských štátov alebo v nich. |
2. Cieľom konzultácií podľa odseku 1 je zvýšiť odolnosť kritických subjektov a, ak je to možné, znížiť ich administratívne zaťaženie.
KAPITOLA III
ODOLNOSŤ KRITICKÝCH SUBJEKTOV
Článok 12
Posúdenie rizika kritickými subjektmi
1. Bez ohľadu na lehotu stanovenú v článku 6 ods. 3 druhom pododseku členské štáty zabezpečia, aby kritické subjekty uskutočnili posúdenie rizika do deviatich mesiacov od doručenia oznámenia uvedeného v článku 6 ods. 3, následne kedykoľvek v prípade potreby a aspoň každé štyri roky na základe posúdení rizika členským štátom a iných relevantných informačných zdrojov s cieľom posúdiť všetky relevantné riziká, ktoré by mohli narušiť poskytovanie ich základných služieb (ďalej len „posúdenie rizika kritickými subjektmi“).
2. V posúdeniach rizika kritickými subjektmi sa zohľadňujú všetky relevantné prírodné riziká a riziká spôsobené ľudskou činnosťou, ktoré by mohli viesť k incidentu, vrátane rizík medziodvetvovej alebo cezhraničnej povahy, nehôd, prírodných katastrof, ohrození verejného zdravia a hybridných hrozieb a iných antagonistických hrozieb vrátane trestných činov terorizmu, ako sa stanovuje v smernici (EÚ) 2017/541. V posúdení rizika kritickým subjektom sa zohľadňuje miera, v akej iné odvetvia uvedené v prílohe závisia od základnej služby, ktorú poskytuje kritický subjekt, a miera, v akej uvedený kritický subjekt závisí od základnej služby poskytovanej inými subjektmi v takýchto iných odvetviach, v prípade potreby aj v susedných členských štátoch a tretích krajinách.
Ak kritický subjekt uskutočnil iné posúdenia rizika alebo vypracoval dokumenty podľa povinností uvedených v iných právnych aktoch, ktoré sú relevantné pre jeho posúdenie rizika kritickým subjektom, môže tieto posúdenia a dokumenty použiť na splnenie požiadaviek stanovených v tomto článku. Príslušný orgán môže pri výkone svojich funkcií dohľadu vyhlásiť existujúce posúdenie rizika uskutočnené kritickým subjektom, ktoré sa zaoberá rizikami a mierou závislosti uvedenými v prvom pododseku tohto odseku, za úplne alebo čiastočne v súlade s povinnosťami podľa tohto článku.
Článok 13
Opatrenia kritických subjektov na zabezpečenie odolnosti
1. Členské štáty zabezpečia, aby kritické subjekty na základe relevantných informácií, ktoré im poskytli členské štáty o posúdení rizika členskými štátmi, a na základe výsledkov posúdenia rizika kritickým subjektom prijali vhodné a primerané technické, bezpečnostné a organizačné opatrenia na zaistenie svojej odolnosti vrátane opatrení potrebných na:
|
a) |
predchádzanie vzniku incidentov s náležitým zohľadnením opatrení na znižovanie rizika katastrof a adaptáciu na zmenu klímy; |
|
b) |
zabezpečenie primeranej fyzickej ochrany ich priestorov a kritickej infraštruktúry s náležitým zohľadnením napríklad oplotenia, bariér, nástrojov a postupov monitorovania bezpečnostnej zóny, detekčného vybavenia a kontrol prístupu; |
|
c) |
reakciu na incidenty, odolávanie incidentom a zmierňovanie ich následkov, s náležitým zohľadnením vykonávania postupov a protokolov riadenia rizík a krízového riadenia a postupov spojených s bezpečnostnými varovaniami; |
|
d) |
zotavenie sa z incidentov s náležitým zohľadnením opatrení na zabezpečenie kontinuity činností a identifikácie alternatívnych dodávateľských reťazcov na obnovenie plynulého poskytovania základnej služby; |
|
e) |
zabezpečenie primeraného riadenia bezpečnosti v súvislosti so zamestnancami s náležitým zohľadnením opatrení, ako je stanovenie kategórií pracovníkov vykonávajúcich kritické funkcie, stanovenie prístupových práv do priestorov, kritickej infraštruktúry a k citlivým informáciám, stanovenie previerok v súlade s článkom 14 a určenie kategórii osôb, ktoré sú povinné podrobiť sa takýmto previerkam, a stanovenie primeraných požiadaviek na odbornú prípravu a kvalifikácie; |
|
f) |
zvyšovanie informovanosti príslušných pracovníkov o opatreniach uvedených v písmenách a) až e), s náležitým zohľadnením kurzov odbornej prípravy, informačných materiálov a cvičení. |
Na účely prvého pododseku písm. e) členské štáty zabezpečia, aby kritické subjekty pri stanovovaní kategórií pracovníkov vykonávajúcich kritické funkcie zohľadňovali pracovníkov externých poskytovateľov služieb;
2. Členské štáty zabezpečia, aby kritické subjekty mali zavedený a uplatňovali plán odolnosti alebo rovnocenný dokument či dokumenty, v ktorých sú opísané opatrenia prijaté podľa odseku 1. Ak kritické subjekty vypracovali dokumenty alebo prijali opatrenia podľa povinností stanovených v iných právnych aktoch, ktoré sú relevantné pre opatrenia uvedené v odseku 1, môžu uvedené dokumenty a opatrenia použiť na splnenie požiadaviek stanovených v tomto článku. Príslušný orgán môže pri výkone svojich funkcií dohľadu vyhlásiť existujúce opatrenia prijaté kritickým subjektom na zvýšenie odolnosti, ktorými sa vhodne a primerane riešia technické, bezpečnostné a organizačné opatrenia uvedené v odseku 1 tohto článku, za úplne alebo čiastočne v súlade s povinnosťami podľa tohto článku.
