OBRAZLOŽITVENI MEMORANDUM

Predlagana direktiva naj bi zagotovila visoko skupno raven varnosti omrežij in informacij (v nadaljnjem besedilu: VOI). V ospredju je izboljšanje varnosti interneta ter zasebnih omrežij in informacijskih sistemov, ki podpirajo delovanje naše družbe in gospodarstva. To bo doseženo tako, da se bosta od držav članic zahtevala večja pripravljenost in boljše medsebojno sodelovanje, od javnih uprav in upravljavcev kritičnih infrastruktur, kot so energija in promet, ter ključnih ponudnikov storitev informacijske družbe (platforme za e-trgovanje, družabna omrežja itd.) pa, da sprejmejo ustrezne ukrepe za obvladovanje varnostnih tveganj in resne incidente priglasijo nacionalnim pristojnim organom.

Ta predlog se navezuje na skupno sporočilo Komisije in visokega predstavnika Unije za zunanje zadeve in varnostno politiko o evropski strategiji za kibernetsko varnost. Cilj strategije je zagotoviti varno in zaupanja vredno digitalno okolje ter hkrati spodbujati in varovati temeljne pravice in druge osrednje vrednote EU. Ta predlog je glavni ukrep strategije. Nadaljnji ukrepi strategije na tem področju so usmerjeni v ozaveščanje, razvoj notranjega trga kibernetskih izdelkov in storitev ter spodbujanje naložb v raziskave in razvoj. Dopolnjevali jih bodo tudi drugi ukrepi za okrepljen boj proti kibernetski kriminaliteti in oblikovanje mednarodne politike kibernetske varnosti za EU.

1.1.        Razlogi za predlog in njegovi cilji

VOI je vse bolj pomembna za evropsko gospodarstvo in družbo. Je pomemben pogoj za vzpostavitev zanesljivega okolja za svetovno trgovino s storitvami. Informacijske sisteme lahko ogrozijo varnostni incidenti, ki so lahko posledica človeških napak, naravnih dogodkov, tehničnih okvar ali zlonamernih napadov. Ti incidenti so vse obsežnejši, pogostejši in bolj zapleteni. Komisija je v javnem spletnem posvetovanju o izboljšanju VOI v EU[1] ugotovila, da je bilo 57 % vprašanih prejšnje leto priča incidentom VOI z resnimi posledicami za njihove dejavnosti. Pomanjkanje VOI lahko ogrozi ključne storitve, ki so odvisne od celovitosti omrežij in informacijskih sistemov. To lahko ustavi delovanje podjetij, ustvari znatne finančne izgube za gospodarstvo EU in negativno vpliva na družbeno dobro.

Poleg tega so digitalni informacijski sistemi, zlasti internet, čezmejni komunikacijski instrument; to pomeni, da so med seboj povezani po vseh državah članicah in da imajo ključno vlogo pri čezmejnem pretoku blaga, storitev in oseb. Znatne motnje teh sistemov v eni državi članici lahko vplivajo na druge države članice in na EU kot celoto. Odpornost in stabilnost omrežij in informacijskih sistemov je zato bistvenega pomena za dokončno vzpostavitev enotnega digitalnega trga in nemoteno delovanje notranjega trga. Verjetnost in pogostost incidentov ter nezmožnost zagotavljanja učinkovite zaščite prav tako zmanjšujejo zaupanje javnosti v omrežja in informacijske storitve. Leta 2012 je raziskava Eurobarometra o kibernetski varnosti na primer pokazala, da ima 38 % uporabnikov interneta v EU pomisleke o varnosti spletnih plačil, zaradi česar so spremenili svoje vedenje: 18 % jih je manj naklonjenih spletnemu nakupovanju, 15 % pa manj naklonjenih uporabi spletnega bančništva[2].

Trenutne razmere, ki so rezultat zgolj prostovoljnega ukrepanja, v EU ne zagotavljajo zadostne zaščite pred incidenti in tveganji VOI. Obstoječe zmogljivosti in mehanizmi VOI preprosto ne zadoščajo za dohajanje hitro spreminjajočih se nevarnosti in zagotavljanje skupne visoke ravni zaščite v vseh državah članicah.

Kljub sprejetim pobudam se zmogljivosti in pripravljenost v državah članicah zelo različne, zaradi česar so tudi pristopi v EU razdrobljeni. Omrežja in informacijski sistemi so med seboj povezani, zato skupno VOI slabijo države članice z nezadostno zaščito. Ta prav tako ovira vzpostavitev zaupanja med partnerji, kar je pogoj za sodelovanje in izmenjavo informacij. Zato je sodelovanje vzpostavljeno le med nekaj državami članicami z visoko ravnijo zmogljivosti.

Zaradi tega trenutno na ravni EU ni učinkovitega mehanizma za učinkovito sodelovanje in zanesljivo izmenjavo informacij o incidentih in tveganjih VOI med državami članicami. To lahko privede do neusklajenih regulativnih posegov, neskladnih strategij in različnih standardov ter s tem do nezadostne zaščite pred incidenti VOI po vsej EU. Na notranjem trgu se lahko pojavijo tudi ovire, ki bi za podjetja, ki poslujejo v več kot eni državi članici, pomenile stroške usklajevanja.

Poleg tega za akterje, ki upravljajo kritično infrastrukturo ali zagotavljajo storitve, bistvene za delovanje naše družbe, ne veljajo ustrezne obveznosti za sprejetje ukrepov za obvladovanje tveganja in izmenjavo informacij z zadevnimi organi. Na eni strani zato podjetja nimajo učinkovitih spodbud za resno obvladovanje tveganja, ki bi vključevalo oceno tveganja in ustrezne ukrepe za zagotovitev VOI. Po drugi strani pa pristojni organi o velikem deležu incidentov sploh niso obveščeni in jih zato ne opazijo. Obveščanje o incidentih je bistvenega pomena, saj se le tako javni organi lahko nanje odzovejo, sprejmejo ustrezne ukrepe za zmanjšanje tveganja in določijo strateške prednostne naloge za VOI.

Veljavni regulativni okvir sprejetje ukrepov za obvladovanje tveganja in priglasitev resnih incidentov VOI nalaga samo telekomunikacijskim družbam. Vendar so tudi številni drugi sektorji odvisni od IKT kot omogočitvenih tehnologij in bi zato prav tako morali obravnavati vprašanje VOI. Nekateri ponudniki infrastrukture in storitev so še posebej ranljivi, saj so zelo odvisni od pravilnega delovanja omrežij in informacijskih sistemov. Ti sektorji imajo pomembno vlogo pri zagotavljanju ključnih podpornih storitev za naše gospodarstvo in družbo, varnost njihovih sistemov pa je zlasti pomembna za delovanje notranjega trga. To so med drugim bančništvo, borze, proizvodnja, prenos in distribucija energije, promet (zračni, železniški, pomorski), zdravje, internetne storitve in javne uprave.

Zato je treba VOI v EU začeti obravnavati drugače. Potrebne so regulativne obveznosti, ki bodo zagotovile enake konkurenčne pogoje in odpravile obstoječe zakonodajne vrzeli. Za zagotovitev enakih konkurenčnih pogojev in odpravo obstoječih zakonodajnih vrzeli so potrebne regulativne obveznosti. Za odpravljanje teh težav in povečanje ravni VOI v EU predlagana direktiva določa naslednje cilje:

prvič, v skladu s predlogom naj bi vse države članice zagotovile minimalno raven nacionalnih zmogljivosti tako, da imenujejo organe, pristojne za VOI, ustanovijo skupine za odzivanje na računalniške grožnje ter sprejmejo nacionalne strategije VOI in nacionalne načrte sodelovanja na področju VOI;

drugič, pristojni nacionalni organi bi morali sodelovati v mreži, prek katere bi se omogočilo varno in učinkovito usklajevanje, kar med drugim vključuje usklajeno izmenjavo informacij ter odkrivanje in odzivanje na ravni EU. V tej mreži bi si države članice morale izmenjevati informacije ter sodelovati pri obvladovanju groženj in incidentov VOI na podlagi evropskega načrta sodelovanja na področju VOI;

tretjič, na podlagi modela okvirne direktive o elektronskih komunikacijah naj bi predlog zagotovil, da se razvije kultura obvladovanja tveganja ter izmenjujejo informacije med zasebnim in javnim sektorjem. Javne uprave in podjetja v nekaterih navedenih kritičnih sektorjih bodo morali oceniti tveganja, s katerimi se soočajo, ter sprejeti ustrezne in sorazmerne ukrepe za zagotovitev VOI. Ti subjekti bodo morali pristojnim organom poročati o vseh incidentih, ki resno ogrožajo njihova omrežja in informacijske sisteme ter znatno vplivajo na neprekinjenost kritičnih storitev in dobavo blaga.

1.2.        Splošno ozadje

Komisija je že leta 2001 v sporočilu „Varnost omrežij in informacij: predlog za evropski politični pristop“ izpostavila vse večji pomen VOI[3]. Nato je leta 2006 sprejela strategijo za varno informacijsko družbo[4], katere namen je bil v Evropi razviti kulturo VOI. Glavne elemente strategije je Svet potrdil z resolucijo[5].

Komisija je 30. marca 2009 sprejela tudi sporočilo o zaščiti kritične informacijske infrastrukture[6], v katerem je poudarila, da je treba Evropo zaščititi pred kibernetskimi prekinitvami s povečanjem varnosti. S tem sporočilom se je začel izvajati akcijski načrt, ki je podprl prizadevanja držav članic, da zagotovijo preprečevanje in odzivanje. Akcijski načrt je v svojih sklepih potrdilo predsedstvo ministrske konference o zaščiti kritične informacijske infrastrukture v Talinu leta 2009. Svet je 18. decembra 2009 sprejel resolucijo o „skupnem evropskem pristopu do varnosti omrežij in informacij “[7].

V Evropski digitalni agendi[8], sprejeti maja 2010, in z njo povezanih sklepih Sveta[9] je izpostavljeno soglasje, da sta zaupanje in varnost temeljna pogoja za široko uporabo IKT in s tem doseganje ciljev „pametne rasti“ v okviru strategije Evropa 2020[10]. V Evropski digitalni agendi je v poglavju „Zaupanje in varnost“ poudarjeno, da se morajo vse zainteresirane strani z združenimi močmi celovito prizadevati za varnost in odpornost infrastrukture IKT, pri čemer se morajo osredotočiti na preprečevanje, pripravljenost in ozaveščanje ter razviti usklajene varnostne mehanizme. Evropska digitalna agenda zlasti z ukrepom št. 6 poziva k ukrepom, ki naj bi okrepili politiko VOI na visoki ravni.

V sporočilu o zaščiti kritične informacijske infrastrukture iz marca 2011 „Dosežki in naslednji koraki: h globalni kibernetski varnosti“[11] je Komisija ocenila dosežke od sprejetja akcijskega načrta za zaščito kritične informacijske infrastrukture iz leta 2009 in ugotovila, da je izvajanje načrta pokazalo, da izključno nacionalni pristopi za reševanje izzivov na področju varnosti in odpornosti niso dovolj in da si mora Evropa še naprej prizadevati za skladen in na sodelovanju temelječ pristop na ravni EU. V sporočilu o zaščiti kritične informacijske infrastrukture iz leta 2011 je Komisija napovedala več ukrepov ter države članice pozvala, naj okrepijo zmogljivosti VOI in čezmejno sodelovanje. Večina teh ukrepov bi morala biti zaključena do leta 2012, vendar do zdaj še niso bili izvedeni.

V sklepih z dne 27. maja 2011 o zaščiti kritične informacijske infrastrukture je Svet Evropske unije poudaril, da morajo biti sistemi IKT in omrežja odporni in varni pred vsemi morebitnimi prekinitvami, tako naključnimi kot namernimi, da je treba v EU doseči visoko raven pripravljenosti, varnosti in odpornosti, izboljšati strokovno usposobljenost, da se bo Evropa lahko soočila z izzivi zaščite omrežij in informacijske infrastrukture, ter spodbujati vzpostavitev mehanizmov za sodelovanje pri kibernetskih incidentih med državami članicami ter tako izboljšati sodelovanje med njimi.

1.3.        Veljavne evropske in mednarodne določbe na tem področju

Z Uredbo (ES) št. 460/2004 je Evropska skupnost leta 2004 ustanovila Evropsko agencijo za varnost omrežij in informacij (ENISA)[12], ki naj bi prispevala k zagotavljanju visoke ravni VOI in razvoju kulture VOI v EU. Predlog za posodobitev mandata ENISA je bil sprejet 30. septembra 2010[13] ter ga trenutno obravnavata Svet in Evropski parlament. Revidirani regulativni okvir za elektronske komunikacije[14], ki velja od novembra 2009, ponudnikom elektronskih komunikacij nalaga varnostne obveznosti[15]. Te obveznosti je bilo treba na nacionalni ravni prenesti do maja 2011.

Vse akterje, ki so upravljavci podatkov (na primer banke ali bolnišnice), zakonodajni okvir EU za varstvo podatkov[16] obvezuje, da sprejmejo varnostne ukrepe za varstvo osebnih podatkov. Prav tako morajo po Komisijinem predlogu uredbe o splošnem varstvu podatkov iz leta 2012[17] upravljavci podatkov nacionalnim nadzornim organom poročati o kršitvah varstva osebnih podatkov. To na primer pomeni, da kršitve VOI, ki vpliva na zagotavljanje storitve, vendar ne ogroža varstva osebnih podatkov (npr. izpad IKT v energetski družbi, ki povzroči popoln izpad električne energije), ne bi bilo treba priglasiti.

