Komisija se je 17. julija 2023 odločila, da ne bo nasprotovala zgoraj navedeni priglašeni koncentraciji in jo bo razglasila za združljivo z notranjim trgom. Ta odločitev je sprejeta v skladu s členom 6(1)(b) Uredbe Sveta (ES) št. 139/2004 (1). Celotno besedilo odločitve je na voljo samo v angleščini in bo objavljeno po tem, ko bodo iz besedila odstranjene morebitne poslovne skrivnosti. Na voljo bo:

—	v razdelku o združitvah na spletišču Komisije o konkurenci (https://competition-cases.ec.europa.eu/search). Spletišče vsebuje različne pripomočke za iskanje posameznih odločitev o združitvah, vključno z nazivi podjetij, številkami zadev, datumi ter indeksi področij,

—	v elektronski obliki na spletišču EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=sl) pod dokumentarno številko 32023M11106. EUR-Lex zagotavlja spletni dostop do prava EU.

---

(1)   UL L 24, 29.1.2004, str. 1.

I.   UVOD

1.

Komisija v skladu s členom 4(3) Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva NIS 2) (1) do 17. julija 2023 določi smernice o uporabi člena 4(1) in (2) navedene direktive.

2.

Te smernice pojasnjujejo uporabo navedenih določb, ki se nanašajo na povezavo med Direktivo (EU) 2022/2555 ter sedanjimi in prihodnjimi sektorskimi pravnimi akti Unije, s katerimi se obravnavajo ukrepi za obvladovanje tveganj za kibernetsko varnost ali zahteve glede poročanja o incidentih. V Dodatku k tem smernicam so navedeni sektorski pravni akti Unije, za katere Komisija meni, da spadajo na področje uporabe člena 4 Direktive (EU) 2022/2555. Dejstvo, da neki akt ni naveden v tem dodatku, ne pomeni nujno, da ne spada na področje uporabe navedene določbe.

3.

Komisija je v skladu s členom 4(3), tretji stavek, Direktive (EU) 2022/2555 pred sprejetjem teh smernic upoštevala opažanja skupine za sodelovanje na področju varnosti omrežij in informacij ter Agencije Evropske unije za kibernetsko varnost (ENISA).

4.

Te smernice ne posegajo v razlago prava Unije s strani Sodišča Evropske unije.

II.   ENAKOVREDNOST ZAHTEV GLEDE KIBERNETSKE VARNOSTI IZ SEKTORSKIH PRAVNIH AKTOV UNIJE

5.

Člen 4(1) Direktive (EU) 2022/2555 določa, da kadar se s sektorskimi pravnimi akti Unije zahteva, da bistveni ali pomembni subjekti bodisi sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost bodisi priglasijo pomembne incidente, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz navedene direktive, se ustrezne določbe Direktive (EU) 2022/2555, vključno z določbami o nadzoru in izvrševanju iz poglavja VII navedene direktive, za take subjekte ne uporabljajo. Navedena določba nadalje določa, da kadar sektorski pravni akti Unije ne zajemajo vseh subjektov v določenem sektorju, ki spadajo na področje uporabe Direktive (EU) 2022/2555, se ustrezne določbe navedene direktive še naprej uporabljajo za subjekte, ki niso zajeti v sektorskih pravnih aktih Unije.

II.1.   Zahteve za obvladovanje tveganj za kibernetsko varnost

6.

Člen 4(2), točka (a), Direktive (EU) 2022/2555 določa, da se ukrepi za obvladovanje tveganj za kibernetsko varnost, ki jih morajo bistveni ali pomembni subjekti sprejeti v skladu s sektorskimi pravnimi akti Unije, po učinku štejejo za enakovredne obveznostim iz Direktive (EU) 2022/2555, kadar so navedeni ukrepi po učinku vsaj enakovredni tistim iz člena 21(1) in (2) navedene direktive. Pri ocenjevanju, ali so zahteve iz sektorskega pravnega akta Unije o ukrepih za obvladovanje tveganj za kibernetsko varnost po učinku vsaj enakovredne tistim iz člena 21(1) in (2) Direktive (EU) 2022/2555, bi morale zahteve iz zadevnega sektorskega pravnega akta Unije vsaj ustrezati zahtevam iz navedenih določb ali jih presegati, kar pomeni, da so lahko določbe za posamezne sektorje po vsebini podrobnejše v primerjavi z ustreznimi določbami Direktive (EU) 2022/2555.

