(1)

Omrežja ter informacijski sistemi in storitve imajo ključno vlogo v družbi. Njihova zanesljivost in varnost sta bistveni za svobodo in splošno varnost državljanov Unije, kot tudi za gospodarske dejavnosti in splošno dobro ter zlasti za delovanje notranjega trga. [Sprememba 1]

(2)

Daljnosežnost , pogostnost in pogostnost namernih ali naključnih posledice varnostnih incidentov se povečujeta povečujejo in pomenita pomenijo veliko tveganje za delovanje omrežij in informacijskih sistemov. Ti sistemi lahko prav tako postanejo lahka tarča za namerna škodljiva dejanja, namenjena povzročitvi škode ali prekinitvi delovanja sistemov. Takšni incidenti lahko ovirajo gospodarske dejavnosti, ustvarjajo znatne finančne izgube, zmanjšujejo zaupanje uporabnikov in vlagateljev, povzročijo veliko škodo gospodarstvu Unije ter ogrožajo dobrobit državljanov Unije in sposobnost držav članic, da se zaščitijo in zagotovijo varnost kritične infrastrukture . [Sprememba 2]

(3)

Kot komunikacijski instrument brez meja imajo digitalni informacijski sistemi, zlasti internet, bistveno vlogo pri zagotavljanju lažjega čezmejnega pretoka blaga, storitev in oseb. Zaradi te nadnacionalne narave lahko znatne prekinitve navedenih sistemov v eni državi članici vplivajo tudi na druge države članice in Unijo kot celoto. Odpornost in stabilnost omrežij in informacijskih sistemov je zato bistvenega pomena za nemoteno delovanje notranjega trga.

(3a)

Ker so najpogostejši vzroki za izpad sistema še vedno nenamerni, na primer naravni vzroki ali človeška napaka, bi morala biti infrastruktura odporna proti namernim in nenamernim prekinitvam, upravljavci kritične infrastrukture pa bi morali izdelati sisteme, ki bi temeljili na odpornosti. [Sprememba 3]

(4)

Na ravni Unije bi bilo treba vzpostaviti mehanizem za sodelovanje, ki bi omogočil omogočal izmenjavo informacij ter usklajeno preprečevanje, odkrivanje in odzivanje na področju varnosti omrežij in informacij (VOI). Za učinkovito in vključujoče delovanje navedenega mehanizma je bistveno, da imajo vse države članice minimalne zmogljivosti in strategijo za zagotavljanje visoke ravni VOI na svojem ozemlju. Minimalne varnostne zahteve bi morale veljati tudi za javne uprave in vsaj nekatere tržne upravljavce kritičnih informacijskih infrastruktur informacijske infrastrukture , da se spodbuja kultura obvladovanja tveganja in zagotovi poročanje o najresnejših incidentih. Podjetja, ki kotirajo na borzi, bi bilo treba spodbujati k prostovoljni javni objavi incidentov v njihovih finančnih poročilih. Pravni okvir bi moral temeljiti na potrebi po varovanju zasebnosti in integritete državljanov. Informacijsko omrežje za opozarjanje o kritični infrastrukturi (CIWIN) bi bilo treba razširiti tudi na tržne udeležence, ki jih zajema ta direktiva. [Sprememba 4]

(4a)

Medtem ko bi morale javne uprave zaradi svojega poslanstva, ki je v interesu javnosti, pokazati primerno skrbnost pri upravljanju in zaščiti lastnih omrežij in informacijskih sistemov, bi se ta direktiva morala osredotočiti na kritično infrastrukturo, bistveno za vzdrževanje ključnih gospodarskih in družbenih dejavnosti na področjih energije, prometa, bančništva, infrastrukture finančnega trga in zdravja. Razvijalci programske opreme in proizvajalci strojne opreme bi morali biti izključeni s področja uporabe te direktive. [Sprememba 5]

(4b)

Sodelovanje in usklajevanje med ustreznimi organi Unije in visokim predstavnikom Unije/podpredsednikom Komisije, pristojnim za zunanje zadeve in varnostno politiko ter skupno varnostno in obrambno politiko, in koordinatorjem EU za boj proti terorizmu bi bilo treba zagotoviti v vseh primerih, ko lahko sklepamo, da incident s znatnim vplivom pomeni tveganje zunanje in teroristične narave. [Sprememba 6]

(5)

Da bi ta direktiva obravnavala vse pomembne incidente in tveganja, bi morala veljati za vsa omrežja in informacijske sisteme. Vendar obveznosti za javne uprave in tržne udeležence ne bi smele veljati za podjetja, ki zagotavljajo javna komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve po Direktivi 2002/21/ES Evropskega parlamenta in Sveta (3) in za katera veljajo posebne zahteve glede varnosti in celovitosti iz člena 13a navedene direktive, kot tudi ne za ponudnike skrbniških storitev.

(6)

Obstoječe zmogljivosti ne zadostujejo za zagotavljanje visoke ravni VOI v Uniji. Raven pripravljenosti v državah članicah je zelo različna, zato so tudi pristopi po Uniji razdrobljeni. Zaradi tega je raven varstva potrošnikov in podjetij neenaka, zmanjšuje pa se tudi skupna raven VOI v Uniji. Pomanjkanje skupnih minimalnih zahtev za javne uprave in tržne udeležence pa onemogoča vzpostavitev svetovnega in učinkovitega mehanizma za sodelovanje na ravni Unije. Univerze in raziskovalni centri imajo bistveno vlogo pri spodbujanju raziskav, razvoja in inovacij na teh področjih ter bi jim bilo treba zagotoviti ustrezna sredstva. [Sprememba 7]

(7)