V okviru Direktive 2008/114 o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe za izboljšanje njene zaščite „Evropski program za varovanje ključne infrastrukture (EPCIP)“[18] določa splošni „krovni“ pristop za zaščito kritične infrastrukture v EU. Cilji EPCIP so v celoti v skladu s tem predlogom, ta direktiva pa bi se morala uporabljati ne glede na Direktivo 2008/114. EPCIP izvajalcev ne obvezuje, da poročajo o pomembnih kršitvah varnosti, niti ne določa mehanizmov za države članice, prek katerih bi te lahko sodelovale in se odzivale na incidente.

Sozakonodajalca zdaj razpravljata o Komisijinem predlogu direktive o napadih na informacijske sisteme[19], s katero naj bi se harmonizirala kriminalizacija določenih vrst ravnanja. Direktiva ureja samo kriminalizacijo nekaterih vrst ravnanja ter ne obravnava preprečevanja tveganj in incidentov VOI, odzivanja na incidente VOI in ublažitev njihovih učinkov. Ta direktiva bi se morala uporabljati ne glede na direktivo o napadih na informacijske sisteme.

Komisija je 28. marca 2012 sprejela sporočilo o ustanovitvi Evropskega centra za boj proti kibernetski kriminaliteti[20]. Center, ustanovljen 11. januarja 2013, je del Evropskega policijskega urada (Europola) in bo deloval kot osrednja točka v boju proti kibernetski kriminaliteti v EU. Njegov namen je združiti evropsko strokovno znanje o kibernetski kriminaliteti in podpreti države članice pri gradnji zmogljivosti in preiskovanju kibernetske kriminalitete, ob tem pa v tesnem sodelovanju z Eurojustom postati skupni glas vseh evropskih organov kazenskega pregona in sodstva, ki preiskujejo kibernetsko kriminaliteto.

Evropske institucije, agencije in organi so ustanovili lastne skupine za odzivanje na računalniške grožnje (CERT).

Na mednarodni ravni je EU dejavna na področju kibernetske varnosti na dvostranski in večstranski ravni. Na vrhu EU–ZDA leta 2010[21] je bila ustanovljena delovna skupina EU–ZDA za kibernetsko varnost in kibernetsko kriminaliteto. EU je dejavna tudi v drugih pomembnih večstranskih forumih, na primer Organizaciji za gospodarsko sodelovanje in razvoj (OECD), Generalni skupščini Združenih narodov (GS ZN), Mednarodni telekomunikacijski zvezi (ITU), Organizaciji za varnost in sodelovanje v Evropi (OVCE), Svetovnem vrhu o informacijski družbi (WSIS) in Forumu za upravljanje interneta (IGF).

2.           REZULTATI POSVETOVANJ Z ZAINTERESIRANIMI STRANMI IN OCEN UČINKA

2.1.        Posvetovanja z zainteresiranimi stranmi in uporaba izvedenskih mnenj

Javno spletno posvetovanje o „izboljšanju VOI v EU“ je potekalo med 23. julijem in 15. oktobrom 2012. Komisija je na spletni vprašalnik prejela skupaj 160 odgovorov.

Ključne ugotovitve so bile, da zainteresirane strani na splošno podpirajo izboljšanje VOI po vsej EU. Podrobneje: 82,8 % vprašanih je menilo, da bi vlade v EU morale storiti več za zagotovitev visoke ravni VOI; 82,8 % jih je menilo, da se uporabniki informacij in sistemov ne zavedajo obstoječih groženj in incidentov VOI; načeloma bi jih 66,3 % podprlo uvedbo regulativne zahteve za obvladovanje tveganj VOI; 84,8 % pa jih je izjavilo, da bi bilo treba takšne zahteve določiti na ravni EU. Veliko vprašanih je menilo, da bi bilo pomembno, da se sprejmejo zahteve VOI zlasti v naslednjih sektorjih: bančništvo in finance (91,1 %), energija (89,4 %), promet (81,7 %), zdravje (89,4 %), internetne storitve (89,1 %) in javne uprave (87,5 %). Poleg tega so vprašani menili, da bi morala biti morebitna zahteva za poročanje o kršitvah VOI nacionalnim pristojnim organom določena na ravni EU (65,1%), in potrdili, da bi morala veljati tudi za javne uprave (93,5 %). Poleg tega so poudarili, da zahteva za izvajanje ukrepov za obvladovanje tveganja VOI glede na trenutno stanje za njih ne bi pomenila znatnih dodatnih stroškov (63,4 %), enako velja za zahtevo o poročanju o kršitvah varnosti (72,3 %).

Posvetovanja z državami članicami so bila opravljena v okviru več pristojnih sestav Sveta, v okviru Evropskega foruma za države članice na konferenci o kibernetski varnosti, ki sta jo organizirali Komisija in Evropska služba za zunanje delovanje 6. julija 2012, ter na posebnih dvostranskih srečanjih, sklicanih na zahtevo posameznih držav članic.

Razprave z zasebnim sektorjem so bile organizirane v okviru evropskega javno-zasebnega partnerstva za odpornost[22] in na dvostranskih srečanjih. Za institucije EU je Komisija organizirala razprave z ENISA in CERT.

2.2.        Ocena učinka

Komisija je opravila oceno učinka za tri možnosti politike:

Možnost 1: brez sprememb (izhodiščni scenarij) – ohranitev obstoječega pristopa;

Možnost 2: regulativni pristop, sestavljen iz zakonodajnega predloga za vzpostavitev skupnega pravnega okvira EU za VOI za zmogljivosti držav članic, mehanizme za sodelovanje na ravni EU ter zahteve za ključne zasebne akterje in javne uprave;

Možnost 3: mešani pristop, ki združuje prostovoljne pobude za zmogljivosti VOI držav članic in mehanizme za sodelovanje na ravni EU z regulativnimi zahtevami za ključne zasebne akterje in javne uprave.

Komisija je ugotovila, da bi imela možnost 2 največje pozitivne učinke, saj bi se z njo znatno izboljšalo varstvo potrošnikov, podjetij in uprav EU pred incidenti VOI. Zlasti bi obveznosti za države članice zagotovile ustrezno pripravljenost na nacionalni ravni ter prispevale k medsebojnem zaupanju, ki je pogoj za učinkovito sodelovanje na ravni EU. Mehanizmi za sodelovanje na ravni EU prek mreže bi zagotovili dosledno in usklajeno preprečevanje in odzivanje na čezmejne incidente in tveganja VOI. Uvedba zahtev za izvajanje ukrepov za obvladovanje tveganj VOI za javne uprave in ključne zasebne akterje bi pomenila močno spodbudo za učinkovito obvladovanje varnostnih tveganj. Obveznost o poročanju o incidentih VOI z znatnim vplivom bi izboljšala sposobnost odzivanja na incidente in spodbujala preglednost. Poleg tega bi EU pometla pred svojim pragom in razširila svoj mednarodni vpliv ter postala še bolj verodostojen partner za sodelovanje na dvostranski in večstranski ravni. EU bi bila tudi v boljšem položaju za spodbujanje temeljnih pravic in vrednot EU v tujini.

Kvantitativna ocena je pokazala, da možnost 2 za države članice ne bi pomenila nesorazmerne obremenitve. Stroški za zasebni sektor prav tako ne bi bili visoki, saj naj bi številni zadevni subjekti že zdaj izpolnjevali obstoječe varnostne zahteve (tj. obveznost za upravljavce podatkov, da sprejmejo tehnične in organizacijske ukrepe za varstvo osebnih podatkov, vključno z ukrepi na področju VOI). Upoštevani so bili tudi obstoječi izdatki za varnost v zasebnem sektorju.

Ta predlog upošteva načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo podjetniške pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva pred sodiščem in pravico vsake osebe do izjave. To direktivo je treba izvajati v skladu s temi pravicami in načeli.

3.           PRAVNI ELEMENTI PREDLOGA

3.1.        Pravna podlaga

Evropska unija je pooblaščena, da sprejme ukrepe za vzpostavitev ali zagotavljanje delovanja notranjega trga v skladu z ustreznimi določbami pogodb (člen 26 Pogodbe o delovanju Evropske unije – PDEU). V skladu s členom 114 PDEU lahko EU sprejme „ukrepe za približevanje določb zakonov in drugih predpisov v državah članicah, katerih predmet je vzpostavitev in delovanje notranjega trga“.

Kot je navedeno zgoraj, imajo omrežja in informacijski sistemi ključno vlogo pri čezmejnem pretoku blaga, storitev in oseb. Pogosto so med seboj povezani, internet pa ima globalni značaj. Zaradi čeznacionalne razsežnosti lahko prekinitev v eni državi članici vpliva tudi na druge države članice in na EU kot celoto. Odpornost in stabilnost omrežij in informacijskih sistemov je zato bistvenega pomena za nemoteno delovanje notranjega trga.

Zakonodajalec EU je že potrdil potrebo po harmonizaciji pravil na področju VOI, da bi zagotovil razvoj notranjega trga. To zlasti velja za Uredbo št. 460/2004 o ustanovitvi Evropske agencije za varnost omrežij in informacij[23], ki temelji na členu 114 PDEU.

Razlike, nastale zaradi neenakih nacionalnih zmogljivostih VOI, politikah in ravneh zaščite v državah članicah, ovirajo notranji trg in upravičujejo ukrepanje na ravni EU.

3.2.        Subsidiarnost

Evropsko ukrepanje na področju VOI upravičuje načelo subsidiarnosti.

Prvič, glede na čezmejno naravo VOI bi neukrepanje na ravni EU povzročilo, da bi vsaka država članica ukrepala sama, pri tem pa se ne bi upoštevale soodvisnosti med omrežji in informacijskimi sistemi EU. Ustrezna stopnja usklajenosti med državami članicami bi zagotovila dobro obvladovanje tveganj VOI v čezmejnem okviru, v katerem se pojavljajo. Razlike v predpisih s področja VOI ovirajo podjetja, ki želijo poslovati v več državah, in svetovne ekonomije obsega.

Drugič, regulativne obveznosti na ravni EU so potrebne, da se ustvarijo enaki konkurenčni pogoji in odpravijo zakonodajne vrzeli. Povsem prostovoljni pristop je vzpostavil sodelovanje samo med manjšino držav članic, ki že imajo visoko raven zmogljivosti. Da bi bile vključene vse države članice, je treba zagotoviti, da bodo vse dosegale minimalno raven zmogljivosti. Ukrepi VOI, ki jih sprejmejo vlade, morajo biti med seboj skladni in usklajeni ter obravnavati in zmanjševati posledice incidentov VOI. V mreži si bodo ENISA, pristojni organi in Komisija izmenjevali najboljše prakse in stalno sodelovali, da bi omogočili usklajeno izvajanje direktive po vsej EU. Poleg tega lahko usklajeni politični ukrepi na področju VOI bistveno prispevajo k učinkoviti zaščiti temeljnih pravic, zlasti pravice do varstva osebnih podatkov in zasebnosti. Ukrepanje na ravni EU bi tako izboljšalo učinkovitost obstoječih nacionalnih politik in olajšalo njihov razvoj.

Predlagani ukrepi so upravičeni tudi z vidika sorazmernosti. Državam članicam so naložene najmanjše možne zahteve, ki še zagotavljajo ustrezno pripravljenost in vzpostavitev na zaupanju temelječega sodelovanja. Tako lahko države članice upoštevajo tudi nacionalne posebnosti, ob tem pa se skupna načela EU uporabljajo sorazmerno. Široko področje uporabe bo državam članicam omogočilo, da direktivo izvajajo glede na dejanska tveganja na nacionalni ravni v skladu z nacionalno strategijo VOI. Zahteve za obvladovanje tveganja se nanašajo samo na kritične subjekte in nalagajo ukrepe, ki so sorazmerni s tveganji. Na javnem posvetovanju je bil poudarjen pomen zagotavljanja varnosti teh kritičnih subjektov. Zahteve poročanja bi se nanašale samo na incidente z znatnim učinkom. Kot je navedeno zgoraj, ukrepi ne bi nalagali nesorazmernih stroškov, saj mnoge od teh subjektov kot upravljavce podatkov pravila za varstvo podatkov že sedaj obvezujejo, da zagotovijo varstvo osebnih podatkov.

Da ne bi bili mali operaterji, zlasti MSP, nesorazmerno obremenjeni, bi morale biti zahteve sorazmerne s tveganjem, ki mu je izpostavljeno zadevno omrežje ali informacijski sistem, in ne bi smele veljati za mikropodjetja. Opredelitev tveganja je v prvi vrsti naloga subjektov, za katere veljajo te zahteve, zato morajo ti subjekti določiti tudi ukrepe za ublažitev tveganj.

Navedene cilje je zaradi čezmejnih vidikov incidentov in tveganj VOI lažje doseči na ravni EU kot na ravni posameznih držav članic. Unija lahko zato sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti predlagana uredba ne presega tega, kar je potrebno za uresničitev navedenih ciljev.

Da bi Komisija dosegla cilje, bi morala biti pooblaščena za sprejemanje delegiranih aktov v skladu s členom 290 Pogodbe o delovanju Evropske unije, da bi lahko dopolnila ali spremenila nekatere nebistvene elemente osnovnega akta. Komisijin predlog spodbuja tudi sorazmerno izvajanje zahtev, ki so naložene zasebnim in javnim udeležencem.

Da se zagotovijo enotni pogoji za izvajanje temeljnega akta, bi bilo treba Komisijo pooblastiti za sprejemanje izvedbenih aktov v skladu s členom 291 PDEU.

Zaradi širokega obsega uporabe predlagane direktive, zaradi dejstva, da ureja močno regulirana področja, in zaradi pravnih obveznosti iz poglavja IV, bi morali obvestilo o ukrepih prenosa spremljati obrazložitveni dokumenti. Države članice so se v skladu s skupno politično deklaracijo držav članic in Komisije o obrazložitvenih dokumentih z dne 28. septembra 2011 zavezale, da bodo v utemeljenih primerih uradnemu obvestilu o ukrepih za prenos priložile enega ali več dokumentov, s katerimi bodo pojasnile razmerje med sestavnimi deli direktive in ustreznimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je predložitev takšnih dokumentov pri tej direktivi upravičena.

