OBRAZLOŽITVENI MEMORANDUM

1.OZADJE PREDLOGA

•Razlogi za predlog in njegovi cilji

Predlog je del svežnja ukrepov, katerega cilj je okvir Unije za kibernetsko varnost uskladiti s potrebami deležnikov v okolju vse bolj naprednih kibernetskih groženj in v vse bolj kompleksnih geopolitičnih razmerah. Bistveni in pomembni subjekti iz kritičnih sektorjev so vse pogosteje tarča kibernetskih napadov 1 , državni akterji groženj pa izkoriščajo nastajajoče tehnologije, kot je umetna inteligenca, za nadaljnje širjenje in optimizacijo svojih napadov. V zvezi s tem je odpornost kritične infrastrukture na kibernetske grožnje priznana kot strateški steber naše demokracije in gospodarske varnosti Unije. Tako evropska strategija za unijo pripravljenosti 2 kot tudi evropska strategija notranje varnosti (ProtectEU) 3 sta kibernetsko varnost postavili v središče evropskega programa odpornosti. Podobno sta v sporočilu o krepitvi gospodarske varnosti EU 4 kot prednostna cilja opredeljena preprečevanje dostopa do občutljivih informacij in podatkov, ki bi lahko ogrozili gospodarsko varnost Unije, ter preprečevanje in blaženje motenj v kritični infrastrukturi Unije, ki vplivajo na gospodarstvo Unije, pri čemer imajo ključno vlogo učinkoviti ukrepi za kibernetsko varnost. Poleg tega je bilo v poročilu Maria Draghija 5 poudarjeno, da je eno glavnih področij, na katerih je potrebno ukrepanje, večja varnost in manjša odvisnost Unije. Komisija je v sporočilu o enostavnejši in hitrejši Evropi 6 izrazila svojo zavezanost ambicioznemu programu za spodbujanje inovativnih politik, usmerjenih v prihodnost, ki krepijo konkurenčnost Unije ter zmanjšujejo regulativna bremena za ljudi, podjetja in uprave, pri čemer bo ohranjala najvišje standarde pri spodbujanju vrednot EU.

Glede na navedeno je namen tega predloga direktive o spremembi Direktive (EU) 2022/2555 glede ukrepov za poenostavitev in uskladitve s [predlogom uredbe Evropskega parlamenta in Sveta o Agenciji Evropske unije za kibernetsko varnost (ENISA), evropskem certifikacijskem okviru za kibernetsko varnost in varnosti dobavnih verig IKT ter razveljavitvi Uredbe (EU) 2019/881 (akt o kibernetski varnosti 2)] obravnavati zapletenost in raznolikost politik, povezanih s kibernetsko varnostjo, ki vplivajo na položaj kibernetske varnosti v Uniji, zlasti z uvedbo pojasnil in olajšanjem izpolnjevanja predpisov za regulirane subjekte.

Cilj te direktive bi bilo treba obravnavati kot del krovnih ciljev svežnja za revizijo akta o kibernetski varnosti, ki vključuje predlog uredbe Evropskega parlamenta in Sveta o Agenciji Evropske unije za kibernetsko varnost (ENISA), evropskem certifikacijskem okviru za kibernetsko varnost in varnosti dobavnih verig IKT ter razveljavitvi Uredbe (EU) 2019/881. Namen predloga te uredbe je obravnavati: (i) neusklajenost okvira politike Unije za kibernetsko varnost s potrebami deležnikov v vse bolj sovražnem okolju groženj; (ii) zastoj pri izvajanju evropskega certifikacijskega okvira za kibernetsko varnost; (iii) zapletenost in raznolikost politik, povezanih s kibernetsko varnostjo, ki vplivajo na položaj kibernetske varnosti v Uniji, ter (iv) vse večja tveganja za varnost dobavnih verig IKT. V zvezi z zapletenostjo in raznolikostjo politik, povezanih s kibernetsko varnostjo, ki vplivajo na položaj kibernetske varnosti v Uniji, je v svežnju za revizijo akta o kibernetski varnosti kot del reforme evropskega certifikacijskega okvira za kibernetsko varnost predlagano spodbujanje certificiranja kot orodja za zagotavljanje skladnosti za podjetja in omogočanje razvoja sheme za položaj kibernetske varnosti v subjektih, da se zmanjšajo stroški zagotavljanja skladnosti za subjekte, za katere veljata direktiva NIS 2 in druga ustrezna zakonodaja Unije o kibernetski varnosti. Ta pristop bo znatno poenostavil regulativne obveznosti za subjekte, za katere velja več zahtev glede skladnosti, in zagotovil učinkovitejšo uporabo virov v nacionalnih organih.

V obrazložitvenem memorandumu predloga akta o kibernetski varnosti 2 so opisana ključna vprašanja, na katerih temelji predlog, in specifični cilji za njihovo obravnavo. Predlog direktive bo obravnaval specifični cilj 4 ocene učinka revizije akta o kibernetski varnosti, tj. vzpostaviti mehanizme in določiti pogoje, ki bodo olajšali izpolnjevanje zahtev glede kibernetske varnosti ter tako okrepili usklajenost in učinkovitost njihovega izvajanja. Namen ciljno usmerjenih sprememb direktive NIS 2 je poenostaviti skladnost s posebnimi vidiki okvira za kibernetsko varnost ter zagotoviti njihovo racionalizirano in usklajeno izvajanje, tudi v zvezi s področjem uporabe, opredelitvami, poročanjem o izsiljevalskem programju in nadzorom subjektov, ki opravljajo čezmejne storitve.

Predlog direktive o spremembi Direktive (EU) 2022/2555 glede ukrepov za poenostavitev in uskladitve z [aktom o kibernetski varnosti 2] spada v okvir programa primernosti in uspešnosti predpisov. Skupaj z revizijo akta o kibernetski varnosti v veliki meri prispeva k izboljšanju jasnosti, odpravi neučinkovitosti in uskladitvi postopkov med pravnimi okviri. Prispeva k pravilnemu delovanju notranjega trga ter hkrati zagotavlja varnost in strateško avtonomijo Unije.