7.

V skladu s členom 21(1), prvi pododstavek, Direktive (EU) 2022/2555 države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov, ki jih ti subjekti uporabljajo za svoje delovanje ali opravljanje storitev. Ti ukrepi bi morali temeljiti na tveganju in omogočati preprečevanje ali zmanjšanje vpliva incidentov. Člen 21(1), drugi pododstavek, Direktive (EU) 2022/2555 določa, kako bi bilo treba oceniti sorazmernost takih ukrepov (2). Obveznost iz člena 21(1) Direktive (EU) 2022/2555, v skladu s katero morajo bistveni in pomembni subjekti sprejeti ustrezne in sorazmerne ukrepe za obvladovanje tveganj za kibernetsko varnost, se nanaša na celotno delovanje in storitve zadevnega subjekta, ne le na določena sredstva informacijske tehnologije ali kritične storitve, ki jih subjekt zagotavlja.

8.

Pri ocenjevanju enakovrednosti sektorskega pravnega akta Unije z ustreznimi določbami o obvladovanju kibernetskih tveganj iz Direktive (EU) 2022/2555 bi bilo treba pri tej oceni posebno pozornost nameniti vprašanju, ali obveznosti glede varnosti iz zadevnega pravnega akta vključujejo ukrepe za zagotovitev varnosti omrežnih in informacijskih sistemov. Opredelitev „varnosti omrežnih in informacijskih sistemov“ iz člena 6, točka 2, Direktive (EU) 2022/2555 pomeni zmožnost informacijskih sistemov, da na določeni ravni zaupanja preprečijo vsak dogodek, ki lahko ogrozi razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih ti omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni. Uporaba pojmov „razpoložljivost“, „avtentičnost“, „celovitost“ in „zaupnost“ v tej opredelitvi se nanaša na vse štiri cilje zaščite, povezane z varnostjo omrežnih in informacijskih sistemov. Pojem „omrežni in informacijski sistemi“, kot je opredeljen v členu 6, točka 1, Direktive (EU) 2022/2555, zajema elektronska komunikacijska omrežja (3); vsako napravo ali skupino med seboj povezanih ali sorodnih naprav, od katerih ena ali več na podlagi programa opravlja samodejno obdelavo digitalnih podatkov; digitalne podatke, ki jih taka elektronska komunikacijska omrežja ali naprave shranjujejo, obdelujejo, pridobivajo ali prenašajo za namene svojega delovanja, varovanja ali vzdrževanja. Zato bi morali varnostni ukrepi, ki se zahtevajo s sektorskim pravnim aktom Unije, zajemati tudi strojno, strojno programsko in programsko opremo, ki se uporablja pri dejavnostih subjekta.

9.

Še en pomemben vidik pri ocenjevanju enakovrednosti sektorskega pravnega akta Unije z zahtevami iz člena 21(1) in (2) Direktive (EU) 2022/2555 je, da bi morali ukrepi za obvladovanje tveganj za kibernetsko varnost, ki se zahtevajo z zadevnim aktom, temeljiti na „pristopu upoštevanja vseh nevarnosti“. Ker imajo lahko grožnje za varnost omrežnih in informacijskih sistemov različne izvore, lahko katera koli vrsta dogodka negativno vpliva na omrežne informacijske sisteme subjekta in privede do incidenta. Zato bi morali ukrepi za obvladovanje tveganj za kibernetsko varnost, ki jih sprejme subjekt, ščititi ne le omrežne in informacijske sisteme subjekta, temveč tudi fizično okolje teh sistemov pred kakršnimi koli dogodki, kot so sabotaža, kraja, požar, poplava, izpadi telekomunikacij ali električne energije ali nepooblaščen fizični dostop, ki bi lahko ogrozili razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki se ponujajo ali so dostopne prek omrežnih in informacijskih sistemov. Zato bi se morala z ukrepi za obvladovanje tveganj za kibernetsko varnost, ki se zahtevajo s sektorskim pravnim aktom Unije, obravnavati tudi fizična in okoljska varnost omrežnih in informacijskih sistemov pred okvarami sistemov, človeškimi napakami, zlonamernimi dejanji ali naravnimi pojavi (4).