4.           PRORAČUNSKE POSLEDICE

Sodelovanje in izmenjavo informacij med državami članicami bi morala podpirati varna infrastruktura. Predlog bo imel proračunske posledice le, če se države članice odločijo prilagoditi obstoječo infrastrukturo (npr. sTESTA) in Komisiji naložijo, da prilagoditev opravi v okviru večletnega finančnega okvira za obdobje 2014–2020. Enkratni stroški so ocenjeni na 1 250 000 EUR in bi se krili iz proračuna EU, proračunska vrstica 09.03.02 (za spodbujanje medsebojnega povezovanja in interoperabilnosti nacionalnih javnih storitev na spletu ter dostop do takih omrežij – poglavje 09.03, instrument za povezovanje Evrope – telekomunikacijska omrežja), pod pogojem, da je v okviru IPE na voljo dovolj sredstev. Druga možnost je, da si države članice delijo enkratne stroške prilagoditve obstoječe infrastrukture oziroma se odločijo, da bodo vzpostavile novo infrastrukturo ter krile stroške, ki so ocenjeni na približno 10 milijonov EUR letno.

2013/0027 (COD)

Predlog

DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA

o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacij v Uniji

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije, zlasti člena 114 Pogodbe,

ob upoštevanju predloga Evropske komisije,

po predložitvi osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora[24],

po posvetovanju z Evropskim nadzornikom za varstvo podatkov,

v skladu z rednim zakonodajnim postopkom,

ob upoštevanju naslednjega:

(1)       Omrežja ter informacijski sistemi in storitve imajo ključno vlogo v družbi. Njihova zanesljivost in varnost sta bistveni za gospodarske dejavnosti in splošno dobro ter zlasti za delovanje notranjega trga.

(2)       Daljnosežnost in pogostnost namernih ali naključnih varnostnih incidentov se povečujeta in pomenita veliko tveganje za delovanje omrežij in informacijskih sistemov. Takšni incidenti lahko ovirajo gospodarske dejavnosti, ustvarjajo znatne finančne izgube, zmanjšujejo zaupanje uporabnikov in povzročijo veliko škodo gospodarstvu Unije.

(3)       Kot komunikacijski instrument brez meja imajo digitalni informacijski sistemi, zlasti internet, bistveno vlogo pri zagotavljanju lažjega čezmejnega pretoka blaga, storitev in oseb. Zaradi te nadnacionalne narave lahko znatne prekinitve navedenih sistemov v eni državi članici vplivajo tudi na druge države članice in Unijo kot celoto. Odpornost in stabilnost omrežij in informacijskih sistemov je zato bistvenega pomena za nemoteno delovanje notranjega trga.

(4)       Na ravni Unije bi bilo treba vzpostaviti mehanizem za sodelovanje, ki bi omogočil izmenjavo informacij ter usklajeno odkrivanje in odzivanje na področju varnosti omrežij in informacij (VOI). Za učinkovito in vključujoče delovanje navedenega mehanizma je bistveno, da imajo vse države članice minimalne zmogljivosti in strategijo za zagotavljanje visoke ravni VOI na svojem ozemlju. Minimalne varnostne zahteve bi morale veljati tudi za javne uprave in upravljavce kritičnih informacijskih infrastruktur, da se spodbuja kultura obvladovanja tveganja in zagotovi poročanje o najresnejših incidentih.

(5)       Da bi ta direktiva obravnavala vse pomembne incidente in tveganja, bi morala veljati za vsa omrežja in informacijske sisteme. Vendar obveznosti za javne uprave in tržne udeležence ne bi smele veljati za podjetja, ki zagotavljajo javna komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve po Direktivi 2002/21/ES Evropskega parlamenta in Sveta z dne 7. marca 2002 o skupnem regulativnem okviru za elektronska komunikacijska omrežja in storitve (okvirna direktiva)[25] in za katera veljajo posebne zahteve glede varnosti in celovitosti iz člena 13a navedene direktive, kot tudi ne za ponudnike skrbniških storitev.

(6)       Obstoječe zmogljivosti ne zadostujejo za zagotavljanje visoke ravni VOI v Uniji. Raven pripravljenosti v državah članicah je zelo različna, zato so tudi pristopi po Uniji razdrobljeni. Zaradi tega je raven varstva potrošnikov in podjetij neenaka, zmanjšuje pa se tudi skupna raven VOI v Uniji. Pomanjkanje skupnih minimalnih zahtev za javne uprave in tržne udeležence pa onemogoča vzpostavitev svetovnega in učinkovitega mehanizma za sodelovanje na ravni Unije.

(7)       Za učinkovito odzivanje na izzive na področju varnosti omrežij in informacijskih sistemov je zato potreben globalni pristop na ravni Unije, ki bi obsegal skupne minimalne zahteve za gradnjo zmogljivosti in njihovo načrtovanje, izmenjavo informacij in usklajevanje ukrepov ter minimalne varnostne zahteve za vse zadevne tržne udeležence in javne uprave.

(8)       Določbe te direktive ne bi smele posegati v možnost, da vsaka država članica sprejme potrebne ukrepe za zaščito bistvenih varnostnih interesov, zaščiti javni red in javno varnost ter preiskuje, odkriva in preganja kazniva dejanja. V skladu s členom 346 PDEU države članice niso dolžne zagotoviti informacij, za katere menijo, da bi njihovo razkritje bilo v nasprotju s ključnimi varnostnimi interesi.

(9)       Da bi vsaka država članica dosegla in ohranila skupno visoko raven varnosti omrežij in informacijskih sistemov, bi morala imeti nacionalno strategijo VOI, v kateri bi določila strateške cilje in konkretne ukrepe politik, ki jih je treba izvesti. Načrte za sodelovanje na področju VOI, ki bi izpolnjevali bistvene zahteve, je treba pripraviti na nacionalni ravni, da bo mogoče doseči takšno raven zmogljivosti za odzivanje, ki bo v primeru incidentov omogočala uspešno in učinkovito sodelovanje na nacionalni ravni in ravni Unije.

(10)     Da se zagotovi učinkovito izvajanje določb, sprejetih v skladu s to direktivo, bi bilo treba v vsaki državi ustanoviti ali določiti organ za usklajevanje vprašanj VOI, ki bi deloval kot osrednja točka za čezmejno sodelovanje na ravni Unije. Ti organi bi morali imeti ustrezne tehnične, finančne in človeške vire, da bi lahko uspešno in učinkovito opravljali dodeljene naloge ter tako dosegli cilje te direktive.

(11)     Vse države članice bi morale imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje, odkrivanje, odzivanje in ublažitev incidentov in tveganj VOI. Zato bi bilo treba v vseh državah članicah ustanoviti dobro delujoče skupine za odzivanje na računalniške grožnje, ki bi izpolnjevale bistvene zahteve, da se zagotovijo učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj ter učinkovito sodelovanje na ravni Unije.

(12)     Na podlagi znatnega napredka, doseženega v okviru evropskega foruma držav članic pri spodbujanju razprave in izmenjave dobrih praks, vključno s pripravo načel za sodelovanje v EU pri kibernetskih krizah, bi morale države članice in Komisija oblikovati mrežo, prek katere bi lahko stalno komunicirale in poglobile svoje sodelovanje. Ta varen in učinkovit mehanizem za sodelovanje bi moral omogočiti strukturirano in usklajeno izmenjavo informacij, odkrivanje in odzivanje na ravni Unije.

(13)     Evropska agencija za varnost omrežij in informacij (ENISA) bi morala državam članicam in Komisiji pomagati s strokovnim znanjem in svetovanjem ter spodbujati izmenjavo najboljših praks. Komisija bi se morala z ENISA posvetovati zlasti pri uporabi te direktive. Da se zagotovi učinkovito in pravočasno obveščanje držav članic in Komisije, bi bilo treba zgodnja opozorila o incidentih in tveganjih priglasiti v mreži za sodelovanje. Da se vzpostavijo zmogljivosti in znanje med državami članicami, bi morala mreža za sodelovanje služiti tudi kot orodje za izmenjavo najboljših praks ter z usmerjanjem organizacije medsebojnih pregledov in vaj na področju VOI članom pomagati pri gradnji zmogljivosti.

(14)     Treba bi bilo vzpostaviti varno infrastrukturo za izmenjavo informacij, ki bi omogočila izmenjavo občutljivih in zaupnih informacij v okviru mreže za sodelovanje. Ne glede na obveznosti držav članic, da incidente in tveganja z evropsko razsežnostjo priglasijo v mreži za sodelovanje, bi moral biti dostop do zaupnih informacij iz drugih držav članic dovoljen samo, če države članice dokažejo, da njihovi tehnični, finančni in človeški viri ter postopki in komunikacijska infrastruktura zagotavljajo učinkovito, uspešno in varno sodelovanje v mreži.

(15)     Ker večino omrežij in informacijskih sistemov upravljajo zasebna podjetja, je sodelovanje med javnim in zasebnim sektorjem bistvenega pomena. Tržne udeležence bi bilo treba spodbujati, da za zagotavljanje VOI vzpostavijo lastne neformalne mehanizme sodelovanja. Prav tako bi morali sodelovati z javnim sektorjem ter si izmenjevati informacije in najboljše prakse v zameno za operativno podporo pri incidentih.

(16)     Za zagotavljanje preglednosti ter ustrezno obveščanje državljanov EU in tržnih udeležencev bi morali pristojni organi vzpostaviti skupno spletišče, na katerem bi objavljali nezaupne informacije o incidentih in tveganjih.

(17)     Če se informacije štejejo za zaupne v skladu s predpisi Unije in nacionalnimi predpisi o poslovni tajnosti, se pri izvajanju dejavnosti in izpolnjevanju ciljev te direktive zagotovi njihova zaupnost.

(18)     Komisija in države članice bi morale zlasti na podlagi nacionalnih izkušenj s področja kriznega upravljanja in v sodelovanju z agencijo ENISA pripraviti načrt za sodelovanje Unije na področju VOI, v katerem bi opredelile mehanizme za sodelovanje pri obvladovanju tveganj in incidentov. Ta načrt bi bilo treba ustrezno upoštevati pri zgodnjem opozarjanju v mreži za sodelovanje.

(19)     Priglasitev zgodnjega opozarjanja v mreži bi bilo treba zahtevati le, kadar bi obseg in resnost incidenta ali zadevnega tveganja postala ali lahko postala tako pomembna, da bi bilo potrebno obveščanje ali usklajevanje odziva na ravni Unije. Zgodnje opozarjanje bi moralo biti zato omejeno na dejanske ali možne incidente ali tveganja, ki se hitro povečujejo, presegajo nacionalne zmogljivosti odzivanja ali prizadenejo več kot eno državo članico. Da se omogoči pravilna ocena, bi bilo treba vse informacije, ki so pomembne za oceno tveganja ali incidenta, priglasiti v mreži za sodelovanje.

(20)     Ko pristojni organi prejmejo zgodnje opozorilo in njegovo oceno, bi se morali dogovoriti o usklajenem odzivu v skladu z načrtom za sodelovanje Unije na področju VOI. Pristojne organe in Komisijo bi bilo treba obvestiti o ukrepih, sprejetih na nacionalni ravni, ki so posledica usklajenega odziva.

(21)     Zaradi globalne narave težav na področju VOI je potrebno tesnejše mednarodno sodelovanje, da se izboljšajo varnostni standardi in izmenjava informacij ter spodbuja skupen globalen pristop za vprašanja VOI.

(22)     Odgovornost za zagotavljanje VOI imajo v veliki meri javne uprave in tržni udeleženci. Kulturo obvladovanja tveganja, ki vključuje oceno tveganja in izvajanje ustreznih varnostnih ukrepov za zadevna tveganja, bi bilo treba spodbujati in razvijati z ustreznimi regulativnimi zahtevami in prostovoljnimi sektorskimi praksami. Vzpostavitev enakih konkurenčnih pogojev je prav tako bistvenega pomena za učinkovito delovanje mreže za sodelovanje, saj bi zagotovila učinkovito sodelovanje vseh držav članic.

(23)     Direktiva 2002/21/ES določa, da podjetja, ki zagotavljajo javna elektronska komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve, sprejmejo ustrezne ukrepe, s katerimi zagotovijo celovitost in varnost teh omrežij in sistemov, uvaja pa tudi zahteve za priglasitev kršitev varnosti in izgube integritete. Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah)[26] določa, da ponudnik javno razpoložljive elektronske komunikacijske storitve sprejme ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi varnost svojih storitev.

(24)     Te obveznosti bi bilo treba razširiti prek sektorja elektronskih komunikacij, da bi veljale tudi za glavne ponudnike storitev informacijske družbe, kakor so opredeljeni v Direktivi 98/34/ES Evropskega parlamenta in Sveta z dne 22. junija 1998 o določitvi postopka za zbiranje informacij na področju tehničnih standardov in tehničnih predpisov ter pravil o storitvah informacijske družbe[27], ki so podlaga za storitve informacijske družbe na podrejenem trgu ali spletne dejavnosti, kot so platforme za e-trgovanje, portali za spletna plačila, družabna omrežja, iskalniki, storitve računalništva v oblaku, prodajalne z aplikacijami. Prekinitve teh omogočitvenih storitev informacijske družbe ovirajo zagotavljanje drugih storitev informacijske družbe, ki so odvisne od njih. Razvijalci programske opreme in proizvajalci strojne opreme niso ponudniki storitev informacijske družbe, zato za njih te obveznosti ne veljajo. Navedene obveznosti bi bilo treba razširiti tudi na javne uprave in upravljavce kritične infrastrukture, ki so močno odvisni od informacijskih in komunikacijskih tehnologij ter so bistveni za vzdrževanje ključnih gospodarskih in družbenih funkcij, kot so električna energija in plin, promet, kreditne institucije, borze in zdravje. Prekinitve teh omrežij in informacijskih sistemov bi vplivale na notranji trg.

