14.9.2023   

SL

Uradni list Evropske unije

C 324/2

SPOROČILO KOMISIJE

Smernice Komisije o uporabi člena 3(4) Direktive (EU) 2022/2555 (Direktiva NIS 2)

(2023/C 324/02)

1.   

V skladu s členom 3(4) Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva NIS 2) (1) Komisija ob pomoči Agencije Evropske unije za kibernetsko varnost (ENISA) brez nepotrebnega odlašanja določi smernice in obrazce v zvezi z obveznostmi iz navedene določbe. Člen 3(4) Direktive (EU) 2022/2555 se sklicuje na člen 3(3) navedene direktive, v skladu s katerim morajo države članice do 17. aprila 2025 oblikovati seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen. Države članice morajo ta seznam redno oziroma vsaj vsaki dve leti pregledati in ga po potrebi posodobiti.

2.   

Za namene priprave seznama bistvenih in pomembnih subjektov bi morale države članice od subjektov zahtevati, da pristojnim organom predložijo vsaj naslednje informacije: ime, naslov in ažurne kontaktne podatke, vključno z naslovi elektronske pošte, bloki naslovov IP in telefonskimi številkami subjekta, ustrezni sektor in podsektor iz prilog, kadar je to primerno, po potrebi pa tudi seznam držav članic, v katerih opravljajo storitve, ki spadajo na področje uporabe Direktive. Priloga I k tem smernicam določa predlogo za zbiranje navedenih informacij za pripravo seznama.

3.   

Za lažje oblikovanje in posodabljanje seznama bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen, člen 3(4) Direktive (EU) 2022/2555 določa, da bi morale imeti države članice možnost, da vzpostavijo nacionalne mehanizme za samoregistracijo subjektov (2).

4.   

V skladu s členom 3(5) Direktive (EU) 2022/2555 morajo države članice do 17. aprila 2025 in nato vsaki dve leti Komisijo in skupino za sodelovanje uradno obvestiti vsaj o številu bistvenih in pomembnih subjektov, ki so na seznamu na podlagi člena 3(3) navedene direktive, za vsak sektor in podsektor iz prilog I in II k Direktivi. Države članice morajo Komisijo uradno obvestiti tudi o ustreznih informacijah o številu bistvenih in pomembnih subjektov, identificiranih na podlagi člena 2(2), točke (b) do (e), Direktive (EU) 2022/2555, sektorju in podsektorju, ki jim pripadajo, vrsti storitev, ki jih opravljajo, ter opravljanju storitev, na podlagi katerih so bili identificirani. V uvodni izjavi 19 Direktive (EU) 2022/2555 je pojasnjeno, da se države članice spodbuja, da si s Komisijo izmenjujejo informacije o bistvenih in pomembnih subjektih ter v primeru kibernetskega incidenta velikih razsežnosti ustrezne informacije, kot je ime zadevnega subjekta.

5.   

Poleg seznama, ki ga države članice pripravijo v skladu s členom 3(3) Direktive (EU) 2022/2555, bi morale države članice v skladu s členom 27(2) navedene direktive od nekaterih vrst subjektov iz člena 27(1) Direktive zahtevati tudi, da pristojnim organom do 17. januarja 2025 predložijo naslednje informacije: ime subjekta; ustrezni sektor, podsektor in vrsto subjekta iz Priloge I ali II k Direktivi, kadar je to ustrezno; naslov njegovega glavnega sedeža in njegovih drugih zakonitih sedežev v Uniji, ali če nima sedeža v Uniji, njegovega predstavnika, imenovanega v skladu s členom 26(3) Direktive; posodobljene kontaktne podatke, vključno z elektronskimi naslovi in telefonskimi številkami subjekta in po potrebi njegovega zastopnika, imenovanega v skladu s členom 26(3) Direktive; države članice, v katerih subjekt opravlja storitve, ter bloke naslovov IP subjekta. V skladu s členom 27(3) Direktive (EU) 2022/2555 države članice zahtevajo, da subjekti iz člena 27(1) Direktive nemudoma, v vsakem primeru pa v treh mesecih od datuma spremembe, pristojni organ uradno obvestijo o kakršnih koli spremembah informacij, ki so ji predložili v skladu s členom 27(2) Direktive.