•Skladnost z veljavnimi predpisi s področja zadevne politike

Unija je razširila svoja pravna orodja in orodja politike s sprejetjem številnih pravnih instrumentov in ukrepov politike: (i) namen direktive NIS 2 je okrepiti kibernetsko varnost kritične infrastrukture; (ii) ukrepi za fizično varnost so opredeljeni v njeni „sestrski direktivi“, tj. direktivi o odpornosti kritičnih subjektov; (iii) akt o kibernetski odpornosti krepi kibernetsko varnost proizvodov; (iv) z aktom o kibernetski solidarnosti se vzpostavljajo zmogljivosti za odzivanje po vsej EU; (v) kibernetski načrt EU 7 podpira sodelovanje pri kriznem upravljanju na ravni EU; (vi) zbirka orodij za kibernetsko varnost 5G (zbirka orodij 5G) podpira kibernetsko varnost v omrežjih 5G; (vii) evropski akcijski načrt za kibernetsko varnost bolnišnic in izvajalcev zdravstvenih dejavnosti 8 prispeva k izboljšanju njihove kibernetske varnosti in (viii) akademija za kibernetske veščine 9 obravnava vse večji izziv vrzeli na področju strokovnjakov za kibernetsko varnost.

Navedeni pravni okvir za kibernetsko varnost je bil dopolnjen s sektorsko zakonodajo, tj. aktom o digitalni operativni odpornosti za finančni sektor, omrežnim kodeksom o sektorskih pravilih za vidike kibernetske varnosti čezmejnih pretokov električne energije za podsektor električne energije in pravili o informacijski varnosti 10 za podsektor letalskega prevoza.

Ta predlog direktive je podobno kot predlog uredbe, ki ga spremlja, del širšega sklopa pravnih pobud in pobud politike, ki jih je Unija sprejela za izboljšanje odpornosti subjektov proti varnostnim in kibernetskim grožnjam. Osredotoča se na ciljno usmerjene spremembe direktive NIS 2, katerih namen je med drugim pojasniti nekatere vidike v zvezi s področjem uporabe, opredelitvami in pravili o pristojnosti, zmanjšati breme nadzora nad bistvenimi in pomembnimi čezmejnimi subjekti ter olajšati nadzor nad njimi s krepitvijo vloge ENISA pri podpori operativnemu sodelovanju. Poleg tega ta predlog skupaj s predlogom uredbe ustvarja močno sinergijo, ki izhaja iz razvoja certificiranja položaja kibernetske varnosti v okviru direktive NIS 2 ter potencialno olajšuje skladnost z drugimi ustreznimi pravnimi akti Unije, kot je splošna uredba o varstvu podatkov, brez poseganja v njihove posebne zahteve glede certificiranja. Ti ukrepi za poenostavitev bi morali sprostiti vire za okrepitev operativne pripravljenosti subjektov v kritičnih sektorjih Unije na področju kibernetske varnosti.

•Skladnost z drugimi politikami Unije

Predlog krepi varnostne zahteve za subjekte, ki zagotavljajo poslovne denarnice, kot je določeno v predlogu uredbe Evropskega parlamenta in Sveta o vzpostavitvi evropskih poslovnih denarnic 11 . Poleg tega bo Komisija zagotovila skladnost s prihodnjimi pobudami, kot je akt o digitalnih omrežjih. Ta predlog je usklajen s predlogom uredbe o poenostavitvi digitalne zakonodaje (zbirni sveženj za digitalno področje), ki med drugim vsebuje spremembe direktive NIS 2, kakor tudi z drugimi pravnimi akti Unije. V zbirnem svežnju za digitalno področje je predlagano, da se olajša izpolnjevanje zahtev glede poročanja o kibernetski varnosti, med drugim v okviru direktive NIS 2, in sicer s poročanjem prek enotne vstopne točke za poročanje o incidentih, ki jo razvije in vzdržuje ENISA. Predlog je prav tako usklajen s predlogom uredbe Evropskega parlamenta in Sveta o varnosti, odpornosti in trajnostnosti vesoljskih dejavnosti v Uniji 12 .

Poleg tega je predlog, kot je bilo že navedeno, v skladu s poročilom Maria Draghija o prihodnosti evropske konkurenčnosti.

2.PRAVNA PODLAGA, SUBSIDIARNOST IN SORAZMERNOST

•Pravna podlaga

Pravna podlaga za to direktivo je člen 114 Pogodbe o delovanju Evropske unije (PDEU), katerega cilja sta vzpostavitev notranjega trga in zagotavljanje njegovega delovanja z okrepljenimi ukrepi za približevanje nacionalnih pravil. Ta predlog spreminja Direktivo (EU) 2022/2555, ki je bila sprejeta na podlagi člena 114 PDEU.

•Subsidiarnost (za neizključno pristojnost)

Načelo subsidiarnosti zahteva oceno nujnosti in dodane vrednosti ukrepanja na ravni Unije. Skladnost z načelom subsidiarnosti na tem področju je bila priznana že ob sprejetju Direktive (EU) 2022/2555, ki se spreminja s tem predlogom.

Predlog olajšuje skladnost z zakonodajo Unije o kibernetski varnosti, zmanjšuje stroške zagotavljanja skladnosti in pravno negotovost za zadevne subjekte ter olajšuje in izboljšuje stopnjo skladnosti z zahtevami glede kibernetske varnosti. Prispeva tudi k zagotavljanju enakih konkurenčnih pogojev pri pristopih k nadzoru in preverjanju skladnosti v državah članicah.

•Sorazmernost

Pravila, predlagana v tej direktivi, ne presegajo tistega, kar je potrebno za zadovoljivo doseganje posebnih ciljev. Predvidena uskladitev in racionalizacija področja uporabe, varnostnih ukrepov in obveznosti glede poročanja se nanašata na zahteve držav članic in podjetij po izboljšanju sedanjega okvira.

•Izbira instrumenta

Predlog bo spremenil obstoječo direktivo NIS 2 in dodatno racionaliziral obveznosti, naložene podjetjem, s čimer bo zagotovil višjo raven harmonizacije po vsej Uniji. Izbira pravnega instrumenta za ta predlog je skladna z vrsto pravnega besedila, ki ga spreminja, tj. direktivo NIS 2. Ta predlog temelji na cilju direktive NIS 2, da se državam članicam zagotovi prožnost, potrebna za upoštevanje nacionalnih posebnosti.

3.REZULTATI NAKNADNIH OCEN, POSVETOVANJ Z DELEŽNIKI IN OCEN UČINKA

•Naknadne ocene/preverjanja primernosti obstoječe zakonodaje

Glej obrazložitveni memorandum [predloga akta o kibernetski varnosti 2].

•Posvetovanja z deležniki

Glej obrazložitveni memorandum [predloga akta o kibernetski varnosti 2].