3. Členské štáty zabezpečia, aby každý kritický subjekt určil styčného úradníka alebo rovnocennú osobu pre kontakt s príslušnými orgánmi.
4. Komisia na žiadosť členského štátu, ktorý identifikoval kritický subjekt, a so súhlasom dotknutého kritického subjektu organizuje poradné misie v súlade s mechanizmami stanovenými v článku 18 ods. 6, 8 a 9 s cieľom poskytovať poradenstvo dotknutému kritickému subjektu pri plnení jeho povinností podľa kapitoly III. Poradná misia podáva správy o svojich zisteniach Komisii, uvedenému členskému štátu a dotknutému kritickému subjektu.
5. Komisia po konzultácii so skupinou pre odolnosť kritických subjektov uvedenou v článku 19 prijme nezáväzné usmernenia s cieľom upresniť technické, bezpečnostné a organizačné opatrenia, ktoré možno prijať podľa odseku 1 tohto článku.
6. Komisia prijme vykonávacie akty s cieľom stanoviť potrebné technické a metodické špecifikácie týkajúce sa uplatňovania opatrení uvedených v odseku 1 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 24 ods. 2.
Článok 14
Previerky osôb
1. Členské štáty stanovia podmienky, za ktorých sa kritickému subjektu v riadne odôvodnených prípadoch a pri zohľadnení posúdenia rizika členským štátom povoľuje predkladať žiadosti o previerku osôb:
|
a) |
ktoré plnia citlivé úlohy v kritickom subjekte alebo v jeho prospech, najmä v súvislosti s odolnosťou kritického subjektu; |
|
b) |
ktorým bol povolený priamy alebo diaľkový prístup do jeho priestorov, k jeho informáciám alebo kontrolným systémom, a to aj v súvislosti s bezpečnosťou kritického subjektu; |
|
c) |
v prípade ktorých sa zvažuje nábor na pozície, na ktoré sa vzťahujú kritériá uvedené v písmene a) alebo b). |
2. Žiadosti uvedené v odseku 1 tohto článku sa posúdia v primeranej lehote a spracujú v súlade s vnútroštátnymi právnym právom a postupmi, ako aj s príslušným a uplatniteľným právom Únie vrátane nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a smernice Európskeho parlamentu a Rady (EÚ) 2016/680 (37). Previerky osôb musia byť primerané a prísne obmedzené na to, čo je nevyhnutné. Vykonávajú sa výlučne na účely hodnotenia potenciálneho bezpečnostného rizika pre dotknutý kritický subjekt.
3. Previerkou uvedenou v odseku 1 sa musí aspoň:
|
a) |
potvrdiť totožnosť osoby, ktorá je predmetom previerky; |
|
b) |
vykonať kontrola záznamov v registroch trestov uvedenej osoby, pokiaľ ide o trestné činy, ktoré by boli relevantné pre konkrétnu pozíciu; |
Členské štáty pri vykonávaní previerok využívajú Európsky informačný systém registrov trestov v súlade s postupmi stanovenými v rámcovom rozhodnutí 2009/315/SVV a, ak je to relevantné a uplatniteľné, v nariadení (EÚ) 2019/816 na účely získania informácií zo záznamov v registroch trestov vedených inými členskými štátmi. Ústredné orgány uvedené v článku 3 ods. 1 uvedeného rámcového rozhodnutia 2009/315/SVV a v článku 3 bode 5 nariadenia (EÚ) 2019/816 poskytnú odpovede na žiadosti o takéto informácie do 10 pracovných dní odo dňa doručenia žiadosti v súlade s článkom 8 ods. 1 rámcového rozhodnutia 2009/315/SVV.
Článok 15
Oznamovanie incidentov
1. Členské štáty zabezpečia, aby kritické subjekty bez zbytočného odkladu oznamovali príslušnému orgánu incidenty, ktoré významne narúšajú alebo majú potenciál významne narušiť poskytovanie základných služieb. Členské štáty zabezpečia, aby s výnimkou prípadov, keď to nie je z operačných dôvodov možné, kritické subjekty predložili prvé oznámenie najneskôr do 24 hodín po tom, ako nadobudnú vedomosť o incidente, pričom v relevantných prípadoch najneskôr do jedného mesiaca po oznámení nasleduje podrobná správa. S cieľom stanoviť významnosť narušenia sa zohľadnia najmä tieto parametre:
|
a) |
počet a podiel používateľov dotknutých narušením; |
|
b) |
trvanie narušenia; |
|
c) |
geografické územie dotknuté narušením s prihliadnutím na to, či je toto územie geograficky izolované. |
Ak incident má alebo môže mať významný vplyv na kontinuitu poskytovania základných služieb do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, príslušné orgány členských štátov dotknutých incidentom oznámia Komisii uvedený incident.
2. Oznámenia uvedené v odseku 1 prvom pododseku musia obsahovať všetky dostupné informácie potrebné na to, aby príslušný orgán mohol pochopiť povahu, príčinu a možné dôsledky incidentu, vrátane akýchkoľvek dostupných informácií potrebných na určenie akéhokoľvek cezhraničného vplyvu incidentu. Takéto oznámenia nesmú mať pre kritický subjekt za následok vyššiu zodpovednosť.
3. Na základe informácií poskytnutých kritickým subjektom v oznámení uvedenom v odseku 1 relevantný príslušný orgán prostredníctvom jednotného kontaktného miesta informuje jednotné kontaktné miesto ostatných dotknutých členských štátov, ak incident má alebo by mohol mať významný vplyv na kritické subjekty a kontinuitu poskytovania základných služieb do jedného alebo viacerých iných členských štátov alebo v nich.
