02022L2555 — SL — 27.12.2022 — 000.005
To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu
DIREKTIVA (EU) 2022/2555 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333 27.12.2022, str. 80) |
popravljena z:
DIREKTIVA (EU) 2022/2555 EVROPSKEGA PARLAMENTA IN SVETA
z dne 14. decembra 2022
o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2)
(Besedilo velja za EGP)
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja
V ta namen ta direktiva določa:
obveznosti, ki od držav članic zahtevajo, da sprejmejo nacionalne strategije za kibernetsko varnost in imenujejo ali ustanovijo pristojne organe, organe za obvladovanje kibernetskih kriz, enotne kontaktne točke za kibernetsko varnost (v nadaljnjem besedilu: enotne kontaktne točke) in skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT);
ukrepe za obvladovanja tveganj za kibernetsko varnost in obveznosti poročanja za subjekte vrste iz Priloge I ali II, kot tudi za subjekte, ki so identificirani kot kritični subjekti na podlagi Direktive (EU) 2022/2557;
pravila in obveznosti glede izmenjave informacij o kibernetski varnosti;
obveznosti nadzora in izvrševanja za države članice.
Člen 2
Področje uporabe
Člen 3(4) Priloge k navedenemu priporočilu se ne uporablja za namene te direktive.
Ta direktiva se uporablja tudi za subjekte vrste iz Priloge I ali II ne glede na njihovo velikost, kadar:
storitve opravljajo:
ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev;
ponudniki storitev zaupanja;
registri vrhnjih domenskih imen in ponudniki storitev sistema domenskih imen;
je subjekt edini ponudnik storitve, ki je bistvena za ohranjanje kritičnih družbenih ali gospodarskih dejavnosti, v državi članici;
bi motnja pri opravljanju storitve subjekta lahko pomembno vplivala na javni red, javno varnost ali javno zdravje;
bi motnja pri opravljanju storitve subjekta lahko povzročila pomembno sistemsko tveganje, zlasti za sektorje, v katerih bi lahko taka motnja imela čezmejni vpliv;
je subjekt kritičen zaradi njegovega posebnega pomena na nacionalni ali regionalni ravni za določen sektor ali vrsto storitve ali za druge medsebojno odvisne sektorje v državi članici;
gre za subjekt javne uprave:
na osrednji državni ravni, kot ga opredeli država članica v skladu z nacionalnim pravom, ali
na regionalni ravni, kot ga opredeli država članica v skladu z nacionalnim pravom, in ki po oceni tveganja opravlja storitve, katerih motnje bi lahko pomembno vplivale na ključne družbene ali gospodarske dejavnosti.
Države članice lahko določijo, da se ta direktiva uporablja za:
subjekte javne uprave na lokalni ravni;
izobraževalne ustanove, zlasti kadar izvajajo kritične raziskovalne dejavnosti.
Kar zadeva obdelavo osebnih podatkov na podlagi te direktive, jo morajo ponudniki javnih elektronskih komunikacijskih omrežij ali ponudniki javno dostopnih elektronskih komunikacijskih storitev izvajati v skladu s pravom Unije o varstvu podatkov in pravom Unije o zasebnosti, zlasti z Direktivo 2002/58/ES.
Člen 3
Bistveni in pomembni subjekti
Za namene te direktive se šteje, da so bistveni subjekti:
subjekti vrste iz Priloge I, ki presegajo zgornje meje za srednja podjetja, določene v členu 2(1) Priloge k Priporočilu 2003/361/ES;
ponudniki kvalificiranih storitev zaupanja in registri vrhnjih domenskih imen ter ponudniki storitev DNS, ne glede na njihovo velikost;
ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki se štejejo za srednja podjetja na podlagi člena 2 Priloge k Priporočilu 2003/361/ES;
subjekti javne uprave iz člena 2(2), točka (f)(i);
vsi drugi subjekti vrste iz Priloge I ali II, ki jih država članica identificira kot bistvene subjekte na podlagi člena 2(2), točke (b) do (e);
subjekti, identificirani kot kritični subjekti na podlagi Direktive (EU) 2022/2557, iz člena 2(3) te direktive;
če država članica tako določi, subjekti, ki jih je ta država članica pred 16. januarjem 2023 določila kot izvajalce bistvenih storitev v skladu z Direktivo (EU) 2016/1148 ali nacionalnim pravom.
Za namene priprave seznama iz odstavka 3 države članice od subjektov iz navedenega odstavka zahtevajo, da pristojnim organom predložijo vsaj naslednje informacije:
ime subjekta;
naslov in ažurne kontaktne podatke, vključno z elektronskimi naslovi, dodeljenimi bloki naslovov IP in telefonskimi številkami;
po potrebi ustrezen sektor in podsektor iz Priloge I ali II ter
po potrebi seznam držav članic, v katerih opravljajo storitve, ki spadajo na področje uporabe te direktive.
Subjekti iz odstavka 3 nemudoma sporočijo morebitne spremembe podatkov, ki so jih predložili na podlagi prvega pododstavka tega odstavka, v vsakem primeru pa v dveh tednih od datuma spremembe.
V ta namen bi morala Komisija ob pomoči Agencije Evropske unije za kibernetsko varnost (ENISA) brez nepotrebnega odlašanja določiti smernice in obrazce v zvezi z obveznostmi, določenimi v tem odstavku.
Države članice lahko vzpostavijo nacionalne mehanizme za samoregistracijo subjektov.
Pristojni organi do 17. aprila 2025 in nato vsaki dve leti uradno obvestijo:
Komisijo in skupino za sodelovanje o številu bistvenih in pomembnih subjektov, ki so na seznamu na podlagi odstavka 3, za vsak sektor in podsektor iz Priloge I ali II ter
Komisijo o ustreznih informacijah o številu bistvenih in pomembnih subjektov, identificiranih na podlagi člena 2(2), točke (b) do (e), sektorju in podsektorju iz Priloge I ali II, ki jim pripadajo, vrsti storitev, ki jih opravljajo, ter opravljanju storitev iz člena 2(2), točke (b) do (e), na podlagi katerih so bili identificirani.
Člen 4
Sektorski pravni akti Unije
Zahteve iz odstavka 1 tega člena se štejejo za enakovredne obveznostim iz te direktive, kadar:
imajo ukrepi za obvladovanje tveganj za kibernetsko varnost vsaj enakovreden učinek kot ukrepi iz člena 21(1) in (2) ali
sektorski pravni akt Unije določa takojšen, po potrebi samodejen in neposreden, dostop do priglasitev incidentov za skupine CSIRT, pristojne organe ali enotne kontaktne točke iz te direktive, in kadar so zahteve za priglasitev pomembnih incidentov po učinku vsaj enakovredne tistim iz člena 23(1) do (6) te direktive.
Člen 5
Minimalna harmonizacija
Ta direktiva državam članicam ne preprečuje, da sprejmejo ali ohranijo določbe, ki zagotavljajo višjo raven kibernetske varnosti, pod pogojem, da so take določbe v skladu z obveznostmi držav članic, določenimi v pravu Unije.
Člen 6
Opredelitev pojmov
V tej direktivi se uporabljajo naslednje opredelitve pojmov:
„omrežni in informacijski sistem“ pomeni:
elektronsko komunikacijsko omrežje, kot je opredeljeno v členu 2, točka 1, Direktive (EU) 2018/1972;
vsako napravo ali skupino med seboj povezanih ali sorodnih naprav, od katerih ena ali več na podlagi programa opravlja samodejno obdelavo digitalnih podatkov, ali
digitalne podatke, ki jih elementi iz točk (a) in (b) shranjujejo, obdelujejo, pridobivajo ali prenašajo za namene njihovega delovanja, uporabe, varovanja in vzdrževanja;
„varnost omrežnih in informacijskih sistemov“ pomeni zmožnost omrežnih in informacijskih sistemov, da na določeni ravni zaupanja preprečijo vsak dogodek, ki lahko ogrozi razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih ti omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni;
„kibernetska varnost“ pomeni kibernetsko varnost, kot je opredeljena v členu 2, točka 1, Uredbe (EU) 2019/881;
„nacionalna strategija za kibernetsko varnost“ pomeni skladen okvir države članice, ki določa strateške cilje in prednostne naloge na področju kibernetske varnosti in upravljanja za njihovo uresničitev v tej državi članici;
„skorajšnji incident“ pomeni dogodek, ki bi lahko ogrozil razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni, vendar se je uspešno preprečilo, da bi se ta dogodek uresničil, ali se ni uresničil;
„incident“ pomeni dogodek, ki ogroža razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih ti omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni;
„kibernetski incident velikih razsežnosti“ pomeni incident, ki povzroči motnjo, ki presega zmožnost države članice za odziv nanj, ali incident, ki pomembno vpliva na vsaj dve državi članici;
„obvladovanje incidentov“ pomeni vsa dejanja in postopke, namenjene preprečevanju, odkrivanju, analizi in zajezitvi incidentov ali odzivanju nanje in okrevanju po njih;
„tveganje“ pomeni možnost izgube ali motnje zaradi incidenta ter je izraženo kot kombinacija razsežnosti izgube ali motnje in verjetnosti, da bi do incidenta prišlo;
„kibernetska grožnja“ pomeni kibernetsko grožnjo, kot je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881;
„pomembna kibernetska grožnja“ pomeni kibernetsko grožnjo, za katero se glede na njene tehnične značilnosti lahko domneva, da bi lahko resno vplivala na omrežne in informacijske sisteme subjekta ali na uporabnike njegovih storitev tako da bi povzročila znatno premoženjsko ali nepremoženjsko škodo;
„proizvod IKT“ pomeni proizvod IKT, kot je opredeljen v členu 2, točka 12, Uredbe (EU) 2019/881;
„storitev IKT“ pomeni storitev IKT, kot je opredeljena v členu 2, točka 13, Uredbe (EU) 2019/881;
„postopek IKT“ pomeni postopek IKT, kot je opredeljen v členu 2, točka 14, Uredbe (EU) 2019/881;
„ranljivost“ pomeni pomanjkljivost, dovzetnost ali napako proizvoda IKT ali storitve IKT, ki jo kibernetska grožnja lahko izkoristi;
„standard“ pomeni standard, kot je opredeljen v členu 2, točka 1, Uredbe (EU) št. 1025/2012 Evropskega parlamenta in Sveta ( 3 );
„tehnična specifikacija“ pomeni tehnično specifikacijo, kot je opredeljena v členu 2, točka 4, Uredbe (EU) št. 1025/2012;
„stičišče omrežij“ pomeni omrežno zmogljivost, ki omogoča medsebojno povezavo več kot dveh neodvisnih omrežij (avtonomnih sistemov), predvsem zaradi izmenjave internetnega prometa, ki zagotavlja medsebojno povezavo zgolj avtonomnim sistemom in ki ne zahteva, da izmenjava internetnega prometa med katerima koli sodelujočima avtonomnima sistemoma prehaja prek tretjega avtonomnega sistema, in ne spreminja takšnega prometa ali kako drugače posega vanj;
„sistem domenskih imen“ ali „DNS“ pomeni hierarhično porazdeljen sistem dodeljevanja imen, ki omogoča identifikacijo internetnih storitev in virov ter napravam končnih uporabnikov omogoča, da z uporabo internetnih storitev usmerjanja in povezljivosti dostopajo do teh storitev in virov;
„ponudnik storitev DNS“ pomeni subjekt, ki opravlja:
javno dostopne storitve rekurzivnega razreševanja domenskih imen za končne uporabnike interneta ali
storitve avtoritativnega razreševanja domenskih imen za uporabo s strani tretjih oseb, razen za korenske imenske strežnike;