Za učinkovito odzivanje na izzive na področju varnosti omrežij in informacijskih sistemov je zato potreben globalni pristop na ravni Unije, ki bi obsegal skupne minimalne zahteve za gradnjo zmogljivosti in njihovo načrtovanje, razvoj zadostne usposobljenosti na področju kibernetske varnosti, izmenjavo informacij in usklajevanje ukrepov ter skupne minimalne varnostne zahteve za vse zadevne tržne udeležence in javne uprave. Skupne minimalne standarde bi bilo treba uporabljati v skladu z ustreznimi priporočili usklajevalnih skupin za kibernetsko varnost (CSGC). [Sprememba 8]

(8)

Določbe te direktive ne bi smele posegati v možnost, da vsaka država članica sprejme potrebne ukrepe za zaščito bistvenih varnostnih interesov, zaščiti javni red in javno varnost ter preiskuje, odkriva in preganja kazniva dejanja. V skladu s členom 346 Pogodbe o delovanju Evropske unije (PDEU) države članice niso dolžne zagotoviti informacij, za katere menijo, da bi njihovo razkritje bilo v nasprotju s ključnimi varnostnimi interesi. Nobena država članica ni dolžna razkriti zaupnih informacij EU, kot so opredeljene v Sklepu Sveta 2011/292/EU  (4) , informacij, za katere veljajo sporazumi o nerazkritju informacij ali neformalni sporazumi o nerazkritju informacij, kot je protokol o semaforjih (Traffic Light Protocol). [Sprememba 9]

(9)

Da bi vsaka država članica dosegla in ohranila skupno visoko raven varnosti omrežij in informacijskih sistemov, bi morala imeti nacionalno strategijo VOI, v kateri bi določila strateške cilje in konkretne ukrepe politik, ki jih je treba izvesti. Načrte za sodelovanje na področju VOI, ki bi izpolnjevali bistvene zahteve, je treba pripraviti na nacionalni ravni na podlagi minimalnih zahtev iz te direktive , da bo mogoče doseči takšno raven zmogljivosti za odzivanje, ki bo v primeru incidentov omogočala uspešno in učinkovito sodelovanje na nacionalni ravni in ravni Unije ter spoštovala in varovala zasebno življenje in osebne podatke . Zato bi morala vsaka država članica upoštevati skupne standarde v zvezi z obliko zapisa in možnostmi izmenjave podatkov, ki so namenjeni izmenjavi in ocenjevanju. Države članice bi morale imeti možnost, da Evropsko agencijo za varnost omrežij in informacij (ENISA) zaprosijo za pomoč pri oblikovanju nacionalnih strategij VOI na podlagi skupnega minimalnega načrta za strategijo VOI. [Sprememba 10]

(10)

Da se zagotovi učinkovito izvajanje določb, sprejetih v skladu s to direktivo, bi bilo treba v vsaki državi ustanoviti ali določiti organ za usklajevanje vprašanj VOI, ki bi deloval kot osrednja točka za čezmejno sodelovanje na ravni Unije. Ti organi bi morali imeti ustrezne tehnične, finančne in človeške vire, da bi lahko uspešno in učinkovito opravljali dodeljene naloge ter tako dosegli cilje te direktive.

(10a)

Glede na razlike v nacionalnih strukturah upravljanja in z namenom varovanja obstoječih sektorskih dogovorov ali nadzornih in regulativnih organov na ravni Unije ter da bi se izognili podvajanju, bi morale imeti države članice možnost imenovati več kot en pristojni nacionalni organ, odgovoren za izvajanje nalog, povezanih z varnostjo omrežij in informacijskih sistemov tržnih udeležencev v okviru te direktive. Vendar je za zagotovitev nemotenega čezmejnega sodelovanja in komunikacije nujno, da vsaka država članica brez poseganja v sektorske regulativne ureditve imenuje samo eno nacionalno enotno kontaktno točko, odgovorno za čezmejno sodelovanje na ravni Unije. Kadar ustavna struktura ali druge ureditve tako zahtevajo, bi morala država članica imeti možnost imenovati samo en organ za izvajanje nalog pristojnega organa in enotne kontaktne točke. Pristojni organi in enotne kontaktne točke bi morali biti civilni organi, pod popolnim demokratičnim nadzorom in ne bi smeli izpolnjevati nalog na področju obveščevalne dejavnosti, kazenskega pregona ali obrambe ali biti organizacijsko povezani s katero koli obliko organov, dejavnih na omenjenih področjih. [Sprememba 11]

(11)

Vse države članice in tržni udeleženci bi morale morali imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje, odkrivanje, odzivanje in ublažitev incidentov in tveganj , da kadar koli preprečijo, odkrijejo in ublažijo incidente in tveganja VOI. Varnostni sistemi javnih uprav morajo biti varni in predmet demokratičnega nadzora in pregleda. Običajno potrebna oprema in zmogljivosti bi morale biti usklajene s skupno dogovorjenimi tehničnimi standardi in standardnimi operativnimi postopki. Zato bi bilo treba v vseh državah članicah ustanoviti dobro delujoče skupine za odzivanje na računalniške grožnje (CERT) , ki bi izpolnjevale bistvene zahteve, da se zagotovijo učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj ter učinkovito sodelovanje na ravni Unije. Tem CERT bi morali omogočiti sodelovanje na podlagi skupnih tehničnih standardov in standardnih operativnih postopkov. Glede na različne značilnosti obstoječih CERT, ki se odzivajo na različne tematske potrebe in akterje, bi morale države članice zagotoviti, da za vse sektorje s seznama tržnih udeležencev, določenega v tej direktivi, storitve zagotavlja najmanj ena CERT. Glede čezmejnega sodelovanja CERT bi morale države članice zagotoviti, da bodo imele na voljo dovolj sredstev za sodelovanje v obstoječih mednarodnih in evropskih mrežah sodelovanja, ki so že vzpostavljene. [Sprememba 12]

(12)