(25)     Tehnični in organizacijski ukrepi za javne uprave in tržne udeležence ne bi smeli predpisovati, da se določen komercialni izdelek IKT oblikuje, razvije ali proizvede na določen način.

(26)     Javne uprave in tržni udeleženci bi morali zagotoviti varnost omrežij in sistemov pod njihovim nadzorom. To bi bila predvsem zasebna omrežja in sistemi, ki jih upravlja njihovo notranje osebje IT ali za katerih varnost skrbi zunanji izvajalec. Obveznosti varovanja in priglasitve bi morale veljati za zadevne tržne udeležence in javne uprave ne glede na to, ali omrežja in informacijske sisteme vzdržujejo sami ali njihov zunanji izvajalec.

(27)     Da ne bi bili mali operaterji in uporabniki nesorazmerno finančno in upravno obremenjeni, bi morale biti zahteve sorazmerne s tveganjem, ki mu je izpostavljeno zadevno omrežje ali informacijski sistem, pri čemer bi bilo treba upoštevati trenutno stanje takih ukrepov. Te zahteve se ne bi smele uporabljati za mikropodjetja.

(28)     Pristojni organi bi morali ustrezno pozornost nameniti ohranjanju neuradnih in zanesljivih kanalov za izmenjavo informacij med tržnimi udeleženci ter med javnim in zasebnim sektorjem. Pri obveščanju javnosti o incidentih, priglašenih pristojnim organom, bi bilo treba najti ravnotežje med interesom javnosti, da je obveščena o nevarnostih, ter morebitno škodo za ugled in poslovanje javnih uprav in tržnih udeležencev, ki priglasijo incidente. Pri izvajanju obveznosti priglasitve bi morali pristojni organi posebno pozorno paziti, da informacije o ranljivosti izdelka ostanejo strogo zaupne do ustreznega popravila varnosti.

(29)     Pristojni organi bi morali imeti potrebna sredstva za opravljanje svojih nalog, vključno s pooblastili za pridobivanje zadostnih informacij od tržnih udeležencev in javnih uprav, da lahko ocenijo raven varnosti omrežij in informacijskih sistemov, ter zanesljivih in izčrpnih podatkov o dejanskih incidentih, ki so vplivali na delovanje omrežij in informacijskih sistemov.

(30)     V mnogih primerih so v ozadju incidentov kriminalne dejavnosti. Sum za to je možen tudi, če na začetku še niso dovolj jasnih dokazov. Pri tem bi moralo biti primerno sodelovanje med pristojnimi organi in organi pregona sestavni del učinkovitega in celovitega odzivanja na ogroženost zaradi varnostnih incidentov. Pri spodbujanju varnega in odpornejšega okolja je pomembno zlasti, da se incidenti, za katere obstaja sum, da so resne kriminalne narave, sistematično priglasijo organom kazenskega pregona. Resno kriminalno naravo incidentov bi bilo treba oceniti ob upoštevanju predpisov EU o kibernetski kriminaliteti.

(31)     V številnih primerih je zaradi incidentov kršena varnost osebnih podatkov. Zato bi morali pristojni organi in organi za varstvo podatkov pri preprečevanju kršitev varnosti osebnih podatkov, nastalih zaradi incidentov, med seboj sodelovati in si izmenjevati pomembne informacije. Če varnostni incident pomeni tudi kršitev varstva osebnih podatkov v skladu z Uredbo Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov[28], države članice varnostne incidente priglasijo z najmanjšo možno upravno obremenitvijo. ENISA bi lahko sodelovala s pristojnimi organi in organi za varstvo podatkov ter pripravila mehanizme in predloge za izmenjavo informacij, s katerimi bi odpravila podvajanje obrazca za priglasitev. En sam obrazec za priglasitev bi omogočil lažje poročanje o incidentih, ki se nanašajo na varstvo osebnih podatkov, s čimer bi se zmanjšala upravna obremenitev za podjetja in javne uprave.

(32)     Standardizacija varnostnih zahtev je tržno usmerjen proces. Da se zagotovi usklajena uporaba varnostnih standardov, bi morale države članice spodbujati uporabo in upoštevanje določenih standardov ter tako zagotoviti visoko raven varnosti na ravni Unije. Zato bi bilo morda treba pripraviti osnutek harmoniziranih standardov v skladu z Uredbo (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta[29].

(33)     Komisija bi morala redno pregledovati to direktivo, zlasti da bi ugotovila, ali jo je treba prilagoditi spremenjenim tehnološkim in tržnim razmeram.

(34)     Da bi mreža za sodelovanje dobro delovala, bi bilo treba v skladu s členom 290 PDEU na Komisijo prenesti pooblastilo za sprejemanje aktov, v katerih bi ta opredelila merila, ki jih morajo države članice izpolnjevati, da lahko sodelujejo v sistemu za varno izmenjavo informacij, ter določila nadaljnje specifikacije dogodkov, ki sprožijo zgodnje opozarjanje, in opredelila okoliščine, v katerih morajo tržni udeleženci in javne uprave priglasiti incidente.

(35)     Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, med drugim tudi na strokovni ravni. Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da ustrezne dokumente istočasno, pravočasno in ustrezno predloži Evropskemu parlamentu in Svetu.

(36)     Da se zagotovijo enotni pogoji za izvajanje te direktive, bi bilo treba Komisiji podeliti izvedbena pooblastila v zvezi s sodelovanjem pristojnih organov in Komisije v mreži za sodelovanje, dostopom do infrastrukture za varno izmenjavo informacij, načrtom za sodelovanje Unije na področju VOI, oblikami in postopki, ki se uporabljajo za obveščanje javnosti o incidentih, ter standardi in/ali tehničnimi specifikacijami, ki se nanašajo na VOI. Ta pooblastila bi morala izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije[30].

(37)     Pri izvajanju te direktive bi se Komisija morala po potrebi povezati z ustreznimi sektorskimi odbori in organi na ravni EU, zlasti na področju električne energije, prometa in zdravja.

(38)     Informacije, ki jih pristojni organ šteje za zaupne v skladu s predpisi Unije in nacionalnimi predpisi o poslovni tajnosti, bi bilo treba izmenjati s Komisijo in drugimi pristojnimi organi le, če je taka izmenjava nujno potrebna za izvajanje te direktive. Izmenjane informacije bi morale biti omejene na obseg, ki ustreza namenu take izmenjave in je sorazmeren z njo.

(39)     Za izmenjavo informacij o tveganjih in incidentih v mreži za sodelovanje in za izpolnjevanje zahtev za priglasitev incidentov pristojnim nacionalnim organom je morda potrebna obdelava osebnih podatkov. Taka obdelava osebnih podatkov je potrebna za doseganje ciljev javnega interesa, za katere si prizadeva ta direktiva, in je zato upravičena na podlagi člena 7 Direktive 95/46/ES. V povezavi s temi upravičenimi cilji ne predstavlja nesorazmernega in nedopustnega posega, ki bi ogrožal bistvo pravice do varstva osebnih podatkov iz člena 8 Listine o temeljnih pravicah. Pri izvajanju te direktive bi se morala po potrebi uporabljati Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije[31]. Obdelava podatkov v institucijah in organih Unije za namene izvajanje te direktive bi morala biti skladna z Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov.

(40)     Ker ciljev te direktive, in sicer zagotavljanja visoke ravni VOI v Uniji, države članice same ne morejo zadovoljivo doseči in ker se ta cilj zaradi učinkov ukrepov lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno, da se dosežejo navedeni cilji.

(41)     Ta direktiva upošteva temeljne pravice in načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo podjetniške pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico vsake osebe do izjave. To direktivo je treba izvajati v skladu s temi pravicami in načeli.

SPREJELA NASLEDNJO DIREKTIVO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Vsebina in področje uporabe

1.           Ta direktiva določa ukrepe za zagotavljanje visoke skupne ravni varnosti omrežij in informacij (v nadaljnjem besedilu: VOI) v Uniji.

2.           V ta namen ta direktiva:

(a) določa obveznosti za vse države članice glede preprečevanja, obravnavanja in odzivanja na tveganja in incidente, ki vplivajo na omrežja in informacijske sisteme;

(b) vzpostavlja mehanizem za sodelovanje med državami članicami, da se zagotovi enotna uporaba te direktive v Uniji ter po potrebi usklajeno in učinkovito obravnavanje in odzivanje na tveganja in incidente, ki vplivajo na omrežja in informacijske sisteme;

(c) določa varnostne zahteve za tržne udeležence in javne uprave.

3.           Varnostne zahteve iz člena 14 se ne uporabljajo za podjetja, ki zagotavljajo javna komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve v skladu z Direktivo 2002/21/ES in za katera veljajo posebne zahteve glede varnosti in celovitosti iz člena 13a in 13b navedene direktive, kot tudi ne za ponudnike skrbniških storitev.

4.           Ta direktiva ne posega v zakonodajo EU o kibernetski kriminaliteti ter Direktivo Sveta 2008/114/ES z dne 8. decembra 2008 o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe za izboljšanje njene zaščite[32].

5.           Ta direktiva prav tako ne posega v Direktivo Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov[33], Direktivo 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij ter Uredbo Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov[34].

6.           Za izmenjavo informacij v mreži za sodelovanje v skladu s poglavjem III in za priglasitev incidentov VOI v skladu s členom 14 je morda potrebna obdelava osebnih podatkov. Taka obdelava je potrebna za doseganje ciljev javnega interesa, za katere si prizadeva ta direktiva, in jo države članice odobrijo v skladu s členom 7 Direktive 95/46/ES in Direktivo 2002/58/ES, kakor se izvajata v nacionalni zakonodaji.

Člen 2

Minimalna harmonizacija

Ne glede na obveznosti po zakonodaji Unije se državam članicam ne preprečuje, da sprejmejo ali ohranijo določbe, ki zagotavljajo višjo stopnjo varnosti.

Člen 3

Opredelitev pojmov

V tej direktivi se uporabljajo naslednje opredelitve pojmov:

(1) „omrežje in informacijski sistem“ pomeni:

(a) elektronsko komunikacijsko omrežje po Direktivi 2002/21/ES in

(b) vsako napravo ali skupino med seboj povezanih ali sorodnih naprav, od katerih ena ali več na podlagi programa opravlja samodejno obdelavo računalniških podatkov ter

(c) računalniške podatke, ki jih elementi iz točke (a) in (b) shranjujejo, obdelujejo, pridobivajo ali prenašajo za namene njihovega delovanja, uporabe, varovanja in vzdrževanja;

(2) „varnost“ pomeni zmožnost omrežja ali informacijskega sistema, da na dani ravni zaupanja prepreči naključne ali zlonamerne dogodke, ki ogrožajo razpoložljivost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih podatkov ali povezanih storitev, ki jih ponujajo ali so dostopne preko navedenih omrežij in informacijskih sistemov,

(3) „tveganje“ pomeni vsako okoliščino ali dogodek, ki ima lahko negativen učinek na varnost;

(4) „incident“ pomeni vsako okoliščino ali dogodek, ki ima dejanski negativen učinek na varnost;

(5) „storitev informacijske družbe“ pomeni storitev po točki (2) člena 1 Direktive 98/34/ES;

(6) „načrt za sodelovanje na področju VOI“ pomeni načrt za vzpostavitev okvira za organizacijske naloge, pristojnosti in postopke za ohranjanje ali ponovno vzpostavitev delovanja omrežij in informacijskih sistemov, če jih prizadene tveganje ali incident;

(7) „obvladovanje incidentov“ pomeni vse postopke, ki podpirajo analizo, ublažitev in odzivanje na incidente;

(8) „tržni udeleženec“ pomeni:

(a) ponudnika storitev informacijske družbe, ki omogočajo zagotavljanje drugih storitev informacijske družbe;Priloga II vsebuje neizčrpen seznam takih ponudnikov;

(b) upravljavca kritične infrastrukture, ki je bistvena za vzdrževanje ključnih gospodarskih in družbenih dejavnosti na področjih energetike, prometa, bančništva, borze in zdravja; Priloga II vsebuje neizčrpen seznam takih upravljavcev;

(9) „standard“ pomeni standard iz Uredbe (EU) št. 1025/2012;

(10) „specifikacija“ pomeni specifikacijo iz Uredbe (EU) št. 1025/2012;

(11) „ponudnik skrbniških storitev“ pomeni fizično ali pravno osebo, ki zagotavlja elektronsko storitev, ki vključuje ustvarjanje, preverjanje, potrjevanje, obdelavo in hrambo elektronskih podpisov, elektronskih žigov, elektronskih časovnih žigov, elektronskih dokumentov, storitev elektronske dostave, avtentikacije spletišč in elektronskih certifikatov, vključno s certifikati za elektronski podpis in elektronske žige.

POGLAVJE II

NACIONALNI OKVIRI ZA VARNOST OMREŽIJ IN INFORMACIJ

Člen 4

Načelo

Države članice v skladu s to direktivo zagotavljajo visoko raven varnosti omrežij in informacijskih sistemov na svojem ozemlju.

Člen 5

Nacionalna strategija VOI in nacionalni načrt za sodelovanje na področju VOI

1.           Vsaka država članica sprejme nacionalno strategijo VOI, v kateri določi strateške cilje in konkretne ukrepe, s katerimi bo dosegla in vzdrževala visoko raven VOI.NV nacionalni strategiji VOI so obravnavani zlasti:

(a) opredelitev ciljev in prednostnih nalog strategije na podlagi posodobljene analize tveganja in incidentov;

(b) okvir upravljanja za dosego ciljev in prednostnih nalog strategije, ki vključuje jasno opredelitev vloge in odgovornosti vladnih organov in drugih ustreznih akterjev;

(c) opredelitev splošnih ukrepov za pripravljenost, odzivanje in ponovno vzpostavitev, vključno z mehanizmi za sodelovanje med javnim in zasebnim sektorjem;

(d) določitev programov izobraževanja, ozaveščanja in usposabljanja;

(e) načrte za raziskave in razvoj ter opis, kako ti načrti ustrezajo opredeljenim prednostnim nalogam.