„register vrhnjih domenskih imen“ ali „register TLD imen“ pomeni subjekt, ki mu je bila dodeljena določena vrhnja domena in je odgovoren za njeno upravljanje, vključno z registracijo domenskih imen pod vrhnjo domeno in tehničnim upravljanjem vrhnje domene, vključno z upravljanjem njenih imenskih strežnikov, vzdrževanjem njenih podatkovnih zbirk in porazdelitvijo datotek območij vrhnje domene po imenskih strežnikih, ne glede na to, ali katero od teh dejavnosti subjekt izvaja sam ali jo izvajajo zunanji izvajalci, izključeni pa so primeri, v katerih register TLD imen uporablja vrhnja domenska imena zgolj za lastne potrebe;
„subjekt, ki opravlja storitve registracije domenskih imen“ pomeni registratorja ali zastopnika, ki deluje v imenu registratorja, kot je ponudnik storitev registracije za zasebnost ali pooblaščenec ali preprodajalec;
„digitalna storitev“ pomeni storitev, kot je opredeljena v členu 1(1), točka (b), Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta ( 4 );
„storitev zaupanja“ pomeni storitev zaupanja, kot je opredeljena v členu 3, točka 16, Uredbe (EU) št. 910/2014;
„ponudnik storitev zaupanja“ pomeni ponudnika storitev zaupanja, kot je opredeljen v členu 3, točka 19, Uredbe (EU) št. 910/2014;
„kvalificirana storitev zaupanja“ pomeni kvalificirano storitev zaupanja, kot je opredeljena v členu 3, točka 17, Uredbe (EU) št. 910/2014;
„ponudnik kvalificiranih storitev zaupanja“ pomeni ponudnika kvalificiranih storitev zaupanja, kot je opredeljen v členu 3, točka 20, Uredbe (EU) št. 910/2014;
„spletna tržnica“ pomeni spletno tržnico, kot je opredeljena v členu 2, točka (n), Direktive 2005/29/ES Evropskega parlamenta in Sveta ( 5 );
„spletni iskalnik“ pomeni spletni iskalnik, kot je opredeljen v členu 2, točka 5, Uredbe (EU) 2019/1150 Evropskega parlamenta in Sveta ( 6 );
„storitev v oblaku“ pomeni digitalno storitev, ki omogoča upravljanje na zahtevo in širok oddaljeni dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov, tudi kadar so ti viri porazdeljeni na več lokacijah;
„storitev podatkovnega centra“ pomeni storitev, ki vključuje strukture ali skupine struktur, namenjene centralizirani namestitvi, medsebojnemu povezovanju in delovanju opreme za informacijsko tehnologijo in omrežne opreme za storitve shranjevanja, obdelave in prenosa podatkov skupaj z vsemi zmogljivostmi in infrastrukturami za distribucijo električne energije in okoljski nadzor;
„omrežje za dostavo vsebin“ pomeni mrežo geografsko porazdeljenih strežnikov za zagotavljanje visoke razpoložljivosti, dostopnosti ali hitre dostave digitalnih vsebin in storitev uporabnikom interneta v imenu ponudnikov vsebin in storitev;
„platforma za storitve družbenega mreženja“ pomeni platformo, ki končnim uporabnikom omogoča, da se povezujejo, si izmenjujejo vsebine, se spoznavajo in komunicirajo med seboj prek več naprav ter zlasti prek klepetov, objav, videoposnetkov in priporočil;
„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki je izrecno imenovana, da deluje v imenu ponudnika storitev DNS, registra TLD imen, subjekta, ki opravlja storitve registracije domenskih imen, ponudnika storitev računalništva v oblaku, ponudnika storitev podatkovnega centra, ponudnika omrežja za dostavo vsebine, ponudnika upravljanih storitev, ponudnika upravljanih varnostnih storitev ali ponudnika spletne tržnice, spletnega iskalnika ali platforme za storitve družbenega mreženja, ki nima sedeža v Uniji, s katerim lahko pristojni organ ali skupina CSIRT vzpostavi stik namesto s samim subjektom, kar zadeva obveznosti tega subjekta na podlagi te direktive;
„subjekt javne uprave“ pomeni subjekt, ki je v državi članici v skladu z nacionalnim pravom priznan kot tak, razen sodstva, parlamentov ali centralnih bank, in ki izpolnjuje naslednja merila:
je ustanovljen za izpolnitev potreb v splošnem interesu in ni industrijske ali komercialne narave;
je pravna oseba ali ima po zakonu pravico delovati v imenu drugega subjekta, ki je pravna oseba;
pretežno ga financirajo država, regionalni organi ali druge osebe javnega prava, njegovo upravljanje nadzorujejo ti organi ali osebe ali pa ima upravni, upraviteljski ali nadzorni odbor, v katerega več kot polovico članov imenujejo država, regionalni organi ali druge osebe javnega prava;
ima pooblastilo, da na fizične ali pravne osebe naslovi upravne ali regulativne odločbe, ki vplivajo na njihove pravice na področju čezmejnega gibanja oseb in pretoka blaga, storitev ali kapitala;
„javno elektronsko komunikacijsko omrežje“ pomeni javno elektronsko komunikacijsko omrežje, kot je opredeljeno v členu 2, točka 8, Direktive (EU) 2018/1972;
„elektronska komunikacijska storitev“ pomeni elektronsko komunikacijsko storitev, kot je opredeljena v členu 2, točka 4, Direktive (EU) 2018/1972;
„subjekt“ pomeni fizično ali pravno osebo, ki je ustanovljena in priznana kot taka po nacionalnem pravu njenega kraja sedeža ter lahko v svojem imenu uveljavlja pravice in prevzema obveznosti;
„ponudnik upravljanih storitev“ pomeni subjekt, ki opravlja storitve v zvezi z namestitvijo, upravljanjem, delovanjem ali vzdrževanjem izdelkov, omrežij, infrastrukture, aplikacij IKT ali katerih koli drugih omrežnih in informacijskih sistemov, in sicer s pomočjo ali aktivnim upravljanjem, ki se izvaja bodisi v prostorih strank bodisi na daljavo;
„ponudnik upravljanih varnostnih storitev“ pomeni ponudnika upravljanih storitev, ki izvaja ali opravlja pomoč za dejavnosti, povezane z obvladovanjem tveganj za kibernetsko varnost;
„raziskovalna organizacija“ pomeni subjekt, katerega glavni cilj je izvajati uporabne raziskave ali eksperimentalni razvoj z namenom uporabe rezultatov teh raziskav v komercialne namene, vendar ne vključuje izobraževalnih ustanov.
POGLAVJE II
USKLAJENI OKVIRI ZA KIBERNETSKO VARNOST
Člen 7
Nacionalna strategija za kibernetsko varnost
Vsaka država članica sprejme nacionalno strategijo za kibernetsko varnost, v kateri so opredeljeni strateški cilji, potrebna sredstva za dosego teh ciljev ter ustrezni ukrepi politike in regulativni ukrepi za doseganje in ohranjanje visoke ravni kibernetske varnosti. V nacionalno strategijo za kibernetsko varnost se vključijo:
cilji in prednostne naloge strategije držav članic za kibernetsko varnost, ki zajemajo zlasti sektorje iz prilog I in II;
okvir upravljanja za doseganje ciljev in prednostnih nalog iz točke (a) tega odstavka, vključno s politikami iz odstavka 2;
okvir upravljanja, ki pojasnjuje vloge in odgovornosti ustreznih zainteresiranih strani na nacionalni ravni ter podpira sodelovanje in usklajevanje na nacionalni ravni med pristojnimi organi, enotnimi kontaktnimi točkami in skupinami CSIRT iz te direktive, pa tudi usklajevanje in sodelovanje med temi organi in pristojnimi organi na podlagi sektorskih pravnih aktov Unije;
mehanizem za opredelitev ustreznih sredstev in oceno tveganj v zadevni državi članici;
opredelitev ukrepov za zagotovitev pripravljenosti na odzivanja na incidente in okrevanja po njih, vključno s sodelovanjem med javnim in zasebnim sektorjem;
seznam različnih organov in deležnikov, vključenih v izvajanje nacionalne strategije za kibernetsko varnost;
okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in pristojnimi organi iz Direktive (EU) 2022/2557 za namene izmenjave informacij o tveganjih, kibernetskih grožnjah in incidentih ter o nekibernetskih tveganjih, grožnjah in incidentih ter izvajanju nadzornih nalog, kot je ustrezno;
načrt, vključno s potrebnimi ukrepi, za povečanje splošne ozaveščenosti državljanov o kibernetski varnosti.
Države članice kot del nacionalne strategije za kibernetsko varnost sprejmejo zlasti politike:
obravnavanja kibernetske varnosti v dobavni verigi proizvodov IKT in storitev IKT, ki jih subjekti uporabljajo za opravljanje svojih storitev;
o vključitvi in specifikaciji zahtev za proizvode IKT in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo, vključno v zvezi s certificiranjem kibernetske varnosti, šifriranjem in uporabo odprtokodnih proizvodov za kibernetsko varnost;
obvladovanja ranljivosti, vključno s spodbujanjem in omogočanjem usklajenega razkrivanja ranljivosti na podlagi člena 12(1);
povezane z ohranjanjem splošne razpoložljivosti, celovitosti in zaupnosti javnega jedra odprtega interneta, vključno, kadar je to ustrezno, s kibernetsko varnostjo podmorskih komunikacijskih kablov;
spodbujanja razvoja in vključevanja ustreznih naprednih tehnologij za izvajanje najsodobnejših ukrepov za obvladovanje tveganj na področju kibernetske varnosti;
spodbujanja in razvoja izobraževanja in usposabljanja na področju kibernetske varnosti, spretnosti na področju kibernetske varnosti, dviganja ozaveščanja ter raziskovalnih in razvojnih pobud na področju kibernetske varnosti ter smernic o dobrih praksah in nadzoru kibernetske higiene, namenjenih državljanom, deležnikom in subjektom;
podpiranja akademskih in raziskovalnih institucij pri razvoju, izboljševanju in spodbujanju uvajanja orodij kibernetske varnosti in varne omrežne infrastrukture;
vključevanja ustreznih postopkov in primernih orodij za izmenjavo informacij za podpiranje prostovoljne izmenjave informacij o kibernetski varnosti med subjekti v skladu s pravom Unije;
krepitve kibernetske odpornosti in osnovne kibernetske higiene malih in srednjih podjetij, zlasti tistih, ki so izključena s področja uporabe te direktive, z zagotavljanjem lahko dostopnih smernic in pomoči za njihove posebne potrebe;
spodbujanja aktivne kibernetske zaščite.
Člen 8
Pristojni organi in enotne kontaktne točke
Člen 9
Nacionalni okviri za obvladovanje kibernetskih kriz
Vsaka država članica sprejme nacionalni načrt odzivanja na kibernetske incidente velikih razsežnosti in krize, v katerem so opredeljeni cilji in ureditve obvladovanja kibernetskih incidentov velikih razsežnosti in kriz. V tem načrtu se zlasti določijo:
cilji nacionalnih ukrepov in dejavnosti za pripravljenost;
naloge in odgovornosti organov za obvladovanje kibernetskih kriz;
postopki za obvladovanje kibernetskih kriz, vključno z njihovo vključitvijo v splošni nacionalni okvir za obvladovanje kriz, in kanali za izmenjavo informacij;
nacionalni ukrepi za pripravljenost, vključno z vajami in dejavnostmi usposabljanja;
ustrezni javni in zasebni deležniki ter vključena infrastruktura;
nacionalni postopki in ureditve med ustreznimi nacionalnimi organi za zagotovitev učinkovitega sodelovanja države članice pri usklajenem obvladovanju kibernetskih incidentov velikih razsežnosti in kriz na ravni Unije ter njegove podpore.
