obveznosti, ki od držav članic zahtevajo, da sprejmejo nacionalne strategije za kibernetsko varnost in imenujejo ali ustanovijo pristojne organe, organe za obvladovanje kibernetskih kriz, enotne kontaktne točke za kibernetsko varnost (v nadaljnjem besedilu: enotne kontaktne točke) in skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT);

ukrepe za obvladovanja tveganj za kibernetsko varnost in obveznosti poročanja za subjekte vrste iz Priloge I ali II, kot tudi za subjekte, ki so identificirani kot kritični subjekti na podlagi Direktive (EU) 2022/2557;

pravila in obveznosti glede izmenjave informacij o kibernetski varnosti;

obveznosti nadzora in izvrševanja za države članice.

storitve opravljajo:

je subjekt edini ponudnik storitve, ki je bistvena za ohranjanje kritičnih družbenih ali gospodarskih dejavnosti, v državi članici;

bi motnja pri opravljanju storitve subjekta lahko pomembno vplivala na javni red, javno varnost ali javno zdravje;

bi motnja pri opravljanju storitve subjekta lahko povzročila pomembno sistemsko tveganje, zlasti za sektorje, v katerih bi lahko taka motnja imela čezmejni vpliv;

je subjekt kritičen zaradi njegovega posebnega pomena na nacionalni ali regionalni ravni za določen sektor ali vrsto storitve ali za druge medsebojno odvisne sektorje v državi članici;

gre za subjekt javne uprave:

subjekte javne uprave na lokalni ravni;

izobraževalne ustanove, zlasti kadar izvajajo kritične raziskovalne dejavnosti.

subjekti vrste iz Priloge I, ki presegajo zgornje meje za srednja podjetja, določene v členu 2(1) Priloge k Priporočilu 2003/361/ES;

ponudniki kvalificiranih storitev zaupanja in registri vrhnjih domenskih imen ter ponudniki storitev DNS, ne glede na njihovo velikost;

ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki se štejejo za srednja podjetja na podlagi člena 2 Priloge k Priporočilu 2003/361/ES;

subjekti javne uprave iz člena 2(2), točka (f)(i);

vsi drugi subjekti vrste iz Priloge I ali II, ki jih država članica identificira kot bistvene subjekte na podlagi člena 2(2), točke (b) do (e);

subjekti, identificirani kot kritični subjekti na podlagi Direktive (EU) 2022/2557, iz člena 2(3) te direktive;

če država članica tako določi, subjekti, ki jih je ta država članica pred 16. januarjem 2023 določila kot izvajalce bistvenih storitev v skladu z Direktivo (EU) 2016/1148 ali nacionalnim pravom.

ime subjekta;

naslov in ažurne kontaktne podatke, vključno z elektronskimi naslovi, dodeljenimi bloki naslovov IP in telefonskimi številkami;

po potrebi ustrezen sektor in podsektor iz Priloge I ali II ter

po potrebi seznam držav članic, v katerih opravljajo storitve, ki spadajo na področje uporabe te direktive.

Komisijo in skupino za sodelovanje o številu bistvenih in pomembnih subjektov, ki so na seznamu na podlagi odstavka 3, za vsak sektor in podsektor iz Priloge I ali II ter

Komisijo o ustreznih informacijah o številu bistvenih in pomembnih subjektov, identificiranih na podlagi člena 2(2), točke (b) do (e), sektorju in podsektorju iz Priloge I ali II, ki jim pripadajo, vrsti storitev, ki jih opravljajo, ter opravljanju storitev iz člena 2(2), točke (b) do (e), na podlagi katerih so bili identificirani.

imajo ukrepi za obvladovanje tveganj za kibernetsko varnost vsaj enakovreden učinek kot ukrepi iz člena 21(1) in (2) ali

sektorski pravni akt Unije določa takojšen, po potrebi samodejen in neposreden, dostop do priglasitev incidentov za skupine CSIRT, pristojne organe ali enotne kontaktne točke iz te direktive, in kadar so zahteve za priglasitev pomembnih incidentov po učinku vsaj enakovredne tistim iz člena 23(1) do (6) te direktive.