2.           Nacionalna strategija VOI vključuje nacionalni načrt za sodelovanje na področju VOI, ki vsebuje najmanj naslednje:

(a) načrt ocene tveganja za prepoznavanje tveganj in ocenjevanje učinkov morebitnih incidentov;

(b) opredelitev vloge in odgovornosti različnih akterjev, vključenih v izvajanje načrta;

(c) opredelitev postopkov sodelovanja in komuniciranja za preprečevanje, odkrivanje, odzivanje, popravilo in ponovno vzpostavitev, ki so oblikovani glede na opozorilno stopnjo;

(d) časovnico za vaje in usposabljanja na področju VOI za okrepitev, potrditev in preskus načrta. Pridobljena spoznanja se dokumentirajo in vključijo v posodobitve načrta.

3.           Nacionalna strategija VOI in nacionalni načrt za sodelovanje na področju VOI se sporočita Komisiji v enem mesecu po sprejetju.

Člen 6

Pristojni nacionalni organ za varnost omrežij in informacijskih sistemov

1.           Vsaka država članica določi nacionalni organ, pristojen za varnost omrežij in informacijskih sistemov (v nadaljnjem besedilu „pristojni organ“).

2.           Pristojni organi spremljajo uporabo te direktive na nacionalni ravni in prispevajo k njeni dosledni uporabi po vsej Uniji.

3.           Države članice zagotovijo, da imajo pristojni organi ustrezne tehnične, finančne in človeške vire, da lahko učinkovito in uspešno opravljajo dodeljene naloge ter tako izpolnijo cilje te direktive. Države članice zagotovijo učinkovito, uspešno in varno sodelovanje pristojnih organov prek mreže iz člena 8.

4.           Države članice zagotovijo, da javne uprave in tržni udeleženci pristojnim organom priglasijo dogodke, kot to določa člen 14(2), in da se pristojnim organom podelijo izvedbena in izvršilna pooblastila iz člena 15.

5.           Pristojni organi se po potrebi posvetujejo in sodelujejo z ustreznimi nacionalnimi organi kazenskega pregona in organi za varstvo podatkov.

6.           Vsaka država članica Komisijo nemudoma obvesti o imenovanju pristojnih organov, njihovih nalogah in vseh morebitnih poznejših spremembah. Vsaka država članica javno objavi imenovanje pristojnega organa.

Člen 7

Skupina za odzivanje na računalniške grožnje

1.           Vsaka država članica ustanovi skupino za odzivanje na računalniške grožnje (v nadaljnjem besedilu: CERT), ki je odgovorna za obvladovanje incidentov in tveganj po natančno določenem poteku ter izpolnjuje zahteve iz točke (1) Priloge I. CERT se lahko ustanovi znotraj pristojnega organa.

2.           Države članice zagotovijo, da imajo CERT ustrezne tehnične, finančne in človeške vire za učinkovito izvajanje svojih nalog iz točke (2) Priloge I.

3.           Države članice zagotovijo, da so CERT na nacionalni ravni podprte z varno in odporno komunikacijsko in informacijsko infrastrukturo, ki je združljiva in interoperabilna s sistemom za varno izmenjavo informacij iz člena 9.

4.           Države članice Komisijo obvestijo o virih in pristojnostih ter o postopku obravnave incidentov v CERT.

5.           CERT delujejo pod nadzorom pristojnega organa, ki redno pregleduje ustreznost njihovih virov, pristojnosti in učinkovitosti postopka obravnavanja incidentov.

POGLAVJE III

SODELOVANJE MED PRISTOJNIMI ORGANI

Člen 8

Mreža za sodelovanje

1.           Pristojni organi in Komisija vzpostavijo mrežo („mreža za sodelovanje“), v kateri sodelujejo pri preprečevanju tveganj in incidentov, ki vplivajo na omrežja in informacijske sisteme.

2.           Z mrežo za sodelovanje se vzpostavi trajna komunikacija med Komisijo in pristojnimi organi. Evropska agencija za varnost omrežij in informacij (ENISA) na zahtevo mreži za sodelovanje pomaga tako, da zagotovi strokovno znanje ter svetovanje.

3.           V okviru mreže za sodelovanje pristojni organi:

(a) širijo zgodnja opozorila o tveganjih in incidentih v skladu s členom 10;

(b) zagotavljajo usklajen odziv v skladu s členom 11;

(c) na skupnem spletišču redno objavljajo nezaupne informacije o tekočih zgodnjih opozorilih in usklajenem odzivu;

(d) na zahtevo ene države članice ali Komisije v okviru področja uporabe te direktive skupaj ocenijo in razpravljajo o eni ali več nacionalnih strategijah in nacionalnih načrtih za sodelovanje na področju VOI iz člena 5;

(e) na zahtevo države članice ali Komisije skupaj ocenijo in razpravljajo o učinkovitosti CERT, zlasti kadar vaje na področju VOI potekajo na ravni Unije;

(f) sodelujejo z Europolovim centrom za kibernetsko kriminaliteto in drugimi ustreznimi evropskimi organi ter si z njimi izmenjujejo informacije o vseh pomembnih zadevah, zlasti na področju varstva podatkov, energije, prometa, bančništva, borze in zdravja;

(g) med seboj in s Komisijo izmenjujejo informacije in najboljše prakse ter si pomagajo pri gradnji zmogljivosti na področju VOI;

(h) organizirajo redne medsebojne preglede o zmogljivostih in pripravljenosti;

(i) organizirajo vaje na področju VOI na ravni Unije in po potrebi sodelujejo v mednarodnih vajah na področju VOI.

4.           Komisija z izvedbenimi akti določi potrebne načine za lažje sodelovanje med pristojnimi organi in Komisijo iz odstavkov 2 in 3. Te izvedbene akte sprejme v skladu s postopkom posvetovanja iz člena 19(2).

Člen 9

Sistem za varno izmenjavo informacij

1.           Izmenjava občutljivih in zaupnih informacij v okviru mreže za sodelovanje se opravi prek varne infrastrukture.

2.           Komisija se v skladu s členom 18 pooblasti za sprejemanje delegiranih aktov v zvezi z opredelitvijo meril, ki morajo biti izpolnjena, da država članica lahko sodeluje v sistemu za varno izmenjavo informacij, in sicer o:

(a)     razpoložljivosti varne in odporne komunikacijske in informacijske infrastrukture na nacionalni ravni, ki je združljiva in interoperabilna z varno infrastrukturo mreže za sodelovanje v skladu s členom 7(3), in

(b)     ustreznih tehničnih, finančnih in človeških virih ter postopkih za pristojne organe in CERT, ki omogočajo uspešno, učinkovito in varno sodelovanje v sistemu za varno izmenjavo informacij po členih 6(3), 7(2) in 7(3).

3.           Komisija v skladu z merili iz odstavkov 2 in 3 z izvedbenimi akti sprejme sklepe o dostopu države članice do te varne infrastrukture. Te izvedbene akte sprejme v skladu s postopkom pregleda iz člena 19(3).

Člen 10 Zgodnje opozarjanje

1.           Pristojni organi ali Komisija v mreži za sodelovanje izdajo zgodnja opozorila pri tveganjih in incidentih, ki izpolnjujejo vsaj enega od naslednjih pogojev:

(a) njihov obseg se hitro povečuje ali se lahko hitro poveča

(b) presegajo ali lahko presežejo nacionalne zmogljivosti za odzivanje;

(c) vplivajo ali lahko vplivajo na več kot eno državo članico.

2.           V zgodnjih opozorilih pristojni organi in Komisija sporočijo vse razpoložljive pomembne informacije, ki bi bile lahko koristne za ocenjevanje tveganja ali incidentov.

3.           Na zahtevo države članice ali na lastno pobudo lahko Komisija od države članice zahteva, da zagotovi vse ustrezne informacije o določenem tveganju ali incidentu.

4.           Kadar se za tveganje ali incident, za katerega se izda zgodnje opozorilo, sumi, da je kriminalne narave, pristojni organi ali Komisija o tem obvestijo Europolov center za kibernetsko kriminaliteto.

5.           Komisija se v skladu s členom 18 pooblasti za sprejemanje delegiranih aktov v zvezi z nadaljnjo specifikacijo tveganja in incidentov, za katere se sproži zgodnje opozarjanje iz odstavka 1.

Člen 11 Usklajen odziv

1.           Po zgodnjem opozarjanju iz člena 10 pristojni organi ocenijo ustrezne informacije in se nato dogovorijo o usklajenem odzivu v skladu z načrtom za sodelovanje Unije na področju VOI iz člena 12.

2.           Različni ukrepi, sprejeti na nacionalni ravni kot posledica usklajenega odziva, se sporočijo mreži za sodelovanje.

Člen 12

Načrt za sodelovanje Unije na področju VOI

1.           Komisija se pooblasti, da z izvedbenimi akti sprejme načrt za sodelovanje Unije na področju VOI. Te izvedbene akte sprejme v skladu s postopkom pregleda iz člena 19(3).

2.           Načrt za sodelovanje Unije na področju VOI določa:

(a) za namene člena 10:

– opredelitev oblike in postopkov za zbiranje in izmenjavo združljivih in primerljivih informacij o tveganjih in incidentih s strani pristojnih organov,

– opredelitev postopkov in meril za oceno tveganja in incidentov v mreži za sodelovanje.

(b) postopke, ki se upoštevajo pri usklajenem odzivanju v skladu s členom 11, vključno z opredelitvijo vlog in odgovornosti ter postopkov sodelovanja;

(c) časovnico za vaje in usposabljanja na področju VOI, da se načrt okrepi, potrdi in preskusi;

(d) program za prenos znanja med državami članicami v povezavi z gradnjo zmogljivosti in vzajemnim učenjem;

(e) program ozaveščanja in usposabljanja med državami članicami.

3.           Načrt za sodelovanje Unije na področju VOI se sprejme najpozneje eno leto po začetku veljavnosti te direktive in se redno pregleduje.

Člen 13

Mednarodno sodelovanje

Ne glede na možnost, da se lahko v okviru mreže za sodelovanje neformalno sodeluje na mednarodni ravni, lahko Unija sklene mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki omogočajo njihovo sodelovanje pri nekaterih dejavnostih mreže za sodelovanje. V takih sporazumih se upošteva potreba po zagotavljanju ustreznega varstva osebnih podatkov v mreži za sodelovanje.

POGLAVJE IV

VARNOST OMREŽIJ IN INFORMACIJSKIH SISTEMOV JAVNIH UPRAV IN TRŽNIH UDELEŽENCEV

Člen 14

Varnostne zahteve in priglasitev incidentov

1.           Države članice zagotovijo, da javne uprave in tržni udeleženci sprejmejo ustrezne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih nadzorujejo in uporabljajo pri svojih dejavnostih. Ob upoštevanju trenutnega tehnološkega stanja ti ukrepi zagotovijo raven varnosti, primerno zadevnemu tveganju. Ti ukrepi se sprejmejo zlasti za preprečitev in zmanjšanje vpliva incidentov na ključne storitve omrežij in informacijskih sistemov, s čimer se zagotovi neprekinjenost storitev, ki jih podpirajo navedena omrežja in informacijski sistemi.

2.           Države članice zagotovijo, da javne uprave in tržni udeleženci pristojnemu organu priglasijo incidente z bistvenim vplivom na varnost ključnih storitev, ki jih zagotavljajo.

3.           Zahteve iz odstavkov 1 in 2 veljajo za vse tržne udeležence, ki zagotavljajo storitve v EU.

4.           Pristojni organ lahko o incidentu obvesti javnost ali to zahteva od javnih uprav in tržnih udeležencev, če ugotovi, da je razkritje incidenta v javnem interesu. Nacionalni pristojni organ enkrat na leto mreži za sodelovanje predloži kratko poročilo o prejetih priglasitvah in ukrepih, sprejetih v skladu s tem odstavkom.

5.           Komisija se v skladu s členom 18 pooblasti za sprejemanje delegiranih aktov v zvezi z opredelitvijo okoliščin, v katerih morajo javne uprave in tržni udeleženci priglasiti incidente.

6.           Ob upoštevanju delegiranih aktov, sprejetih v skladu z odstavkom 5, lahko pristojni organi sprejmejo smernice in po potrebi izdajo navodila glede okoliščin, v katerih morajo javne uprave in tržni udeleženci priglasiti incidente.

7.           Komisija se pooblasti, da z izvedbenimi akti določi oblike in postopke, ki se uporabljajo za namene iz odstavka 2. Te izvedbene akte sprejme v skladu s postopkom pregleda iz člena 19(3).

8.           Odstavka 1 in 2 se ne uporabljata za mikropodjetja, kakor so opredeljena v Priporočilu Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednje velikih podjetij[35].

Člen 15

Izvajanje in izvrševanje

1.           Države članice zagotovijo, da imajo pristojni organi vsa pooblastila, potrebna za preiskavo primerov, v katerih javne uprave ali tržni udeleženci ne izpolnjujejo obveznosti iz člena 14, in posledic takšnega neizpolnjevanja za varnost omrežij in informacijskih sistemov.

2.           Države članice zagotovijo, da imajo pristojni organi pooblastila, da od tržnih udeležencev in javnih uprav zahtevajo, da:

(a)     predložijo informacije, potrebne za oceno varnosti omrežij in informacijskih sistemov, vključno z dokumentiranimi varnostnimi ukrepi;

(b)     se zanje opravi pregled varnosti, ki ga izvede usposobljen neodvisen organ ali nacionalni organ, ter da se rezultati pregleda zagotovijo pristojnemu organu.