•Zbiranje in uporaba strokovnih mnenj

Glej obrazložitveni memorandum [predloga akta o kibernetski varnosti 2].

•Ocena učinka

Glej obrazložitveni memorandum in poročilo o oceni učinka, priloženo [predlogu akta o kibernetski varnosti 2].

•Primernost in poenostavitev ureditve

Glej obrazložitveni memorandum [predloga akta o kibernetski varnosti 2].

•Temeljne pravice

Glej obrazložitveni memorandum [predloga akta o kibernetski varnosti 2].

4.PRORAČUNSKE POSLEDICE

Glej oceno finančnih posledic zakonodajnega predloga v [predlogu akta o kibernetski varnosti 2].

5.DRUGI ELEMENTI

•Načrti za izvedbo ter ureditev spremljanja, ocenjevanja in poročanja

Komisija bo v skladu s členom 40 direktive NIS 2 pregledala delovanje direktive ter vsakih 36 mesecev poročala Evropskemu parlamentu in Svetu.

•Natančnejša pojasnitev posameznih določb predloga

Cilj predloga je olajšati izpolnjevanje obveznosti glede kibernetske varnosti in sprostiti vire za okrepitev operativne pripravljenosti subjektov v kritičnih sektorjih Unije na področju kibernetske varnosti.

Predlog uvaja ciljno usmerjene spremembe direktive NIS 2, da bi se poenostavili posebni vidiki okvira za kibernetsko varnost, povečala pravna varnost in uskladilo izvajanje.

Da bi subjekti in dobavitelji lažje dokazovali skladnost z direktivo NIS 2, bodo lahko subjekti, ki jih navedena direktiva ureja, v skladu s predlogom uredbe, ki ga spremlja ta predlog, pridobili certifikate v okviru organizacijskih certifikacijskih shem za kibernetsko varnost, razvitih znotraj evropskega certifikacijskega okvira za kibernetsko varnost.

Da bi se dodatno olajšalo izpolnjevanje ukrepov za obvladovanje tveganj za kibernetsko varnost za večdržavne subjekte, ki so pod nadzorom pristojnih organov iz več držav članic, so bile ENISA naložene nove naloge, in sicer podpiranje držav članic pri nadzoru teh subjektov, omogočanje medsebojne pomoči in ustvarjanje boljšega pregleda nad subjekti, ki spadajo na področje uporabe direktive NIS 2.

Poleg tega je v predlogu predvideno, da Komisija sprejme smernice o uporabi zahtev glede varnosti dobavnih verig, ki jih subjekti, ki spadajo na področje uporabe direktive NIS 2, prenesejo na svoje dobavitelje, da se zagotovi pravna varnost in prepreči neupravičen prenos obveznosti na subjekte, ki ne spadajo na področje uporabe navedene direktive.

Druge ciljno usmerjene spremembe direktive NIS 2 vključujejo:

·pojasnitev področja uporabe in opredelitev pojmov;

·izključitev mikro in malih ponudnikov storitev sistema domenskih imen iz področja uporabe;

·največjo možno harmonizacijo izvedbenih aktov na podlagi člena 21(5) (opredelitev ukrepov za obvladovanje tveganj za kibernetsko varnost), da se subjektom olajša doseganje skladnosti, organom pa izvajanje nadzora;

·uvedbo nove kategorije malih podjetij s srednje veliko tržno kapitalizacijo v skladu s priporočilom Komisije iz leta 2025 o opredelitvi malih podjetij s srednje veliko tržno kapitalizacijo18; subjekte, ki se štejejo za mala podjetja s srednje veliko tržno kapitalizacijo, je treba določiti kot pomembne subjekte, s čimer se zmanjšata njihovo breme zagotavljanja skladnosti in breme nadzora za pristojne organe;

·zahtevo, da države članice v okviru svoje nacionalne strategije za kibernetsko varnost sprejmejo politike za prehod na postkvantno kriptografijo, in

·uvedbo usklajenega zbiranja podatkov o napadih z izsiljevalskim programjem.

2026/0012 (COD)

Predlog

DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA

o spremembi Direktive (EU) 2022/2555 glede ukrepov za poenostavitev in uskladitve s [predlogom akta o kibernetski varnosti 2]

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 114 Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora 13 ,

ob upoštevanju mnenja Odbora regij 14 ,

v skladu z rednim zakonodajnim postopkom,

ob upoštevanju naslednjega:

(1)Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta 15 določa ukrepe, katerih cilj je zagotoviti visoko skupno raven kibernetske varnosti v Uniji, da bi se izboljšalo delovanje notranjega trga. Od začetka veljavnosti Direktive (EU) 2022/2555 je bil dosežen napredek pri zvišanju ravni kibernetske odpornosti v Uniji. Hkrati so se med izvajanjem v državah članicah pojavili nekateri izzivi, tudi v zvezi s področjem uporabe Direktive, izvajanjem obveznosti glede obvladovanja tveganj za kibernetsko varnost in poročanja o kibernetskih incidentih ter nadzorom čezmejnih subjektov. Na podlagi [predloga akta o kibernetski varnosti 2] bi bilo treba uvesti ciljno usmerjene spremembe Direktive (EU) 2022/2555, da bi se obravnavali ti izzivi, in sicer s poenostavitvijo posebnih vidikov, da bi se povečala pravna varnost in zagotovilo enotno izvajanje Direktive (EU) 2022/2555.

(2)Da bi se zmanjšalo breme zagotavljanja skladnosti za subjekte in breme nadzora za pristojne organe, bi bilo treba v Direktivo (EU) 2022/2555 uvesti novo kategorijo malih podjetij s srednje veliko tržno kapitalizacijo v skladu s Priporočilom Komisije (EU) 2025/1099 16 . Subjekte vrste iz Priloge I k Direktivi (EU) 2022/2555, ki se v skladu z navedenim priporočilom štejejo za mala podjetja s srednje veliko tržno kapitalizacijo, bi bilo treba praviloma določiti kot pomembne subjekte. Poleg tega bi bilo treba v podporo cilju Komisije, da upravne stroške na splošno zmanjša za 25 % in za 35 % za mala in srednja podjetja, za ponudnike storitev sistema domenskih imen uporabljati splošno pravilo o mejni vrednosti za velikost iz Direktive (EU) 2022/2555, v skladu s katerim vsi subjekti, ki se štejejo za srednja podjetja v skladu s členom 2 Priloge k Priporočilu Komisije 2003/361/ES 17 ali presegajo zgornje meje za srednja podjetja iz odstavka 1 navedenega člena, spadajo na področje uporabe Direktive (EU) 2022/2555.