cilji in prednostne naloge strategije držav članic za kibernetsko varnost, ki zajemajo zlasti sektorje iz prilog I in II;

okvir upravljanja za doseganje ciljev in prednostnih nalog iz točke (a) tega odstavka, vključno s politikami iz odstavka 2;

okvir upravljanja, ki pojasnjuje vloge in odgovornosti ustreznih zainteresiranih strani na nacionalni ravni ter podpira sodelovanje in usklajevanje na nacionalni ravni med pristojnimi organi, enotnimi kontaktnimi točkami in skupinami CSIRT iz te direktive, pa tudi usklajevanje in sodelovanje med temi organi in pristojnimi organi na podlagi sektorskih pravnih aktov Unije;

mehanizem za opredelitev ustreznih sredstev in oceno tveganj v zadevni državi članici;

opredelitev ukrepov za zagotovitev pripravljenosti na odzivanja na incidente in okrevanja po njih, vključno s sodelovanjem med javnim in zasebnim sektorjem;

seznam različnih organov in deležnikov, vključenih v izvajanje nacionalne strategije za kibernetsko varnost;

okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in pristojnimi organi iz Direktive (EU) 2022/2557 za namene izmenjave informacij o tveganjih, kibernetskih grožnjah in incidentih ter o nekibernetskih tveganjih, grožnjah in incidentih ter izvajanju nadzornih nalog, kot je ustrezno;

načrt, vključno s potrebnimi ukrepi, za povečanje splošne ozaveščenosti državljanov o kibernetski varnosti.

obravnavanja kibernetske varnosti v dobavni verigi proizvodov IKT in storitev IKT, ki jih subjekti uporabljajo za opravljanje svojih storitev;

o vključitvi in specifikaciji zahtev za proizvode IKT in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo, vključno v zvezi s certificiranjem kibernetske varnosti, šifriranjem in uporabo odprtokodnih proizvodov za kibernetsko varnost;

obvladovanja ranljivosti, vključno s spodbujanjem in omogočanjem usklajenega razkrivanja ranljivosti na podlagi člena 12(1);

povezane z ohranjanjem splošne razpoložljivosti, celovitosti in zaupnosti javnega jedra odprtega interneta, vključno, kadar je to ustrezno, s kibernetsko varnostjo podmorskih komunikacijskih kablov;

spodbujanja razvoja in vključevanja ustreznih naprednih tehnologij za izvajanje najsodobnejših ukrepov za obvladovanje tveganj na področju kibernetske varnosti;

spodbujanja in razvoja izobraževanja in usposabljanja na področju kibernetske varnosti, spretnosti na področju kibernetske varnosti, dviganja ozaveščanja ter raziskovalnih in razvojnih pobud na področju kibernetske varnosti ter smernic o dobrih praksah in nadzoru kibernetske higiene, namenjenih državljanom, deležnikom in subjektom;

podpiranja akademskih in raziskovalnih institucij pri razvoju, izboljševanju in spodbujanju uvajanja orodij kibernetske varnosti in varne omrežne infrastrukture;

vključevanja ustreznih postopkov in primernih orodij za izmenjavo informacij za podpiranje prostovoljne izmenjave informacij o kibernetski varnosti med subjekti v skladu s pravom Unije;

krepitve kibernetske odpornosti in osnovne kibernetske higiene malih in srednjih podjetij, zlasti tistih, ki so izključena s področja uporabe te direktive, z zagotavljanjem lahko dostopnih smernic in pomoči za njihove posebne potrebe;

spodbujanja aktivne kibernetske zaščite.

