14.9.2023 |
SL |
Uradni list Evropske unije |
C 324/2 |
SPOROČILO KOMISIJE
Smernice Komisije o uporabi člena 3(4) Direktive (EU) 2022/2555 (Direktiva NIS 2)
(2023/C 324/02)
1.
V skladu s členom 3(4) Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva NIS 2) (1) Komisija ob pomoči Agencije Evropske unije za kibernetsko varnost (ENISA) brez nepotrebnega odlašanja določi smernice in obrazce v zvezi z obveznostmi iz navedene določbe. Člen 3(4) Direktive (EU) 2022/2555 se sklicuje na člen 3(3) navedene direktive, v skladu s katerim morajo države članice do 17. aprila 2025 oblikovati seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen. Države članice morajo ta seznam redno oziroma vsaj vsaki dve leti pregledati in ga po potrebi posodobiti.
2.
Za namene priprave seznama bistvenih in pomembnih subjektov bi morale države članice od subjektov zahtevati, da pristojnim organom predložijo vsaj naslednje informacije: ime, naslov in ažurne kontaktne podatke, vključno z naslovi elektronske pošte, bloki naslovov IP in telefonskimi številkami subjekta, ustrezni sektor in podsektor iz prilog, kadar je to primerno, po potrebi pa tudi seznam držav članic, v katerih opravljajo storitve, ki spadajo na področje uporabe Direktive. Priloga I k tem smernicam določa predlogo za zbiranje navedenih informacij za pripravo seznama.
3.
Za lažje oblikovanje in posodabljanje seznama bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen, člen 3(4) Direktive (EU) 2022/2555 določa, da bi morale imeti države članice možnost, da vzpostavijo nacionalne mehanizme za samoregistracijo subjektov (2).
4.
V skladu s členom 3(5) Direktive (EU) 2022/2555 morajo države članice do 17. aprila 2025 in nato vsaki dve leti Komisijo in skupino za sodelovanje uradno obvestiti vsaj o številu bistvenih in pomembnih subjektov, ki so na seznamu na podlagi člena 3(3) navedene direktive, za vsak sektor in podsektor iz prilog I in II k Direktivi. Države članice morajo Komisijo uradno obvestiti tudi o ustreznih informacijah o številu bistvenih in pomembnih subjektov, identificiranih na podlagi člena 2(2), točke (b) do (e), Direktive (EU) 2022/2555, sektorju in podsektorju, ki jim pripadajo, vrsti storitev, ki jih opravljajo, ter opravljanju storitev, na podlagi katerih so bili identificirani. V uvodni izjavi 19 Direktive (EU) 2022/2555 je pojasnjeno, da se države članice spodbuja, da si s Komisijo izmenjujejo informacije o bistvenih in pomembnih subjektih ter v primeru kibernetskega incidenta velikih razsežnosti ustrezne informacije, kot je ime zadevnega subjekta.
5.
Poleg seznama, ki ga države članice pripravijo v skladu s členom 3(3) Direktive (EU) 2022/2555, bi morale države članice v skladu s členom 27(2) navedene direktive od nekaterih vrst subjektov iz člena 27(1) Direktive zahtevati tudi, da pristojnim organom do 17. januarja 2025 predložijo naslednje informacije: ime subjekta; ustrezni sektor, podsektor in vrsto subjekta iz Priloge I ali II k Direktivi, kadar je to ustrezno; naslov njegovega glavnega sedeža in njegovih drugih zakonitih sedežev v Uniji, ali če nima sedeža v Uniji, njegovega predstavnika, imenovanega v skladu s členom 26(3) Direktive; posodobljene kontaktne podatke, vključno z elektronskimi naslovi in telefonskimi številkami subjekta in po potrebi njegovega zastopnika, imenovanega v skladu s členom 26(3) Direktive; države članice, v katerih subjekt opravlja storitve, ter bloke naslovov IP subjekta. V skladu s členom 27(3) Direktive (EU) 2022/2555 države članice zahtevajo, da subjekti iz člena 27(1) Direktive nemudoma, v vsakem primeru pa v treh mesecih od datuma spremembe, pristojni organ uradno obvestijo o kakršnih koli spremembah informacij, ki so ji predložili v skladu s členom 27(2) Direktive.
6.
V skladu s členom 27(5) Direktive (EU) 2022/2555 se informacije iz člena 27(2) in (3) navedene direktive po potrebi predložijo prek nacionalnega mehanizma iz člena 3(4) Direktive. Da bi se dosegla večja upravna učinkovitost, predloga v obliki priloge k tem smernicam, vključuje tudi zahtevke za informacije, potrebne za namene člena 3(3) in člena 27(2) Direktive (EU) 2022/2555. Ta predloga je bila ustvarjena ob pomoči agencije ENISA.
(1) UL L 333, 27.12.2022, str. 80.
(2) Glej tudi uvodno izjavo 18 Direktive (EU) 2022/2555.
DODATEK:
Predloga za informacije, potrebne za seznam iz člena 3(3) in za člen 27(2) Direktive (EU) 2022/2555
1.
Sektor dejavnosti v skladu z Direktivo (EU) 2022/2555
Priloga I – |
Visoko kritični sektorji
|
PRILOGA II – |
Drugi kritični sektorji
|
2.
Ime subjekta
3.
V primeru, da je subjekt naveden v členu 27(1) Direktive (EU) 2022/2555 (ponudnik storitev DNS, register TLD imen, subjekt, ki opravlja storitve registracije domenskih imen, ponudnik storitev računalništva v oblaku, ponudnik storitev podatkovnih centrov, ponudnik omrežja za dostavo vsebine, ponudnik upravljanih storitev, ponudnik upravljanih varnostnih storitev ter ponudnik spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja), ali ima subjekt glavni sedež v EU v tej državi članici, ali če v EU nima pravnega sedeža, predstavnika v tej državi članici?
4.
Naslov sedeža subjekta v tej državi članici. Če je subjekt naveden v členu 27(1) Direktive (EU) 2022/2555, naslov glavnega sedeža subjekta, če se nahaja v tej državi članici, in njegovih drugih pravnih sedežev v EU. V primeru, da nima sedeža, naslov predstavnika v EU, imenovanega v skladu s členom 26(3) Direktive (EU) 2022/2555, če se predstavnik nahaja v tej državi članici.
5.
Ažurni kontaktni podatki, vključno z elektronskimi naslovi in telefonskimi številkami v tej državi članici.
6.
Bloki naslovov IP subjekta v tej državi članici
7.
Če je subjekt naveden v členu 27(1) Direktive (EU) 2022/2555, seznam držav članic, v katerih subjekt opravlja storitve s področja uporabe navedene direktive.