(3)Med izvajanjem Direktive (EU) 2022/2555 so se pojavili izzivi pri razlagi določb v zvezi z njenim področjem uporabe. Zato bi bilo treba pojasniti nekatere s področjem uporabe povezane določbe v zvezi z izvajalci zdravstvene dejavnosti, proizvajalci električne energije, podjetji vodikovega gospodarstva in subjekti v kemičnem sektorju, da se zagotovi pravna varnost in zmanjša breme zagotavljanja skladnosti tako za subjekte kot tudi za nacionalne organe.

(4)Za zagotovitev sorazmernosti v zvezi s proizvajalci električne energije v smislu člena 2, točka 38, Direktive (EU) 2019/944 Evropskega parlamenta in Sveta 18 bi se morali proizvajalci električne energije s skupno proizvodno zmogljivostjo več kot 1 MW šteti za bistvene ali pomembne subjekte na podlagi Direktive (EU) 2022/2555 samo, če izpolnjujejo pravilo o mejni vrednosti za velikost. To bi moralo zajemati proizvajalce električne energije, pri katerih en obrat za proizvodnjo električne energije presega 1 MW, in proizvajalce električne energije, ki upravljajo več obratov za proizvodnjo s skupno proizvodno zmogljivostjo več kot 1 MW. Tak pristop omogoča ravnovesje med potrebo po zajetju tistih subjektov, pri katerih bi poseg v njihov omrežni in informacijski sistem lahko pomenil izgubo, neobvladljivost ali zunanji nadzor proizvodne zmogljivosti, ki je sam po sebi pomemben za varnost in stabilnost elektroenergetskega omrežja, in potrebo po tem, da se podjetjem na podlagi Direktive (EU) 2022/2555 ne naloži nesorazmerno upravno breme.

(5)Evropske denarnice za digitalno identiteto, kot so določene v Uredbi (EU) št. 910/2014 Evropskega parlamenta in Sveta 19 , so bistven del digitalne infrastrukture Unije, ki omogoča varno identifikacijo in avtentikacijo ter izmenjavo elektronskih dokumentov, tudi elektronskih potrdil o atributih. Glede na njihovo ključno vlogo za javnost ter zagotavljanje javnih in zasebnih storitev bi lahko imel vsak kibernetski incident, ki bi prizadel te denarnice, obsežne posledice. Za zagotovitev opravljanja storitev bi bilo treba od ponudnikov evropskih denarnic za digitalno identiteto zahtevati, da izvajajo ustrezne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost, preprečevanje incidentov in odzivanje nanje ter sodelujejo s pristojnimi organi v skladu z Direktivo (EU) 2022/2555. Zato bi jih bilo treba vključiti med subjekte, ki jih zajema navedena direktiva, ne glede na njihovo velikost, in jih razvrstiti kot bistvene subjekte. Evropske poslovne denarnice ponujajo podobne funkcije in storitve, ki pa so prilagojene potrebam gospodarskih subjektov in organov javnega sektorja; te denarnice temeljijo na okviru EU za digitalno identiteto ter so prav tako ključnega pomena za varnost in celovitost digitalnega gospodarstva. Zato bi morale za ponudnike evropskih poslovnih denarnic, vzpostavljenih v skladu s [predlogom uredbe o vzpostavitvi evropskih poslovnih denarnic] 20 , veljati enake zahteve in obveznosti glede kibernetske varnosti kot za ponudnike evropskih denarnic za digitalno identiteto, da bi se v celotnem ekosistemu digitalne identitete zagotovila dosledna in visoka raven varnosti.

(6)Podvodna infrastruktura za prenos podatkov ne vključuje le kablov, temveč tudi vso infrastrukturo, povezano z njihovim delovanjem. Taka infrastruktura vključuje obalne sprejemne postaje in kopenske dele podvodnega kabla, ki so povezani z njimi, kot so kopenske poti od izhodnega jaška do obalne sprejemne postaje, podatkovnega centra ali točke prisotnosti. Podvodno infrastrukturo za prenos podatkov običajno upravljajo subjekti, ki so že zajeti v Direktivi (EU) 2022/2555, vključno s ponudniki javnih elektronskih komunikacijskih omrežij in storitev ali ponudniki storitev računalništva v oblaku. Podvodno infrastrukturo za prenos podatkov pa lahko upravljajo tudi druge vrste subjektov, ki še ne spadajo na področje uporabe Direktive (EU) 2022/2555, npr. podvodna infrastruktura za prenos podatkov, ki jo upravljajo ponudniki elektronskih komunikacijskih omrežij, ki niso javna, ali subjekti, ki upravljanje podvodne infrastrukture za prenos podatkov v celoti ali delno oddajo v zakup ponudnikom javnih elektronskih komunikacijskih omrežij. Glede na vse večja tveganja za podvodno infrastrukturo za prenos podatkov in njihovo posledično visoko stopnjo kritičnosti je treba zagotoviti, da so v Direktivi (EU) 2022/2555 zajete vse vrste operaterjev podvodne infrastrukture za prenos podatkov. Druge kritične pomorske infrastrukture, kot so podvodni električni kabli, plinovodi, vodikovodi in naftovodi, so običajno že zajete v Direktivi (EU) 2022/2555, saj jih upravljajo operaterji prenosnih sistemov v podsektorjih električne energije, plina, vodika in nafte.

(7)Da bi lahko subjekti, ki opravljajo storitve v več državah članicah, izkoristili bolj usklajene in manj obremenjujoče pristope k nadzoru na celotnem notranjem trgu, bi morali biti taki subjekti zmožni dokazati skladnost s posebnimi ali vsemi obveznostmi glede obvladovanja tveganj za kibernetsko varnost iz Direktive (EU) 2022/2555, tako da bi v okviru evropske certifikacijske sheme za kibernetsko varnost pridobili certifikat o položaju kibernetske varnosti. K razvoju take sheme bo prispevalo sprejetje izvedbenih aktov o tehničnih, metodoloških in sektorskih zahtevah glede ukrepov za obvladovanje tveganj za kibernetsko varnost na podlagi Direktive (EU) 2022/2555, ki temeljijo na največji možni harmonizaciji.