cilji nacionalnih ukrepov in dejavnosti za pripravljenost;

naloge in odgovornosti organov za obvladovanje kibernetskih kriz;

postopki za obvladovanje kibernetskih kriz, vključno z njihovo vključitvijo v splošni nacionalni okvir za obvladovanje kriz, in kanali za izmenjavo informacij;

nacionalni ukrepi za pripravljenost, vključno z vajami in dejavnostmi usposabljanja;

ustrezni javni in zasebni deležniki ter vključena infrastruktura;

nacionalni postopki in ureditve med ustreznimi nacionalnimi organi za zagotovitev učinkovitega sodelovanja države članice pri usklajenem obvladovanju kibernetskih incidentov velikih razsežnosti in kriz na ravni Unije ter njegove podpore.

skupine CSIRT zagotavljajo visoko stopnjo razpoložljivosti svojih komunikacijskih kanalov, tako da preprečujejo posamezne točke odpovedi, in imajo na voljo več načinov, na katere se drugi lahko kadar koli obrnejo nanje in one obrnejo na druge; jasno opredelijo komunikacijske kanale ter o njih obvestijo uporabnike in partnerje;

prostori skupin CSIRT in podporni informacijski sistemi se nahajajo na varnih krajih;

skupine CSIRT imajo ustrezen sistem za upravljanje in usmerjanje zahtevkov, zlasti da se poenostavi njihova učinkovita in uspešna predaja;

skupine CSIRT zagotovijo zaupnost in zanesljivost svojih dejavnosti;

skupine CSIRT imajo dovolj osebja za zagotavljanje neprekinjene razpoložljivosti storitev, pri čemer zagotavljajo, da je to osebje ustrezno usposobljeno;

skupine CSIRT imajo redundantne sisteme in nadomestni delovni prostor, da se zagotovi neprekinjeno izvajanje njihovih storitev.

spremljanje in analiziranje kibernetskih groženj, ranljivosti in incidentov na nacionalni ravni ter, na zahtevo, pomoč zadevnim bistvenim in pomembnim subjektom v zvezi s spremljanjem njihovih omrežnih in informacijskih sistemov v realnem času ali v skoraj realnem času;

zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o kibernetskih grožnjah, ranljivostih in incidentih zadevnim bistvenim in pomembnim subjektom ter pristojnim organom in drugim ustreznim deležnikom, če je mogoče v skoraj realnem času;

odzivanje na incidente in zagotavljanje pomoči zadevnim bistvenim in pomembnim subjektom, kadar je to potrebno;

zbiranje in analiziranje forenzičnih podatkov in opravljanje dinamičnih analiz tveganja in incidentov ter situacijsko zavedanje na področju kibernetske varnosti;

opravljanje, na zahtevo bistvenega ali pomembnega subjekta, proaktivnega pregleda omrežnih in informacijskih sistemov zadevnega subjekta, da se odkrijejo ranljivosti, ki bi lahko imele pomemben vpliv;

sodelovanje v mreži skupin CSIRT in zagotavljanje medsebojne pomoči v skladu z zmožnostmi in pristojnostmi drugim članicam mreže skupin CSIRT na njihovo zahtevo;

kadar je ustrezno, vlogo koordinatorja za namene postopka usklajenega razkrivanja ranljivosti iz člena 12(1);

prispevek k uporabi orodij za varno izmenjavo informacij na podlagi člena 10(3).

postopki obvladovanja incidentov;

obvladovanjem kriz ter

usklajenim razkrivanjem ranljivosti na podlagi člena 12(1).

identifikacijo zadevnih subjektov in vzpostavitev stika z njimi;

podpiranje fizičnih ali pravnih oseb, ki poročajo o ranljivosti, in

pogajanja o časovnicah razkrivanja in obvladovanju ranljivosti, ki vplivajo na več subjektov.

informacije, ki opisujejo ranljivost;

prizadeti proizvodi IKT ali storitve IKT ter resnost ranljivosti v smislu okoliščin, v katerih jo je mogoče izkoristiti;

razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, ki jih določijo pristojni organi ali skupine CSIRT, naslovljene na uporabnike proizvodov IKT in storitev IKT z ranljivostmi, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih ranljivosti.