6.   

V skladu s členom 27(5) Direktive (EU) 2022/2555 se informacije iz člena 27(2) in (3) navedene direktive po potrebi predložijo prek nacionalnega mehanizma iz člena 3(4) Direktive. Da bi se dosegla večja upravna učinkovitost, predloga v obliki priloge k tem smernicam, vključuje tudi zahtevke za informacije, potrebne za namene člena 3(3) in člena 27(2) Direktive (EU) 2022/2555. Ta predloga je bila ustvarjena ob pomoči agencije ENISA.

(1)   UL L 333, 27.12.2022, str. 80.

(2)  Glej tudi uvodno izjavo 18 Direktive (EU) 2022/2555.

DODATEK:

Predloga za informacije, potrebne za seznam iz člena 3(3) in za člen 27(2) Direktive (EU) 2022/2555

1.   

Sektor dejavnosti v skladu z Direktivo (EU) 2022/2555

Priloga I –

Visoko kritični sektorji

Energija

Elektrika

Elektroenergetska podjetja

Operater distribucijskega sistema

Operater prenosnega sistema

Proizvajalci

Imenovani operaterji trga električne energije

Udeleženci na trgu, ki opravljajo storitve agregiranja, prilaganja odjema ali shranjevanja energije

Upravljavci polnilnega mesta, odgovorni za upravljanje in delovanje polnilnega mesta, ki končnim uporabnikom zagotavlja storitev polnjenja, tudi v imenu in za račun ponudnika storitev mobilnosti

Upravljavci daljinskega ogrevanja ali daljinskega hlajenja

Nafta

Upravljavci naftovodov

Upravljavci obratov za proizvodnjo, rafiniranje in predelavo nafte ter upravljavci skladišč in transporta nafte

Osrednji organi za vzdrževanje zalog

Plin

Dobavitelji

Operaterji distribucijskega sistema

Operaterji prenosnega sistema

Operaterji skladiščnega sistema

Operaterji sistema za UZP

Podjetja plinskega gospodarstva

Upravljavci obratov za rafiniranje in predelavo zemeljskega plina

Upravljavci proizvodnje, shranjevanja in prenosa vodika

Promet

Zračni

Letalski prevozniki

Upravni organi letališča

Kontrolorji upravljanja prometa, ki zagotavljajo kontrolo zračnega prometa (ATC)

Železniški

Upravljavci infrastrukture

Prevozniki v železniškem prometu, vključno z upravljavci objektov za izvajanje železniških storitev

Vodni

Prevozna podjetja za potniški in tovorni promet po kopenskih vodah, morju in obalnih vodah, brez posameznih plovil, ki jih upravljajo ta podjetja

Upravni organi pristanišč, vključno z njihovimi pristanišči ter subjekti, ki izvajajo dela in upravljajo opremo v pristaniščih

Upravljavci sistemov za nadzor plovbe (VTS)

Cestni

Cestni organi, odgovorni za nadzor upravljanja prometa, razen javnih subjektov, za katere je upravljanje prometa ali upravljanje inteligentnih prometnih sistemov le nebistven del splošne dejavnosti

Upravljavci inteligentnih prometnih sistemov

Zdravje

Izvajalci zdravstvenega varstva

Referenčni laboratoriji EU

Subjekti, ki izvajajo raziskovalne in razvojne dejavnosti na področju zdravil

Subjekti, ki proizvajajo farmacevtske surovine in preparate s področja C oddelka 21 NACE Rev. 2

Subjekti, ki proizvajajo medicinske pripomočke, ki se štejejo za kritične v času izrednih razmer v javnem zdravju (seznam kritičnih pripomočkov v izrednih razmerah v javnem zdravju)

Pitna voda – dobavitelji in distributerji vode, namenjene za prehrano ljudi, razen distributerjev, za katere je distribucija vode za prehrano ljudi le nebistven del splošne dejavnosti distribucije drugih dobrin in blaga

Odpadna voda – podjetja, ki zbirajo, odvajajo ali čistijo komunalno odpadno vodo, odpadno vodo iz gospodinjstev ali tehnološko odpadno vodo, razen podjetij, za katera je zbiranje, odvajanje ali čiščenje komunalne odpadne vode, odpadne vode iz gospodinjstev ali tehnološke odpadne vode nebistven del splošne dejavnosti