(8)Glede na vse večjo odvisnost naše družbe in gospodarstva od digitalnih tehnologij je treba sprejeti blažilne ukrepe proti kvantni grožnji. Možnost napadov „shrani zdaj, dešifriraj pozneje“, ki se verjetno že pojavljajo, prihodnja tveganja, ki izhajajo iz kvantnih napadov z namenom ponarejanja podpisov, pa tudi načrtovana amortizacija nekaterih algoritemskih rešitev in popolna zavrnitev obstoječih kriptografskih algoritmov z javnimi ključi prispevajo k nujnosti uvedbe ukrepov za prehod na postkvantno kriptografijo. Zato bi bilo treba od držav članic zahtevati, da v okviru svoje nacionalne strategije za kibernetsko varnost sprejmejo politike za prehod na postkvantno kriptografijo. Take politike bi morale olajšati pospešitev strateškega načrtovanja ter oblikovanje podpornih ukrepov in orodij za oceno izpostavljenosti kriptografskih sredstev tveganjem, ki jih predstavljajo kvantni računalniki. Poleg tega bi morale podpreti pripravo načrta za prehod in preizkušanje uvedbe postkvantne kriptografije v digitalnih aplikacijah in omrežjih, obenem pa spodbujati nastanek in uporabo uradno preverjenih in ocenjenih evropskih rešitev na področju postkvantne kriptografije, ki so v skladu z okviri za skladnost proizvodov in storitev. Te politike bi morale biti usklajene z mejniki, določenimi v pravnih aktih in politikah Unije ter dokumentih, ki jih je sprejela skupina za sodelovanje na področju varnosti omrežnih in informacijskih sistemov, zlasti v časovnem načrtu usklajenega izvajanja za prehod na postkvantno kriptografijo, ki ga je skupina sprejela junija 2025, s čimer bi se prehod na postkvantno kriptografijo dosegel do leta 2030 za kritične primere uporabe, do leta 2035 pa za primere uporabe na srednji in nizki ravni.

(9)V skladu s členom 21(2), točka (d), Direktive (EU) 2022/2555 morajo bistveni in pomembni subjekti v svoji dobavni verigi zagotoviti ustrezno raven varnosti. V praksi so številni subjekti zaradi te obveznosti od svojih dobaviteljev zahtevali obsežne informacije v različnih oblikah ter na podlagi različnih vprašalnikov in postopkov. Čeprav je namen takih zahtev podpreti potrebno skrbnost in obvladovanje tveganj, lahko povzročijo tudi znatno upravno breme za dobavitelje bistvenih in pomembnih subjektov, zlasti kadar je treba podobne informacije večkrat zagotoviti v različnih oblikah. Za zmanjšanje tega bremena ter spodbujanje doslednega, sorazmernega in učinkovitega pristopa k ocenam varnosti dobavnih verig bi morala Komisija pripraviti smernice, v katerih bi priporočila ustrezno raven podrobnosti, sestavo in obliko za take zahteve po informacijah. Take smernice bi morale olajšati harmonizacijo, zmanjšati nepotrebno podvajanje ter podpirati subjekte in njihove dobavitelje pri učinkovitem izpolnjevanju njihovih obveznosti iz Direktive (EU) 2022/2555.

(10)Napadi z izsiljevalskim programjem, pri katerih zlonamerna programska oprema šifrira podatke in sisteme ter zahteva plačilo odkupnine za njihovo sprostitev, ostajajo ena glavnih groženj bistvenim in pomembnim subjektom. Harmonizacija in izboljšanje zbiranja podatkov o napadih z izsiljevalskim programjem s strani prizadetih bistvenih in pomembnih subjektov bi zagotovila vpogled skupinam za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT) in nacionalnim organom, kar bi jim omogočilo, da zagotovijo ustreznost in učinkovitost prihodnjih posredovanj v primeru izsiljevalskega programja, podprejo subjekte pri krepitvi njihove odpornosti in preprečevanju prihodnjih napadov ter zberejo obveščevalne podatke in dokaze, ki jih organi kazenskega pregona potrebujejo za ohromitev in razbitje tolp, ki uporabljajo izsiljevalsko programje, ter sankcioniranje njihovih operativcev. Glede na potencialno občutljivo naravo informacij, ki jih je treba izmenjati v zvezi z napadi z izsiljevalskim programjem, zlasti o tem, ali je subjekt plačal odkupnino, in če jo je, v kakšnem znesku in komu, bi bilo treba take informacije predložiti le skupinam CSIRT ali po potrebi pristojnim organom na njihovo zahtevo. Za namene take izmenjave informacij se bistvene in pomembne subjekte spodbuja, naj imenujejo osebo, ki deluje kot kontaktna točka ter zagotavlja zaupnost in zanesljivost izmenjave informacij. Unija je v okviru mednarodne pobude za boj proti izsiljevalskemu programju podprla nezavezujočo mednarodno izjavo o politiki, v skladu s katero ustrezne ustanove v pristojnosti sodelujočih nacionalnih vlad ne bi smele plačati zahtevane odkupnine.

(11)Izpolnjevanje obveznosti glede sporočanja ustreznih informacij o incidentih z izsiljevalskim programjem ne bi smelo povzročiti naložitve dodatnih obveznosti na podlagi Direktive (EU) 2022/2555, ki za subjekt ne bi veljale, če informacij ne bi sporočil. V ta namen bi morale države članice v okviru nacionalnega pravnega reda obravnavati morebitna tveganja, ki izhajajo iz večje odgovornosti, povezane s poročanjem ustreznih informacij o incidentih z izsiljevalskim programjem.