zagotavljanje usmeritev pristojnim organom v zvezi s prenosom in izvajanjem te direktive;

zagotavljanje usmeritev pristojnim organom v zvezi z razvojem in izvajanjem politik za usklajeno razkrivanje ranljivosti iz člena 7(2), točka (c);

izmenjava dobrih praks in informacij v zvezi z izvajanjem te direktive, vključno v zvezi s kibernetskimi grožnjami, incidenti, ranljivostmi, skorajšnjimi incidenti, pobudami za ozaveščanje, usposabljanjem, vajami ter znanji in spretnostmi, krepitvijo zmogljivosti, standardi in tehničnimi specifikacijami, pa tudi v zvezi z identifikacijo bistvenih in pomembnih subjektov na podlagi člena 2(2), točke (b) do (e);

izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah politike na področju kibernetske varnosti in splošne skladnosti sektorskih zahtev glede kibernetske varnosti;

izmenjava nasvetov in sodelovanje s Komisijo pri pripravi osnutkov delegiranih ali izvedbenih aktov, sprejetih na podlagi te direktive;

izmenjava dobrih praks in informacij z ustreznimi institucijami, organi, uradi in agencijami Unije;

izmenjava mnenj o izvajanju sektorskih pravnih aktov Unije, ki vsebujejo določbe o kibernetski varnosti;

po potrebi obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 19(9) ter priprava ugotovitev in priporočil;

izvajanje usklajenih ocen tveganja za varnost za kritične dobavne verige v skladu s členom 22(1);

obravnavanje primerov medsebojne pomoči, tudi izkušenj in rezultatov skupnih čezmejnih nadzornih dejavnosti iz člena 37;

obravnavanje posebnih prošenj za medsebojno pomoč iz člena 37 na zahtevo ene ali več zadevnih držav članic;

zagotavljanje strateških usmeritev mreži skupin CSIRT in mreži EU-CyCLONe o posebnih porajajočih se vprašanjih;

izmenjava mnenj o politiki nadaljnjih ukrepov po kibernetskih incidentih velikih razsežnosti in krizah na podlagi pridobljenih izkušenj mreže skupin CSIRT in mreže EU-CyCLONe;

prispevanje k zmogljivostim za kibernetsko varnost v Uniji z olajšanjem izmenjave nacionalnih uradnikov v okviru programa krepitve zmogljivosti, ki vključuje osebje iz pristojnih organov ali skupin CSIRT;

organizacija rednih sestankov z ustreznimi zasebnimi deležniki iz vse Unije za razpravljanje o dejavnostih, ki jih izvaja skupina za sodelovanje, in zbiranje informacij o nastajajočih izzivih politike;

obravnavanje dela, opravljenega v zvezi z vajami na področju kibernetske varnosti, vključno z delom, ki ga je opravila ENISA;

določitev metodologije in organizacijskih vidikov medsebojnih strokovnih pregledov iz člena 19(1) ter določitev metodologije samoocenjevanja za države članice v skladu s členom 19(5), ob pomoči Komisije in ENISA, ter v sodelovanju s Komisijo in ENISA oblikovanje kodeksov ravnanja, na katerih temeljijo delovne metode imenovanih strokovnjakov za kibernetsko varnost v skladu s členom 19(6);

priprava poročil za namene pregleda iz člena 40 o izkušnjah, pridobljenih na strateški ravni in pri medsebojnih strokovnih pregledih;

obravnavanje in redno ocenjevanje stanja kibernetskih groženj ali incidentov, kot je izsiljevalsko programje.