Jednotné kontaktné miesta posielajúce a prijímajúce informácie podľa prvého pododseku zaobchádzajú s uvedenými informáciami v súlade s právom Únie alebo vnútroštátnym právom spôsobom, ktorý rešpektuje ich dôvernosť a chráni bezpečnosť a obchodné záujmy dotknutého kritického subjektu.
4. Dotknutý príslušný orgán čo najskôr po doručení oznámenia uvedeného v odseku 1 poskytne dotknutému kritickému subjektu relevantné nadväzujúce informácie vrátane informácií, ktoré by mohli podporiť účinnú reakciu uvedeného kritického subjektu na predmetný incident. Členské štáty informujú verejnosť, ak usúdia, že by to bolo vo verejnom záujme.
Článok 16
Normy
S cieľom podporiť čo najjednotnejšie vykonávanie tejto smernice členské štáty v prípadoch, keď je to užitočné, a bez toho, aby ukladali povinnosť používať konkrétny typ technológie alebo diskriminovali v jeho prospech, nabádajú na používanie európskych a medzinárodných noriem a technických špecifikácií relevantných pre bezpečnostné opatrenia a opatrenia na zabezpečenie odolnosti, ktoré sa vzťahujú na kritické subjekty.
KAPITOLA IV
KRITICKÉ SUBJEKTY OSOBITNÉHO EURÓPSKEHO VÝZNAMU
Článok 17
Identifikácia kritických subjektov osobitného európskeho významu
1. Subjekt sa považuje za kritický subjekt osobitného európskeho významu, ak:
|
a) |
bol identifikovaný ako kritický subjekt podľa článku 6 ods. 1; |
|
b) |
poskytuje rovnaké alebo podobné základné služby do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, a |
|
c) |
táto skutočnosť mu bola oznámená podľa odseku 3 tohto článku. |
2. Členské štáty zabezpečia, aby kritický subjekt po oznámení uvedenom v článku 6 ods. 3 informoval svoj príslušný orgán, ak poskytuje základné služby do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch. V takom prípade členské štáty zabezpečia, aby kritický subjekt informoval svoj príslušný orgán o základných službách, ktoré poskytuje do alebo v uvedených členských štátoch a o členských štátoch, do ktorých alebo v ktorých poskytuje také základné služby. Členské štáty bez zbytočného odkladu oznámia Komisii identitu takých kritických subjektov a informácie, ktoré poskytujú podľa tohto odseku.
Komisia vedie konzultácie s príslušným orgánom členského štátu, ktorý identifikoval kritický subjekt uvedený v prvom pododseku, s príslušným orgánom ostatných dotknutých členských štátov a s predmetným kritickým subjektom. Počas uvedených konzultácií každý členský štát informuje Komisiu, či považuje služby, ktoré mu kritický subjekt poskytuje, za základné služby.
3. Ak Komisia na základe konzultácii uvedených v odseku 2 tohto článku dospeje k záveru, že dotknutý kritický subjekt poskytuje základné služby do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, Komisia oznámi uvedenému kritickému subjektu prostredníctvom jeho príslušného orgánu, že je považovaný za kritický subjekt osobitného európskeho významu, a informuje uvedený kritický subjekt o jeho povinnostiach podľa tejto kapitoly a o dátume, od ktorého sa na neho tieto povinnosti vzťahujú. Po tom, ako Komisia informuje príslušný orgán o svojom rozhodnutí považovať kritický subjekt za kritický subjekt osobitného európskeho významu, príslušný orgán bez zbytočného odkladu postúpi uvedené oznámenie uvedenému kritickému subjektu.
4. Táto kapitola sa uplatňuje na kritický subjekt osobitného európskeho významu odo dňa doručenia oznámenia uvedeného v odseku 3 tohto článku.
Článok 18
Poradné misie
1. Na žiadosť členského štátu, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1, Komisia zorganizuje poradnú misiu s cieľom posúdiť opatrenia, ktoré uvedený kritický subjekt zaviedol na splnenie svojich povinností podľa kapitoly III.
2. Komisia z vlastnej iniciatívy alebo na žiadosť jedného alebo viacerých členských štátov, do ktorých alebo v ktorých sa základná služba poskytuje, a za predpokladu, že členský štát, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1 s tým súhlasí, zorganizuje poradnú misiu uvedenú v odseku 1 tohto článku.
3. Na základe odôvodnenej žiadosti Komisie alebo jedného alebo viacerých členských štátov, do ktorých alebo v ktorých sa základná služba poskytuje, členský štát, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1, Komisii poskytne:
|
a) |
relevantné časti posúdenia rizika kritickým subjektom; |
|
b) |
zoznam relevantných opatrení prijatých v súlade s článkom 13; |
|
c) |
opatrenia v oblasti dohľadu alebo presadzovania vrátane posúdení súladu alebo vydaných príkazov, ktoré jeho príslušný orgán prijal v súvislosti s daným kritickým subjektom podľa článkov 21 a 22. |
4. Poradná misia oznámi svoje zistenia Komisii, členskému štátu, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1, členským štátom, do ktorých alebo v ktorých sa základná služba poskytuje, a dotknutému kritickému subjektu do troch mesiacov od ukončenia poradnej misie.
Členské štáty, do ktorých alebo v ktorých sa základná služba poskytuje, správu uvedenú v prvom pododseku analyzujú a v prípade potreby poskytujú Komisii poradenstvo o tom, či si dotknutý kritický subjekt osobitného európskeho významu plní svoje povinnosti podľa kapitoly III, a ak je to vhodné, o opatreniach, ktoré by sa mohli prijať na zlepšenie odolnosti uvedeného kritického subjektu.