(12)Glede na čezmejno razsežnost številnih bistvenih in pomembnih subjektov na notranjem trgu ter potrebo po zagotavljanju skladnosti in spodbujanju konvergence in učinkovitosti pri pristopih k nadzoru bi morala ENISA podpirati države članice pri izvajanju medsebojne pomoči za bistvene in pomembne subjekte, ki opravljajo storitve v več kot eni državi članici ali ki opravljajo storitve v eni ali več državah članicah in katerih omrežni in informacijski sistemi se nahajajo v eni ali več drugih državah članicah. V ta namen bi morale države članice registru subjektov, ki ga vodi ENISA, predložiti dodatne informacije. ENISA bi morala na podlagi informacij iz registra bistvenih in pomembnih subjektov izvesti celovito analizo čezmejnih tveganj za kibernetsko varnost, povezanih z bistvenimi in pomembnimi subjekti. Analiza bi morala temeljiti na metodologiji, oblikovani skupaj s Komisijo in skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov. Pri tej metodologiji bi se lahko upoštevala stopnja, do katere bistveni in pomembni subjekti uporabljajo svoje storitve na široki čezmejni podlagi, se zanašajo na čezmejne storitve, so izpostavljeni tveganju koncentracije v dobavni verigi, se lahko opredelijo kot vir tveganja koncentracije v dobavni verigi, so izpostavljeni incidentom, ki bi lahko imeli znatne moteče učinke na čezmejne storitve, ali se za zagotavljanje svojih storitev zanašajo na omrežne in informacijske sisteme, ki se nahajajo v različnih državah članicah in zunaj Unije. ENISA bi morala na podlagi poročila o analizi tveganj ustreznim pristojnim organom priporočiti, naj ustanovijo skupne pregledniške ekipe, ki bi podpirale nadzor subjektov z višjo stopnjo tveganja za nemoteno delovanje notranjega trga v primeru incidentov in pristojnim organom na njihovo zahtevo pomagale pri izvajanju skupnih nadzornih ukrepov.

(13)Ker cilja te direktive, in sicer poenostavitve izvajanja ukrepov za visoko skupno raven kibernetske varnosti po vsej Uniji, države članice ne morejo zadovoljivo doseči, temveč se zaradi učinkov ukrepov lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenega cilja.

(14)V skladu s členom 42(2) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta 21 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov, ki sta skupno mnenje podala [datum] –

SPREJELA NASLEDNJO DIREKTIVO:

Člen 1
Spremembe Direktive (EU) 2022/2555

Direktiva (EU) 2022/2555 se spremeni:

(1)člen 2 se spremeni:

(a)v odstavku 2 se točka (a) spremeni:

(i) točka (iii) se nadomesti z naslednjim:

„(iii) registri vrhnjih domenskih imen;“;

(ii) dodata se naslednji točki (iv) in (v):

„(iv) ponudniki evropskih denarnic za digitalno identiteto, kot so določeni v Uredbi (EU) št. 910/2014;

(v) ponudniki evropskih poslovnih denarnic, ustanovljenih v skladu z Uredbo (EU) [...]*.

_______

* Uredba (EU) [...] [predlog uredbe o vzpostavitvi evropskih poslovnih denarnic].“;

(b)vstavi se naslednji odstavek 3a:

„3a. Ta direktiva se ne glede na njihovo velikost uporablja za subjekte, identificirane kot lastniki, upravljavci in operaterji strateške infrastrukture za dvojno rabo v skladu z Uredbo (EU) [...]**.

_________

** Uredba (EU) […] [predlog uredbe Evropskega parlamenta in Sveta o vzpostavitvi okvira ukrepov za olajšanje prevoza vojaške opreme, blaga in osebja v Uniji].“;

(2)člen 3 se spremeni:

(a)odstavek 1 se spremeni:

(i) točki (a) in (b) se nadomestita z naslednjim:

„(a) subjekti vrste iz Priloge I, ki presegajo zgornje meje za mala podjetja s srednje veliko tržno kapitalizacijo;

(b) ponudniki kvalificiranih storitev zaupanja, ponudniki evropskih denarnic za digitalno identiteto, ponudniki evropskih poslovnih denarnic in registri vrhnjih domenskih imen, ne glede na njihovo velikost;“;

(ii) doda se točka (h):

„(h) subjekti, identificirani kot lastniki, upravljavci in operaterji strateške infrastrukture za dvojno rabo v skladu z Uredbo (EU) [...] [predlog uredbe Evropskega parlamenta in Sveta o vzpostavitvi okvira ukrepov za olajšanje prevoza vojaške opreme, blaga in oseb v Uniji].“;

(b)v odstavku 4 se prvi pododstavek nadomesti z naslednjim:

„Za namene priprave seznama iz odstavka 3 države članice od subjektov iz navedenega odstavka zahtevajo, da pristojnim organom predložijo vsaj naslednje informacije:

(a) ime subjekta;

(b) ustrezni sektor, podsektor in vrsto subjekta iz Priloge I ali II, kadar je to ustrezno;

(c) naslov subjekta ali, kadar je to ustrezno, naslov glavnega sedeža subjekta in njegovih drugih zakonitih sedežev v Uniji ali, če nima sedeža v Uniji, njegovega zastopnika, imenovanega v skladu s členom 26(3);

(d) posodobljene kontaktne podatke, vključno z elektronskimi naslovi, telefonskimi številkami, edinstvenim identifikatorjem in digitalnimi naslovi evropske poslovne denarnice subjekta, kadar je to ustrezno, in njegovega zastopnika, imenovanega v skladu s členom 26(3), kadar je to ustrezno;

(e) države članice, v katerih subjekt opravlja storitve;

(f) bloke naslovov IP subjekta.“;

(3)člen 5 se nadomesti z naslednjim:

„Člen 5

Minimalna harmonizacija

Brez poseganja v člen 21(5), peti pododstavek, ta direktiva državam članicam ne preprečuje, da sprejmejo ali ohranijo določbe, ki zagotavljajo višjo raven kibernetske varnosti, pod pogojem, da so take določbe v skladu z obveznostmi držav članic, določenimi v pravu Unije.“;

(4)v členu 6

se dodata naslednji točki 42 in 43:

„(42) ‚malo podjetje s srednje veliko tržno kapitalizacijo‘ pomeni malo podjetje s srednje veliko tržno kapitalizacijo, kot je opredeljeno v Prilogi k Priporočilu Komisije (EU) 2025/1099***;

(43) ‚podvodna infrastruktura za prenos podatkov‘ pomeni podvodne kable za prenos podatkov, povezano infrastrukturo in druge objekte ali elemente, povezane s prenosom podatkov.