Na podlagi znatnega napredka, doseženega v okviru evropskega foruma držav članic pri spodbujanju razprave in izmenjave dobrih praks, vključno s pripravo načel za sodelovanje v EU pri kibernetskih krizah, bi morale države članice in Komisija oblikovati mrežo, prek katere bi lahko stalno komunicirale in poglobile svoje sodelovanje. Ta varen in učinkovit mehanizem za sodelovanje , po potrebi z udeležbo tržnih udeležencev, bi moral omogočiti strukturirano in usklajeno izmenjavo informacij, odkrivanje in odzivanje na ravni Unije. [Sprememba 13]

(13)

Evropska agencija za varnost omrežij in informacij (ENISA) bi morala državam članicam in Komisiji pomagati s strokovnim znanjem in svetovanjem ter spodbujati izmenjavo najboljših praks. Komisija in države članice bi se morala morale z ENISA posvetovati zlasti pri uporabi te direktive. Da se zagotovi učinkovito in pravočasno obveščanje držav članic in Komisije, bi bilo treba zgodnja opozorila o incidentih in tveganjih priglasiti v mreži za sodelovanje. Da se vzpostavijo zmogljivosti in znanje med državami članicami, bi morala mreža za sodelovanje služiti tudi kot orodje za izmenjavo najboljših praks ter z usmerjanjem organizacije medsebojnih pregledov in vaj na področju VOI članom pomagati pri gradnji zmogljivosti. [Sprememba 14]

(13a)

Kjer je to primerno, bi morale države članice imeti možnost, da pri uporabi določb te direktive izkoristijo ali prilagodijo obstoječe organizacijske strukture ali strategije. [Sprememba 15]

(14)

Treba bi bilo vzpostaviti varno infrastrukturo za izmenjavo informacij, ki bi omogočila izmenjavo občutljivih in zaupnih informacij v okviru mreže za sodelovanje. V ta namen bi bilo treba v celoti uporabiti obstoječe strukture v Uniji. Ne glede na obveznosti držav članic, da incidente in tveganja z evropsko razsežnostjo priglasijo v mreži za sodelovanje, bi moral biti dostop do zaupnih informacij iz drugih držav članic dovoljen samo, če države članice dokažejo, da njihovi tehnični, finančni in človeški viri ter postopki in komunikacijska infrastruktura zagotavljajo učinkovito, uspešno in varno sodelovanje v mreži ter uporabljajo pregledne metode . [Sprememba 16]

(15)

Ker večino omrežij in informacijskih sistemov upravljajo zasebna podjetja, je sodelovanje med javnim in zasebnim sektorjem bistvenega pomena. Tržne udeležence bi bilo treba spodbujati, da za zagotavljanje VOI vzpostavijo lastne neformalne mehanizme sodelovanja. Prav tako bi morali sodelovati z javnim sektorjem ter si medsebojno izmenjevati informacije in najboljše prakse v zameno za , vključno z vzajemno izmenjavo ustreznih informacij, operativno podporo in strateško analiziranimi informacijami pri incidentih. Za uspešno spodbujanje izmenjave informacij in najboljših praks je treba zagotoviti, da tržni udeleženci, ki pri tem sodelujejo, zaradi tega ne bodo prikrajšani. Vzpostaviti je treba ustrezne zaščitne ukrepe, ki bodo zagotavljali, da ti udeleženci zaradi sodelovanja ne bodo izpostavljeni večjim tveganjem v zvezi s skladnostjo ali novim obveznostim, ki izhajajo iz zakonodaje na področju – med drugim – konkurence, intelektualne lastnine, varstva podatkov ali kibernetske kriminalitete, ali večjim operativnim ali varnostnim tveganjem. [Sprememba 17]

(16)

Za zagotavljanje preglednosti ter ustrezno obveščanje državljanov EU in tržnih udeležencev bi morali pristojni organi morale enotne kontaktne točke vzpostaviti skupno spletišče za vso Unijo , na katerem bi objavljali objavljale nezaupne informacije o incidentih in, tveganjih in načinih za zmanjšanje tveganj, po potrebi pa tudi svetovale o ustreznih vzdrževalnih ukrepih . Informacije na spletišču bi morale biti dostopne ne glede na napravo, ki se uporablja. Objava osebnih podatkov na tem spletišču bi morala biti omejena le na potrebne podatke in bi morala zagotoviti najvišjo možno raven anonimnosti. [Sprememba 18]

(17)

Če se informacije štejejo za zaupne v skladu s predpisi Unije in nacionalnimi predpisi o poslovni tajnosti, se pri izvajanju dejavnosti in izpolnjevanju ciljev te direktive zagotovi njihova zaupnost.

(18)

Komisija in države članice bi morale zlasti na podlagi nacionalnih izkušenj s področja kriznega upravljanja in v sodelovanju z ENISA pripraviti načrt za sodelovanje Unije na področju VOI, v katerem bi opredelile mehanizme za sodelovanje , najboljše prakse in vzorce delovanja pri preprečevanju, odkrivanju in obvladovanju tveganj in incidentov ter poročanju o njih . Ta načrt bi bilo treba ustrezno upoštevati pri zgodnjem opozarjanju v mreži za sodelovanje. [Sprememba 19]

(19)

Priglasitev zgodnjega opozarjanja v mreži bi bilo treba zahtevati le, kadar bi obseg in resnost incidenta ali zadevnega tveganja postala ali lahko postala tako pomembna, da bi bilo potrebno obveščanje ali usklajevanje odziva na ravni Unije. Zgodnje opozarjanje bi moralo biti zato omejeno na dejanske ali možne incidente ali tveganja, ki se hitro povečujejo, presegajo nacionalne zmogljivosti odzivanja ali prizadenejo več kot eno državo članico. Da se omogoči pravilna ocena, bi bilo treba vse informacije, ki so pomembne za oceno tveganja ali incidenta, priglasiti v mreži za sodelovanje. [Sprememba 20]