Komisia na základe poradenstva uvedeného v druhom pododseku tohto odseku oznámi svoje stanovisko členskému štátu, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1, členským štátom, do ktorých alebo v ktorých sa základná služba poskytuje, a uvedenému kritickému subjektu pokiaľ ide o to, či si kritický subjekt plní svoje povinnosti podľa kapitoly III, a ak je to vhodné, o tom, aké opatrenia by sa mohli prijať na zlepšenie odolnosti uvedeného kritického subjektu.
Členský štát, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1, zabezpečí, aby jeho príslušný orgán a dotknutý kritický subjekt náležite zohľadnili stanovisko uvedené v treťom pododseku tohto odseku a poskytne Komisii a členským štátom, do ktorých alebo v ktorých sa základná služba poskytuje, informácie o opatreniach, ktoré prijal na základe uvedeného stanoviska.
5. Každá poradná misia pozostáva z expertov z členského štátu, v ktorom sa kritický subjekt osobitného európskeho významu nachádza, expertov z členských štátov, do ktorých alebo v ktorých sa základná služba poskytuje, a zo zástupcov Komisie. Tieto členské štáty môžu navrhnúť kandidátov, ktorí majú byť súčasťou poradnej misie. Komisia po konzultácii s členským štátom, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1, vyberá a vymenúva členov každej poradnej misie podľa ich odbornej spôsobilosti a zabezpečuje, ak je to možné, geograficky vyvážené zastúpenie zo všetkých uvedených členských štátov. V prípade potreby musia mať členovia poradnej misie platnú a náležitú bezpečnostnú previerku. Náklady spojené s účasťou na poradných misiách znáša Komisia.
Komisia organizuje program každej poradnej misie po konzultácii s členmi predmetnej poradnej misie a po dohode s členským štátom, ktorý identifikoval kritický subjekt osobitného európskeho významu ako kritický subjekt podľa článku 6 ods. 1.
6. Komisia prijme vykonávací akt, v ktorom stanoví pravidlá týkajúce sa procedurálnych mechanizmov v súvislosti so žiadosťami o zorganizovanie poradných misií, s vybavovaním takých žiadostí, realizáciou poradných misií a podávaním správ o nich a s oznamovaním stanoviska Komisie uvedeného v odseku 4 treťom pododseku tohto článku a prijatých opatrení, pričom náležite zohľadní dôvernosť a obchodnú citlivosť príslušných informácií. Uvedený vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 24 ods. 2.
7. Členské štáty zabezpečia, aby kritické subjekty osobitného európskeho významu poskytli poradným misiám prístup k informáciám, systémom a zariadeniam súvisiacim s poskytovaním ich základných služieb potrebným na vykonanie dotknutej poradnej misie.
8. Poradné misie sa vykonávajú v súlade s uplatniteľným vnútroštátnym právom členského štátu, v ktorom sa uskutočňujú, pričom sa rešpektuje zodpovednosť uvedeného členského za národnú bezpečnosť a ochranu jeho bezpečnostných záujmov.
9. Pri organizovaní poradných misií Komisia zohľadní správy o všetkých inšpekciách vykonaných Komisiou podľa nariadenia (ES) č. 725/2004 a nariadenia (ES) č. 300/2008 a správy o akomkoľvek monitorovaní vykonanom Komisiou podľa smernice 2005/65/ES, pokiaľ ide o dotknutý kritický subjekt.
10. Komisia informuje skupinu pre odolnosť kritických subjektov uvedenú v článku 19 vždy, keď sa organizuje poradná misia. Členský štát, v ktorom sa uskutočnila poradná misia, a Komisia informujú tiež skupinu pre odolnosť kritických subjektov o hlavných zisteniach poradnej misie a získaných skúsenostiach v záujme podpory vzájomného učenia.
KAPITOLA V
SPOLUPRÁCA A PODÁVANIE SPRÁV
Článok 19
Skupina pre odolnosť kritických subjektov
1. Týmto sa zriaďuje skupina pre odolnosť kritických subjektov. Skupina pre odolnosť kritických subjektov podporuje Komisiu a uľahčuje spoluprácu a výmenu informácií medzi členskými štátmi o otázkach týkajúcich sa tejto smernice.
2. Skupina pre odolnosť kritických subjektov sa skladá zo zástupcov členských štátov a Komisie, ktorí musia mať v náležitých prípadoch bezpečnostnú previerku. Ak je to relevantné pre plnenie úloh skupiny pre odolnosť kritických subjektov, môže vyzvať zainteresované strany, aby sa zúčastnili na jej práci. Ak o to Európsky parlament požiada, Komisia môže prizývať na zasadnutia skupiny pre odolnosť kritických subjektov expertov Európskeho parlamentu.
Skupine pre odolnosť kritických subjektov predsedá zástupca Komisie.