3.           Države članice zagotovijo, da imajo pristojni organi pooblastila za izdajanje zavezujočih navodil za tržne udeležence in javne uprave.

4.           Pristojni organi incidente, za katere sumijo, da so kriminalne narave, priglasijo organom kazenskega pregona.

5.           Pristojni organi pri obravnavanju incidentov, katerih posledica je kršitev varstva osebnih podatkov, tesno sodelujejo z organi za varstvo osebnih podatkov.

6.           Države članice zagotovijo, da so obveznosti, ki se javnim upravam in tržnim udeležencem naložijo s tem poglavjem, lahko predmet sodne presoje.

Člen 16

Standardizacija

1.           Za zagotovitev usklajenega izvajanja člena 14(1) države članice spodbujajo uporabo standardov in/ali specifikacij, ki se nanašajo na varnost omrežij in informacij.

2.           Komisija z izvedbenimi akti pripravi seznam standardov, navedenih v odstavku 1. Seznam objavi v Uradnem listu Evropske unije.

POGLAVJE V

KONČNE DOLOČBE

Člen 17

Sankcije

1.           Države članice določijo pravila o sankcijah, ki se uporabljajo pri kršitvah nacionalnih predpisov, sprejetih v skladu s to direktivo, in sprejmejo vse potrebne ukrepe, da zagotovijo njihovo izvajanje. Te sankcije morajo biti učinkovite, sorazmerne in odvračilne. Države članice Komisijo o navedenih določbah obvestijo najpozneje do datuma prenosa te direktive in ji nemudoma sporočijo vse naknadne spremembe, ki vplivajo nanje.

2.           Države članice zagotovijo, da so v primerih, ko ima varnostni incident posledice za varstvo osebnih podatkov, predvideni ukrepi skladni z ukrepi, določenimi v Uredbi Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov[36].

Člen 18

Izvajanje pooblastila

1.           Pooblastilo za sprejemanje delegiranih aktov se prenese na Komisijo pod pogoji iz tega člena

2.           Pooblastilo za sprejemanje delegiranih aktov iz členov 9(2), 10(5) in 14(5) se prenese na Komisijo. Komisija pripravi poročilo o prenesenem pooblastilu najpozneje devet mesecev pred iztekom petletnega obdobja. Prenos pooblastila se samodejno podaljša za enako obdobje, razen če Evropski parlament ali Svet nasprotuje temu podaljšanju najpozneje tri mesece pred iztekom posameznega obdobja.

3.           Evropski parlament ali Svet lahko pooblastilo iz členov 9(2), 10(5) in 14(5) prekliče kadar koli. Z odločitvijo o preklicu preneha veljati prenos pooblastila, naveden v temu sklepu. Sklep začne učinkovati dan po objavi v Uradnem listu Evropske unije ali na poznejši datum, ki je v njem določen. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

4.           Takoj ko Komisija sprejme delegirani akt, o tem istočasno uradno obvesti Evropski parlament in Svet.

5.           Delegirani akt, sprejet v skladu s členi 9(2), 10(5) in 14(5), začne veljati le, če Evropski parlament in Svet ne nasprotujeta delegiranemu aktu v dveh mesecih od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu, oziroma če sta pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.

Člen 19

Postopek v odboru

1.           Komisiji pomaga odbor za varnost omrežij in informacij. Ta odbor je odbor po Uredbi (EU) št. 182/2011.

2.           Pri sklicevanju na ta odstavek se uporablja člen 4 Uredbe (EU) št. 182/2011.

3.           Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

Člen 20

Pregled

Komisija redno pregleduje delovanje te direktive ter o tem poroča Evropskemu parlamentu in Svetu. Prvo poročilo predloži najpozneje tri leta po datumu prenosa iz člena 21. V ta namen lahko Komisija zahteva, da države članice zagotovijo informacije brez nepotrebnega odlašanja.

Člen 21

Prenos

1.           Države članice najpozneje do [leto in pol po sprejetju] sprejmejo in objavijo zakone in druge predpise, potrebne za uskladitev s to direktivo. Komisiji takoj sporočijo besedila navedenih predpisov.

Navedene ukrepe uporabljajo od [leto in pol po sprejetju].

Države članice se v sprejetih ukrepih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Države članice določijo način sklicevanja.

2.           Države članice sporočijo Komisiji besedilo temeljnih predpisov nacionalne zakonodaje, sprejetih na področju, ki ga ureja ta direktiva.

Člen 22

Začetek veljavnosti

Ta direktiva začne veljati [dvajseti] dan po objavi v Uradnem listu Evropske unije.

Člen 23

Naslovniki

Ta direktiva je naslovljena na države članice.

V Bruslju,

Za Evropski parlament                                  Za Svet

Predsednik                                                     Predsednik

PRILOGA I

Zahteve in naloge skupine za odzivanje na računalniške grožnje (CERT)

Zahteve in naloge CERT so ustrezno in jasno opredeljene ter podprte z nacionalno politiko in/ali zakonodajo. Vključujejo naslednje elemente:

(1) Zahteve za CERT:

(a) CERT zagotavljajo visoko razpoložljivost svojih komunikacijskih storitev tako, da preprečujejo posamezne točke okvar in vzpostavijo več kanalov, po katerih se drugi lahko obračajo nanje in one obrnejo na druge. Poleg tega se komunikacijski kanali jasno opredelijo ter jih uporabniki in partnerji dobro poznajo.

(b) CERT izvajajo in upravljajo varnostne ukrepe, s čimer zagotovijo zaupnost, celovitost, razpoložljivost in verodostojnost informacij, ki jih prejmejo in obravnavajo.

(c) Uradi CERT in podporni informacijski sistemi se nahajajo na varnih krajih.

(d) Za nadaljnje spremljanje uspešnosti CERT in stalno izboljševanje se vzpostavi sistem za kakovost storitev upravljanja. Temelji na jasno opredeljenih meritvah, ki vključujejo formalne ravni storitev in ključne kazalce uspešnosti.

(e) Neprekinjeno poslovanje

– CERT so opremljene z ustreznim sistemom za upravljanje in usmerjanje zahtevkov, da se poenostavi njihova predaja,

– CERT imajo zadostno število strokovno usposobljenega osebja, da so razpoložljivi v vsakem trenutku,

– CERT temeljijo na infrastrukturi, ki ima zagotovljeno neprekinjeno delovanje. V ta namen se vzpostavijo podporni sistemi in nadomestni delovni prostor, da CERT lahko zagotovijo stalen dostop do komunikacijskih sredstev.

(2) Naloge CERT

(a) Naloge CERT vključujejo najmanj naslednje:

– spremljanje incidentov na nacionalni ravni,

– zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o tveganjih in incidentih ustreznim zainteresiranim stranem,

– odzivanje na incidente,

– opravljanje dinamičnih analiz tveganja in incidentov ter spremljanje razmer,

– krepitev ozaveščenosti širše javnosti o tveganjih, povezanih s spletnimi dejavnostmi,

– organiziranje kampanj o VOI;

(b) CERT sodelujejo z zasebnim sektorjem.

(c) Za lažje sodelovanje CERT spodbujajo sprejetje in uporabo skupnih ali standardiziranih praks za:

– postopke za obravnavanje incidentov in tveganj,

– sheme za klasifikacijo incidentov, tveganj in informacij,

– razvrščanje meritev,

– oblike izmenjave informacij o tveganjih, incidentih in dogovorih o poimenovanju sistemov.

PRILOGA II

Seznam tržnih udeležencev

Iz člena 3(8)a):

1. Platforme za e-trgovanje

2. Portali za spletna plačila

3. Družabna omrežja

4. Iskalniki

5. Računalniške storitve v oblaku

6. Prodajalne z aplikacijami

Iz člena 3(8)b):

1. Energija

– Dobavitelji električne energije in plina

– Upravljavci sistema distribucije električne energije in/ali plina ter dobavitelji za končne uporabnike

– Upravljavci sistema za prenos zemeljskega plina, upravljavci skladišč in upravljavci obratov za UZP

– Upravljavci sistema za prenos električne energije

– Upravljavci cevovodov za prenos nafte in skladiščenja nafte

– Udeleženci na trgu elektrike in plina

– Upravljavci proizvodnje nafte in zemeljskega plina ter obratov za predelavo in rafiniranje

2. Promet

– Letalski prevozniki (tovorni in potniški zračni promet)

– Pomorski prevozniki (družbe za pomorski in obalni potniški promet in družbe za pomorski obalni tovorni promet )

– Železnice (upravitelji infrastrukture, integrirana podjetja in prevozniki v železniškem prometu)

– Letališča

– Pristanišča

– Izvajalci nadzora upravljanja prometa

– Pomožne logistične storitve: (a) skladiščenje in shranjevanje (b) ravnanje s tovorom in (c) druge spremljajoče prometne dejavnosti

3. Bančništvo: kreditne institucije v skladu s členom 4.1 Direktive 2006/48/ES.

4. Infrastruktura finančnega trga: borze in klirinške hiše centralnih nasprotnih strank

5. Zdravstveni sektor: zdravstvenovarstvene ustanove (vključno z bolnišnicami in zasebnimi klinikami) ter drugi subjekti, ki zagotavljajo zdravstveno varstvo

OCENA FINANČNIH POSLEDIC ZAKONODAJNEGA PREDLOGA

1.           OKVIR PREDLOGA/POBUDE

              1.1.    Naslov predloga/pobude

              1.2.    Zadevna področja v strukturi ABM/ABB

              1.3.    Vrsta predloga/pobude

              1.4.    Cilji

              1.5.    Utemeljitev predloga/pobude

              1.6.    Trajanje ukrepa in finančnih posledic

              1.7.    Načrtovani načini upravljanja

2.           UKREPI UPRAVLJANJA

              2.1.    Pravila o spremljanju in poročanju

              2.2.    Upravljavski in kontrolni sistem

              2.3.    Ukrepi za preprečevanje goljufij in nepravilnosti

3.           OCENA FINANČNIH POSLEDIC PREDLOGA/POBUDE

              3.1.    Zadevni razdelki večletnega finančnega okvira in odhodkovne proračunske vrstice

              3.2.    Ocenjene posledica za odhodke

              3.2.1. Povzetek ocenjenih posledic za odhodke

              3.2.2. Ocenjene posledice za odobritve za poslovanje

              3.2.3. Ocenjene posledice za odobritve za upravne zadeve

              3.2.4. Skladnost z veljavnim večletnim finančnim okvirom

              3.2.5. Udeležba tretjih oseb pri financiranju

              3.3.    Ocenjene posledice za prihodke

OCENA FINANČNIH POSLEDIC ZAKONODAJNEGA PREDLOGA

1.           OKVIR PREDLOGA/POBUDE

1.1.        Naslov predloga/pobude

Predlog direktive Evropskega parlamenta in Sveta o ukrepih za zagotavljanje visoke ravni varnosti omrežij in informacij v Uniji.

1.2.        Zadevna področja v strukturi ABM/ABB[37]

- 09 – Komunikacijska omrežja, vsebine in tehnologija

1.3.        Vrsta predloga/pobude

ý Predlog/pobuda se nanaša na nov ukrep.

¨ Predlog/pobuda se nanaša na nov ukrep na podlagi pilotnega projekta / pripravljalnega ukrepa[38].

¨ Predlog/pobuda se nanaša na podaljšanje obstoječega ukrepa.

¨ Predlog/pobuda se nanaša na obstoječ ukrep, preusmerjen v nov ukrep.

1.4.        Cilji

1.4.1.     Večletni strateški cilji Komisije, ki naj bi bili doseženi s predlogom/pobudo

Cilj predlagane direktive je zagotoviti visoko skupno raven varnosti omrežij in informacij po vsej EU.

1.4.2.     Posebni cilji in zadevne dejavnosti v strukturi ABM/ABB

Predlog določa ukrepe za zagotavljanje visoke skupne ravni varnosti omrežij in informacijskih sistemov v Uniji.

Posebni cilji so:

1.       Vzpostaviti minimalno raven VOI v državah članicah ter s tem povečati splošno raven pripravljenosti in odzivanja.

2.       Izboljšati sodelovanje na področju VOI na ravni EU za učinkovito obravnavanje čezmejnih incidentov in groženj. Vzpostavljena bo infrastruktura za varno izmenjavo informacij, ki bo omogočila izmenjavo občutljivih in zaupnih informacij med pristojnimi organi.

3.       Vzpostaviti kulturo obvladovanja tveganj ter izboljšati izmenjavo informacij med zasebnim in javnim sektorjem.

Zadevne dejavnosti v strukturi AMB/ABB

Direktiva se uporablja za subjekte (podjetja in organizacije, vključno z nekaterimi MSP) iz več sektorjev (energija, promet, kreditne institucije in borze, zdravstveno varstvo in ponudniki ključnih spletnih storitev) ter javne uprave. Ureja povezave z organi kazenskega pregona in organi za varstvo podatkov ter vidike VOI pri zunanjih odnosih.

- 09 – Komunikacijska omrežja, vsebine in tehnologija

- 02 – Podjetništvo

- 32 – Energetika

- 06 – Mobilnost in promet

- 17 – Zdravje in varstvo potrošnikov

- 18 – Notranje zadeve

- 19 – Zunanji odnosi

- 33 – Pravosodje

- 12 – Notranji trg

1.4.3.     Pričakovani rezultati in učinki

Navedite, kakšne posledice naj bi imel(-a) predlog/pobuda na upravičence/ciljne skupine.

Varstvo potrošnikov, podjetij in vlad EU pred incidenti, grožnjami in tveganji VOI bi se občutno izboljšalo.