(20)

Ko pristojni organi enotne kontaktne točke prejmejo zgodnje opozorilo in njegovo oceno, bi se morali morale dogovoriti o usklajenem odzivu v skladu z načrtom za sodelovanje Unije na področju VOI. Pristojne organe Enotne kontaktne točke, ENISA in Komisijo bi bilo treba obvestiti o ukrepih, sprejetih na nacionalni ravni, ki so posledica usklajenega odziva. [Sprememba 21]

(21)

Zaradi globalne narave težav na področju VOI je potrebno tesnejše mednarodno sodelovanje, da se izboljšajo varnostni standardi in izmenjava informacij ter spodbuja skupen globalen pristop za vprašanja VOI. Za okvir takšnega mednarodnega sodelovanja bi bilo treba uporabljati Direktivo 95/46/ES Evropskega parlamenta in Sveta  (5) in Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta  (6) . [Sprememba 22]

(22)

Odgovornost za zagotavljanje VOI imajo v veliki meri javne uprave in tržni udeleženci. Kulturo obvladovanja tveganja, tesnega sodelovanja in zaupanja, ki vključuje oceno tveganja in izvajanje ustreznih varnostnih ukrepov za zadevna tveganja in incidente, namerne ali naključne , bi bilo treba spodbujati in razvijati z ustreznimi regulativnimi zahtevami in prostovoljnimi sektorskimi praksami. Vzpostavitev zaupanja vrednih enakih konkurenčnih pogojev je prav tako bistvenega pomena za učinkovito delovanje mreže za sodelovanje, saj bi zagotovila učinkovito sodelovanje vseh držav članic. [Sprememba 23]

(23)

Direktiva 2002/21/ES določa, da podjetja, ki zagotavljajo javna elektronska komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve, sprejmejo ustrezne ukrepe, s katerimi zagotovijo celovitost in varnost teh omrežij in sistemov, uvaja pa tudi zahteve za priglasitev kršitev varnosti in izgube integritete. Direktiva 2002/58/ES Evropskega parlamenta in Sveta (7) določa, da ponudnik javno razpoložljive elektronske komunikacijske storitve sprejme ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi varnost svojih storitev.

(24)

Te obveznosti bi bilo treba razširiti prek sektorja elektronskih komunikacij, da bi veljale tudi za na upravljavce infrastrukture, ki so močno odvisni od informacijskih in komunikacijskih tehnologij ter so bistveni za vzdrževanje ključnih gospodarskih in družbenih funkcij, kot so električna energija in plin, promet, kreditne institucije, infrastrukture finančnega trga in zdravje. Prekinitve teh omrežij in informacijskih sistemov bi vplivale na notranji trg. Čeprav obveznosti iz te direktive ne bi smeli razširiti na glavne ponudnike storitev informacijske družbe, kakor so opredeljeni v Direktivi 98/34/ES Evropskega parlamenta in Sveta (8), ki so podlaga za storitve informacijske družbe na podrejenem trgu ali spletne dejavnosti, kot so platforme za e-trgovanje, portali za spletna plačila, družabna omrežja, iskalniki, storitve računalništva v oblaku, na splošno ali prodajalne z aplikacijami. Prekinitve teh omogočitvenih storitev informacijske družbe ovirajo zagotavljanje drugih storitev informacijske družbe, ki so odvisne od njih. Razvijalci programske opreme in proizvajalci strojne opreme niso ponudniki storitev informacijske družbe, zato za njih te obveznosti ne veljajo. Navedene obveznosti bi bilo treba razširiti tudi na javne uprave in upravljavce kritične infrastrukture, ki so močno odvisni od informacijskih in komunikacijskih tehnologij ter so bistveni za vzdrževanje ključnih gospodarskih in družbenih funkcij, kot so električna energija in plin, promet, kreditne institucije, borze in zdravje. Prekinitve teh omrežij in informacijskih sistemov bi vplivale na notranji trg. , bi ti lahko na prostovoljni osnovi obveščali pristojni organ ali enotno kontaktno točko o varnostnih incidentih na omrežjih, za katere menijo, da je to primerno. Pristojni organ ali enotna kontaktna točka, če je to mogoče, tržnim udeležencem, ki so ju obvestili o incidentu, predstavita strateško analizirane informacije, ki jim bodo pomagale pri premagovanju varnostne grožnje. [Sprememba 24]

(24a)

Čeprav ponudniki strojne in programske opreme niso tržni udeleženci, primerljivi s tistimi, ki jih zajema ta direktiva, njihovi proizvodi omogočajo varnost omrežnih in informacijskih sistemov. Zato imajo pomembno vlogo, saj tržnim udeležencem omogočajo, da zavarujejo svoje omrežne in informacijske infrastrukture. Ker so proizvodi strojne in programske opreme že podrejeni veljavnim pravilom o odgovornosti za izdelek, bi morale države članice zagotoviti izvrševanje teh pravil. [Sprememba 25]

(25)

Tehnični in organizacijski ukrepi za javne uprave in tržne udeležence ne bi smeli predpisovati, da se določen komercialni izdelek IKT oblikuje, razvije ali proizvede na določen način. [Sprememba 26]

(26)

Javne uprave in Tržni udeleženci bi morali zagotoviti varnost omrežij in sistemov pod njihovim nadzorom. To bi bila predvsem zasebna omrežja in sistemi, ki jih upravlja njihovo notranje osebje IT ali za katerih varnost skrbi zunanji izvajalec. Obveznosti varovanja in priglasitve bi morale veljati za zadevne tržne udeležence in javne uprave ne glede na to, ali omrežja in informacijske sisteme vzdržujejo sami ali njihov zunanji izvajalec. [Sprememba 27]

(27)

Da ne bi bili mali operaterji in uporabniki nesorazmerno finančno in upravno obremenjeni, bi morale biti zahteve sorazmerne s tveganjem, ki mu je izpostavljeno zadevno omrežje ali informacijski sistem, pri čemer bi bilo treba upoštevati trenutno stanje takih ukrepov. Te zahteve se ne bi smele uporabljati za mikropodjetja.