3. Skupina pre odolnosť kritických subjektov má tieto úlohy:
|
a) |
podporovať Komisiu v rámci pomoci členským štátom pri posilňovaní ich schopnosti prispievať k zabezpečeniu odolnosti kritických subjektov v súlade s touto smernicou; |
|
b) |
analyzovať stratégie s cieľom identifikovať najlepšie postupy v súvislosti so stratégiami; |
|
c) |
uľahčiť výmenu najlepších postupov, pokiaľ ide o identifikáciu kritických subjektov členskými štátmi podľa článku 6 ods. 1, a to aj pokiaľ ide o cezhraničné a medziodvetvové závislosti a v súvislosti s rizikami a incidentmi; |
|
d) |
v prípade potreby prispievať v oblastiach týkajúcich sa tejto smernice k dokumentom týkajúcim sa odolnosti na úrovni Únie; |
|
e) |
prispievať k príprave usmernení uvedených v článku 7 ods. 3 a článku 13 ods. 5 a na žiadosť aj k akýmkoľvek delegovaným alebo vykonávacím aktom prijatým podľa tejto smernice; |
|
f) |
analyzovať súhrnné správy uvedené v článku 9 ods. 3 s cieľom podporiť výmenu najlepších postupov týkajúcich sa opatrení prijatých v súlade s článkom 15 ods. 3; |
|
g) |
uskutočňovať výmenu najlepších postupov týkajúcich sa oznamovania incidentov podľa článku 15; |
|
h) |
diskutovať o súhrnných správach poradných misií a získaných skúsenostiach v súlade s článkom 18 ods. 10; |
|
i) |
uskutočňovať výmenu informácií a najlepších postupov v oblasti inovácie a výskumu a vývoja v súvislosti s odolnosťou kritických subjektov v súlade s touto smernicou; |
|
j) |
vo vhodných prípadoch uskutočňovať výmenu informácií v otázkach týkajúcich sa odolnosti kritických subjektov s príslušnými inštitúciami, orgánmi, úradmi a agentúrami Únie. |
4. Skupina pre odolnosť kritických subjektov do 17. januára 2025 a potom každé dva roky vypracuje pracovný program obsahujúci opatrenia, ktoré sa majú realizovať na účely vykonávania jej cieľov a úloh. Uvedený pracovný program musí byť v súlade s požiadavkami a cieľmi tejto smernice.
5. Skupina pre odolnosť kritických subjektov zasadá pravidelne a v každom prípade aspoň raz ročne sa schádza so skupinou pre spoluprácu zriadenou podľa smernice (EÚ) 2022/2555 s cieľom podporovať a uľahčovať spoluprácu a výmenu informácií.
6. Komisia môže prijať vykonávacie akty stanovujúce procesné mechanizmy potrebné na fungovanie skupiny pre odolnosť kritických subjektov, pričom musí dodržať článok 1 ods. 4. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 24 ods. 2.
7. Komisia poskytne skupine pre odolnosť kritických subjektov súhrnnú správu o informáciách poskytnutých členskými štátmi podľa článku 4 ods. 3 a článku 5 ods. 4 do 17. januára 2027, následne kedykoľvek v prípade potreby a aspoň každé štyri roky.
Článok 20
Podpora Komisie príslušným orgánom a kritickým subjektom
1. Komisia v prípade potreby podporuje členské štáty a kritické subjekty pri plnení ich povinností podľa tejto smernice. Komisia vypracuje prehľad na úrovni Únie, pokiaľ ide o cezhraničné a medziodvetvové riziká spojené s poskytovaním základných služieb, organizuje poradné misie uvedené v článku 13 ods. 4 a v článku 18 a uľahčuje výmenu informácií medzi členskými štátmi a expertmi v celej Únii.
2. Komisia dopĺňa činnosti členských štátov uvedené v článku 10 vypracúvaním najlepších postupov, usmerňujúcich materiálov a metodík a cezhraničných činností a cvičení odbornej prípravy s cieľom otestovať odolnosť kritických subjektov.
3. Komisia informuje členské štáty o finančných zdrojoch na úrovni Únie, ktoré majú členské štáty k dispozícii na zvýšenie odolnosti kritických subjektov.
KAPITOLA VI
DOHĽAD A PRESADZOVANIE
Článok 21
Dohľad a presadzovanie
1. Členské štáty s cieľom posúdiť, či subjekty, ktoré identifikovali ako kritické subjekty podľa článku 6 ods. 1, dodržiavajú povinnosti stanovené v tejto smernici, zabezpečia, aby príslušné orgány mali právomoci a prostriedky na:
|
a) |
uskutočňovanie inšpekcií kritickej infraštruktúry na mieste a v priestoroch, ktoré kritický subjekt využíva na poskytovanie jeho základných služieb, a na dohľad na diaľku nad opatreniami prijatými kritickými subjektmi podľa článku 13; |
|
b) |
vykonávanie alebo nariaďovanie auditov vo vzťahu ku kritickým subjektom. |
2. Členské štáty zabezpečia, aby príslušné orgány mali právomoci a prostriedky, ktoré im umožnia požadovať, ak je to potrebné na plnenie ich úloh podľa tejto smernice, aby subjekty podľa smernice (EÚ) 2022/2555, ktoré členské štáty identifikovali ako kritické subjekty podľa tejto smernice, v primeranej lehote stanovenej uvedenými orgánmi poskytli:
|
a) |
informácie potrebné na posúdenie toho, či opatrenia prijaté uvedenými subjektmi na zabezpečenie ich odolnosti spĺňajú požiadavky stanovené v článku 13; |
|
b) |
dôkazy o účinnom vykonávaní týchto opatrení vrátane výsledkov auditu vykonaného nezávislým a kvalifikovaným audítorom vybraným týmto subjektom a vykonaným na jeho náklady. |
Pri požadovaní týchto informácií príslušný orgán uvedie účel požiadavky a druh informácií, ktoré sa požadujú.
3. Bez toho, aby bola dotknutá možnosť uložiť sankcie v súlade s článkom 22, príslušné orgány môžu na základe opatrení dohľadu uvedených v odseku 1 tohto článku alebo na základe posúdenia informácií uvedených v odseku 2 tohto článku nariadiť dotknutým kritickým subjektom, aby v primeranej lehote stanovenej týmito orgánmi prijali potrebné a primerané opatrenia na nápravu akéhokoľvek zisteného porušenia tejto smernice a aby uvedeným orgánom poskytli informácie o prijatých opatreniach. V týchto príkazoch sa zohľadní najmä závažnosť porušenia.
4. Členský štát zabezpečí, aby sa právomoci stanovené v odsekoch 1, 2 a 3 mohli vykonávať len pod podmienkou primeraných záruk. Tieto záruky zaručujú najmä to, aby sa vykonávanie právomocí uskutočňovalo objektívnym, transparentným a primeraným spôsobom a aby boli riadne chránené práva a oprávnené záujmy dotknutých kritických subjektov, ako je napríklad ochrana obchodného tajomstva, vrátane práva na vypočutie, práva na obhajobu a práva na účinný prostriedok nápravy pred nezávislým súdom.