izmenjava informacij o zmogljivostih skupin CSIRT;

omogočanje souporabe, prenosa in izmenjave tehnologije ter ustreznih ukrepov, politik, orodij, postopkov, primerov dobre prakse in okvirov med skupinami CSIRT;

izmenjava ustreznih informacij o incidentih, skorajšnjih incidentih, kibernetskih grožnjah, tveganjih in ranljivostih;

izmenjava informacij v zvezi s publikacijami in priporočili o kibernetski varnosti;

zagotavljanje interoperabilnosti v zvezi s specifikacijami in protokoli za izmenjavo informacij;

na prošnjo člana mreže skupin CSIRT, na katero bi lahko vplival določen incident, izmenjava in obravnavanje informacij v zvezi s tem incidentom ter z njim povezanimi kibernetskimi grožnjami, tveganji in ranljivostmi;

na prošnjo člana mreže skupin CSIRT, obravnavanje in po možnosti izvajanje usklajenega odziva na incident, ki je bil identificiran na ozemlju v pristojnosti zadevne države članice;

zagotavljanje pomoči državam članicam pri obravnavanju čezmejnih incidentov v skladu s to direktivo;

sodelovanje, izmenjava primerov najboljših praks in zagotavljanje pomoči skupinam CSIRT, imenovanim za koordinatorje na podlagi člena 12(1) v zvezi z upravljanjem razkrivanja ranljivosti, ki bi lahko pomembno vplivale na subjekte v več kot eni državi članici;

obravnavanje in določitev nadaljnjih oblik operativnega sodelovanja, tudi glede:

obveščanje skupine za sodelovanje o svojih dejavnostih in nadaljnjih oblikah operativnega sodelovanja, obravnavanih v skladu s točko (j), ter po potrebi prošnja za usmeritve v zvezi s tem;

pregled vaj na področju kibernetske varnosti, vključno s tistimi, ki jih organizira ENISA;

na prošnjo posamezne skupine CSIRT obravnavanje zmogljivosti in pripravljenosti te skupine CSIRT;

sodelovanje in izmenjava informacij s centri za varnostne operacije na regionalni ravni in ravni Unije za izboljšanje skupnega situacijskega zavedanja na področju incidentov in kibernetskih groženj po vsej Uniji;

po potrebi obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 19(9);

določitev smernic za olajšanje konvergence operativnih praks glede uporabe določb tega člena v zvezi z operativnim sodelovanjem.

zviševanje ravni pripravljenosti za obvladovanje kibernetskih incidentov velikih razsežnosti in kriz;

razvoj skupnega situacijskega zavedanja o kibernetskih incidentih velikih razsežnosti in krizah;

ocenjevanje posledic in vpliva relevantnih kibernetskih incidentov velikih razsežnosti in kriz ter predlaganje morebitnih blažilnih ukrepov;

usklajevanje obvladovanja kibernetskih incidentov velikih razsežnosti in kriz ter podpiranje odločanja na politični ravni v zvezi s takimi incidenti in krizami;

obravnavanje nacionalnih načrtov za odzivanje iz člena 9(4) na kibernetske incidente velikih razsežnosti in krize na zahtevo zadevne države članice.

oceno tveganja za kibernetsko varnost na ravni Unije, pri čemer se upošteva splošna kibernetska ogroženost;

oceno razvoja zmogljivosti za kibernetsko varnost v javnem in zasebnem sektorju po vsej Uniji;

oceno splošne ravni ozaveščenosti o kibernetski varnosti in kibernetske higiene med državljani in subjekti, vključno z malimi in srednjimi podjetji;

skupno oceno na podlagi rezultatov medsebojnih strokovnih pregledov iz člena 19;

skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost in sredstev po vsej Uniji, tudi tistih na sektorski ravni, ter stopnjo usklajenosti nacionalnih strategij držav članic za kibernetsko varnost.

politike o analizi tveganja in varnosti informacijskih sistemov;

obvladovanje incidentov;

neprekinjeno poslovanje, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz;

varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev;

varnost pri pridobivanju, razvoju in vzdrževanju omrežnih in informacijskih sistemov, vključno z obravnavanjem in razkrivanjem ranljivosti;

politike in postopke za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;

osnovne prakse kibernetske higiene in usposabljanje na področju kibernetske varnosti;

politike in postopke v zvezi z uporabo kriptografije in po potrebi šifriranjem;

varnost človeških virov, politike nadzora dostopa in upravljanje sredstev;

uporaba večfaktorske avtentikacije ali rešitev neprekinjene avtentikacije, varovanih glasovnih, video in besedilnih komunikacij in varnih sistemov za komunikacije v sili znotraj subjekta, kadar je to primerno.