10.

Člen 21(2) Direktive (EU) 2022/2555 nadalje določa, da morajo ukrepi za obvladovanje tveganj za kibernetsko varnost vključevati posebne varnostne zahteve iz točk (a) do (j) odstavka 2 navedene določbe. Te zahteve zajemajo ukrepe, kot so politika o analizi tveganja in varnosti informacijskih sistemov, obvladovanje incidentov, neprekinjeno poslovanje, obvladovanje kriz, varnost dobavne verige, politike in postopki v zvezi z uporabo kriptografije in po potrebi šifriranjem. V skladu s členom 21(5), drugi pododstavek, Direktive (EU) 2022/2555 se na Komisijo prenese pooblastilo za sprejemanje izvedbenih aktov, s katerimi določi tehnične in metodološke zahteve ter po potrebi sektorske zahteve za varnostne ukrepe iz člena 21(2) navedene direktive. V zvezi s ponudniki storitev sistema domenskih imen (v nadaljnjem besedilu: DNS), registri vrhnjih domenskih imen (v nadaljnjem besedilu: TLD), ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebine, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, ponudniki spletnih tržnic, spletnih brskalnikov in platform za storitve družbenega mreženja in ponudniki storitev zaupanja Komisija do 17. oktobra 2024 sprejme izvedbene akte, ki določajo tehnične in metodološke zahteve ukrepov iz člena 21(2) Direktive (EU) 2022/2555. Izvedbeni akti podrobneje določajo glavne pogoje in merila za izvajanje, kot so določeni v temeljnem aktu, ne da bi to vplivalo na vsebino zadevnega akta (5).

II.2.   Zahteve glede poročanja

11.

Člen 4(2), točka (b), Direktive (EU) 2022/2555 določa, da se zahteve glede poročanja v zvezi s priglasitvijo pomembnih incidentov po učinku štejejo za enakovredne obveznostim iz navedene direktive, kadar sektorski pravni akt Unije določa takojšen, po potrebi samodejen in neposreden, dostop do priglasitev incidentov za skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT), pristojne organe ali enotne kontaktne točke in kadar so zahteve za priglasitev pomembnih incidentov po učinku vsaj enakovredne tistim iz člena 23(1) do (6) Direktive (EU) 2022/2555.

12.

Ker morajo biti zahteve iz sektorskega pravnega akta Unije za priglasitev pomembnih incidentov po učinku vsaj enakovredne tistim iz člena 23(1) do (6) Direktive (EU) 2022/2555, da se lahko zadevni akt uporablja namesto obveznosti poročanja iz navedene direktive, so zahteve iz člena 23(1) do (6) Direktive zlasti pomembne za oceno enakovrednosti. Člen 23(1) do (6) Direktive (EU) 2022/2555 podrobneje določa, katere vrste incidentov je treba sporočiti komu, v kakšnem časovnem okviru in katere informacije. To je podrobneje pojasnjeno v naslednjih pododdelkih:

II.2.1.   Priglasitev pomembnih incidentov skupinam CSIRT, pristojnim organom in prejemnikom

13.