Člen 10
Skupine za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT)
Člen 11
Zahteve, tehnične zmogljivosti in naloge skupin CSIRT
Skupine CSIRT izpolnjujejo naslednje zahteve:
skupine CSIRT zagotavljajo visoko stopnjo razpoložljivosti svojih komunikacijskih kanalov, tako da preprečujejo posamezne točke odpovedi, in imajo na voljo več načinov, na katere se drugi lahko kadar koli obrnejo nanje in one obrnejo na druge; jasno opredelijo komunikacijske kanale ter o njih obvestijo uporabnike in partnerje;
prostori skupin CSIRT in podporni informacijski sistemi se nahajajo na varnih krajih;
skupine CSIRT imajo ustrezen sistem za upravljanje in usmerjanje zahtevkov, zlasti da se poenostavi njihova učinkovita in uspešna predaja;
skupine CSIRT zagotovijo zaupnost in zanesljivost svojih dejavnosti;
skupine CSIRT imajo dovolj osebja za zagotavljanje neprekinjene razpoložljivosti storitev, pri čemer zagotavljajo, da je to osebje ustrezno usposobljeno;
skupine CSIRT imajo redundantne sisteme in nadomestni delovni prostor, da se zagotovi neprekinjeno izvajanje njihovih storitev.
Skupine CSIRT lahko sodelujejo v mrežah za mednarodno sodelovanje.
Skupine CSIRT imajo naslednje naloge:
spremljanje in analiziranje kibernetskih groženj, ranljivosti in incidentov na nacionalni ravni ter, na zahtevo, pomoč zadevnim bistvenim in pomembnim subjektom v zvezi s spremljanjem njihovih omrežnih in informacijskih sistemov v realnem času ali v skoraj realnem času;
zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o kibernetskih grožnjah, ranljivostih in incidentih zadevnim bistvenim in pomembnim subjektom ter pristojnim organom in drugim ustreznim deležnikom, če je mogoče v skoraj realnem času;
odzivanje na incidente in zagotavljanje pomoči zadevnim bistvenim in pomembnim subjektom, kadar je to potrebno;
zbiranje in analiziranje forenzičnih podatkov in opravljanje dinamičnih analiz tveganja in incidentov ter situacijsko zavedanje na področju kibernetske varnosti;
opravljanje, na zahtevo bistvenega ali pomembnega subjekta, proaktivnega pregleda omrežnih in informacijskih sistemov zadevnega subjekta, da se odkrijejo ranljivosti, ki bi lahko imele pomemben vpliv;
sodelovanje v mreži skupin CSIRT in zagotavljanje medsebojne pomoči v skladu z zmožnostmi in pristojnostmi drugim članicam mreže skupin CSIRT na njihovo zahtevo;
kadar je ustrezno, vlogo koordinatorja za namene postopka usklajenega razkrivanja ranljivosti iz člena 12(1);
prispevek k uporabi orodij za varno izmenjavo informacij na podlagi člena 10(3).
Skupine CSIRT lahko izvajajo proaktivno in nevsiljivo pregledovanje javno dostopnih omrežnih in informacijskih sistemov bistvenih in pomembnih subjektov. Takšno pregledovanje se izvede za odkrivanje ranljivih ali nezanesljivo konfiguriranih omrežnih in informacijskih sistemov ter za obveščanje zadevnih subjektov. Takšno pregledovanje ne sme negativno vplivati na delovanje storitev subjektov.
Skupine CSIRT lahko pri izvajanju nalog iz prvega pododstavka prednostno razvrstijo nekatere naloge na podlagi pristopa, ki temelji na tveganju.
Za olajšanje sodelovanja iz odstavka 4 skupine CSIRT spodbujajo sprejetje in uporabo skupnih ali standardiziranih praks, sistemov razvrščanja in taksonomij v zvezi z:
postopki obvladovanja incidentov;
obvladovanjem kriz ter
usklajenim razkrivanjem ranljivosti na podlagi člena 12(1).
Člen 12
Usklajeno razkrivanje ranljivosti in evropska podatkovna zbirka ranljivosti
Vsaka država članica eno od svojih skupin CSIRT imenuje za koordinatorja za usklajeno razkrivanje ranljivosti. Skupina CSIRT, ki je imenovana za koordinatorja, deluje kot zaupanja vredna posrednica, ki po potrebi olajšuje sodelovanje med fizično ali pravno osebo, ki poroča o ranljivostih, in proizvajalcem ali ponudnikom proizvodov IKT ali storitev IKT, ki naj bi zajemali ranljivost, in sicer na pobudo katere koli stranke. Naloge skupine CSIRT, ki je imenovana za koordinatorja, vključujejo:
identifikacijo zadevnih subjektov in vzpostavitev stika z njimi;
podpiranje fizičnih ali pravnih oseb, ki poročajo o ranljivosti, in
pogajanja o časovnicah razkrivanja in obvladovanju ranljivosti, ki vplivajo na več subjektov.
Države članice zagotovijo, da lahko fizične ali pravne osebe, kadar to zahtevajo, skupini CSIRT, ki je imenovana za koordinatorja, ranljivosti poročajo anonimno. Skupina CSIRT, ki je imenovana za koordinatorja, zagotovi skrbno nadaljnje ukrepanje v zvezi s sporočenimi ranljivostmi in anonimnost fizične ali pravne osebe, ki je o ranljivosti poročala. Kadar bi lahko sporočena ranljivost pomembno vplivala na subjekte v več kot eni državi članici, skupina CSIRT, ki je imenovana za koordinatorja, vsake zadevne države članice po potrebi sodeluje z drugimi skupinami CSIRT, ki so imenovane za koordinatorke, v okviru mreže skupin CSIRT.
ENISA po posvetovanju s skupino za sodelovanje razvije in vzdržuje evropsko podatkovno zbirko ranljivosti. V ta namen ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke ter sprejme potrebne tehnične in organizacijske ukrepe, s katerimi zagotovi varnost in celovitost evropske podatkovne zbirke ranljivosti, zlasti z namenom omogočanja subjektom, ne glede na to, ali spadajo na področje uporabe te Direktive, ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da prostovoljno razkrijejo in evidentirajo javno znane ranljivosti proizvodov IKT in storitev IKT. Vsem deležnikom se zagotovi dostop do informacij o ranljivostih v podatkovni zbirki ranljivosti. V podatkovno zbirko se vključijo:
informacije, ki opisujejo ranljivost;
prizadeti proizvodi IKT ali storitve IKT ter resnost ranljivosti v smislu okoliščin, v katerih jo je mogoče izkoristiti;
razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, ki jih določijo pristojni organi ali skupine CSIRT, naslovljene na uporabnike proizvodov IKT in storitev IKT z ranljivostmi, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih ranljivosti.
Člen 13
Sodelovanje na nacionalni ravni
POGLAVJE III
SODELOVANJE NA RAVNI UNIJE IN MEDNARODNI RAVNI
Člen 14
Skupina za sodelovanje
Skupina za sodelovanje lahko k sodelovanju pri njenem delu po potrebi povabi Evropski parlament in predstavnike ustreznih deležnikov.
Komisija zagotovi sekretariat.
Skupina za sodelovanje ima naslednje naloge:
zagotavljanje usmeritev pristojnim organom v zvezi s prenosom in izvajanjem te direktive;
zagotavljanje usmeritev pristojnim organom v zvezi z razvojem in izvajanjem politik za usklajeno razkrivanje ranljivosti iz člena 7(2), točka (c);
izmenjava dobrih praks in informacij v zvezi z izvajanjem te direktive, vključno v zvezi s kibernetskimi grožnjami, incidenti, ranljivostmi, skorajšnjimi incidenti, pobudami za ozaveščanje, usposabljanjem, vajami ter znanji in spretnostmi, krepitvijo zmogljivosti, standardi in tehničnimi specifikacijami, pa tudi v zvezi z identifikacijo bistvenih in pomembnih subjektov na podlagi člena 2(2), točke (b) do (e);
izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah politike na področju kibernetske varnosti in splošne skladnosti sektorskih zahtev glede kibernetske varnosti;
izmenjava nasvetov in sodelovanje s Komisijo pri pripravi osnutkov delegiranih ali izvedbenih aktov, sprejetih na podlagi te direktive;
izmenjava dobrih praks in informacij z ustreznimi institucijami, organi, uradi in agencijami Unije;
izmenjava mnenj o izvajanju sektorskih pravnih aktov Unije, ki vsebujejo določbe o kibernetski varnosti;
po potrebi obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 19(9) ter priprava ugotovitev in priporočil;
izvajanje usklajenih ocen tveganja za varnost za kritične dobavne verige v skladu s členom 22(1);
obravnavanje primerov medsebojne pomoči, tudi izkušenj in rezultatov skupnih čezmejnih nadzornih dejavnosti iz člena 37;
obravnavanje posebnih prošenj za medsebojno pomoč iz člena 37 na zahtevo ene ali več zadevnih držav članic;
zagotavljanje strateških usmeritev mreži skupin CSIRT in mreži EU-CyCLONe o posebnih porajajočih se vprašanjih;
izmenjava mnenj o politiki nadaljnjih ukrepov po kibernetskih incidentih velikih razsežnosti in krizah na podlagi pridobljenih izkušenj mreže skupin CSIRT in mreže EU-CyCLONe;
prispevanje k zmogljivostim za kibernetsko varnost v Uniji z olajšanjem izmenjave nacionalnih uradnikov v okviru programa krepitve zmogljivosti, ki vključuje osebje iz pristojnih organov ali skupin CSIRT;
organizacija rednih sestankov z ustreznimi zasebnimi deležniki iz vse Unije za razpravljanje o dejavnostih, ki jih izvaja skupina za sodelovanje, in zbiranje informacij o nastajajočih izzivih politike;
obravnavanje dela, opravljenega v zvezi z vajami na področju kibernetske varnosti, vključno z delom, ki ga je opravila ENISA;
določitev metodologije in organizacijskih vidikov medsebojnih strokovnih pregledov iz člena 19(1) ter določitev metodologije samoocenjevanja za države članice v skladu s členom 19(5), ob pomoči Komisije in ENISA, ter v sodelovanju s Komisijo in ENISA oblikovanje kodeksov ravnanja, na katerih temeljijo delovne metode imenovanih strokovnjakov za kibernetsko varnost v skladu s členom 19(6);
priprava poročil za namene pregleda iz člena 40 o izkušnjah, pridobljenih na strateški ravni in pri medsebojnih strokovnih pregledih;
obravnavanje in redno ocenjevanje stanja kibernetskih groženj ali incidentov, kot je izsiljevalsko programje.
Skupina za sodelovanje predloži poročila iz prvega pododstavka, točka (r), Komisiji, Evropskemu parlamentu in Svetu.
Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 39(2).
Pri osnutkih izvedbenih aktov iz prvega pododstavka tega odstavka v skladu z odstavkom 4, točka (e), si Komisija s skupino za sodelovanje izmenjuje nasvete in z njo sodeluje.
