16.6.2016   

SL

Uradni list Evropske unije

C 218/31

1.

Komisija je 12. februarja 2013 posredovala predlog direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven varnosti omrežij in informacij v Uniji (v nadaljnjem besedilu: direktiva), kot pravno podlago pa določila člen 114 PDEU.

2.

Evropski ekonomsko-socialni odbor je o mnenju glasoval 22. maja 2013, Odbor regij pa 3. in 4. julija 2013.

3.

Evropski parlament je 13. marca 2014 (1) izglasoval zakonodajno resolucijo v prvi obravnavi in pri tem sprejel 138 sprememb.

4.

Svet in Evropski parlament sta oktobra 2014 začela pogajanja za dosego čim hitrejšega dogovora v drugi obravnavi. Pogajanja so se uspešno zaključila 7. decembra 2015, ko sta Evropski parlament in Svet dosegla začasni dogovor o kompromisnem besedilu.

5.

Odbor stalnih predstavnikov je 18. decembra 2015 potrdil kompromisno besedilo direktive, o katerem sta se dogovorili instituciji.

6.

Predsednica Odbora Evropskega parlamenta za notranji trg in varstvo potrošnikov (IMCO) je 28. januarja 2016 predsedniku Odbora stalnih predstavnikov poslala pismo, v katerem navaja, da bo – če bo Svet po dogovoru Evropskemu parlamentu uradno poslal svoje stališče – na plenarnem zasedanju priporočila, naj Parlament v drugi obravnavi brez sprememb sprejme stališče Sveta, potem ko ga bodo pregledali pravniki lingvisti.

7.

Svet je 29. februarja 2016 potrdil politični dogovor o kompromisnem besedilu direktive.

8.

Iz izida pogajanj sledi, da ta direktiva določa ukrepe za doseganje visoke skupne ravni varnosti omrežij in informacijskih sistemov v Evropski uniji, da bi izboljšali delovanje notranjega trga.

9.

Evropski parlament in Svet sta po glasovanju na plenarnem zasedanju opravila pogajanja, da bi na podlagi stališča Sveta iz prve obravnave sklenila dogovor v drugi obravnavi, ki bi ga lahko kot takega odobril Parlament. Besedilo stališča Sveta iz prve obravnave v celoti odraža kompromis, ki sta ga dosegla sozakonodajalca.

10.

Spodaj so predstavljeni glavni elementi kompromisa, doseženega z Evropskim parlamentom:

11.

Države članice imajo v skladu s kompromisom določene obveznosti v zvezi z nacionalnimi zmogljivostmi na področju kibernetske varnosti. Prvič, države članice morajo sprejeti nacionalne strategije, v katerih določijo strateške cilje ter ustrezne ukrepe politike in regulativne ukrepe, da bi dosegle in vzdrževale visoko raven varnosti omrežij in informacijskih sistemov.

12.

Drugič, države članice določijo po enega ali več pristojnih nacionalnih organov za varnost omrežij in informacijskih sistemov za spremljanje uporabe direktive na nacionalni ravni.

13.

Tretjič, države članice morajo imenovati tudi nacionalne enotne kontaktne točke za varnost omrežij in informacijskih sistemov, ki imajo povezovalno vlogo in tako zagotavljajo čezmejno sodelovanje organov države članice z ustreznimi organi drugih držav članic ter s skupino za sodelovanje in mrežo skupin CSIRT. Enotne kontaktne točke poleg tega predložijo skupini za sodelovanje letno poročilo o prejetih priglasitvah

14.

Četrtič, države članice določijo po eno ali več skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT). Zahteve za skupine CSIRT in njihove naloge so v kompromisnem besedilu določene v Prilogi I.

15.

Da bi podprli in olajšali strateško sodelovanje med državami članicami, okrepili zaupanje ter dosegli visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji, se s kompromisnim besedilom ustanovi skupina za sodelovanje. Skupina bo sestavljena iz predstavnikov držav članic, Komisije in Agencije Evropske unije za varnost omrežij in informacij (ENISA), podeljene pa ji bodo posebne naloge, navedene v besedilu, kot je izmenjava najboljših praks in informacij o različnih vprašanjih ali razprava o zmogljivostih in pripravljenosti držav članic.