__________

*** Priporočilo Komisije (EU) 2025/1099 z dne 21. maja 2025 o opredelitvi malih podjetij s srednje veliko tržno kapitalizacijo (UL L, 2025/1099, 28.5.2025, ELI: http://data.europa.eu/eli/reco/2025/1099/oj).“;

(5)v členu 7(2) se doda naslednja točka (k):

„(k) za prehod na postkvantno kriptografijo ob upoštevanju rokov za prehod in ustreznih zahtev iz veljavnih pravnih aktov in politik Unije.“;

(6)v členu 15(2) se prvi stavek nadomesti z naslednjim:

„Mrežo skupin CSIRT sestavljajo predstavniki skupin CSIRT, ki so imenovani ali določeni na podlagi člena 10, Službe za kibernetsko varnost za institucije, organe, urade in agencije Unije (CERT-EU) in ENISA.“;

(7)člen 21(5) se spremeni:

(a)drugi pododstavek se nadomesti z naslednjim:

„Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične in metodološke zahteve ter po potrebi sektorske zahteve za ukrepe iz odstavka 2 glede bistvenih in pomembnih subjektov, ki niso navedeni v prvem pododstavku tega odstavka. Komisija redno ocenjuje, ali je treba za določene sektorje ali vrste subjektov sprejeti izvedbene akte iz tega pododstavka, da bi se izboljšalo delovanje notranjega trga. Komisija se pri pripravi takih ocen osredotoči zlasti na čezmejno naravo sektorjev ali vrst subjektov ter izvede odprt, pregleden in vključujoč postopek posvetovanja z ustreznimi deležniki in državami članicami.“;

(b)doda se naslednji peti pododstavek:

„Kadar Komisija sprejme izvedbene akte iz prvega in drugega pododstavka tega odstavka, države članice subjektom, ki spadajo na področje uporabe teh izvedbenih aktov, ne naložijo dodatnih tehničnih, metodoloških ali sektorskih zahtev glede ukrepov iz člena 21(2) Direktive (EU) 2022/2555.“;

(8)v členu 23 se dodata naslednja odstavka 12 in 13:

„12. Komisija pri sprejemanju izvedbenega akta v skladu z odstavkom 11, prvi pododstavek, vključi zahteve, da se v skladu z odstavkom 1 sporočijo naslednje informacije o napadih z izsiljevalskim programjem:

(a)ali je subjekt odkril napad z izsiljevalskim programjem;

(b)napadni vektor napada z izsiljevalskim programjem;

13. Države članice zagotovijo, da v primeru pomembnega incidenta, ki ga povzroči napad z izsiljevalskim programjem, zadevni subjekti na zahtevo skupine CSIRT ali, kadar je to ustrezno, pristojnega organa prek komunikacijskega kanala, ki ga zagotovi skupina CSIRT ali, kadar je to ustrezno, pristojni organ, sporočijo:

(a)ali je subjekt prejel zahtevo za odkupnino in, kadar je to ustrezno, od koga;

(b)ali je bila odkupnina plačana in če je bila, v kolikšnem znesku, v kakšni obliki in kateremu prejemniku ali končni točki, vključno s kriptosredstvi in ponudnikom storitev v zvezi s kriptosredstvi, kadar je to ustrezno.“;

(9)v členu 24 se dodajo naslednji odstavki 4, 5 in 6:

„4. Države članice lahko za dokazovanje skladnosti s členom 21 od bistvenih in pomembnih subjektov zahtevajo, da v okviru evropske certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 75 Uredbe (EU) XXX/XXX **** [predlog akta o kibernetski varnosti 2], pridobijo certifikat o položaju kibernetske varnosti.

5. Kadar je položaj kibernetske varnosti v bistvenem ali pomembnem subjektu certificiran v okviru evropske certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 74 Uredbe (EU) XXX/XXX**** [predlog akta o kibernetski varnosti 2], in kadar certifikat dokazuje skladnost z zahtevami iz izvedbenega akta, sprejetega v skladu s členom 21(5) te direktive, ali nacionalnega prava, s katerim se prenaša člen 21(1) in (2) te direktive, pristojni organi za subjekt v zvezi z zahtevami, ki jih zajema certifikat, ne uvedejo dodatnih ukrepov v skladu s členom 32(2), točka (b), ali členom 33(2), točka (b), kot je ustrezno.

6. Certificiranje v skladu z odstavkom 4 ne vpliva na odgovornost bistvenega ali pomembnega subjekta za skladnost s to direktivo.

_____________

**** Uredba (EU) XXX/XXX [predlog akta o kibernetski varnosti 2]“;

(10)člen 26 se spremeni:

(a)v odstavku 1 se doda naslednja točka (d):

„(d) se za letalske prevoznike šteje, da spadajo v pristojnost države članice, katere organ, pristojen za izdajo licenc, je subjektu izdal operativno licenco v skladu z Uredbo (ES) št. 1008/2008 Evropskega parlamenta in Sveta*****, ali, če operativna licenca ali enakovreden dokument ni bil izdan v skladu z navedeno uredbo, da spadajo v pristojnost države članice, v kateri imajo glavni sedež v Uniji v skladu z odstavkom 2.

______________

***** Uredba (ES) št. 1008/2008 Evropskega parlamenta in Sveta z dne 24. septembra 2008 o skupnih pravilih za opravljanje zračnih prevozov v Skupnosti (prenovitev) (UL L 293, 31.10.2008, str. 3, ELI: http://data.europa.eu/eli/reg/2008/1008/oj)“;

(b)odstavek 3 se nadomesti z naslednjim:

„3. Če bistveni ali pomembni subjekt nima sedeža v Uniji, vendar v njej opravlja storitve, določi predstavnika v Uniji. Predstavnik ima sedež v eni od držav članic, v katerih se opravljajo storitve. Za tak subjekt se šteje, da je v pristojnosti države članice, v kateri ima predstavnik sedež. Kadar je tak subjekt subjekt iz odstavka 1, točka (a), se šteje, da spada v pristojnost države članice, v kateri zagotavlja storitve. Če ni imenovanega predstavnika v Uniji v skladu s tem odstavkom, lahko katera koli država članica, v kateri subjekt opravlja storitve, uvede sodne postopke proti subjektu zaradi kršitve te direktive.“;

(11)člen 27 se spremeni:

(a)odstavek 1 se nadomesti z naslednjim:

„1. ENISA vzpostavi in vzdržuje register bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen, na podlagi informacij, prejetih od enotnih kontaktnih točk v skladu z odstavkom 4. ENISA na zahtevo pristojnim organom dovoli dostop do informacij o ponudnikih storitev sistema domenskih imen, registrih vrhnjih domenskih imen, subjektih, ki opravljajo storitve registracije domenskih imen, ponudnikih storitev računalništva v oblaku, ponudnikih storitev podatkovnih centrov, ponudnikih omrežij za dostavo vsebin, ponudnikih upravljanih storitev, ponudnikih upravljanih varnostnih storitev ter ponudnikih spletnih tržnic, spletnih brskalnikov in platform za storitve družbenega mreženja, kot tudi letalskih prevoznikih, shranjenih v zadevnem registru, pri čemer zagotovi, da je zaupnost informacij zaščitena, kadar je to potrebno.“;

(b)odstavek 2 se črta;

(c)odstavki 3, 4 in 5 se nadomestijo z naslednjim:

„3. Države članice zagotovijo, da bistveni in pomembni subjekti nemudoma, v vsakem primeru pa v dveh tednih od datuma spremembe, pristojni organ uradno obvestijo o vseh spremembah informacij, ki so ji predložili v skladu s člankom 3(4).