Člen 15
Mreža skupin CSIRT
Mreža skupin CSIRT ima naslednje naloge:
izmenjava informacij o zmogljivostih skupin CSIRT;
omogočanje souporabe, prenosa in izmenjave tehnologije ter ustreznih ukrepov, politik, orodij, postopkov, primerov dobre prakse in okvirov med skupinami CSIRT;
izmenjava ustreznih informacij o incidentih, skorajšnjih incidentih, kibernetskih grožnjah, tveganjih in ranljivostih;
izmenjava informacij v zvezi s publikacijami in priporočili o kibernetski varnosti;
zagotavljanje interoperabilnosti v zvezi s specifikacijami in protokoli za izmenjavo informacij;
na prošnjo člana mreže skupin CSIRT, na katero bi lahko vplival določen incident, izmenjava in obravnavanje informacij v zvezi s tem incidentom ter z njim povezanimi kibernetskimi grožnjami, tveganji in ranljivostmi;
na prošnjo člana mreže skupin CSIRT, obravnavanje in po možnosti izvajanje usklajenega odziva na incident, ki je bil identificiran na ozemlju v pristojnosti zadevne države članice;
zagotavljanje pomoči državam članicam pri obravnavanju čezmejnih incidentov v skladu s to direktivo;
sodelovanje, izmenjava primerov najboljših praks in zagotavljanje pomoči skupinam CSIRT, imenovanim za koordinatorje na podlagi člena 12(1) v zvezi z upravljanjem razkrivanja ranljivosti, ki bi lahko pomembno vplivale na subjekte v več kot eni državi članici;
obravnavanje in določitev nadaljnjih oblik operativnega sodelovanja, tudi glede:
kategorij kibernetskih groženj in incidentov;
zgodnjega opozarjanja;
medsebojne pomoči;
načel in ureditev usklajevanja pri odzivanju na čezmejna tveganja in incidente;
prispevanja k nacionalnemu načrtu odzivanja iz člena 9(4) na kibernetske incidente velikih razsežnosti in krize na zahtevo držav članic;
obveščanje skupine za sodelovanje o svojih dejavnostih in nadaljnjih oblikah operativnega sodelovanja, obravnavanih v skladu s točko (j), ter po potrebi prošnja za usmeritve v zvezi s tem;
pregled vaj na področju kibernetske varnosti, vključno s tistimi, ki jih organizira ENISA;
na prošnjo posamezne skupine CSIRT obravnavanje zmogljivosti in pripravljenosti te skupine CSIRT;
sodelovanje in izmenjava informacij s centri za varnostne operacije na regionalni ravni in ravni Unije za izboljšanje skupnega situacijskega zavedanja na področju incidentov in kibernetskih groženj po vsej Uniji;
po potrebi obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 19(9);
določitev smernic za olajšanje konvergence operativnih praks glede uporabe določb tega člena v zvezi z operativnim sodelovanjem.
Člen 16
Evropska organizacijska mreža za povezovanje v kibernetski krizi (mreža EU-CyCLONe)
ENISA zagotovi sekretariat mreže EU-CyCLONe in podpira varno izmenjavo informacij ter zagotavlja potrebna orodja za podporo sodelovanju med državami članicami, s katerimi omogoča varno izmenjavo informacij.
Mreža EU-CyCLONe lahko po potrebi k sodelovanju v vlogi opazovalcev povabi predstavnike ustreznih deležnikov.
Mreža EU-CyCLONe ima naslednje naloge:
zviševanje ravni pripravljenosti za obvladovanje kibernetskih incidentov velikih razsežnosti in kriz;
razvoj skupnega situacijskega zavedanja o kibernetskih incidentih velikih razsežnosti in krizah;
ocenjevanje posledic in vpliva relevantnih kibernetskih incidentov velikih razsežnosti in kriz ter predlaganje morebitnih blažilnih ukrepov;
usklajevanje obvladovanja kibernetskih incidentov velikih razsežnosti in kriz ter podpiranje odločanja na politični ravni v zvezi s takimi incidenti in krizami;
obravnavanje nacionalnih načrtov za odzivanje iz člena 9(4) na kibernetske incidente velikih razsežnosti in krize na zahtevo zadevne države članice.
Člen 17
Mednarodno sodelovanje
Unija v skladu s členom 218 PDEU sklene, kadar je to ustrezno, mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki omogočajo in urejajo njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje, mreže skupin CSIRT in mreže EU-CyCLONe. Ti sporazumi morajo biti skladni s pravom Unije o varstvu podatkov.
Člen 18
Poročilo o stanju kibernetske varnosti v Uniji
ENISA v sodelovanju s Komisijo in skupino za sodelovanje sprejme dvoletno poročilo o stanju kibernetske varnosti v Uniji in ga posreduje in predstavi Evropskemu parlamentu. Poročilo mora med drugim biti na voljo v strojno berljivi obliki in mora vključevati:
oceno tveganja za kibernetsko varnost na ravni Unije, pri čemer se upošteva splošna kibernetska ogroženost;
oceno razvoja zmogljivosti za kibernetsko varnost v javnem in zasebnem sektorju po vsej Uniji;
oceno splošne ravni ozaveščenosti o kibernetski varnosti in kibernetske higiene med državljani in subjekti, vključno z malimi in srednjimi podjetji;
skupno oceno na podlagi rezultatov medsebojnih strokovnih pregledov iz člena 19;
skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost in sredstev po vsej Uniji, tudi tistih na sektorski ravni, ter stopnjo usklajenosti nacionalnih strategij držav članic za kibernetsko varnost.
Člen 19
Medsebojni strokovni pregledi
Medsebojni strokovni pregledi vključujejo vsaj eno od naslednjega:
raven izvajanja zahtev glede obvladovanja tveganj za kibernetsko varnost ter obveznosti poročanja iz členov 21 in 23;
raven zmogljivosti, vključno z razpoložljivimi finančnimi, tehničnimi in človeškimi viri, ter učinkovitost opravljanja nalog pristojnih organov;
operativne zmogljivosti skupin CSIRT;
raven izvajanja medsebojne pomoči iz člena 37;
raven izvajanja dogovorov o izmenjavi informacij o kibernetski varnosti iz člena 29;
posebni čezmejni ali medsektorski vidiki.
POGLAVJE IV
OBVEZNOSTI GLEDE UKREPOV ZA OBVLADOVANJE TVEGANJ ZA KIBERNETSKO VARNOST IN POROČANJA
Člen 20
Upravljanje
Pri uporabi tega odstavka se ne sme posegati v nacionalno pravo v zvezi s pravili o odgovornosti, ki se uporabljajo v javnih institucijah, pa tudi ne o odgovornosti javnih uslužbencev ter izvoljenih ali imenovanih uradnikov.
Člen 21
Ukrepi za obvladovanje tveganj za kibernetsko varnost
Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ter stroškov izvajanja morajo ukrepi iz prvega pododstavka zagotavljati raven varnosti omrežnih in informacijskih sistemov, ki ustreza obstoječim tveganjem. Pri ocenjevanju sorazmernosti teh ukrepov je treba ustrezno upoštevati stopnjo izpostavljenosti subjekta tveganjem, velikost subjekta in verjetnost pojava incidentov ter njihovo resnost, vključno z njihovim družbenim in gospodarskim vplivom.
Ukrepi iz odstavka 1 morajo temeljiti na pristopu upoštevanja vseh nevarnosti, katerega namen je zaščititi omrežne in informacijske sisteme ter njihovo fizično okolje pred incidenti, in vključujejo vsaj naslednje:
politike o analizi tveganja in varnosti informacijskih sistemov;
obvladovanje incidentov;
neprekinjeno poslovanje, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz;
varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev;
varnost pri pridobivanju, razvoju in vzdrževanju omrežnih in informacijskih sistemov, vključno z obravnavanjem in razkrivanjem ranljivosti;
politike in postopke za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;
osnovne prakse kibernetske higiene in usposabljanje na področju kibernetske varnosti;
politike in postopke v zvezi z uporabo kriptografije in po potrebi šifriranjem;
varnost človeških virov, politike nadzora dostopa in upravljanje sredstev;
uporaba večfaktorske avtentikacije ali rešitev neprekinjene avtentikacije, varovanih glasovnih, video in besedilnih komunikacij in varnih sistemov za komunikacije v sili znotraj subjekta, kadar je to primerno.
Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične in metodološke zahteve ter po potrebi sektorske zahteve za ukrepe iz odstavka 2 v zvezi z bistvenimi in pomembnimi subjekti, ki niso navedeni v prvem pododstavku tega odstavka.
Komisija pri pripravi izvedbenih aktov iz prvega in drugega pododstavka tega odstavka po možnosti upošteva evropske in mednarodne standarde ter ustrezne tehnične specifikacije. Pri osnutkih izvedbenih aktov v skladu s členom 14(4), točka (e), si Komisija izmenjuje nasvete in sodeluje s skupino za sodelovanje in ENISA.
Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 39(2).
Člen 22
Usklajene ocene tveganja za varnost na ravni Unije za kritične dobavne verige
Člen 23
Obveznosti poročanja
Kadar zadevni subjekti pristojnemu organu priglasijo pomemben incident v skladu s prvim pododstavkom, država članica zagotovi, da ta pristojni organ priglasitev po prejemu posreduje skupini CSIRT.
V primeru pomembnega čezmejnega ali medsektorskega pomembnega incidenta države članice zagotovijo, da se njihovim enotnim kontaktnim točkam pravočasno zagotovijo ustrezne informacije, uradno sporočene v skladu z odstavkom 4.
Incident se šteje za pomemben, če:
je zadevnemu subjektu povzročil ali bi mu lahko povzročil znatne operativne motnje pri opravljanju storitev ali finančne izgube;
je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.
Države članice zagotovijo, da zadevni subjekti za namen priglasitve iz odstavka 1 skupini CSIRT ali po potrebi pristojnemu organu predložijo:
brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po seznanitvi z incidentom, zgodnje opozorilo, iz katerega je po potrebi razvidno, ali je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem ali bi lahko imel čezmejni vpliv;
brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po seznanitvi s pomembnim incidentom, priglasitev incidenta, s katero se po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter, kadar so na voljo, kazalniki ogroženosti;
na zahtevo skupine CSIRT ali po potrebi pristojnega organa vmesno poročilo o ustreznih posodobitvah stanja;
končno poročilo, najpozneje v enem mesecu po predložitvi priglasitve incidenta iz točke (b), ki vključuje naslednje:
podroben opis incidenta, vključno z njegovo resnostjo in vplivom;
vrsto grožnje ali temeljnega vzroka, ki je verjetno sprožil incident;
izvedene blažilne ukrepe in take ukrepe v teku;
po potrebi čezmejni vpliv incidenta;
v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) še vedno v teku, bi morale države članice poskrbeti, da subjekti takrat predložijo poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta.
Z odstopanjem od prvega pododstavka, točka (b), ponudnik storitev zaupanja v zvezi s pomembnimi incidenti, ki vplivajo na zagotavljanje njegovih storitev, o tem brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po seznanitvi s pomembnim incidentom, uradno obvesti skupino CSIRT ali po potrebi pristojni organ.
Komisija do 17. oktobra 2024 v zvezi s ponudniki storitev DNS, registri TLD imen, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebine, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, kot tudi ponudniki spletnih tržnic, spletnih brskalnikov in platform za storitve družbenega mreženja sprejme izvedbene akte, v katerih se podrobneje določijo primeri, v katerih se incident šteje za pomembnega, kot je navedeno v odstavku 3. Komisija lahko sprejme te izvedbene akte v zvezi z drugimi bistvenimi in pomembnimi subjekti.
Pri osnutkih izvedbenih aktov iz prvega in drugega pododstavka tega odstavka v skladu s členom 14(4), točka (e), si Komisija izmenjuje nasvete in sodeluje s skupino za sodelovanje.
Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 39(2).