5. Členské štáty zabezpečia, aby príslušný orgán podľa tejto smernice, keď posudzuje, či kritický subjekt dodržiava povinnosti podľa tohto článku, o tom informoval príslušné orgány dotknutých členských štátov podľa smernice (EÚ) 2022/2555 Na uvedený účel členské štáty zabezpečia, aby príslušné orgány podľa tejto smernice mohli požiadať príslušné orgány podľa smernice (EÚ) 2022/2555 o vykonanie ich právomocí v oblasti dohľadu a presadzovania v súvislosti so subjektom podľa uvedenej smernice, ktorý bol identifikovaný ako kritický subjekt podľa tejto smernice. Na uvedený účel členské štáty zabezpečia, aby príslušné orgány podľa tejto smernice spolupracovali a vymieňali si informácie s príslušnými orgánmi podľa smernice (EÚ) 2022/2555
Článok 22
Sankcie
Členské štáty ustanovia pravidlá, pokiaľ ide o sankcie uplatniteľné pri porušení vnútroštátnych opatrení prijatých podľa tejto smernice, a prijmú všetky opatrenia potrebné na zabezpečenie ich uplatňovania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. Členské štáty do 17. októbra 2024 informujú Komisiu o týchto pravidlách a opatreniach a bezodkladne jej oznamujú akékoľvek následné zmeny, ktoré na ne majú vplyv.
KAPITOLA VII
DELEGOVANÉ AKTY A VYKONÁVACIE AKTY
Článok 23
Vykonávanie delegovania právomoci
1. Komisii sa udeľuje právomoc prijímať delegované akty za podmienok stanovených v tomto článku.
2. Právomoc prijímať delegované akty uvedené v článku 5 ods. 1 sa Komisii udeľuje na obdobie piatich rokov od 16. januára 2023.
3. Delegovanie právomoci uvedené v článku 5 ods. 1 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.
4. Komisia pred prijatím delegovaného aktu konzultuje s expertmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva.
5. Komisia oznamuje delegovaný akt hneď po jeho prijatí súčasne Európskemu parlamentu a Rade.
6. Delegovaný akt prijatý podľa článku 5 ods. 1 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace.
Článok 24
Postup výboru
1. Komisii pomáha výbor. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.
2. Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.
KAPITOLA VIII
ZÁVEREČNÉ USTANOVENIA
Článok 25
Podávanie správ a preskúmanie
Komisia do 17. júla 2027 predloží Európskemu parlamentu a Rade správu, v ktorej sa posúdi rozsah, v akom jednotlivé členské štáty prijali opatrenia potrebné na dosiahnutie súladu s touto smernicou.
Komisia pravidelne skúma fungovanie tejto smernice a podáva o tom správu Európskemu parlamentu a Rade. V uvedenej správe sa posúdi najmä pridaná hodnota tejto smernice, jej vplyv na zabezpečenie odolnosti kritických subjektov a to, či by sa príloha k tejto smernici nemala upraviť. Komisia predloží prvú takúto správu do 17. júna 2029. Na účel podávania správ podľa tohto článku Komisia zohľadní príslušné dokumenty skupiny pre odolnosť kritických subjektov.
Článok 26
Transpozícia
1. Členské štáty prijmú a uverejnia do 17. októbra 2024 opatrenia potrebné na dosiahnutie súladu s touto smernicou. Bezodkladne o tom informujú Komisiu.
Tieto opatrenia sa uplatňujú od 18. októbra 2024.
2. Členské štáty uvedú priamo v prijatých opatreniach uvedených v odseku 1 alebo pri ich úradnom uverejnení odkaz na túto smernicu. Podrobnosti o odkaze upravia členské štáty.
Článok 27
Zrušenie smernice 2008/114/ES
Smernica 2008/114/ES sa zrušuje s účinnosťou od 18. októbra 2024.
Odkazy na zrušenú smernicu sa považujú za odkazy na túto smernicu.
Článok 28
Nadobudnutie účinnosti
Táto smernica nadobúda účinnosť dvadsiatym dňom nasledujúcim po jej uverejnení v Úradnom vestníku Európskej únie.
Článok 29
Adresáti
Táto smernica je určená členským štátom.
V Štrasburgu 14. decembra 2022
Za Európsky parlament
predsedníčka
R. METSOLA
Za Radu
predseda
M. BEK
(1) Ú. v. EÚ C 286, 16.7.2021, s. 170.
(2) Ú. v. EÚ C 440, 29.10.2021, s. 99.
(3) Pozícia Európskeho parlamentu z 22. novembra 2022 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 8. decembra 2022.
(4) Smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (Ú. v. EÚ L 345, 23.12.2008, s. 75).
(5) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (pozri stranu 80 tohto úradného vestníka).
(6) Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).
(7) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/452 z 19. marca 2019, ktorým sa ustanovuje rámec na preverovanie priamych zahraničných investícií do Únie (Ú. v. EÚ L 79I, 21.3.2019, s. 1).
(8) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 o mimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27.7.2012, s. 1).
(9) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 575/2013 z 26. júna 2013 o prudenciálnych požiadavkách na úverové inštitúcie a o zmene nariadenia (EÚ) č. 648/2012 (Ú. v. EÚ L 176, 27.6.2013, s. 1).
(10) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 600/2014 z 15. mája 2014 o trhoch s finančnými nástrojmi, ktorým sa mení nariadenie (EÚ) č. 648/2012 (Ú. v. EÚ L 173, 12.6.2014, s. 84).