(28)

Pristojni organi in enotne kontaktne točke bi morali ustrezno pozornost nameniti ohranjanju neuradnih in zanesljivih kanalov za izmenjavo informacij med tržnimi udeleženci ter med javnim in zasebnim sektorjem. Pristojni organi in enotne kontaktne točke bi morali proizvajalce in ponudnike storitev prizadetih produktov in storitev IKT obvestiti o incidentih z znatnim vplivom, ki so jim bili priglašeni. Pri obveščanju javnosti o incidentih, priglašenih pristojnim organom in enotnim kontaktnim točkam , bi bilo treba najti ravnotežje med interesom javnosti, da je obveščena o nevarnostih, ter morebitno škodo za ugled in poslovanje javnih uprav in tržnih udeležencev, ki priglasijo incidente. Pri izvajanju obveznosti priglasitve bi morali pristojni organi in enotne kontaktne točke posebno pozorno paziti, da informacije o ranljivosti izdelka ostanejo strogo zaupne do ustreznega popravila varnosti. Enotne kontaktne točke praviloma ne bi smele razkrivati osebnih podatkov posameznikov, vpletenih v incidente. Enotne kontaktne točke bi smele osebne podatke razkriti samo v primeru, da je razkritje teh podatkov nujno in sorazmerno glede na zastavljeni cilj. [Sprememba 28]

(29)

Pristojni organi bi morali imeti potrebna sredstva za opravljanje svojih nalog, vključno s pooblastili za pridobivanje zadostnih informacij od tržnih udeležencev in javnih uprav, da lahko ocenijo raven varnosti omrežij in informacijskih sistemov in izmerijo število in obseg incidentov , ter zanesljivih in izčrpnih podatkov o dejanskih incidentih, ki so vplivali na delovanje omrežij in informacijskih sistemov. [Sprememba 29]

(30)

V mnogih primerih so v ozadju incidentov kriminalne dejavnosti. Sum za to je možen tudi, če na začetku še niso dovolj jasnih dokazov. Pri tem bi moralo biti primerno sodelovanje med pristojnimi organi , enotnimi kontaktnimi točkami in organi pregona ter sodelovanje z Europolovim centrom za boj proti kibernetski kriminaliteti in ENISA sestavni del učinkovitega in celovitega odzivanja na ogroženost zaradi varnostnih incidentov. Pri spodbujanju varnega in odpornejšega okolja je pomembno zlasti, da se incidenti, za katere obstaja sum, da so resne kriminalne narave, sistematično priglasijo organom kazenskega pregona. Resno kriminalno naravo incidentov bi bilo treba oceniti ob upoštevanju predpisov Unije o kibernetski kriminaliteti. [Sprememba 30]

(31)

V številnih primerih je zaradi incidentov kršena varnost osebnih podatkov. Zato Države članice in tržni udeleženci bi morali pristojni organi in organi za varstvo shranjene, obdelane ali posredovane osebne podatke zaščititi pred nenamernim ali nezakonitim uničenjem, nenamerno izgubo ali spremembami in nepooblaščenimi ali nezakonitimi oblikami hrambe, dostopa, razkrivanja ali razširjanja ter zagotoviti izvajanje varnostne politike v zvezi z obdelavo osebnih podatkov pri preprečevanju kršitev . Da bi preprečili kršitve varnosti osebnih podatkov, nastalih zaradi incidentov, med seboj v skladu z veljavnimi pravili za varstvo podatkov, bi morali pristojni organi, enotne kontaktne točke in organi za varstvo podatkov sodelovati in si izmenjevati pomembne informacije , kadar je ustrezno tudi s tržnimi udeleženci . Če varnostni incident pomeni tudi kršitev varstva osebnih podatkov , ki jo je treba priglasiti v skladu z Uredbo Evropskega parlamenta in Sveta s pravom Unije o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov  (9) , države članice varnostne incidente priglasijo z najmanjšo možno bi se morala obveznost priglasitve izvesti tako, da bo upravno obremenitvijo breme čim manjše . ENISA bi lahko sodelovala s pristojnimi organi in organi za varstvo podatkov ter pripravila morala pripraviti mehanizme in predloge za izmenjavo informacij, s katerimi bi odpravila podvajanje obrazca za priglasitev. En sam enoten obrazec za priglasitev , ki bi omogočil omogočal lažje poročanje o incidentih, ki se nanašajo na varstvo osebnih podatkov, s čimer bi se zmanjšala upravna obremenitev za podjetja in javne uprave. [Sprememba 31]

(32)

Standardizacija varnostnih zahtev je prostovoljen tržno usmerjen proces , ki bi moral tržnim udeležencem omogočiti uporabo alternativnih sredstev za dosego vsaj podobnih rezultatov . Da se zagotovi usklajena uporaba varnostnih standardov, bi morale države članice spodbujati uporabo in upoštevanje določenih interoperabilnih standardov ter tako zagotoviti visoko raven varnosti na ravni Unije. Zato je treba razmisliti o uporabi odprtih mednarodnih standardov v zvezi z varnostjo omrežij in informacij ali o oblikovanju takih orodij. Dodaten potreben korak naprej bi bilo morda treba pripraviti lahko bil osnutek harmoniziranih standardov v skladu z Uredbo (EU) št. 1025/2012 Evropskega parlamenta in Sveta (10). Zlasti bi bilo treba Evropski inštitut za telekomunikacijske storitve, Evropski odbor za standardizacijo in Evropski odbor za elektrotehnično standardizacijo pooblastiti za predlaganje uspešnih in učinkovitih odprtih varnostnih standardov Unije, pri čemer bi se morali čim bolj izogibati dajanju prednosti določenim tehnologijam, ti standardi pa bi morali biti enostavni za uporabo s strani malih in srednjih tržnih udeležencev. Mednarodne standarde na področju kibernetske varnosti bi bilo treba temeljito preveriti, da bi zagotovili, da niso kompromisna rešitev in da nudijo ustrezno raven varnosti, kar bo tudi zagotovilo, da bo predpisana skladnost s standardi na področju kibernetske varnosti povišala splošno raven kibernetske varnosti v Uniji in ne nasprotno. [Sprememba 32]