Člen 24
Uporaba evropskih certifikacijskih shem za kibernetsko varnost
Komisija pred sprejetjem delegiranih aktov izvede oceno učinka in posvetovanja v skladu s členom 56 Uredbe (EU) 2019/881.
Člen 25
Standardizacija
POGLAVJE V
PRISTOJNOST IN REGISTRACIJA
Člen 26
Pristojnost in teritorialnost
Subjekti na podlagi te direktive spadajo v pristojnost države članice, kjer imajo sedež, razen v primeru, da:
se za ponudnike javnih elektronskih komunikacijskih omrežij ali ponudnike javno dostopnih elektronskih komunikacijskih storitev šteje, da spadajo v pristojnost države članice, v kateri zagotavljajo svoje storitve;
se za ponudnike storitev DNS, registre TLD imen, subjekte, ki opravljajo storitve registracije domenskih imen, ponudnike storitev računalništva v oblaku, ponudnike storitev podatkovnih centrov, ponudnike omrežij za dostavo vsebine, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev ter ponudnike spletnih tržnic, spletnih brskalnikov in platform za storitve družbenega mreženja šteje, da spadajo v pristojnost države članice, v kateri imajo glavni sedež v Uniji v skladu z odstavkom 2;
se za subjekte javne uprave šteje, da spadajo v pristojnost države članice, ki jih je ustanovila.
Člen 27
Register subjektov
Države članice od subjektov iz odstavka 1 zahtevajo, da pristojnim organom do 17. januarja 2025 predložijo naslednje informacije:
ime subjekta;
ustrezni sektor, podsektor in vrsto subjekta iz Priloge I ali II, kadar je to ustrezno;
naslov njegovega glavnega sedeža in njegovih drugih zakonitih sedežev v Uniji ali, če nima sedeža v Uniji, njegovega predstavnika, imenovanega v skladu s členom 26(3);
posodobljene kontaktne podatke, vključno z elektronskimi naslovi in telefonskimi številkami subjekta in po potrebi njegovega zastopnika, imenovanega v skladu s členom 26(3);
države članice, v katerih subjekt opravlja storitve, ter
bloke naslovov IP subjekta.
Člen 28
Podatkovna zbirka o registraciji domenskih imen
Za namene odstavka 1 države članice zahtevajo, da podatkovne zbirke o registraciji domenskih imen vsebujejo potrebne informacije za identifikacijo imetnikov domenskih imen in kontaktnih točk, ki upravljajo domenska imena v okviru vrhnjih domenskih imen, in navezavo stika z njimi. Take informacije vključujejo:
domensko ime;
datum registracije;
ime registratorja, njegov kontaktni elektronski naslov in telefonsko številko;
kontaktni elektronski naslov in telefonsko številko kontaktne točke, ki upravlja domensko ime, če se razlikuje od naslova registratorja.
POGLAVJE VI
IZMENJAVA INFORMACIJ
Člen 29
Dogovori o izmenjavi informacij o kibernetski varnosti
Države članice zagotovijo, da si lahko subjekti, ki spadajo na področje uporabe te direktive, ter, kadar je ustrezno, drugi subjekti, ki ne spadajo na področje uporabe te direktive, prostovoljno izmenjujejo ustrezne informacije o kibernetski varnosti, vključno z informacijami, ki se nanašajo na kibernetske grožnje, skorajšnje incidente, ranljivosti, tehnike in postopke, kazalnike ogroženosti, sovražne taktike, specifične informacije o grožnji in akterju, opozorila glede kibernetske varnosti in priporočila glede konfiguracije orodij za kibernetsko varnost za zaznavo kibernetskih napadov, kadar taka izmenjava informacij:
stremi k preprečevanju in odkrivanju incidentov, odzivanju nanje ali okrevanju po njih ali k ublažitvi njihovega vpliva;
zvišuje raven kibernetske varnosti, zlasti z ozaveščanjem v zvezi s kibernetskimi grožnjami, omejevanjem ali oviranjem zmožnosti širjenja takih groženj, podpiranjem vrste obrambnih zmogljivosti, odpravljanjem in razkrivanjem ranljivosti, tehnikami odkrivanja, omejevanja in preprečevanja groženj, strategijami za zmanjšanje tveganja ali fazami odzivanja in okrevanja ali spodbujanjem sodelovanja med javnimi in zasebnimi subjekti pri raziskovanju kibernetskih groženj.
Člen 30
Prostovoljna priglasitev ustreznih informacij
Države članice zagotovijo, da lahko poleg obvezne priglasitve iz člena 23 skupinam CSIRT ali, kadar je potrebno, pristojnim organom, priglasitve prostovoljno predložijo:
bistveni in pomembni subjekti v zvezi z incidenti, kibernetskimi grožnjami in skorajšnjimi incidenti;
subjekti, razen tistih iz točke (a), ne glede na to, ali spadajo na področje uporabe te direktive, v zvezi s pomembnimi incidenti, kibernetskimi grožnjami in skorajšnjimi incidenti.
Skupine CIRT in po potrebi pristojni organi informacije o priglasitvah, prejetih v skladu s tem členom, kadar je potrebno, posredujejo enotnim kontaktnim točkam, pri čemer poskrbijo za zaupnost in ustrezno varstvo informacij, ki jih je posredoval priglasitveni subjekt. Pri prostovoljnem poročanju za priglasitveni subjekt ne veljajo nikakršne dodatne obveznosti, ki zanj ne bi veljale, če ne bi predložil priglasitve, pri čemer se ne posega v preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj.
POGLAVJE VII
NADZOR IN IZVRŠEVANJE
Člen 31
Splošni vidiki, povezani z nadzorom in izvrševanjem
Člen 32
Nadzorni in izvršilni ukrepi v zvezi z bistvenimi subjekti
Države članice zagotovijo, da so pristojni organi pri izvajanju svojih nadzornih nalog v zvezi z bistvenimi subjekti pooblaščeni vsaj za to, da pri teh subjektih:
opravijo inšpekcijske preglede na kraju samem in nadzor na daljavo, vključno z naključnimi pregledi, ki jih izvedejo usposobljeni strokovnjaki;
opravijo redne in ciljno usmerjene revizije varnosti, ki jih izvede neodvisni subjekt ali pristojni organ;
opravijo priložnostne revizije, tudi ko je to utemeljeno zaradi pomembnega incidenta ali kršitve te direktive s strani bistvenega subjekta;
opravijo varnostne preglede, ki temeljijo na objektivnih, nediskriminatornih, poštenih in preglednih merilih za oceno tveganja, pri čemer po potrebi sodelujejo z zadevnim subjektom;
zahtevajo informacije, ki jih potrebujejo za oceno ukrepov za obvladovanje tveganj za kibernetsko varnost, ki jih je sprejel zadevni subjekt, vključno z dokumentiranimi politikami na področju kibernetske varnosti, in izpolnjevanje obveznosti predložitve informacij pristojnim organom v skladu s členom 27;
zahtevajo dostop do podatkov, dokumentov in informacij, potrebnih za opravljanje njihovih nadzornih nalog;
zahtevajo dokaze o izvajanju politik na področju kibernetske varnosti, kot so rezultati revizij varnosti, ki jih izvede usposobljen revizor, in ustrezni dokazi v zvezi z njimi.
Ciljno usmerjene revizije varnosti iz prvega pododstavka, točka (b), temeljijo na ocenah tveganja, ki jih izvedejo pristojni organi ali subjekt, ki je predmet presoje, ali na drugih razpoložljivih informacijah o tveganju.
Rezultati ciljno usmerjene revizije varnosti se dajo na voljo pristojnemu organu. Stroške ciljno usmerjene revizije varnosti, ki jo opravi neodvisni organ, krije revidirani subjekt, razen v ustrezno utemeljenih primerih, ko pristojni organ odloči drugače.
Države članice zagotovijo, da so njihovi pristojni organi pri izvajanju svojih izvršilnih pooblastil v zvezi z bistvenimi subjekti pooblaščeni vsaj za to, da:
izdajo opozorila o kršitvah te direktive s strani zadevnih subjektov;
sprejmejo zavezujoča navodila, tudi v zvezi z ukrepi za preprečitev ali odpravo incidenta, roki za njihovo izvedbo in poročanjem o tem, ali odredbo, s katero od zadevnih subjektov zahtevajo, da odpravijo ugotovljene pomanjkljivosti ali kršitve te direktive
zadevnim subjektom odredijo, naj prenehajo z ravnanjem, ki krši to direktivo, in naj tega ravnanja ne ponovijo več;
zadevnim subjektom odredijo, naj na določen način in v določenem roku poskrbijo, da bodo njihovi ukrepi za obvladovanje tveganj za kibernetsko varnost v skladu s členom 21, oz. naj izpolnijo obveznosti poročanja iz člena 23;
zadevnim subjektom odredijo, naj obvestijo fizične ali pravne osebe, v zvezi s katerimi opravljajo storitve ali izvajajo dejavnosti, na katere bi lahko vplivala pomembna kibernetska grožnja, o naravi grožnje, pa tudi o vseh mogočih zaščitnih ali popravnih ukrepih, ki jih lahko te fizične ali pravne osebe sprejmejo v odziv na to grožnjo;
zadevnim subjektom odredijo, naj v razumnem roku izvedejo priporočila, dana na podlagi revizije varnosti;
imenujejo uradnika za spremljanje z natančno opredeljenimi nalogami v določenem obdobju, ki spremlja izpolnjevanje členov 21 in 23 s strani zadevnih subjektov;
zadevnim subjektom odredijo, naj na določen način objavijo kršitve te direktive;
naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalnim pravom naložijo upravno globo na podlagi člena 34, poleg katerega koli od ukrepov iz točk (a) do (h) tega odstavka.
Kadar se izvršilni ukrepi, sprejeti v skladu z odstavkom 4, točke (a) do (d) in (f), izkažejo za neučinkovite, države članice zagotovijo, da so njihovi pristojni organi pooblaščeni za določitev roka, v katerem mora bistveni subjekt sprejeti potrebne ukrepe za odpravo pomanjkljivosti ali izpolnitev zahtev teh organov. Če se zahtevani ukrepi ne sprejmejo v določenem roku, države članice zagotovijo, da so njihovi pristojni organi pooblaščeni, da:
začasno prekličejo ali od certifikacijskega organa, organa, pristojnega za izdajo dovoljenj, ali od sodišča v skladu z nacionalnim pravom zahtevajo, naj začasno prekliče certifikat ali dovoljenje za del ustreznih storitev ali dejavnosti ali vse storitve ali dejavnosti, ki jih opravlja bistveni subjekt;
zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalnim pravom začasno prepovejo opravljanje vodstvenih funkcij vsem osebam, ki za bistveni subjekt opravljajo poslovodne naloge na ravni glavnega izvršnega direktorja ali pravnega zastopnika.
Začasni preklic ali prepoved, naložena na podlagi tega odstavka, se uporabljata samo, dokler zadevni subjekt ne sprejme potrebnih ukrepov za odpravo pomanjkljivosti ali izpolni zahtev pristojnega organa, zaradi katerih je bil tak izvršilni ukrep uporabljen. Za uvedbo začasnega preklica ali prepovedi veljajo ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listino, vključno s pravico do učinkovitega pravnega sredstva in poštenega sojenja, domnevo nedolžnosti in pravico do obrambe.
Izvršilni ukrepi iz tega odstavka se ne uporabljajo za subjekte javne uprave, za katere velja ta direktiva.
Kar zadeva subjekte javne uprave, ta odstavek ne posega v nacionalno pravo v zvezi z odgovornostjo javnih uslužbencev ter izvoljenih ali imenovanih uradnikov.