16.

Da bi prispevali h krepitvi zaupanja med državami članicami ter spodbudili hitro in učinkovito operativno sodelovanje, se s kompromisom poleg tega ustanovi mreža nacionalnih skupin CSIRT. Mrežo bodo sestavljali predstavniki skupin CSIRT držav članic in CERT-EU, Komisija pa bo v mreži sodelovala kot opazovalka. ENISA bo zagotovila sekretariat in dejavno podpirala sodelovanje med skupinami CSIRT. V besedilu je naveden seznam nalog, ki naj bi jih izvajala mreža, kot so izmenjava informacij o storitvah, dejavnostih in zmogljivostih za sodelovanje skupin CSIRT, podpora državam članicam pri obravnavi čezmejnih incidentov ali, pod določenimi pogoji, izmenjava in obravnava informacij o incidentih in z njimi povezanih tveganjih.

17.

Direktiva določa nekatere obveznosti za dve skupini tržnih akterjev: izvajalce osnovnih storitev in ponudnike digitalnih storitev.

18.

V Prilogi II k direktivi je naštetih več sektorjev, pomembnih za družbo in gospodarstvo, in sicer sektorji energije, prometa, bančništva, infrastrukture finančnega trga, zdravja, oskrbe s pitno vodo in njene distribucije ter digitalne infrastrukture. Države članice bodo na podlagi natančnih meril iz direktive določile izvajalce osnovnih storitev v teh sektorjih.

19.

V Prilogi III k direktivi so naštete vrste digitalnih storitev, katerih ponudniki bodo morali izpolnjevati zahteve iz direktive: spletne tržnice, spletni iskalniki in storitve računalništva v oblaku. Vsi ponudniki digitalnih storitev, ki ponujajo naštete storitve, bodo morali izpolnjevati zahteve iz direktive, z izjemo mikro- in malih podjetij.

20.

Obe skupini tržnih akterjev bosta morali sprejemati organizacijske in tehnične ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov ter za preprečitev in zmanjšanje vpliva incidentov, ki vplivajo na varnost teh sistemov. Poleg tega bo treba incidente, ki v določeni meri vplivajo na zadevne storitve, priglasiti pristojnim nacionalnim organom ali skupini CSIRT. V direktivi so opredeljena merila, na podlagi katerih se določi stopnja vpliva takih incidentov.

21.

V direktivi je sprejet ločen pristop v zvezi z zadevnima kategorijama akterjev. Varnostne zahteve in zahteve glede priglasitve so manj stroge za ponudnike digitalnih storitev kot za izvajalce osnovnih storitev, kar je v skladu s stopnjo tveganja, ki bi ga motnje v njihovih storitvah pomenile za družbo in gospodarstvo. Ponudniki digitalnih storitev so pogosto dejavni v več državah članicah, zato direktiva zaradi zagotovitve visoke stopnje harmonizacije državam članicam preprečuje uvedbo vsakršnih dodatnih varnostnih zahtev ali zahtev glede priglasitve za zadevne ponudnike.

22.

Poleg tega je v kompromisnem besedilu predvideno, da lahko subjekti, ki niso bili določeni kot izvajalci osnovnih storitev in niso ponudniki digitalnih storitev, prostovoljno priglasijo nekatere incidente.

23.

Države članice bodo morale direktivo prenesti najpozneje 21 mesecev po začetku njene veljavnosti, nato pa bodo imele še šest mesecev časa, da določijo svoje izvajalce osnovnih storitev.

24.

Stališče Sveta v celoti odraža kompromis, dosežen v pogajanjih med Evropskim parlamentom in Svetom ob soglasju Komisije. Kompromisni dogovor je bil potrjen s pismom, ki ga je predsednica Odbora IMCO 28. januarja 2016 poslala predsedniku Odbora stalnih predstavnikov.