(33)

Komisija bi morala redno v posvetovanju z vsemi zainteresiranimi stranmi pregledovati to direktivo, zlasti da bi ugotovila, ali jo je treba prilagoditi spremenjenim družbenim, političnim, tehnološkim in ali tržnim razmeram. [Sprememba 33]

(34)

Da bi mreža za sodelovanje dobro delovala, bi bilo treba v skladu s členom 290 PDEU na Komisijo prenesti pooblastilo v zvezi s skupnim sklopom standardov o medsebojnem povezovanju in varnosti za sprejemanje aktov, v katerih bi ta opredelila merila, ki jih morajo države članice izpolnjevati, da lahko sodelujejo v sistemu za varno izmenjavo infrastrukturo varne izmenjave informacij, ter določila nadaljnje specifikacije in nadaljnjo specifikacijo dogodkov, ki sprožijo zgodnje opozarjanje, in opredelila okoliščine, v katerih morajo tržni udeleženci in javne uprave priglasiti incidente. [Sprememba 34]

(35)

Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, med drugim tudi na strokovni ravni. Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da ustrezne dokumente istočasno, pravočasno in ustrezno predloži Evropskemu parlamentu in Svetu.

(36)

Da se zagotovijo enotni pogoji za izvajanje te direktive, bi bilo treba Komisiji podeliti na Komisijo prenesti izvedbena pooblastila v zvezi s sodelovanjem pristojnih organov enotnih kontaktnih točk in Komisije v mreži za sodelovanje, dostopom do infrastrukture za varno izmenjavo informacij brez poseganja v obstoječe mehanizme sodelovanja na nacionalni ravni , načrtom za sodelovanje Unije na področju VOI, ter oblikami in postopki, ki se uporabljajo za obveščanje javnosti o incidentih, ter standardi in/ali tehničnimi specifikacijami, ki se nanašajo na VOI priglasitev incidentov z znatnim vplivom . Ta pooblastila bi morala izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (11). [Sprememba 35]

(37)

Pri izvajanju te direktive bi se Komisija morala po potrebi povezati z ustreznimi sektorskimi odbori in organi na ravni EU, zlasti na področju e-uprave, električne energije, prometa in, zdravja in obrambe . [Sprememba 36]

(38)

Informacije, ki jih pristojni organ ali enotna kontaktna točka šteje za zaupne v skladu s predpisi Unije in nacionalnimi predpisi o poslovni tajnosti, bi bilo treba izmenjati s Komisijo , njenimi agencijami, ki jih to zadeva, enotnimi kontaktnimi točkami in /ali drugimi nacionalnimi pristojnimi organi le, če je taka izmenjava nujno potrebna za izvajanje te direktive. Izmenjane informacije bi morale biti omejene na obseg, ki ustreza namenu take izmenjave , je zanjo nujen in je sorazmeren z njo sorazmeren, ter bi morale upoštevati vnaprej določena merila za zaupnost in varnost, v skladu s Sklepom 2011/292/EU, informacij, za katere veljajo sporazumi o nerazkritju informacij ali neformalni sporazumi o nerazkritju informacij, kot je protokol o semaforjih . [Sprememba 37]

(39)

Za izmenjavo informacij o tveganjih in incidentih v mreži za sodelovanje in za izpolnjevanje zahtev za priglasitev incidentov pristojnim nacionalnim organom ali enotnim kontaktnim točkam je morda potrebna obdelava osebnih podatkov. Taka obdelava osebnih podatkov je potrebna za doseganje ciljev javnega interesa, za katere si prizadeva ta direktiva, in je zato upravičena na podlagi člena 7 Direktive 95/46/ES. V povezavi s temi upravičenimi cilji ne predstavlja nesorazmernega in nedopustnega posega, ki bi ogrožal bistvo pravice do varstva osebnih podatkov iz člena 8 Listine o temeljnih pravicah. Pri izvajanju te direktive bi se morala po potrebi uporabljati Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 (12). Obdelava podatkov v institucijah in organih Unije za namene izvajanje te direktive bi morala biti skladna z Uredbo (ES) št. 45/2001. [Sprememba 38]

(40)

Ker ciljev te direktive, in sicer zagotavljanja visoke ravni VOI v Uniji, države članice same ne morejo zadovoljivo doseči, temveč se ta cilj zaradi učinkov ukrepov lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za dosego navedenih ciljev.

(41)

Ta direktiva upošteva temeljne pravice in načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo podjetniške pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico vsake osebe do izjave. To direktivo je treba izvajati v skladu s temi pravicami in načeli.