Pristojni organi pri sprejemanju izvršilnih ukrepov iz odstavka 4 ali 5 spoštujejo pravico do obrambe in upoštevajo okoliščine vsakega posameznega primera ter ustrezno upoštevajo vsaj naslednje:
resnost kršitve in pomembnost kršenih določb, pri čemer se morajo za resne kršitve med drugim v vsakem primeru šteti:
ponavljajoče se kršitve;
nepriglasitev ali neodprava pomembnih incidentov;
neodprava pomanjkljivosti v skladu z zavezujočimi navodili pristojnih organov;
oviranje revizij ali dejavnosti spremljanja, ki jih je odredil pristojni organ po ugotovitvi kršitve;
predložitev napačnih in zelo netočnih informacij v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost ali obveznostmi poročanja iz členov 21 in 23;
trajanje kršitve;
vse relevantne predhodne kršitve zadevnega subjekta;
vsako povzročeno premoženjsko ali nepremoženjsko škodo, vključno s finančnimi ali gospodarskimi izgubami, učinki na druge storitve in številom prizadetih uporabnikov;
morebitno naklepnost ali malomarnost storilca kršitve;
vse ukrepe, ki jih je subjekt sprejel za preprečevanje ali zmanjšanje premoženjske ali nepremoženjske škode;
vsako upoštevanje odobrenih kodeksov ravnanja ali odobrenih mehanizmov certificiranja;
raven sodelovanja fizičnih ali pravnih oseb, ki se štejejo za odgovorne, s pristojnimi organi.
Člen 33
Nadzorni in izvršilni ukrepi v zvezi s pomembnimi subjekti
Države članice zagotovijo, da so pristojni organi pri izvajanju svojih nadzornih nalog v zvezi s pomembnimi subjekti pooblaščeni vsaj za to, da pri teh subjektih:
opravijo inšpekcijske preglede na kraju samem in naknadni nadzor na daljavo, ki jih izvedejo usposobljeni strokovnjaki;
opravijo ciljno usmerjene revizije varnosti, ki jih izvede neodvisni subjekt ali pristojni organ;
opravijo revizije varnosti, ki temeljijo na objektivnih, nediskriminatornih, poštenih in preglednih merilih za oceno tveganja, pri čemer po potrebi sodelujejo z zadevnim subjektom;
zahtevajo informacije, ki jih potrebujejo za oceno ukrepov za obvladovanje tveganj za kibernetsko varnost, ki jih je sprejel zadevni subjekt, vključno z dokumentiranimi politikami na področju kibernetske varnosti, in izpolnjevanje obveznosti obveščanja pristojnih organov v skladu s členom 27;
zahtevajo dostop do podatkov, dokumentov in informacij, potrebnih za opravljanje njihovih nadzornih nalog;
zahtevajo dokaze o izvajanju politik na področju kibernetske varnosti, kot so rezultati revizije varnosti, ki jih je izvedel usposobljen revizor, in ustrezni dokazi v zvezi z njimi.
Ciljno usmerjene revizije varnosti iz prvega pododstavka, točka (b), temeljijo na ocenah tveganja, ki jih izvedejo pristojni organi ali subjekt, ki je predmet presoje, ali na drugih razpoložljivih informacijah o tveganju.
Rezultati ciljno usmerjene revizije varnosti se dajo na voljo pristojnemu organu. Stroške ciljno usmerjene revizije varnosti, ki jo opravi neodvisni organ, krije zadevni subjekt, razen v ustrezno utemeljenih primerih, ko pristojni organ odloči drugače.
Države članice zagotovijo, da so pristojni organi pri izvajanju svojih izvršilnih pooblastil v zvezi s pomembnimi subjekti pooblaščeni vsaj za to, da:
izdajo opozorila o subjektovem neizpolnjevanju obveznosti, določenih v tej direktivi;
sprejmejo zavezujoča navodila ali odredbo, s katero od zadevnih subjektov zahtevajo, da odpravijo ugotovljene pomanjkljivosti ali kršitev obveznosti, določenih v tej direktivi;
zadevnim subjektom odredijo, naj prenehajo z ravnanjem, ki ni skladno z obveznostmi, določenimi v tej direktivi, in naj tega ravnanja ne ponovijo več;
zadevnim subjektom odredijo, naj na določen način in v določenem roku poskrbijo, da bodo njihovi ukrepi za obvladovanje tveganj za kibernetsko varnost v skladu s členom 21, ali naj izpolnijo obveznosti poročanja iz člena 23;
zadevnim subjektom odredijo, naj obvestijo fizične ali pravne osebe, za katere opravljajo storitve ali dejavnosti, na katere bi lahko vplivala pomembna kibernetska grožnja, o naravi grožnje, pa tudi o vseh mogočih zaščitnih ali popravnih ukrepih, ki jih lahko te fizične ali pravne osebe sprejmejo v odziv na zadevno grožnjo;
zadevnim subjektom odredijo, naj v razumnem roku izvedejo priporočila, dana na podlagi varnostne presoje;
zadevnim subjektom odredijo, naj na določen način objavijo vidike neizpolnjevanja obveznosti, določenih v tej direktivi;
naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalnim pravom naložijo upravno globo v skladu s členom 34, poleg katerega koli od ukrepov iz točk (a) do (g) tega odstavka.
Člen 34
Splošni pogoji za naložitev upravnih glob bistvenim in pomembnim subjektom
Člen 35
Kršitve, ki pomenijo kršitev varstva osebnih podatkov
Člen 36
Sankcije
Države članice določijo pravila o sankcijah, ki se uporabljajo za kršitve nacionalnih predpisov, sprejetih na podlagi te direktive, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te sankcije izvajajo. Te sankcije morajo biti učinkovite, sorazmerne in odvračilne. Države članice o teh pravilih in ukrepih uradno obvestijo Komisijo do 17. januarja 2025 ter jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva.
Člen 37
Medsebojna pomoč
Kadar subjekt storitve opravlja v več kot eni državi članici ali storitve opravlja v eni ali več državah članicah, omrežni in informacijski sistemi pa so v eni ali več drugih državah članicah, pristojni organi zadevnih držav članic po potrebi sodelujejo in si pomagajo. Takšno sodelovanje vključuje vsaj naslednje:
pristojni organi, ki uporabljajo nadzorne ali izvršilne ukrepe v državi članici, prek enotne kontaktne točke obvestijo pristojne organe v drugih zadevnih državah članicah o sprejetih nadzornih in izvršilnih ukrepih;
pristojni organ lahko od drugega pristojnega organa zahteva, naj sprejme nadzorne ali izvršilne ukrepe;
pristojni organ po prejemu utemeljenega zahtevka drugega pristojnega organa temu organu zagotovi medsebojno pomoč, sorazmerno s sredstvi, ki jih ima na voljo, da se lahko nadzorni ali izvršilni ukrepi izvajajo učinkovito, uspešno in dosledno.
Medsebojna pomoč iz prvega pododstavka, točka (c), lahko zajema zahtevke za informacije in nadzorne ukrepe, vključno z zahtevki za izvajanje inšpekcijskih pregledov na kraju samem ali nadzora na daljavo ali ciljno usmerjenih varnostnih presoj. Pristojni organ, na katerega je naslovljen zahtevek za pomoč, zahtevka ne zavrne, razen če se ugotovi, da organ ni pristojen za zagotavljanje zahtevane pomoči, da zahtevana pomoč ni sorazmerna z nadzornimi nalogami pristojnega organa ali da zahtevek zadeva informacije ali dejavnosti, ki bi bile, če bi bile razkrite ali izvedene, v nasprotju z bistvenimi interesi nacionalne varnosti, javno varnostjo ali obrambo te države članice. Preden pristojni organ zavrne takšen zahtevek, se posvetuje z drugimi zadevnimi pristojnimi organi, na zahtevo katere od zadevnih držav članic pa tudi s Komisijo in ENISA.
POGLAVJE VIII
DELEGIRANI IN IZVEDBENI AKTI
Člen 38
Izvajanje prenosa pooblastila
Člen 39
Postopek v odboru
POGLAVJE IX
KONČNE DOLOČBE
Člen 40
Pregled
Komisija do 17. oktobra 2027 in nato vsakih 36 mesecev pregleda delovanje te direktive ter o tem poroča Evropskemu parlamentu in Svetu. V poročilu oceni zlasti pomen velikosti zadevnih subjektov ter sektorjev, podsektorjev in vrst subjektov iz prilog I in II za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. V ta namen in zaradi nadaljnje krepitve strateškega in operativnega sodelovanja Komisija upošteva poročila skupine za sodelovanje in mreže skupin CSIRT o izkušnjah, pridobljenih na strateški in operativni ravni. Poročilu po potrebi priloži zakonodajni predlog.
Člen 41
Prenos
Države članice te predpise uporabljajo od 18. oktobra 2024.
Člen 42
Sprememba Uredbe (EU) št. 910/2014
V Uredbi (EU) št. 910/2014 se člen 19 črta z učinkom od 18. oktobra 2024.
Člen 43
Sprememba Direktive (EU) 2018/1972
V Direktivi (EU) 2018/1972 se člena 40 in 41 črtata z učinkom od 18. oktobra 2024.
Člen 44
Razveljavitev
Direktiva (EU) 2016/1148 se razveljavi z učinkom od 18. oktobra 2024.
Sklicevanje na razveljavljeno direktivo se šteje za sklicevanje na to direktivo in se bere v skladu s korelacijsko tabelo iz Priloge III.
Člen 45
Začetek veljavnosti
Ta direktiva začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Člen 46
Naslovniki
Ta direktiva je naslovljena na države članice.