je zadevnemu subjektu povzročil ali bi mu lahko povzročil znatne operativne motnje pri opravljanju storitev ali finančne izgube;

je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.

brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po seznanitvi z incidentom, zgodnje opozorilo, iz katerega je po potrebi razvidno, ali je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem ali bi lahko imel čezmejni vpliv;

brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po seznanitvi s pomembnim incidentom, priglasitev incidenta, s katero se po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter, kadar so na voljo, kazalniki ogroženosti;

na zahtevo skupine CSIRT ali po potrebi pristojnega organa vmesno poročilo o ustreznih posodobitvah stanja;

končno poročilo, najpozneje v enem mesecu po predložitvi priglasitve incidenta iz točke (b), ki vključuje naslednje:

v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) še vedno v teku, bi morale države članice poskrbeti, da subjekti takrat predložijo poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta.

se za ponudnike javnih elektronskih komunikacijskih omrežij ali ponudnike javno dostopnih elektronskih komunikacijskih storitev šteje, da spadajo v pristojnost države članice, v kateri zagotavljajo svoje storitve;

se za ponudnike storitev DNS, registre TLD imen, subjekte, ki opravljajo storitve registracije domenskih imen, ponudnike storitev računalništva v oblaku, ponudnike storitev podatkovnih centrov, ponudnike omrežij za dostavo vsebine, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev ter ponudnike spletnih tržnic, spletnih brskalnikov in platform za storitve družbenega mreženja šteje, da spadajo v pristojnost države članice, v kateri imajo glavni sedež v Uniji v skladu z odstavkom 2;

se za subjekte javne uprave šteje, da spadajo v pristojnost države članice, ki jih je ustanovila.

ime subjekta;

ustrezni sektor, podsektor in vrsto subjekta iz Priloge I ali II, kadar je to ustrezno;

naslov njegovega glavnega sedeža in njegovih drugih zakonitih sedežev v Uniji ali, če nima sedeža v Uniji, njegovega predstavnika, imenovanega v skladu s členom 26(3);

posodobljene kontaktne podatke, vključno z elektronskimi naslovi in telefonskimi številkami subjekta in po potrebi njegovega zastopnika, imenovanega v skladu s členom 26(3);

države članice, v katerih subjekt opravlja storitve, ter

bloke naslovov IP subjekta.

domensko ime;

datum registracije;

ime registratorja, njegov kontaktni elektronski naslov in telefonsko številko;

kontaktni elektronski naslov in telefonsko številko kontaktne točke, ki upravlja domensko ime, če se razlikuje od naslova registratorja.

stremi k preprečevanju in odkrivanju incidentov, odzivanju nanje ali okrevanju po njih ali k ublažitvi njihovega vpliva;

zvišuje raven kibernetske varnosti, zlasti z ozaveščanjem v zvezi s kibernetskimi grožnjami, omejevanjem ali oviranjem zmožnosti širjenja takih groženj, podpiranjem vrste obrambnih zmogljivosti, odpravljanjem in razkrivanjem ranljivosti, tehnikami odkrivanja, omejevanja in preprečevanja groženj, strategijami za zmanjšanje tveganja ali fazami odzivanja in okrevanja ali spodbujanjem sodelovanja med javnimi in zasebnimi subjekti pri raziskovanju kibernetskih groženj.

bistveni in pomembni subjekti v zvezi z incidenti, kibernetskimi grožnjami in skorajšnjimi incidenti;

subjekti, razen tistih iz točke (a), ne glede na to, ali spadajo na področje uporabe te direktive, v zvezi s pomembnimi incidenti, kibernetskimi grožnjami in skorajšnjimi incidenti.