4. Po prejemu informacij iz člena 3(4) jih enotna kontaktna točka zadevne države članice brez nepotrebnega odlašanja posreduje ENISA.

5. Po potrebi se informacije iz člena 3(4), prvi pododstavek, predložijo prek nacionalnega mehanizma iz člena 3(4), četrti pododstavek.“;

(12)vstavi se naslednji člen 37a:

„Člen 37a

Vloga ENISA pri medsebojni pomoči

1. ENISA pomaga državam članicam pri izvajanju medsebojne pomoči v smislu člena 37 in olajšuje take postopke sodelovanja za bistvene in pomembne subjekte, ki opravljajo storitve v več kot eni državi članici ali ki opravljajo storitve v eni ali več državah članicah in imajo omrežne in informacijske sisteme v eni ali več drugih državah članicah.

2. ENISA za namene iz odstavka 1 do ... [15 mesecev po začetku veljavnosti te uredbe] izvede celovito analizo čezmejnih tveganj za kibernetsko varnost v zvezi z bistvenimi in pomembnimi subjekti, ki opravljajo storitve v več kot eni državi članici ali ki opravljajo storitve v eni ali več državah članicah in imajo omrežne in informacijske sisteme v eni ali več drugih državah članicah. Z analizo se oceni obseg možnih posledic incidentov, ki vplivajo na take bistvene in pomembne subjekte, tako v čezmejnem kontekstu kot tudi na notranjem trgu. ENISA v sodelovanju s Komisijo in skupino za sodelovanje oblikuje metodologijo za to analizo. ENISA na podlagi analize pripravi celovito poročilo o oceni čezmejnega tveganja za kibernetsko varnost, ki se vsako leto posodobi.

3. ENISA na podlagi celovitega poročila o oceni čezmejnega tveganja za kibernetsko varnost:

(a)po potrebi ustreznim pristojnim organom priporoči, naj v podporo nadzoru nad določenimi subjekti ustanovijo skupne pregledniške ekipe;

(b)pripravi smernice za skupne nadzorne ukrepe;

(c)na zahtevo pristojnih organov zadevnih držav članic določi praktične ureditve za izvajanje skupnih nadzornih ukrepov;

(d)na zahtevo pristojnih organov zadevnih držav članic ter ob upoštevanju lastnih sredstev in sorazmerno z njimi sodeluje pri skupnih nadzornih ukrepih;

(e)na zahtevo pristojnih organov zadevnih držav članic pomaga pri oceni ravni izvajanja ukrepov za obvladovanje tveganj za kibernetsko varnost iz člena 21 pri bistvenem ali pomembnem subjektu.

4. Za namene odstavka 3, točka (e), tega člena pristojni organi zadevnih držav članic ENISA predložijo seznam ukrepov za obvladovanje tveganj za kibernetsko varnost, ki jih je bistveni ali pomembni subjekt sprejel v skladu s členom 21, seznam izvedenih nadzornih ali izvršilnih ukrepov ter ustrezno dokumentacijo, vključno z dokazi o izvajanju politik kibernetske varnosti, kot so rezultati revizij varnosti, ki so jih pristojni organi sprejeli v zvezi s tem subjektom na podlagi členov 32 in 33.

5. Kadar država članica prejme medsebojno pomoč iz člena 37(1), prvi pododstavek, točka (c), enotna kontaktna točka obvesti ENISA, da je bila izvedena medsebojna pomoč. Kadar je to ustrezno, enotna kontaktna točka navede, kateri čezmejni incident iz člena 23(6) je bil povezan s primerom medsebojne pomoči.“;

(13)prilogi I in II se spremenita v skladu s Prilogo k tej direktivi.

Člen 2
Prenos

1.Države članice sprejmejo in objavijo predpise, potrebne za uskladitev s to direktivo, do ... [12 mesecev po začetku veljavnosti te direktive]. O tem takoj obvestijo Komisijo.

Države članice te predpise uporabljajo od ... [en dan po datumu iz prvega pododstavka].

2.Države članice se pri sprejetju predpisov iz odstavka 1 sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

Člen 3
Začetek veljavnosti

Ta direktiva začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Člen 4
Naslovniki

Ta direktiva je naslovljena na države članice.

V Strasbourgu,

Za Evropski parlament Za Svet

predsednica predsednik/predsednica

[...] [...]

(1) Poročilo ENISA o grožnjah v letu 2025 (ENISA Threat Landscape 2025).

(2) JOIN(2025) 130 final.

(3) COM(2025) 148 final.

(4) JOIN(2025) 977 final.

(5) Evropska komisija, Prihodnost evropske konkurenčnosti, https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20competitiveness%20strategy%20for%20Europe.pdf .

(6) COM(2025) 47 final.

(7) COM(2025) 66 final.

(8) COM(2025) 10 final.

(9) COM(2023) 207 final.

(10) Izvedbena uredba Komisije (EU) 2023/203 in Delegirana uredba Komisije (EU) 2022/1645.

(11) COM(2025) 838 final.

(12) COM(2025) 335 final.

(13) UL C [...], [...], str. [...].

(14) UL C [...], [...], str. [...].

(15) Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(16) Priporočilo Komisije (EU) 2025/1099 z dne 21. maja 2025 o opredelitvi malih podjetij s srednje veliko tržno kapitalizacijo (UL L, 2025/1099, 28.5.2025, ELI: http://data.europa.eu/eli/reco/2025/1099/oj).

(17) Priporočilo Komisije 2003/361/ΕS z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36, ELI: http://data.europa.eu/eli/reco/2003/361/oj).

(18) Direktiva (EU) 2019/944 Evropskega parlamenta in Sveta z dne 5. junija 2019 o skupnih pravilih notranjega trga električne energije in spremembi Direktive 2012/27/EU (UL L 158, 14.6.2019, str. 125, ELI: http://data.europa.eu/eli/dir/2019/944/oj).

(19) Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L 257, 28.8.2014, str. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).

(20) COM(2025) 838 final.

(21) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).