PRILOGA I
VISOKO KRITIČNI SEKTORJI
Sektor |
Podsektor |
Vrsta subjekta |
1. Energija |
(a) elektrika |
— elektroenergetska podjetja, kot so opredeljena v členu 2, točka 57, Direktive (EU) 2019/944 Evropskega parlamenta in Sveta (1), ki opravljajo dejavnosti „dobave“, kot je opredeljena v členu 2, točka 12, navedene direktive |
— operaterji distribucijskega sistema, kot so opredeljeni v členu 2, točka 29, Direktive (EU) 2019/944 |
||
— operaterji prenosnega sistema, kot so opredeljeni v členu 2, točka 35, Direktive (EU) 2019/944 |
||
— proizvajalci, kot so opredeljeni v členu 2, točka 38, Direktive (EU) 2019/944 |
||
— imenovani operaterji trga električne energije, kot so opredeljeni v členu 2, točka 8, Uredbe (EU) 2019/943 Evropskega parlamenta in Sveta (2) — udeleženci na trgu, kot so opredeljeni v členu 2, točka 25, Uredbe (EU) 2019/943, ki opravljajo storitve agregiranja, prilagajanja odjema ali shranjevanja energije, kot so opredeljeni v členu 2, točke 18, 20 in 59, Direktive (EU) 2019/944 — upravljavci polnilnega mesta, odgovorni za upravljanje in delovanje polnilnega mesta, ki končnim uporabnikom zagotavlja storitev polnjenja, tudi v imenu in za račun ponudnika mobilnostnih storitev |
||
(b) daljinsko ogrevanje in hlajenje |
— upravljavci daljinskega ogrevanja ali daljinskega hlajenja, kot je opredeljeno v členu 2, točka 19, Direktive (EU) 2018/2001 Evropskega parlamenta in Sveta (3) |
|
(c) nafta |
— upravljavci naftovodov |
|
— upravljavci obratov za proizvodnjo, rafiniranje in predelavo nafte ter upravljavci skladišč in transporta nafte |
||
— osrednji organi za vzdrževanje zalog, kot so opredeljeni v členu 2, točka (f), Direktive Sveta 2009/119/ES (4) |
||
(d) plin |
— dobavitelji, kot so opredeljeni v členu 2, točka 8, Direktive 2009/73/ES Evropskega parlamenta in Sveta (5) |
|
— operaterji distribucijskega sistema, kot so opredeljeni v členu 2, točka 6, Direktive 2009/73/ES |
||
— operaterji prenosnega sistema, kot so opredeljeni v členu 2, točka 4, Direktive 2009/73/ES |
||
— operaterji skladiščnega sistema, kot so opredeljeni v členu 2, točka 10, Direktive 2009/73/ES |
||
— operaterji sistema za UZP, kot so opredeljeni v členu 2, točka 12, Direktive 2009/73/ES |
||
— podjetja plinskega gospodarstva, kot so opredeljeni v členu 2, točka 1, Direktive 2009/73/ES |
||
— upravljavci obratov za rafiniranje in predelavo zemeljskega plina |
||
(e) vodik |
— upravljavci proizvodnje, shranjevanja in prenosa vodika |
|
2. Promet |
(a) zračni |
— letalski prevozniki, kot so opredeljeni členu 3, točka 4, Uredbe (ES) št. 300/2008, ki se uporabljajo v komercialne namene |
— upravni organi letališča, kot so opredeljeni v členu 2, točka 2, Direktive 2009/12/ES Evropskega parlamenta in Sveta (6), letališča, kot so opredeljena v členu 2, točka 1, navedene direktive, vključno z jedrnimi letališči iz oddelka 2 Priloge II k Uredbi (EU) št. 1315/2013 Evropskega parlamenta in Sveta (7), ter subjekti, ki upravljajo pomožne objekte, naprave in sredstva na letališčih |
||
— kontrolorji upravljanja prometa, ki zagotavljajo kontrolo zračnega prometa (ATC), kot je opredeljena v členu 2, točka 1, Uredbe (ES) št. 549/2004 Evropskega parlamenta in Sveta (8) |
||
(b) železniški |
— upravljavci infrastrukture, kot so opredeljeni v členu 3, točka 2, Direktive 2012/34/EU Evropskega parlamenta in Sveta (9) |
|
— prevozniki v železniškem prometu, kot so opredeljeni v členu 3, točka 1, Direktive 2012/34/EU, vključno z upravljavci objektov za izvajanje železniških storitev, kot so opredeljeni v členu 3, točka 12, navedene direktive |
||
(c) vodni |
— prevozna podjetja za potniški in tovorni promet po kopenskih vodah, morju in obalnih vodah, kot so za področje vodnega prometa opredeljena v Prilogi I k Uredbi (ES) št. 725/2004 Evropskega parlamenta in Sveta (10), brez posameznih plovil, ki jih upravljajo ta podjetja |
|
— upravni organi pristanišč, kot so opredeljena v členu 3, točka 1, Direktive 2005/65/ES Evropskega parlamenta in Sveta (11), vključno z njihovimi pristanišči, kot so opredeljena v členu 2, točka 11, Uredbe (ES) št. 725/2004, ter subjekti, ki izvajajo dela in upravljajo opremo v pristaniščih |
||
— upravljavci sistemov za nadzor plovbe (VTS), kot so opredeljeni v členu 3, točka (o), Direktive 2002/59/ES Evropskega parlamenta in Sveta (12) |
||
(d) cestni |
— cestni organi, kot so opredeljeni v členu 2, točka 12, Delegirane uredbe Komisije (EU) 2015/962 (13), odgovorni za nadzor upravljanja prometa, razen javnih subjektov, za katere je upravljanje prometa ali upravljanje inteligentnih prometnih sistemov le nebistven del splošne dejavnosti |
|
— upravljavci inteligentnih prometnih sistemov, kot so opredeljeni v členu 4, točka 1, Direktive 2010/40/EU Evropskega parlamenta in Sveta (14) |
||
3. Bančništvo |
|
kreditne institucije, kot so opredeljene v členu 4, točka 1, Uredbe (EU) št. 575/2013 Evropskega parlamenta in Sveta (15) |
4. Infrastruktura finančnega trga |
|
— upravljavci mest trgovanja, kot so opredeljena v členu 4, točka 24, Direktive 2014/65/EU Evropskega parlamenta in Sveta (16) |
— centralne nasprotne stranke (CNS), kot so opredeljene v členu 2, točka 1, Uredbe (EU) št. 648/2012 Evropskega parlamenta in Sveta (17) |
||
5. Zdravje |
|
— izvajalci zdravstvenega varstva, kot so opredeljeni v členu 3, točka (g), Direktive 2011/24/EU Evropskega parlamenta in Sveta (18) |
— referenčni laboratoriji EU iz člena 15 Uredbe (EU) 2022/2371 Evropskega parlamenta in Sveta (19) |
||
— subjekti, ki izvajajo raziskovalne in razvojne dejavnosti na področju zdravil, kot so opredeljena v členu 1, točka 2, Direktive 2001/83/ES Evropskega parlamenta in Sveta (20) — subjekti, ki proizvajajo farmacevtske surovine in preparate s področja C oddelka 21 NACE Rev. 2 — subjekti, ki proizvajajo medicinske pripomočke, ki se štejejo za kritične v času izrednih razmer v javnem zdravju (seznam kritičnih pripomočkov v izrednih razmerah v javnem zdravju) v smislu člena 22 Uredbe (EU) 2022/123 Evropskega parlamenta in Sveta (21) |
||
6. Pitna voda |
|
dobavitelji in distributerji vode, namenjene za prehrano ljudi, kot je opredeljena v členu 2, točka 1(a), Direktive (EU) 2020/2184 Evropskega parlamenta in Sveta (22), razen distributerjev, za katere je distribucija vode za prehrano ljudi le nebistven del splošne dejavnosti distribucije drugih dobrin in blaga |
7. Odpadna voda |
|
podjetja, ki zbirajo, odvajajo ali čistijo komunalno odpadno vodo, odpadno vodo iz gospodinjstev ali tehnološko odpadno vodo, kot je opredeljena v členu 2, točke 1, 2 in 3, Direktive Sveta 91/271/EGS (23), razen podjetij, za katera je zbiranje, odvajanje ali čiščenje komunalne odpadne vode, odpadne vode iz gospodinjstev ali tehnološke odpadne vode nebistven del splošne dejavnosti |
8. Digitalna infrastruktura |
|
— ponudniki stičišča omrežij |
— ponudniki storitev DNS, razen upravljavcev korenskih imenskih strežnikov |
||
— registri TLD imen |
||
— ponudniki storitev računalništva v oblaku |
||
— ponudniki storitev podatkovnih centrov |
||
— ponudniki omrežij za dostavo vsebin |
||
— ponudniki storitev zaupanja |
||
— ponudniki javnih elektronskih komunikacijskih omrežij |
||
— ponudniki javno dostopnih elektronskih komunikacijskih storitev |
||
9. Upravljanje storitev IKT (med podjetji) |
|
— ponudniki upravljanih storitev — ponudniki upravljanih varnostnih storitev |
10. Javna uprava |
|
— subjekti javne uprave enot centralne ravni držav, kot jih opredeli država članica v skladu z nacionalnim pravom |
— subjekti javne uprave enot na regionalni ravni, kot jih opredeli država članica v skladu z nacionalnim pravom |
||
11. Vesolje |
|
upravljavci talne infrastrukture, ki jo imajo v lasti, vodijo in upravljajo države članice ali zasebne stranke, ki podpirajo opravljanje vesoljskih storitev, brez ponudnikov javnih elektronskih komunikacijskih omrežij |
(1)
Direktiva (EU) 2019/944 Evropskega parlamenta in Sveta z dne 5. junija 2019 o skupnih pravilih notranjega trga električne energije in spremembi Direktive 2012/27/EU (UL L 158, 14.6.2019, str. 125).
(2)
Uredba (EU) 2019/943 Evropskega parlamenta in Sveta z dne 5. junija 2019 o notranjem trgu električne energije (UL L 158, 14.6.2019, str. 54).
(3)
Direktiva (EU) 2018/2001 Evropskega parlamenta in Sveta z dne 11. decembra 2018 o spodbujanju uporabe energije iz obnovljivih virov (UL L 328, 21.12.2018, str. 82).
(4)
Direktiva Sveta 2009/119/ES z dne 14. septembra 2009 o obveznosti držav članic glede vzdrževanja minimalnih zalog surove nafte in/ali naftnih derivatov (UL L 265, 9.10.2009, str. 9).
(5)
Direktiva 2009/73/ES Evropskega parlamenta in Sveta z dne 13. julija 2009 o skupnih pravilih notranjega trga z zemeljskim plinom in o razveljavitvi Direktive 2003/55/ES (UL L 211, 14.8.2009, str. 94).
(6)
Direktiva 2009/12/ES Evropskega parlamenta in Sveta z dne 11. marca 2009 o letaliških pristojbinah (UL L 70, 14.3.2009, str. 11).
(7)
Uredba (EU) št. 1315/2013 Evropskega parlamenta in Sveta z dne 11. decembra 2013 o smernicah Unije za razvoj vseevropskega prometnega omrežja in razveljavitvi Sklepa št. 661/2010/EU (UL L 348, 20.12.2013, str. 1).
(8)
Uredba (ES) št. 549/2004 Evropskega parlamenta in Sveta z dne 10. marca 2004 o določitvi okvira za oblikovanje enotnega evropskega neba (okvirna uredba) (UL L 96, 31.3.2004, str. 1).
(9)
Direktiva 2012/34/EU Evropskega parlamenta in Sveta z dne 21. novembra 2012 o vzpostavitvi enotnega evropskega železniškega območja (UL L 343, 14.12.2012, str. 32).
(10)
Uredba (ES) št. 725/2004 Evropskega parlamenta in Sveta z dne 31. marca 2004 o povečanju zaščite na ladjah in v pristaniščih (UL L 129, 29.4.2004, str. 6).
(11)
Direktiva Evropskega parlamenta in Sveta 2005/65/ES z dne 26. oktobra 2005 o krepitvi varnosti v pristaniščih (UL L 310, 25.11.2005, str. 28).
(12)
Direktiva 2002/59/ES Evropskega parlamenta in Sveta z dne 27. junija 2002 o vzpostavitvi sistema spremljanja in obveščanja za ladijski promet ter o razveljavitvi Direktive Sveta 93/75/EGS (UL L 208, 5.8.2002, str. 10).
(13)
Delegirana uredba Komisije (EU) 2015/962 z dne 18. decembra 2014 o dopolnitvi Direktive 2010/40/EU Evropskega parlamenta in Sveta v zvezi z opravljanjem storitev zagotavljanja prometnih informacij v realnem času po vsej EU (UL L 157, 23.6.2015, str. 21).
(14)
Direktiva 2010/40/EU Evropskega parlamenta in Sveta z dne 7. julija 2010 o okviru za uvajanje inteligentnih prometnih sistemov v cestnem prometu in za vmesnike do drugih vrst prevoza (UL L 207, 6.8.2010, str. 1).
(15)
Uredba (EU) št. 575/2013 Evropskega parlamenta in Sveta z dne 26. junija 2013 o bonitetnih zahtevah za kreditne institucije in o spremembi Uredbe (EU) št. 648/2012 (UL L 176, 27.6.2013, str. 1).
(16)
Direktiva 2014/65/EU Evropskega parlamenta in Sveta z dne 15. maja 2014 o trgih finančnih instrumentov ter spremembi Direktive 2002/92/ES in Direktive 2011/61/EU (UL L 173, 12.6.2014, str. 349).