opravijo inšpekcijske preglede na kraju samem in nadzor na daljavo, vključno z naključnimi pregledi, ki jih izvedejo usposobljeni strokovnjaki;

opravijo redne in ciljno usmerjene revizije varnosti, ki jih izvede neodvisni subjekt ali pristojni organ;

opravijo priložnostne revizije, tudi ko je to utemeljeno zaradi pomembnega incidenta ali kršitve te direktive s strani bistvenega subjekta;

opravijo varnostne preglede, ki temeljijo na objektivnih, nediskriminatornih, poštenih in preglednih merilih za oceno tveganja, pri čemer po potrebi sodelujejo z zadevnim subjektom;

zahtevajo informacije, ki jih potrebujejo za oceno ukrepov za obvladovanje tveganj za kibernetsko varnost, ki jih je sprejel zadevni subjekt, vključno z dokumentiranimi politikami na področju kibernetske varnosti, in izpolnjevanje obveznosti predložitve informacij pristojnim organom v skladu s členom 27;

zahtevajo dostop do podatkov, dokumentov in informacij, potrebnih za opravljanje njihovih nadzornih nalog;

zahtevajo dokaze o izvajanju politik na področju kibernetske varnosti, kot so rezultati revizij varnosti, ki jih izvede usposobljen revizor, in ustrezni dokazi v zvezi z njimi.

izdajo opozorila o kršitvah te direktive s strani zadevnih subjektov;

sprejmejo zavezujoča navodila, tudi v zvezi z ukrepi za preprečitev ali odpravo incidenta, roki za njihovo izvedbo in poročanjem o tem, ali odredbo, s katero od zadevnih subjektov zahtevajo, da odpravijo ugotovljene pomanjkljivosti ali kršitve te direktive

zadevnim subjektom odredijo, naj prenehajo z ravnanjem, ki krši to direktivo, in naj tega ravnanja ne ponovijo več;

zadevnim subjektom odredijo, naj na določen način in v določenem roku poskrbijo, da bodo njihovi ukrepi za obvladovanje tveganj za kibernetsko varnost v skladu s členom 21, oz. naj izpolnijo obveznosti poročanja iz člena 23;

zadevnim subjektom odredijo, naj obvestijo fizične ali pravne osebe, v zvezi s katerimi opravljajo storitve ali izvajajo dejavnosti, na katere bi lahko vplivala pomembna kibernetska grožnja, o naravi grožnje, pa tudi o vseh mogočih zaščitnih ali popravnih ukrepih, ki jih lahko te fizične ali pravne osebe sprejmejo v odziv na to grožnjo;

zadevnim subjektom odredijo, naj v razumnem roku izvedejo priporočila, dana na podlagi revizije varnosti;

imenujejo uradnika za spremljanje z natančno opredeljenimi nalogami v določenem obdobju, ki spremlja izpolnjevanje členov 21 in 23 s strani zadevnih subjektov;

zadevnim subjektom odredijo, naj na določen način objavijo kršitve te direktive;

naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalnim pravom naložijo upravno globo na podlagi člena 34, poleg katerega koli od ukrepov iz točk (a) do (h) tega odstavka.

začasno prekličejo ali od certifikacijskega organa, organa, pristojnega za izdajo dovoljenj, ali od sodišča v skladu z nacionalnim pravom zahtevajo, naj začasno prekliče certifikat ali dovoljenje za del ustreznih storitev ali dejavnosti ali vse storitve ali dejavnosti, ki jih opravlja bistveni subjekt;

zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalnim pravom začasno prepovejo opravljanje vodstvenih funkcij vsem osebam, ki za bistveni subjekt opravljajo poslovodne naloge na ravni glavnega izvršnega direktorja ali pravnega zastopnika.