Digitalna infrastruktura

Ponudniki stičišča omrežij

Ponudniki storitev DNS

Registri TLD imen

Ponudniki storitev računalništva v oblaku

Ponudniki storitev podatkovnih centrov

Ponudniki omrežij za dostavo vsebin

Ponudniki storitev zaupanja

Ponudniki javnih elektronskih komunikacijskih omrežij

Ponudniki javno dostopnih elektronskih komunikacijskih storitev

Upravljanje storitev IKT (med podjetji)

Ponudniki upravljanih storitev

Ponudniki upravljanih varnostnih storitev

Javna uprava

Subjekti javne uprave enot centralne ravni držav

Subjekti javne uprave enot na regionalni ravni

Vesolje – upravljavci talne infrastrukture, ki jo imajo v lasti, vodijo in upravljajo države članice ali zasebne stranke, ki podpirajo opravljanje vesoljskih storitev, brez ponudnikov javnih elektronskih komunikacijskih omrežij

PRILOGA II –

Drugi kritični sektorji

Poštne in kurirske storitve

Ravnanje z odpadki – podjetja, ki izvajajo postopke ravnanja z odpadki, vendar brez podjetij, pri katerih ravnanje z odpadki ni glavna gospodarska dejavnost

Izdelava, proizvodnja in distribucija kemikalij – podjetja, ki proizvajajo snovi in distribuirajo snovi ali zmesi, in podjetja, ki iz snovi in zmesi proizvajajo izdelke

Pridelava, predelava in distribucija živil – živilske dejavnosti, ki se ukvarjajo s prodajo na debelo ter industrijsko pridelavo in predelavo

Proizvodnja

Proizvodnja medicinskih pripomočkov ter in vitro diagnostičnih medicinskih pripomočkov

Proizvodnja računalnikov ter elektronskih in optičnih izdelkov

Proizvodnja električnih naprav

Proizvodnja drugih strojev in naprav

Proizvodnja motornih vozil, prikolic in polprikolic

Proizvodnja drugih vozil in plovil

Digitalni ponudniki

Ponudniki spletnih tržnic

Ponudniki spletnih iskalnikov

Ponudniki platform za storitve družbenega mreženja

Raziskovalne organizacije
Subjekti, ki niso vključeni v prilogi

Subjekti, ki opravljajo storitve registracije domenskih imen

Drugi subjekti, ki so identificirani kot kritični subjekti na podlagi Direktive (EU) 2022/2557

Subjekti, ki so identificirani kot izvajalci bistvenih storitev v skladu z nacionalnim pravom

2.   

Ime subjekta

3.   

V primeru, da je subjekt naveden v členu 27(1) Direktive (EU) 2022/2555 (ponudnik storitev DNS, register TLD imen, subjekt, ki opravlja storitve registracije domenskih imen, ponudnik storitev računalništva v oblaku, ponudnik storitev podatkovnih centrov, ponudnik omrežja za dostavo vsebine, ponudnik upravljanih storitev, ponudnik upravljanih varnostnih storitev ter ponudnik spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja), ali ima subjekt glavni sedež v EU v tej državi članici, ali če v EU nima pravnega sedeža, predstavnika v tej državi članici?

4.   

Naslov sedeža subjekta v tej državi članici. Če je subjekt naveden v členu 27(1) Direktive (EU) 2022/2555, naslov glavnega sedeža subjekta, če se nahaja v tej državi članici, in njegovih drugih pravnih sedežev v EU. V primeru, da nima sedeža, naslov predstavnika v EU, imenovanega v skladu s členom 26(3) Direktive (EU) 2022/2555, če se predstavnik nahaja v tej državi članici.

5.   

Ažurni kontaktni podatki, vključno z elektronskimi naslovi in telefonskimi številkami v tej državi članici.

6.   

Bloki naslovov IP subjekta v tej državi članici

7.   

Če je subjekt naveden v členu 27(1) Direktive (EU) 2022/2555, seznam držav članic, v katerih subjekt opravlja storitve s področja uporabe navedene direktive.