(17)
Uredba (EU) št. 648/2012 Evropskega parlamenta in Sveta z dne 4. julija 2012 o izvedenih finančnih instrumentih OTC, centralnih nasprotnih strankah in repozitorijih sklenjenih poslov (UL L 201, 27.7.2012, str. 1).
(18)
Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).
(19)
Uredba (EU) 2022/2371 Evropskega parlamenta in Sveta z dne 23. novembra 2022 o resnih čezmejnih grožnjah za zdravje in o razveljavitvi Sklepa št. 1082/2013/EU (UL L 314, 6.12.2022, str. 26).
(20)
Direktiva 2001/83/ES Evropskega parlamenta in Sveta z dne 6. novembra 2001 o zakoniku Skupnosti o zdravilih za uporabo v humani medicini (UL L 311, 28.11.2001, str. 67).
(21)
Uredba (EU) 2022/123 Evropskega parlamenta in Sveta z dne 25. januarja 2022 o okrepljeni vlogi Evropske agencije za zdravila pri pripravljenosti na krize in kriznem upravljanju na področju zdravil in medicinskih pripomočkov (UL L 20, 31.1.2022, str. 1).
(22)
Direktiva (EU) 2020/2184 Evropskega parlamenta in Sveta z dne 16. decembra 2020 o kakovosti vode, namenjene za prehrano ljudi (UL L 435, 23.12.2020, str. 1).
(23)
Direktiva Sveta 91/271/EGS z dne 21. maja 1991 o čiščenju komunalne odpadne vode (UL L 135, 30.5.1991, str. 40). |
PRILOGA II
DRUGI KRITIČNI SEKTORJI
Sektor |
Podsektor |
Vrsta subjekta |
1. Poštne in kurirske storitve |
|
izvajalci poštnih storitev, kot so opredeljeni v členu 2, točka 1a, Direktive 97/67/ES, vključno z izvajalci kurirskih storitev |
2. Ravnanje z odpadki |
|
podjetja, ki izvajajo postopke ravnanja z odpadki, kot je opredeljeno v členu 3, točka 9, Direktive 2008/98/ES Evropskega parlamenta in Sveta (1), vendar brez podjetij, pri katerih ravnanje z odpadki ni glavna gospodarska dejavnost |
3. Izdelava, proizvodnja in distribucija kemikalij |
|
podjetja, ki proizvajajo snovi in distribuirajo snovi ali zmesi iz člena 3, točki 9 in 14, Uredbe (ES) št. 1907/2006 Evropskega parlamenta in Sveta (2) in podjetja, ki iz snovi in zmesi proizvajajo izdelke, kot so opredeljeni v členu 3, točka 3, navedene uredbe |
4. Pridelava, predelava in distribucija živil |
|
živilske dejavnosti, kot so opredeljene v členu 3, točka 2, Uredbe (ES) št. 178/2002 Evropskega parlamenta in Sveta (3), ki se ukvarjajo s prodajo na debelo ter industrijsko pridelavo in predelavo |
5. Proizvodnja |
(a) proizvodnja medicinskih pripomočkov ter in vitro diagnostičnih medicinskih pripomočkov |
subjekti, ki proizvajajo medicinske pripomočke, kot so opredeljeni v členu 2, točka 1, Uredbe (EU) 2017/745 Evropskega parlamenta in Sveta (4), in subjekti, ki proizvajajo in vitro diagnostične medicinske pripomočke, kot so opredeljeni v členu 2, točka 2, Uredbe (EU) 2017/746 Evropskega parlamenta in Sveta (5), razen subjektov, ki proizvajajo medicinske pripomočke iz Priloge I, točka 5, peta alinea, k tej direktivi |
(b) proizvodnja računalnikov, elektronskih in optičnih izdelkov |
podjetja, ki opravljajo katero koli gospodarsko dejavnost s področja C oddelka 26 NACE Rev. 2 |
|
(c) proizvodnja električnih naprav |
podjetja, ki opravljajo katero koli gospodarsko dejavnost s področja C oddelka 27 NACE Rev. 2 |
|
(d) proizvodnja drugih strojev in naprav |
podjetja, ki opravljajo katero koli gospodarsko dejavnost s področja C oddelka 28 NACE Rev. 2 |
|
(e) proizvodnja motornih vozil, prikolic in polprikolic |
podjetja, ki opravljajo katero koli gospodarsko dejavnost s področja C oddelka 29 NACE Rev. 2 |
|
(f) proizvodnja drugih vozil in plovil |
podjetja, ki opravljajo katero koli gospodarsko dejavnost s področja C oddelka 30 NACE Rev. 2 |
|
6. Digitalni ponudniki |
|
— ponudniki spletnih tržnic |
— ponudniki spletnih iskalnikov |
||
— ponudniki platform za storitve družbenega mreženja |
||
7. Raziskave |
|
raziskovalne organizacije |
(1)
Direktiva 2008/98/ES Evropskega parlamenta in Sveta z dne 19. novembra 2008 o odpadkih in razveljavitvi nekaterih direktiv (UL L 312, 22.11.2008, str. 3).
(2)
Uredba (ES) št. 1907/2006 Evropskega parlamenta in Sveta z dne 18. decembra 2006 o registraciji, evalvaciji, avtorizaciji in omejevanju kemikalij (REACH) ter o ustanovitvi Evropske agencije za kemikalije in o spremembi Direktive 1999/45/ES ter o razveljavitvi Uredbe Sveta (EGS) št. 793/93 in Uredbe Komisije (ES) št. 1488/94 ter Direktive Sveta 76/769/EGS in direktiv Komisije 91/155/EGS, 93/67/EGS, 93/105/ES in 2000/21/ES (UL L 396, 30.12.2006, str. 1).
(3)
Uredba (ES) št. 178/2002 Evropskega parlamenta in Sveta z dne 28. januarja 2002 o določitvi splošnih načel in zahtevah živilske zakonodaje, ustanovitvi Evropske agencije za varnost hrane in postopkih, ki zadevajo varnost hrane (UL L 31, 1.2.2002, str. 1).
(4)
Uredba (EU) 2017/745 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o medicinskih pripomočkih, spremembi Direktive 2001/83/ES, Uredbe (ES) št. 178/2002 in Uredbe (ES) št. 1223/2009 ter razveljavitvi direktiv Sveta 90/385/EGS in 93/42/EGS (UL L 117, 5.5.2017, str. 1).
(5)
Uredba (EU) 2017/746 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o in vitro diagnostičnih medicinskih pripomočkih ter razveljavitvi Direktive 98/79/ES in Sklepa Komisije 2010/227/EU (UL L 117, 5.5.2017, str. 176). |
PRILOGA III
KORELACIJSKA TABELA
Direktiva (EU) 2016/1148 |
Ta direktiva |
člen 1(1) |
člen 1(1) |
člen 1(2) |
člen 1(2) |
člen 1(3) |
- |
člen 1(4) |
člen 2(12) |
člen 1(5) |
člen 2(13) |
člen 1(6) |
člen 2(6) in (11) |
člen 1(7) |
člen 4 |
člen 2 |
člen 2(14) |
člen 3 |
člen 5 |
člen 4 |
člen 6 |
člen 5 |
- |
člen 6 |
- |
člen 7(1) |
člen 7(1) in (2) |
člen 7(2) |
člen 7(4) |
člen 7(3) |
člen 7(3) |
člen 8(1) do (5) |
člen 8(1) do (5) |
člen 8(6) |
člen 13(4) |
člen 8(7) |
člen 8(6) |
člen 9(1), (2) in (3) |
člen 10(1), (2) in (3) |
člen 9(4) |
člen 10(9) |
člen 9(5) |
člen 10(10) |
člen 10(1), (2) in (3), prvi pododstavek |
člen 13(1), (2) in (3) |
člen 10(3), drugi pododstavek |
člen 23(9) |
člen 11(1) |
člen 14(1) in (2) |
člen 11(2) |
člen 14(3) |
člen 11(3) |
člen 14(4), prvi pododstavek, točke (a) do (q) in (s), ter odstavek 7 |
člen 11(4) |
člen 14(4), prvi pododstavek, točka (r), in drugi pododstavek |
člen 11(5) |
člen 14(8) |
člen 12(1) do (5) |
člen 15(1) do (5) |
člen 13 |
člen 17 |
člen 14(1) in (2) |
člen 21(1) do (4) |
člen 14(3) |
člen 23(1) |
člen 14(4) |
člen 23(3) |
člen 14(5) |
člen 23(5), (6) in (8) |
člen 14(6) |
člen 23(7) |
člen 14(7) |
člen 23(11) |
člen 15(1) |
člen 31(1) |
člen 15(2), prvi pododstavek, točka (a) |
člen 32(2), točka (e) |
člen 15(2), prvi pododstavek, točka (b) |
člen 32(2), točka (g) |
člen 15(2), drugi pododstavek |
člen 32(3) |
člen 15(3) |
člen 32(4), točka (b) |
člen 15(4) |
člen 31(3) |
člen 16(1) in (2) |
člen 21(1) do (4) |
člen 16(3) |
člen 23(1) |
člen 16(4) |
člen 23(3) |
člen 16(5) |
- |
člen 16(6) |
člen 23(6) |
člen 16(7) |
člen 23(7) |
člen 16(8) in (9) |
člen 21(5) in člen 23(11) |
člen 16(10) |
- |
člen 16(11) |
člen 2(1), (2) in (3) |
člen 17(1) |
člen 33(1) |
člen 17(2), točka (a) |
člen 32(2), točka (e) |
člen 17(2), točka (b) |
člen 32(4), točka (b) |
člen 17(3) |
člen 37(1), točki (a) in (b) |
člen 18(1) |
člen 26(1), točka (b), in odstavek 2 |
člen 18(2) |
člen 26(3) |
člen 18(3) |
člen 26(4) |
člen 19 |
člen 25 |
člen 20 |
člen 30 |
člen 21 |
člen 36 |
člen 22 |
člen 39 |
člen 23 |
člen 40 |
člen 24 |
- |
člen 25 |
člen 41 |
člen 26 |
člen 45 |
člen 27 |
člen 46 |
Priloga I, točka 1 |
člen 11(1) |
Priloga I, točke 2(a)(i) do (iv) |
člen 11(2), točke (a) do (d) |
Priloga I, točka 2(a)(v) |
člen 11(2), točka (f) |
Priloga I, točka 2(b) |
člen 11(4) |
Priloga I, točki 2(c)(i) in (ii) |
člen 11(5), točka (a) |
Priloga II |
Priloga I |
Priloga III, točki 1 in 2 |
Priloga II, točka 6 |
Priloga III, točka 3 |
Priloga I, točka 8 |
( 1 ) Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).
( 2 ) Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8).
( 3 ) Uredba (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta (UL L 316, 14.11.2012, str. 12).
( 4 ) Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).
( 5 ) Direktiva Evropskega parlamenta in Sveta 2005/29/ES z dne 11. maja 2005 o nepoštenih poslovnih praksah podjetij v razmerju do potrošnikov na notranjem trgu ter o spremembi Direktive Sveta 84/450/EGS, direktiv Evropskega parlamenta in Sveta 97/7/ES, 98/27/ES in 2002/65/ES ter Uredbe (ES) št. 2006/2004 Evropskega parlamenta in Sveta (Direktiva o nepoštenih poslovnih praksah) (UL L 149, 11.6.2005, str. 22).
( 6 ) Uredba (EU) 2019/1150 Evropskega parlamenta in Sveta z dne 20. junija 2019 o spodbujanju pravičnosti in preglednosti za poslovne uporabnike spletnih posredniških storitev (UL L 186, 11.7.2019, str. 57).