(11) Smernica Európskeho parlamentu a Rady 2013/36/EÚ z 26. júna 2013 o prístupe k činnosti úverových inštitúcií a prudenciálnom dohľade nad úverovými inštitúciami a investičnými spoločnosťami, o zmene smernice 2002/87/ES a o zrušení smerníc 2006/48/ES a 2006/49/ES (Ú. v. EÚ L 176, 27.6.2013, s. 338).
(12) Smernica Európskeho parlamentu a Rady 2014/65/EÚ z 15. mája 2014 o trhoch s finančnými nástrojmi, ktorou sa mení smernica 2002/92/ES a smernica 2011/61/EÚ (Ú. v. EÚ L 173, 12.6.2014, s. 349).
(13) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (pozri stranu 1 tohto úradného vestníka).
(14) Nariadenie Európskeho parlamentu a Rady (ES) č. 725/2004 z 31. marca 2004 o zvýšení bezpečnosti lodí a prístavných zariadení (Ú. v. EÚ L 129, 29.4.2004, s. 6).
(15) Nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva a o zrušení nariadenia (ES) č. 2320/2002 (Ú. v. EÚ L 97, 9.4.2008, s. 72).
(16) Smernica Európskeho parlamentu a Rady 2005/65/ES z 26. októbra 2005 o zvýšení bezpečnosti prístavov (Ú. v. EÚ L 310, 25.11.2005, s. 28).
(17) Smernica Európskeho parlamentu a Rady 2008/96/ES z 19. novembra 2008 o riadení bezpečnosti cestnej infraštruktúry (Ú. v. EÚ L 319, 29.11.2008, s. 59).
(18) Rozhodnutie Komisie 2018/C 232/03 z 29. júna 2018, ktorým sa zriaďuje platforma EÚ pre bezpečnosť cestujúcich v železničnej doprave (Ú. v. EÚ C 232, 3.7.2018, s. 10).
(19) Rámcové rozhodnutie Rady 2009/315/SVV z 26. februára 2009 o organizácii a obsahu výmeny informácií z registra trestov medzi členskými štátmi (Ú. v. EÚ L 93, 7.4.2009, s. 23).
(20) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/816 zo 17. apríla 2019, ktorým sa zriaďuje centralizovaný systém na identifikáciu členských štátov, ktoré majú informácie o odsúdeniach štátnych príslušníkov tretích krajín a osôb bez štátnej príslušnosti (ECRIS-TCN), s cieľom doplniť Európsky informačný systém registrov trestov, a ktorým sa mení nariadenie (EÚ) 2018/1726 (Ú. v. EÚ L 135, 22.5.2019, s. 1).
(21) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1862 z 28. novembra 2018 o zriadení, prevádzke a využívaní Schengenského informačného systému (SIS) v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach, o zmene a zrušení rozhodnutia Rady 2007/533/SVV a o zrušení nariadenia Európskeho parlamentu a Rady (ES) č. 1986/2006 a rozhodnutia Komisie 2010/261/EÚ (Ú. v. EÚ L 312, 7.12.2018, s. 56).
(22) Rozhodnutie Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany (Ú. v. EÚ L 347, 20.12.2013, s. 924).
(23) Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/1149 zo 7. júla 2021, ktorým sa zriaďuje Fond pre vnútornú bezpečnosť (Ú. v. EÚ L 251, 15.7.2021, s. 94).
(24) Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/695 z 28. apríla 2021, ktorým sa zriaďuje Horizont Európa – rámcový program pre výskum a inovácie, stanovujú jeho pravidlá účasti a šírenia a zrušujú nariadenia (EÚ) č. 1290/2013 a (EÚ) č. 1291/2013 (Ú. v. EÚ L 170, 12.5.2021, s. 1).
(25) Ú. v. EÚ L 123, 12.5.2016, s. 1.
(26) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).
(27) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39).
(28) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).
(29) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).
(30) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1025/2012 z 25. októbra 2012 o európskej normalizácii, ktorým sa menia a dopĺňajú smernice Rady 89/686/EHS a 93/15/EHS a smernice Európskeho parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES a ktorým sa zrušuje rozhodnutie Rady 87/95/EHS a rozhodnutie Európskeho parlamentu a Rady č. 1673/2006/ES (Ú. v. EÚ L 316, 14.11.2012, s. 12).
(31) Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikro, malé a stredné podniky (Ú. v. EÚ L 124, 20.5.2003, s. 36).
(32) Smernica Európskeho parlamentu a Rady (EÚ) 2017/541 z 15. marca 2017 o boji proti terorizmu, ktorou sa nahrádza rámcové rozhodnutie Rady 2002/475/SVV a mení rozhodnutie Rady 2005/671/SVV (Ú. v. EÚ L 88, 31.3.2017, s. 6).
(33) Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/1938 z 25. októbra 2017 o opatreniach na zaistenie bezpečnosti dodávok plynu a o zrušení nariadenia (EÚ) č. 994/2010 (Ú. v. EÚ L 280, 28.10.2017, s. 1).
(34) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/941 z 5. júna 2019 o pripravenosti na riziká v sektore elektrickej energie a o zrušení smernice 2005/89/ES (Ú. v. EÚ L 158, 14.6.2019, s. 1).
(35) Smernica Európskeho parlamentu a Rady 2007/60/ES z 23. októbra 2007 o hodnotení a manažmente povodňových rizík (Ú. v. EÚ L 288, 6.11.2007, s. 27).
(36) Smernica Európskeho parlamentu a Rady 2012/18/EÚ zo 4. júla 2012 o kontrole nebezpečenstiev závažných havárií s prítomnosťou nebezpečných látok, ktorou sa mení a dopĺňa a následne zrušuje smernica Rady 96/82/ES (Ú. v. EÚ L 197, 24.7.2012, s. 1).