Več podrobnosti je na voljo v oddelku 8.2 (Učinek možnosti 2 – regulativni pristop) delovnega dokumenta služb Komisije o oceni učinka, ki je priložen temu zakonodajnem predlogu.

1.4.4.     Kazalniki rezultatov in učinkov

Navedite, s katerimi kazalniki se bo spremljalo izvajanje predloga/pobude.

Kazalniki za spremljanje in vrednotenje so opisani v oddelku 10 ocene učinka.

1.5.        Utemeljitev predloga/pobude

1.5.1.     Potrebe, ki jih je treba zadovoljiti kratkoročno ali dolgoročno

Vsaka država članica bi morala imeti:

– nacionalno strategijo VOI;

– načrt za sodelovanje na področju VOI;

– pristojni nacionalni organ za VOI ter

– skupino za odzivanje na računalniške grožnje (CERT).

Na ravni EU bi države članice morale sodelovati prek mreže za sodelovanje.

Javne uprave in ključni zasebni akterji bi morali izvajati ukrepe za obvladovanje tveganja VOI in pristojnim organom poročati o incidentih VOI z znatnim vplivom.

1.5.2.     Dodana vrednost ukrepanja EU

Glede na čezmejno naravo VOI razlike v ustreznih zakonodajah in politikah ovirajo podjetja, ki delujejo v več državah, in svetovne ekonomije obsega. Neukrepanje na ravni EU bi povzročilo, da bi vsaka država članica ukrepala sama, pri čemer se ne bi upoštevala medsebojna odvisnost omrežij in informacijskih sistemov.

Navedene cilje se zato lažje doseže z ukrepanjem na ravni EU kot pa na ravni posameznih držav članic.

1.5.3.     Spoznanja iz podobnih izkušenj v preteklosti

Predlog temelji na analizi, ki je pokazala, da so regulativne obveznosti potrebne za ustvarjanje enakih konkurenčnih pogojev in odpravo nekaterih zakonodajnih vrzeli. Povsem prostovoljni pristop je zagotovil sodelovanje samo manjšine držav članic z visoko stopnjo zmogljivosti.

1.5.4.     Skladnost in možnosti sinergij z drugimi zadevnimi instrumenti

Predlog je v celoti skladen z digitalno agendo za Evropo in tako tudi s strategijo Evropa 2020. Prav tako je skladen z regulativnim okvirom za elektronske komunikacije, ki ga dopolnjuje, direktivo EU o evropski kritični infrastrukturi in direktivo EU o varstvu podatkov.

Predlog je bistven del sporočila Komisije ter visokega predstavnika Unije za zunanje zadeve in varnostno politiko o evropski strategiji za kibernetsko varnost, ki ga dopolnjuje.

1.6.        Trajanje ukrepa in finančnih posledic

– ¨ Časovno omejen(-a) predlog/pobuda:

– ¨  trajanje predloga/pobude od [DD.MM.]LLLL do [DD.MM.]LLLL,

– ¨  finančne posledice med letoma LLLL in LLLL.

– ý Časovno neomejen(-a) predlog/pobuda:

– obdobje prenosa se bo začelo takoj po sprejetju (predvidoma leta 2015) in bo trajalo 18 mesecev. Izvajanje direktive pa se bo začelo po sprejetju in bo vključevalo vzpostavitev varne infrastrukture, ki bo podpirala sodelovanje držav članic,

– sledi izvajanje predloga/pobude v celoti.

1.7.        Načrtovani načini upravljanja[39]

– ý Neposredno centralizirano upravljanje – Komisija.

– ý Posredno centralizirano upravljanje – prenos izvajanja na:

– ¨ izvajalske agencije,

– x organe, ki jih ustanovita Skupnosti[40],

– ¨  nacionalne javne organe/organe, ki zagotavljajo javne storitve,

– ¨  osebe, pooblaščene za izvajanje določenih ukrepov v skladu z naslovom V Pogodbe o Evropski uniji in opredeljene v zadevnem temeljnem aktu po členu 49 finančne uredbe.

– ¨ Deljeno upravljanje z državami članicami.

– ¨ Decentralizirano upravljanje s tretjimi državami.

– ¨ Skupno upravljanje z mednarodnimi organizacijami (tudi Evropsko vesoljsko agencijo).

Pri navedbi več kot enega načina upravljanja je treba to natančneje razložiti v oddelku „opombe“.

Opombe

Decentralizirana agencija ENISA, ki sta jih ustanovile Skupnosti, lahko državam članicam in Komisiji pomaga pri izvajanju te direktive na podlagi svojega mandata in prerazporeditve sredstev, predvidenih za to agencijo v okviru večletnega finančnega okvira za obdobje 2014–2020.

2.           UKREPI UPRAVLJANJA

2.1.        Pravila o spremljanju in poročanju

Navedite pogostost in pogoje.

Komisija bo redno pregledovala delovanje te direktive ter o tem poročala Evropskemu parlamentu in Svetu.

Komisija bo prav tako ocenila pravilen prenos direktive v državah članicah.

Predlog uredbe IPE določa tudi ocenjevanje načinov izvajanja projektov ter učinka njihovega izvajanja, da se oceni, ali so bili doseženi cilji, vključno s cilji varstva okolja.

2.2.        Upravljavski in kontrolni sistem

2.2.1.     Ugotovljena tveganja

– zamude pri izvajanju projekta (gradnja varne infrastrukture)

2.2.2.     Načrtovani načini kontrole

Sporazumi in sklepi o izvajanju ukrepov v okviru IPE bodo zagotovili nadzor in finančno kontrolo s strani Komisije ali katerega koli predstavnika, ki ga pooblasti Komisija, revizije Računskega sodišča in preglede na kraju samem, ki jih izvaja Evropski urad za boj proti goljufijam (OLAF).

2.2.3.     Stroški in koristi kontrol ter pričakovana stopnja neskladnosti

Predhodne in naknadne kontrole, temelječe na tveganju, in možnost pregleda na kraju samem bodo zagotovile, da bodo stroški kontrole razumni.

2.3.        Ukrepi za preprečevanje goljufij in nepravilnosti

Navedite obstoječe ali načrtovane preprečevalne in zaščitne ukrepe.

Komisija sprejme ustrezne ukrepe, s katerimi zagotovi, da so pri izvajanju ukrepov, ki se financirajo na podlagi tega sklepa, finančni interesi Evropske unije zaščiteni z izvajanjem preventivnih ukrepov proti goljufijam, korupciji in drugemu protipravnemu ravnanju ter z učinkovitim preverjanjem, ob odkritju nepravilnosti pa z izterjavo neupravičeno izplačanih zneskov ter po potrebi z učinkovitimi, sorazmernimi in odvračilnimi kaznimi.

Komisija ali njeni predstavniki in Računsko sodišče lahko opravijo preglede na podlagi dokumentacije in na kraju samem pri vseh prejemnikih nepovratnih sredstev, izvajalcih in podizvajalcih, ki so prejeli sredstva Unije na podlagi tega sklepa.

Evropski urad za boj proti goljufijam (urad OLAF) lahko opravi preglede in inšpekcije na kraju samem pri gospodarskih subjektih, ki jih neposredno ali posredno zadeva takšno financiranje, v skladu s postopki iz Uredbe Sveta (Euratom, ES) št. 2185/96, da bi ugotovil, ali je v povezavi s sporazumom ali sklepom o nepovratnih sredstvih ali pogodbo o financiranju s strani Unije prišlo do goljufije, korupcije ali drugega protipravnega ravnanja, ki škodi finančnim interesom Unije.

Ne glede na zgornje odstavke se v sporazumih o sodelovanju s tretjimi državami in mednarodnimi organizacijami, sporazumih o nepovratnih sredstvih, sklepih o nepovratnih sredstvih in pogodbah, ki izhajajo iz izvajanja te uredbe, Komisija, Računsko sodišče in urad OLAF izrecno pooblastijo za opravljanje takšnih revizij ter pregledov in inšpekcij na kraju samem.

IPE določa, da morajo pogodbe o nepovratnih sredstvih in naročila temeljiti na standardnih modelih, ki določajo splošno veljavne ukrepe proti goljufijam.

3.           OCENA FINANČNIH POSLEDIC PREDLOGA/POBUDE

3.1.        Zadevni razdelki večletnega finančnega okvira in odhodkovne proračunske vrstice

· Obstoječe odhodkovne proračunske vrstice

Po vrstnem redu razdelkov večletnega finančnega okvira in proračunskih vrstic.

Razdelek večletnega finančnega okvira || Proračunska vrstica || Vrsta odhodkov || Prispevek

številka [poimenovanje………………………...……….] || dif./ nedif. ([41]) || držav Efte[42] || držav kandidatk[43] || tretjih držav || po členu 18(1)(aa) finančne uredbe

|| 09 03 02          spodbujanje medsebojnega povezovanja in interoperabilnosti nacionalnih javnih storitev v spletu in dostopa do takih omrežij || dif. || NE || NE || NE || NE

· Zahtevane nove proračunske vrstice (ni relevantno)

Po vrstnem redu razdelkov večletnega finančnega okvira in proračunskih vrstic.

Razdelek večletnega finančnega okvira || Proračunska vrstica || Vrsta odhodkov || Prispevek

številka [poimenovanje…………………...……….] || dif./ nedif. || držav Efte || držav kandidatk || tretjih držav || po členu 18(1)(aa) finančne uredbe

|| [XX YY YY YY] || || DA/NE || DA/NE || DA/NE || DA/NE

3.2.        Ocenjene posledice za odhodke

3.2.1.     Povzetek ocenjenih posledic za odhodke

v mio. EUR (na tri decimalna mesta natančno)

Razdelek večletnega finančnega okvira: || 1 || Pametna in vključujoča rast

GD za: <…….> || || || 2015*[44] || Leto 2016 || Leto 2017 || Leto 2018 || Naslednja leta (2019–2021) in naprej || SKUPAJ

Ÿ Odobritve za poslovanje || || || || || || || ||

09 03 02 || obveznosti || (1) || 1,250** || 0,000 || || || || || || 1,250

plačila || (2) || 0,750 || 0,250 || 0,250 || || || || || 1,250

Odobritve za upravne zadeve, ki se financirajo iz sredstev določenih programov[45] || 0,000 || || || || || || || 0,000

Številka proračunske vrstice || || (3) || 0,000 || || || || || || || 0,000

Odobritve za GD za <…….> SKUPAJ || obveznosti || =1+1a +3 || 1,250 || 0,000 || || || || || || 1,250

plačila || =2+2a +3 || 0,750 || 0,250 || 0,250 || || || || || 1,250

Ÿ Odobritve za poslovanje SKUPAJ || obveznosti || (4) || 1,250 || 0,000 || || || || || || 1,250

plačila || (5) || 0,750 || 0,250 || 0,250 || || || || || 1,250

Ÿ Odobritve za upravne zadeve, ki se financirajo iz sredstev določenih programov, SKUPAJ || (6) || 0,000 || || || || || || ||

Odobritve iz RAZDELKA 1 večletnega finančnega okvira SKUPAJ || obveznosti || =4+ 6 || 1,250 || 0,000 || || || || || || 1,250

plačila || =5+ 6 || 0,750 || 0,250 || 0,250 || || || || || 1,250

* Natančna časovnica bo odvisna od datuma, na katerega bo zakonodajni organ sprejel predlog (tj. če bo direktiva odobrena leta 2014, se bo prilagoditev obstoječe infrastrukture začela leta 2015, sicer pa eno leto pozneje).

** Če se države članice odločijo, da uporabijo obstoječo infrastrukturo in plačajo enkratne stroške prilagoditve iz proračuna EU, kakor je pojasnjeno v točkah 1.4.3 in 1.7, so stroški za prilagoditev mreže, da bo lahko podpirala sodelovanje držav članic v skladu s Poglavjem II Direktive (zgodnje opozarjanje, usklajeno odzivanje itd.) ocenjeni na 1 250 000 EUR. Ta znesek je nekoliko večji kot tisti, naveden v oceni učinka („približno 1 milijon EUR“), saj temelji na bolj natančni oceni elementov, potrebnih za takšno infrastrukturo. Potrebni elementi in z njimi povezani stroški temeljijo na oceni JRC, ki je bila opravljena na podlagi izkušenj pri razvijanju podobnih sistemov na drugih področjih, kot je javno zdravje, in bi vključevali: sistem za hitro opozarjanje in obveščanje na področju VOI (275 000 EUR); platformo za izmenjavo informacij (400 000 EUR); sistem za zgodnje opozarjanje in odzivanje (275 000 EUR); situacijska soba (300 000 EUR), skupaj 1 250 000 EUR. Podrobnejši izvedbeni načrt bo po pričakovanjih pripravljen v prihodnji študiji izvedljivosti v okviru posebne pogodbe SMART 2012/0010: „Študija izvedljivosti in pripravljalne dejavnosti za vzpostavitev evropskega sistema za zgodnje opozarjanje in odzivanje na kibernetske napade in prekinitve“.