resnost kršitve in pomembnost kršenih določb, pri čemer se morajo za resne kršitve med drugim v vsakem primeru šteti:

trajanje kršitve;

vse relevantne predhodne kršitve zadevnega subjekta;

vsako povzročeno premoženjsko ali nepremoženjsko škodo, vključno s finančnimi ali gospodarskimi izgubami, učinki na druge storitve in številom prizadetih uporabnikov;

morebitno naklepnost ali malomarnost storilca kršitve;

vse ukrepe, ki jih je subjekt sprejel za preprečevanje ali zmanjšanje premoženjske ali nepremoženjske škode;

vsako upoštevanje odobrenih kodeksov ravnanja ali odobrenih mehanizmov certificiranja;

raven sodelovanja fizičnih ali pravnih oseb, ki se štejejo za odgovorne, s pristojnimi organi.

opravijo inšpekcijske preglede na kraju samem in naknadni nadzor na daljavo, ki jih izvedejo usposobljeni strokovnjaki;

opravijo ciljno usmerjene revizije varnosti, ki jih izvede neodvisni subjekt ali pristojni organ;

opravijo revizije varnosti, ki temeljijo na objektivnih, nediskriminatornih, poštenih in preglednih merilih za oceno tveganja, pri čemer po potrebi sodelujejo z zadevnim subjektom;

zahtevajo informacije, ki jih potrebujejo za oceno ukrepov za obvladovanje tveganj za kibernetsko varnost, ki jih je sprejel zadevni subjekt, vključno z dokumentiranimi politikami na področju kibernetske varnosti, in izpolnjevanje obveznosti obveščanja pristojnih organov v skladu s členom 27;

zahtevajo dostop do podatkov, dokumentov in informacij, potrebnih za opravljanje njihovih nadzornih nalog;

zahtevajo dokaze o izvajanju politik na področju kibernetske varnosti, kot so rezultati revizije varnosti, ki jih je izvedel usposobljen revizor, in ustrezni dokazi v zvezi z njimi.

izdajo opozorila o subjektovem neizpolnjevanju obveznosti, določenih v tej direktivi;

sprejmejo zavezujoča navodila ali odredbo, s katero od zadevnih subjektov zahtevajo, da odpravijo ugotovljene pomanjkljivosti ali kršitev obveznosti, določenih v tej direktivi;

zadevnim subjektom odredijo, naj prenehajo z ravnanjem, ki ni skladno z obveznostmi, določenimi v tej direktivi, in naj tega ravnanja ne ponovijo več;

zadevnim subjektom odredijo, naj na določen način in v določenem roku poskrbijo, da bodo njihovi ukrepi za obvladovanje tveganj za kibernetsko varnost v skladu s členom 21, ali naj izpolnijo obveznosti poročanja iz člena 23;

zadevnim subjektom odredijo, naj obvestijo fizične ali pravne osebe, za katere opravljajo storitve ali dejavnosti, na katere bi lahko vplivala pomembna kibernetska grožnja, o naravi grožnje, pa tudi o vseh mogočih zaščitnih ali popravnih ukrepih, ki jih lahko te fizične ali pravne osebe sprejmejo v odziv na zadevno grožnjo;

zadevnim subjektom odredijo, naj v razumnem roku izvedejo priporočila, dana na podlagi varnostne presoje;

zadevnim subjektom odredijo, naj na določen način objavijo vidike neizpolnjevanja obveznosti, določenih v tej direktivi;

naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalnim pravom naložijo upravno globo v skladu s členom 34, poleg katerega koli od ukrepov iz točk (a) do (g) tega odstavka.

pristojni organi, ki uporabljajo nadzorne ali izvršilne ukrepe v državi članici, prek enotne kontaktne točke obvestijo pristojne organe v drugih zadevnih državah članicah o sprejetih nadzornih in izvršilnih ukrepih;

pristojni organ lahko od drugega pristojnega organa zahteva, naj sprejme nadzorne ali izvršilne ukrepe;

pristojni organ po prejemu utemeljenega zahtevka drugega pristojnega organa temu organu zagotovi medsebojno pomoč, sorazmerno s sredstvi, ki jih ima na voljo, da se lahko nadzorni ali izvršilni ukrepi izvajajo učinkovito, uspešno in dosledno.