(37) Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016, s. 89).
PRÍLOHA
ODVETVIA, PODODVETVIA A KATEGÓRIE SUBJEKTOV
|
Odvetvia |
Pododvetvia |
Kategórie subjektov |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
|
|||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
(1) Smernica Európskeho parlamentu a Rady (EÚ) 2019/944 z 5. júna 2019 o spoločných pravidlách pre vnútorný trh s elektrinou a o zmene smernice 2012/27/EÚ (Ú. v. EÚ L 158, 14.6.2019, s. 125).
(2) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/943 z 5. júna 2019 o vnútornom trhu s elektrinou (Ú. v. EÚ L 158, 14.6.2019, s. 54).
(3) Smernica Európskeho parlamentu a Rady (EÚ) 2018/2001 z 11. decembra 2018 o podpore využívania energie z obnoviteľných zdrojov (Ú. v. EÚ L 328, 21.12.2018, s. 82).
(4) Smernica Rady 2009/119/ES zo 14. septembra 2009, ktorou sa členským štátom ukladá povinnosť udržiavať minimálne zásoby ropy a/alebo ropných výrobkov (Ú. v. EÚ L 265, 9.10.2009, s. 9).
(5) Smernica Európskeho parlamentu a Rady 2009/73/ES z 13. júla 2009 o spoločných pravidlách pre vnútorný trh so zemným plynom, ktorou sa zrušuje smernica 2003/55/ES (Ú. v. EÚ L 211, 14.8.2009, s. 94).
(6) Smernica Európskeho parlamentu a Rady 2009/12/ES z 11. marca 2009 o letiskových poplatkoch (Ú. v. EÚ L 70, 14.3.2009, s. 11).
(7) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1315/2013 z 11. decembra 2013 o usmerneniach Únie pre rozvoj transeurópskej dopravnej siete a o zrušení rozhodnutia č. 661/2010/EÚ (Ú. v. EÚ L 348, 20.12.2013, s. 1).
(8) Nariadenie Európskeho parlamentu a Rady (ES) č. 549/2004 z 10. marca 2004, ktorým sa stanovuje rámec na vytvorenie jednotného európskeho neba (rámcové nariadenie) (Ú. v. EÚ L 96, 31.3.2004, s. 1).
(9) Smernica Európskeho parlamentu a Rady 2012/34/EÚ z 21. novembra 2012, ktorou sa zriaďuje jednotný európsky železničný priestor (Ú. v. EÚ L 343, 14.12.2012, s. 32).
(10) Smernica Európskeho parlamentu a Rady 2002/59/ES z 27. júna 2002, ktorou sa zriaďuje monitorovací a informačný systém Spoločenstva pre lodnú dopravu a ktorou sa zrušuje smernica Rady 93/75/EHS (Ú. v. ES L 208, 5.8.2002, s. 10).
(11) Delegované nariadenie Komisie (EÚ) 2015/962 z 18. decembra 2014, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady 2010/40/EÚ, pokiaľ ide o poskytovanie informačných služieb o doprave v reálnom čase v celej EÚ (Ú. v. EÚ L 157, 23.6.2015, s. 21).
(12) Smernica Európskeho parlamentu a Rady 2010/40/EÚ zo 7. júla 2010 o rámci na zavedenie inteligentných dopravných systémov v oblasti cestnej dopravy a na rozhrania s inými druhmi dopravy (Ú. v. EÚ L 207, 6.8.2010, s. 1).
(13) Nariadenie Európskeho parlamentu a Rady (ES) č. 1370/2007 z 23. októbra 2007 o službách vo verejnom záujme v železničnej a cestnej osobnej doprave, ktorým sa zrušujú nariadenia Rady (EHS) č. 1191/69 a (EHS) č. 1107/70 (Ú. v. EÚ L 315, 3.12.2007, s. 1).
(14) Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).
(15) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2371 z 23. novembra 2022 o závažných cezhraničných ohrozeniach zdravia, ktorým sa zrušuje rozhodnutie č. 1082/2013/EÚ (Ú. v. EÚ L 314, 6.12.2022, s. 26).
(16) Smernica Európskeho parlamentu a Rady 2001/83/ES zo 6. novembra 2001, ktorou sa ustanovuje zákonník Spoločenstva o humánnych liekoch (Ú. v. ES L 311, 28.11.2001, s. 67).
(17) Nariadenie Európskeho parlamentu a Rady (EÚ)2022/123 z 25. januára 2022 o posilnenej úlohe Európskej agentúry pre lieky z hľadiska pripravenosti na krízy a krízového riadenia v oblasti liekov a zdravotníckych pomôcok (Ú. v. EÚ L 20, 31.1.2022, s. 1).
(18) Smernica Európskeho parlamentu a Rady (EÚ) 2020/2184 zo 16. decembra 2020 o kvalite vody určenej na ľudskú spotrebu (Ú. v. EÚ L 435, 23.12.2020, s. 1).
(19) Smernica Rady 91/271/EHS z 21. mája 1991 o čistení komunálnych odpadových vôd (Ú. v. ES L 135, 30.5.1991, s.40).
(20) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73).
(21) Smernica Európskeho parlamentu a Rady (EÚ) 2018/1972 z 11. decembra 2018, ktorou sa stanovuje európsky kódex elektronických komunikácií (Ú. v. EÚ L 321, 17.12.2018, s. 36).
(22) Nariadenie Európskeho parlamentu a Rady (ES) č. 178/2002 z 28. januára 2002, ktorým sa ustanovujú všeobecné zásady a požiadavky potravinového práva, zriaďuje Európsky úrad pre bezpečnosť potravín a stanovujú postupy v záležitostiach bezpečnosti potravín (Ú. v. ES L 31, 1.2.2002, s. 1).