Če ima predlog/pobuda posledice za več razdelkov:                                

Ÿ Odobritve za poslovanje SKUPAJ || obveznosti || (4) || 0,000 || 0,000 || || || || || ||

plačila || (5) || 0,000 || 0,000 || || || || || ||

Ÿ Odobritve za upravne zadeve, ki se financirajo iz sredstev določenih programov, SKUPAJ || (6) || 0,000 || 0,000 || || || || || ||

Odobritve iz RAZDELKOV od 1 do 4 večletnega finančnega okvira SKUPAJ (referenčni znesek) || obveznosti || =4+ 6 || 1,250 || 0,000 || || || || || || 1,250

plačila || =5+ 6 || 0,750 || 0,250 || 0,250 || || || || || 1,250

Razdelek večletnega finančnega okvira || 5 || „Upravni odhodki“

v mio. EUR (na tri decimalna mesta natančno)

|| || || Leto 2015 || Leto 2016 || Leto 2017 || Leto 2018 || Naslednja leta (2019–2021) in naprej || SKUPAJ

GD za komunikacijska omrežja, vsebine in tehnologijo ||

Ÿ Človeški viri || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 4,004

Ÿ Drugi upravni odhodki || 0,318 || 0,118 || 0,318 || 0,118 || 0,318 || 0,118 || 0,118 || 1,426

GD za komunikacijska omrežja, vsebine in tehnologijo SKUPAJ || odobritve || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

Odobritve iz RAZDELKA 5 večletnega finančnega okvira SKUPAJ || (obveznosti skupaj = plačila skupaj) || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

v mio. EUR (na tri decimalna mesta natančno)

|| || || Leto 2015[46] || Leto 2016 || Leto 2017 || Leto 2018 || Naslednja leta (2019–2021) in naprej || SKUPAJ

Odobritve iz RAZDELKOV od 1 do 5 večletnega finančnega okvira SKUPAJ || obveznosti || 2,140 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 6,680

plačila || 1,640 || 0,940 || 1,140 || 0,690 || 0,890 || 0,690 || 0,690 || 6,680

3.2.2.     Ocenjene posledice za odobritve za poslovanje

– ¨ Za predlog/pobudo niso potrebne odobritve za poslovanje.

– þ Za predlog/pobudo so potrebne odobritve za poslovanje, kot je pojasnjeno v nadaljevanju:

– odobritve za prevzem obveznosti v mio. EUR (na tri decimalna mesta natančno)

Cilji in realizacije ò || || || Leto 2015* || Leto 2016 || Leto 2017 || Leto 2018 || Naslednja leta (2019–2021) in naprej || SKUPAJ

REALIZACIJE

vrsta realizacije[47] || Povprečni stroški realizacije || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || Število realizacij || stroški || Število realizacij || stroški || število realizacij skupaj || stroški skupaj

POSAMEZNI CILJ št. 2[48] Infrastruktura za varno izmenjavo informacij || || || || || || || || || || || || || || || ||

– realizacija || Prilagoditev infrastrukture || || || || || || || || || || || || || || || || ||

Seštevek za posamezni cilj št. 2 || 1 || 1,250** || || || || || || || || || || || || || 1 || 1,250

STROŠKI SKUPAJ || || 1,250 || || || || || || || || || || || || || || 1,250

* Natančna časovnica bo odvisna od datuma, na katerega bo zakonodajni organ sprejel predlog (tj. če bo direktiva odobrena leta 2014, se bo prilagoditev obstoječe infrastrukture začela leta 2015, sicer pa eno leto pozneje).

** Glej točko 3.2.1.

3.2.3.     Ocenjene posledice za odobritve za upravne zadeve

3.2.3.1.  Povzetek

– ¨  Za predlog/pobudo niso potrebne odobritve za upravne zadeve.

– þ  Za predlog/pobudo so potrebne odobritve za upravne zadeve, kot je pojasnjeno v nadaljevanju:

v mio. EUR (na tri decimalna mesta natančno)

|| Leto 2015[49] || Leto 2016 || Leto 2017 || Leto 2018 || Naslednja leta (2019–2021) in naprej || SKUPAJ

RAZDELEK 5 večletnega finančnega okvira || || || || || || || ||

Človeški viri || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 4,004

Drugi upravni odhodki || 0,318 || 0,118 || 0,318 || 0,118 || 0,318 || 0,118 || 0,118 || 1,426

Seštevek za RAZDELEK 5 večletnega finančnega okvira || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

Odobritve zunaj RAZDELKA 5[50] večletnega finančnega okvira || || || || || || || ||

Človeški viri || 0,000 || 0,000 || || || || || || 0,000

Drugi upravni odhodki || || || || || || || ||

Seštevek za odobritve zunaj RAZDELKA 5 večletnega finančnega okvira || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

SKUPAJ || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

Zahtevane upravne odobritve se krijejo z odobritvami GD za komunikacijska omrežja, vsebine in tehnologijo, že dodeljenimi za upravljanje ukrepa in/ali prerazporejenimi znotraj GD za komunikacijska omrežja, vsebine in tehnologijo, po potrebi dopolnjenimi z dodatnimi viri, ki se lahko GD, pristojnemu za upravljanje, dodelijo v okviru postopka letne dodelitve virov glede na proračunske omejitve.

Evropska agencija za varnost omrežij (ENISA) bi lahko pomagala državam članicam in Komisiji pri izvajanju te direktive na podlagi svojega mandata in s prerazporeditvijo sredstev iz večletnega finančnega okvira za obdobje 2014–2020 za to agencijo, tj, brez dodatnih dodeljenih proračunskih ali človeških virov.

3.2.3.2.  Ocenjene potrebe po človeških virih

– ¨  Za predlog/pobudo niso potrebni človeški viri.

– þ  Za predlog/pobudo so potrebni človeški viri, kot je pojasnjeno v nadaljevanju:

Načeloma dodatna delovna sila ne bi bila potrebna. Potrebe po človeških virih bodo zelo omejene in se bodo krile z osebjem GD, ki mu je že zdaj zaupano upravljanje ukrepa.

ocena, izražena v celih številkah (ali na največ eno decimalno mesto natančno)

|| Leto 2015 || Leto 2016 || Leto 2017 || Leto 2018 || Naslednja leta (2019–2021) in naprej

Ÿ Delovna mesta v skladu s kadrovskim načrtom (uradniki in začasni uslužbenci)

09 01 01 01 (sedež ali predstavništva Komisije) || 4 || 4 || 4 || 4 || 4 || 4 || 4

XX 01 01 02 (delegacije) || || || || || || ||

XX 01 05 01 (posredne raziskave) || || || || || || ||

10 01 05 01 (neposredne raziskave) || || || || || || ||

Ÿ Zunanji sodelavci (v ekvivalentu polnega delovnega časa: EPDČ)[51]

09 01 02 01 (PU, ZU, NNS iz splošnih sredstev) || 1 || 1 || 1 || 1 || 1 || 1 || 1

XX 01 02 02 (PU, ZU, MSD, LU in NNS na delegacijah) || || || || || || ||

XX 01 04 yy[52] || – na sedežu[53] || || || || || || ||

– na delegacijah || || || || || || ||

XX 01 05 02 (PU, ZU, NNS za posredne raziskave) || || || || || || ||

10 01 05 02 (PU, ZU, NNS za neposredne raziskave) || || || || || || ||

Druge proračunske vrstice (navedite) || || || || || || ||

SKUPAJ || 5 || 5 || 5 || 5 || 5 || 5 || 5

XX je zadevno področje ali naslov.

Potrebe po človeških virih se krijejo z osebjem GD, že dodeljenim za upravljanje tega ukrepa in/ali prerazporejenim znotraj GD, po potrebi z dodatnimi viri, ki se lahko pristojnemu GD dodelijo v okviru postopka letne dodelitve virov glede na proračunske omejitve.

Evropska agencija za varnost omrežij (ENISA) bi lahko pomagala državam članicam in Komisiji pri izvajanju te direktive na podlagi trenutnega mandata in s prerazporeditvijo sredstev iz večletnega finančnega okvira za obdobje 2014–2020 za to agencijo, tj, brez dodatnih dodeljenih proračunskih ali človeških virov.

Opis nalog:

Uradniki in začasni uslužbenci || – priprava delegiranih aktov v skladu s členom 14 (3)                                                              – priprava izvedbenih aktov v skladu s členi 8, 9 (2), 12, 14(5) in 16 – prispevek k sodelovanju prek mreže tako na politični kot operativni ravni – sodelovanje pri mednarodnih razpravah in morebitnemu sklepanju mednarodnih sporazumov

Zunanji sodelavci || – po potrebi podpora vsem zgoraj navedenim nalogam

3.2.4.     Skladnost z veljavnim večletnim finančnim okvirom

– þ  Predlog/pobuda je v skladu z veljavnim večletnim finančnim okvirom.

– ¨  Za predlog/pobudo bo potrebna sprememba zadevnega razdelka večletnega finančnega okvira.

Ocenjene finančne posledice predloga za odhodke iz poslovanja predloga bodo nastale, če se države članice odločijo za prilagoditev obstoječe infrastrukture in za to v okviru večletnega finančnega okvira za obdobje 2014–2020 pooblastijo Komisijo. Povezani enkratni stroški bi bili kriti v okviru IPE, pod pogojem, da je na voljo dovolj sredstev. Druga možnost je, da si države članice delijo stroške prilagoditve infrastrukture ali stroške vzpostavitve nove infrastrukture.

– ¨  Za predlog/pobudo je potrebna uporaba instrumenta prilagodljivosti ali sprememba večletnega finančnega okvira[54].

Ni relevantno.

3.2.5.     Udeležba tretjih oseb pri financiranju

– V predlogu/pobudi ni načrtovano sofinanciranje tretjih oseb.

3.3.        Ocenjeni učinek na prihodke

– þ  Predlog/pobuda nima finančnih posledic za prihodke.

[1]               Javno spletno posvetovanje o „izboljšanju varnosti omrežij in informacij v EU“ je potekalo od 23. julija do 15. oktobra 2012.

[2]               Eurobarometer 390/2012.

[3]               COM(2001) 298.

[4]               COM(2006) 251, https://webgate.ec.testa.eu/docfinder/extern/aHR0cDovLw==/ZXVyLWxleC5ldXJvcGEuZXU=/LexUriServ/LexUriServ.do?uri=COM:2006:0251:FIN:SL:PDF.

[5]               2007/068/01.

[6]               COM(2009) 149.

[7]               2009/C 321/01.

[8]               COM(2010) 245.

[9]               Sklepi Sveta z dne 31. maja 2010 o evropski digitalni agendi (10130/10).

[10]             COM(2010) 2020 in sklepi Evropskega sveta z dne 25. in 26. marca 2010 (EUCO 7/10).

[11]             COM(2011) 163.

[12]             http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:SL:HTML.

[13]             COM(2010) 521.

[14]             Glej http://ec.europa.eu/information_society/policy/ecomm/doc/library/regframeforec_dec2009.pdf.

[15]             Člena 13a in 13b okvirne direktive.

[16]             Direktiva 2002/58 z dne 12. julija 2002.

[17]             COM(2012) 11.

[18]             COM(2006) 786, https://webgate.ec.testa.eu/docfinder/extern/aHR0cDovLw==/ZXVyLWxleC5ldXJvcGEuZXU=/LexUriServ/LexUriServ.do?uri=COM:2006:0786:FIN:SL:PDF.

[19]             COM(2010) 517 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:SL:PDF.

[20]             COM(2012) 140 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0140:FIN:SL:PDF.

[21]             http://europa.eu/rapid/press-release_MEMO-10-597_en.htm.

[22]             http://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/european-public-private-partnership-for-resilience-ep3r.

[23]             Uredba (ES) št. 460/2004 Evropskega Parlamenta in Sveta z dne 10. marca 2004 o ustanovitvi Evropske agencije za varnost omrežij in informacij (UL L 077, 13.3.2004, str. 1).

[24]               UL C […], […], str. […].

[25]               UL L 108, 24.4.2002, str. 33.

[26]               UL L 201, 31.7.2002, str. 37.

[27]               UL L 204, 21.7.1998, str. 37.

[28]               SEC(2012) 72 final.

[29]               UL L 316, 14.11.2012, str. 12.

[30]               UL L 55, 28.2.2011, str. 13.

[31]               UL L 145, 31.5.2001, str. 43.

[32]               UL L 345, 23.12.2008, str. 75.

[33]             UL L 281, 23.11.1995, str. 31.

[34]             SEC(2012) 72 final.

[35]             UL L 124, 20.5.2003, str. 36.

[36]             SEC(2012) 72 final.

[37]             ABM: upravljanje po dejavnostih – ABB: oblikovanje proračuna po dejavnostih.

[38]             Po členu 49(6)(a) oz. (b) finančne uredbe.

[39]             Pojasnitve načinov upravljanja in sklicevanje na finančno uredbo so na voljo na spletišču BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.htmlhttp://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[40]             Organi iz člena 185 finančne uredbe.

[41]             Dif. = diferencirana sredstva / nedif. = nediferencirana sredstva.

[42]             EFTA: Evropsko združenje za prosto trgovino.

[43]             Države kandidatke in po potrebi potencialne države kandidatke Zahodnega Balkana.

[44]             Leto N je leto začetka izvajanja predloga/pobude.

[45]             Tehnična in/ali upravna pomoč ter odhodki za podporo izvajanja programov in/ali ukrepov EU (prej vrstice BA), posredne raziskave, neposredne raziskave.

[46]             Leto N je leto začetka izvajanja predloga/pobude.

[47]             Realizacije so dobavljeni proizvodi in opravljene storitve (npr. število financiranih izmenjav študentov, število kilometrov novozgrajenih cest …).

[48]             Kakor je opisan v oddelku 1.4.2. „Posamezni cilji …“.

[49]             Leto N je leto začetka izvajanja predloga/pobude.

[50]             Tehnična in/ali upravna pomoč ter odhodki za podporo izvajanja programov in/ali ukrepov EU (prej vrstice BA), posredne raziskave, neposredne raziskave.

[51]             PU = pogodbeni uslužbenec; ZU = začasni uslužbenec; MSD = mladi strokovnjak na delegaciji; LU = lokalni uslužbenec; NNS = napoteni nacionalni strokovnjak.

[52]             V okviru zgornje meje za zunanje sodelavce iz odobritev za poslovanje (prej vrstice BA).

[53]             Zlasti za strukturna sklada, Evropski kmetijski sklad za razvoj podeželja (EKSRP) in Evropski sklad za ribištvo (ESR).

[54]             Glej točki 19 in 24 Medinstitucionalnega sporazuma.