(41a)

V skladu s skupno politično izjavo držav članic in Komisije o obrazložitvenih dokumentih z dne 28. septembra 2011 se države članice zavezujejo, da bodo v upravičenih primerih obvestilu o ukrepih za prenos priložile enega ali več dokumentov, v katerih se pojasni razmerje med sestavnimi elementi direktive in ustreznimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je predložitev takšnih dokumentov pri tej direktivi upravičena.[Sprememba 39]

(41b)

V skladu s členom 28(2) Uredbe (ES) št. 45/2001je bilo opravljeno posvetovanje z evropskim nadzornikom za varstvo podatkov, ki je izdal menenje dne 14. junija 2013 (13) –

(a)

določa obveznosti za vse države članice glede preprečevanja, obravnavanja in odzivanja na tveganja in incidente, ki vplivajo na omrežja in informacijske sisteme;

(b)

vzpostavlja mehanizem za sodelovanje med državami članicami, da se zagotovi enotna uporaba te direktive v Uniji ter po potrebi usklajeno in, učinkovito in uspešno obravnavanje in odzivanje na tveganja in incidente, ki vplivajo na omrežja in informacijske sisteme , ob udeležbi ustreznih zainteresiranih strani ; [Sprememba 40]

(c)

določa varnostne zahteve za tržne udeležence in javne uprave. [Sprememba 41]

(1)

„omrežje in informacijski sistem“ pomeni:

(2)

„varnost“ pomeni zmožnost omrežja ali informacijskega sistema, da na dani ravni zaupanja prepreči naključne ali zlonamerne dogodke, ki ogrožajo razpoložljivost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih podatkov ali povezanih storitev, ki jih ponujajo ali so dostopne preko navedenih omrežij in informacijskih sistemov, ; „varnost“ zajema ustrezne tehnične naprave, rešitve in operativne postopke, ki zagotavljajo izpolnjevanje varnostnih zahtev iz te direktive; [Sprememba 46]

(3)

„tveganje“ pomeni vsako razumno določljivo okoliščino ali dogodek, ki ima lahko negativen učinek na varnost; [Sprememba 47]

(4)

„incident“ pomeni vsako okoliščino ali vsak dogodek, ki ima dejanski negativen učinek na varnost; [Sprememba 48]

(5)

„storitev informacijske družbe“ pomeni storitev po točki (2) člena 1 Direktive 98/34/ES; [Sprememba 49]

(6)

„načrt za sodelovanje na področju VOI“ pomeni načrt za vzpostavitev okvira za organizacijske naloge, pristojnosti in postopke za ohranjanje ali ponovno vzpostavitev delovanja omrežij in informacijskih sistemov, če jih prizadene tveganje ali incident;

(7)

„obvladovanje incidentov“ pomeni vse postopke, ki podpirajo odkrivanje, preprečevanje, analizo, ublažitev in zajezitev incidentov ter odzivanje na incidente nanje ; [Sprememba 50]

(8)

„tržni udeleženec“ pomeni:

(8a)

„incident z znatnim vplivom“ pomeni incident, ki vpliva na varnost in neprekinjenost informacijskega omrežja ali sistema ter povzroča velike motnje v ključnih gospodarskih in družbenih funkcijah; [Sprememba 53]

(9)

„standard“ pomeni standard iz Uredbe (EU) št. 1025/2012;

(10)

„specifikacija“ pomeni specifikacijo iz Uredbe (EU) št. 1025/2012;

(11)

„ponudnik skrbniških storitev“ pomeni fizično ali pravno osebo, ki zagotavlja elektronsko storitev, ki vključuje ustvarjanje, preverjanje, potrjevanje, obdelavo in hrambo elektronskih podpisov, elektronskih žigov, elektronskih časovnih žigov, elektronskih dokumentov, storitev elektronske dostave, avtentikacije spletišč in elektronskih certifikatov, vključno s certifikati za elektronski podpis in elektronske žige.

(11a)

„regulirani trg“ pomeni regulirani trg, kakor je opredeljen v točki 14 člena 4 Direktive 2004/39/ES Evropskega parlamenta in Sveta  (17) ; [Sprememba 54]

(11b)

„večstranski sistem trgovanja (MTF)“ pomeni večstranski sistem trgovanja, kakor je opredeljen v točki 15 člena 4 Direktive 2004/39/ES; [Sprememba 55]

(11c)

„sistem organiziranega trgovanja“ pomeni večstranski sistem ali instrument, ki ni regulirani trg, večstranski sistem trgovanja ali centralna nasprotna stranka, ki ga upravlja investicijsko podjetje ali tržni udeleženec ter v katerem lahko medsebojno vpliva več nakupnih in prodajnih interesov tretjih oseb v zvezi z obveznicami, strukturiranimi finančnimi produkti, emisijskimi kuponi ali izvedenimi finančnimi instrumenti tako, da se kot posledica tega sklene pogodba v skladu z določbami naslova II Direktive 2004/39/ES. [Sprememba 56]

(a)

opredelitev ciljev in prednostnih nalog strategije na podlagi posodobljene analize tveganja in incidentov;

(b)

okvir upravljanja za dosego ciljev in prednostnih nalog strategije, ki vključuje jasno opredelitev vloge in odgovornosti vladnih organov in drugih ustreznih akterjev;

(c)

opredelitev splošnih ukrepov za pripravljenost, odzivanje in ponovno vzpostavitev, vključno z mehanizmi za sodelovanje med javnim in zasebnim sektorjem;

(d)

določitev programov izobraževanja, ozaveščanja in usposabljanja;

(e)

načrte za raziskave in razvoj ter opis, kako ti načrti ustrezajo opredeljenim prednostnim nalogam.;

(ea)

države članice lahko ENISA zaprosijo za pomoč pri oblikovanju svojih nacionalnih strategij VOI in nacionalnih načrtov za sodelovanje na področju VOI na podlagi skupne minimalne strategije VOI. [Sprememba 57]

(a)

načrt ocene okvir za obvladovanje tveganja za prepoznavanje vzpostavitev metodologije za opredeljevanje, razvrščanje, oceno in obravnavo tveganj in ocenjevanje , oceno učinkov morebitnih incidentov , možnosti za preprečevanje in nadzor ter za opredelitev meril za izbiro morebitnih protiukrepov ; [Sprememba 58]

(b)

opredelitev vloge in odgovornosti različnih organov in drugih akterjev, vključenih v izvajanje načrta okvira ; [Sprememba 59]

(c)

opredelitev postopkov sodelovanja in komuniciranja za preprečevanje, odkrivanje, odzivanje, popravilo in ponovno vzpostavitev, ki so oblikovani v skladu z opozorilno stopnjo;

(d)

časovnico za vaje in usposabljanja na področju VOI za okrepitev, potrditev in preskus načrta. Pridobljena spoznanja se dokumentirajo in vključijo v posodobitve načrta.

(a)

širijo zgodnja opozorila o tveganjih in incidentih v skladu s členom 10;

(b)

zagotavljajo usklajen odziv v skladu s členom 11;

(c)

na skupnem spletišču redno objavljajo nezaupne informacije o tekočih zgodnjih opozorilih in usklajenem odzivu;

(d)

na zahtevo ene države članice ali Komisije v okviru področja uporabe te direktive skupaj ocenijo in razpravljajo o eni ali več nacionalnih strategijah in nacionalnih načrtih za sodelovanje na področju VOI iz člena 5;

(e)

na zahtevo države članice ali Komisije skupaj ocenijo in razpravljajo o učinkovitosti CERT, zlasti kadar vaje na področju VOI potekajo na ravni Unije;

(f)

sodelujejo z Europolovim centrom za kibernetsko kriminaliteto in drugimi ustreznimi evropskimi organi ter si z njimi izmenjujejo informacije o vseh znanje o pomembnih zadevah v zvezi z varnostjo omrežij in informacij , zlasti na področju varstva podatkov, energije, prometa, bančništva, borze finančnih trgov in zdravja;

(fa)

kadar je ustrezno v obliki poročila obvestijo koordinatorja za boj proti terorizmu in lahko zaprosijo za pomoč pri analizi, pripravljalnemu delu in ukrepih mreže za sodelovanje;

(g)

med seboj in s Komisijo izmenjujejo informacije in najboljše prakse ter si pomagajo pri gradnji zmogljivosti na področju VOI;

(h)

organizirajo redne medsebojne preglede o zmogljivostih in pripravljenosti;

(i)

organizirajo vaje na področju VOI na ravni Unije in po potrebi sodelujejo v mednarodnih vajah na področju VOI.;

(ia)

vključujejo tržne udeležence, se z njimi posvetujejo ter, kjer je ustrezno, z njimi izmenjujejo informacije v zvezi s tveganji in incidenti, ki vplivajo na njihovo omrežje in informacijske sisteme;

(ib)

z namenom skupne razlage, skladne uporabe in skladnega izvajanja v Uniji v sodelovanju z ENISA razvijejo smernice za specifična sektorska merila za priglasitev večjih incidentov, ki dopolnijo parametre iz člena 14(2). [Sprememba 78]

(a)

razpoložljivosti varne in odporne komunikacijske in informacijske infrastrukture na nacionalni ravni, ki je združljiva in interoperabilna z varno infrastrukturo mreže za sodelovanje v skladu s členom 7(3), in

(b)

ustreznih tehničnih, finančnih in človeških virih ter postopkih za pristojne organe in CERT, ki omogočajo uspešno, učinkovito in varno sodelovanje v sistemu za varno izmenjavo informacij po členih 6(3), 7(2) in 7(3). [Sprememba 82]

(a)

njihov obseg se hitro povečuje ali se lahko hitro poveča

(b)

presegajo ali lahko presežejo enotna kontaktna točka oceni, da tveganje ali incident potencialno presega nacionalne zmogljivosti za odzivanje;

(c)

vplivajo ali lahko vplivajo enotne kontaktne točke ali Komisija ocenijo, da tveganje ali incident vpliva na več kot eno državo članico. [Sprememba 84]

(a)

za namene člena 10:

(b)

postopke, ki se upoštevajo pri usklajenem odzivanju v skladu s členom 11, vključno z opredelitvijo vlog in odgovornosti ter postopkov sodelovanja;

(c)

časovnico za vaje in usposabljanja na področju VOI, da se načrt okrepi, potrdi in preskusi;

(d)

program za prenos znanja med državami članicami v povezavi z gradnjo zmogljivosti in vzajemnim učenjem;

(e)

program ozaveščanja in usposabljanja med državami članicami.

(a)

število uporabnikov, katerih ključna storitev je prizadeta; [Sprememba 98]

(b)

trajanje incidenta; [Sprememba 99]

(c)

geografska razširjenost, kar zadeva območje, ki ga je prizadel incident. [Sprememba 100]

(a)

predložijo informacije, potrebne za oceno varnosti omrežij in informacijskih sistemov, vključno z dokumentiranimi varnostnimi ukrepi;

(b)

se zanje opravi pregled zagotovijo dokaze o učinkovitem izvajanju varnostnih politik, na primer rezultate pregleda varnosti, ki ga izvede usposobljen neodvisen organ ali nacionalni organ, ter da se rezultati pregleda zagotovijo dajo dokaze na voljo pristojnemu organu ali enotni kontaktni točki . [Sprememba 113]

(a)

imajo pristojni organi ali enotna kontaktna točka, kakor je primerno, pooblastilo, da tržnim udeležencem predložijo dovolj specifično zahtevo, da zagotovijo dokaze o uspešnem izvajanju varnostnih politik, na primer rezultate pregleda varnosti, ki ga izvedejo notranji revizorji, in da dajo dokaze na voljo pristojnemu organu ali enotni kontaktni točki;

(b)

lahko pristojni organ ali enotna kontaktna točka potem, ko tržni udeleženec predloži zahtevo iz točke (a), po potrebi zahteva dodatne dokaze ali pregled, ki ga izvede usposobljen neodvisen organ ali nacionalni organ.