S prvim stavkom člena 23(1), prvi pododstavek, Direktive (EU) 2022/2555 se zahteva, da bistveni in pomembni subjekti njeni skupini CSIRT, ali kadar je to potrebno, njenemu pristojnemu organu brez nepotrebnega odlašanja priglasijo vsak pomemben incident. Z drugim stavkom člena 23(1), prvi pododstavek, Direktiv (EU) 2022/2555 se zahteva, da bistveni in pomembni subjekti, kadar je ustrezno, prejemnike svojih storitev brez nepotrebnega odlašanja uradno obvestijo o pomembnih incidentih, ki bodo verjetno negativno vplivali na zagotavljanje navedenih storitev.

14.

Medtem ko so v členu 6, točka 6, Direktive (EU) 2022/2555 „incidenti“ zelo široko opredeljeni kot vsak dogodek, ki ogroža razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni, pa člen 23(1) navedene direktive določa obveznost poročanja le za pomembne incidente. Incident je pomemben, če je zadevnemu subjektu povzročil ali bi mu lahko povzročil znatne operativne motnje pri opravljanju storitev ali finančne izgube (člen 23(3), točka (a)) ali če je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode (člen 23(3), točka (b)).

15.

V uvodni izjavi 101 Direktive (EU) 2022/2555 je pojasnjeno, da bi moralo poročanje o incidentih temeljiti na začetni oceni, ki jo opravi zadevni subjekt. Pri tovrstni začetni oceni bi bilo med drugim treba upoštevati prizadete omrežne in informacijske sisteme, zlasti njihov pomen pri zagotavljanju storitev subjekta, resnost in tehnične značilnosti kibernetske grožnje, obstoječe ranljivosti, ki se izkoriščajo, ter izkušnje subjekta s podobnimi incidenti. Kazalniki, kot so obseg vpliva na delovanje storitve, trajanje incidenta ali število prizadetih prejemnikov storitev, bi lahko imeli pomembno vlogo pri ugotavljanju, ali je operativna motnja storitve resna.

16.

V skladu s členom 23(11), drugi pododstavek, Direktive (EU) 2022/2555 se na Komisijo prenese pooblastilo za sprejemanje izvedbenih aktov, ki podrobneje določajo primere, v katerih se incident šteje za pomemben. V zvezi s ponudniki storitev DNS, registri TLD imen, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebine, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev ter ponudniki spletnih tržnic, spletnih brskalnikov in platform za storitve družbenega mreženja Komisija do 17. oktobra 2024 sprejme take izvedbene akte. Izvedbeni akti podrobneje določajo glavne pogoje in merila za izvajanje, kot so določeni v temeljnem aktu, ne da bi to vplivalo na vsebino zadevnega akta (6).

II.2.2.   Večstopenjski pristop in časovni okvir za poročanje o pomembnih incidentih

17.

Direktiva (EU) 2022/2555 določa večstopenjski pristop k poročanju o pomembnih incidentih, ki vključuje zgodnje opozorilo, priglasitev incidenta in končno poročilo. Ti trije elementi se lahko dopolnijo z vmesnimi poročili in poročilom o napredku.

18.

Cilj večstopenjskega pristopa je vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga ublažiti morebitno širjenje pomembnih incidentov ter bistvenim in pomembnim subjektom omogoča, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih subjektov in celotnih sektorjev proti kibernetskim grožnjam (7).

19.

V skladu z večstopenjskim pristopom morajo bistveni in pomembni subjekti pristojnim skupinam CSIRT ali organu najprej predložiti zgodnje opozorilo brez nepotrebnega odlašanja in v vsakem primeru najpozneje v 24 urah od seznanitve s pomembnim incidentom. Nato morajo ti subjekti brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po seznanitvi s pomembnim incidentom, predložiti priglasitev incidenta. Nato lahko pristojna skupina CSIRT ali organ zahteva vmesno poročilo. Nazadnje je treba pristojni skupini CSIRT ali organu predložiti končno poročilo, in sicer najpozneje en mesec po predložitvi priglasitve incidenta, razen če incident takrat še vedno poteka; v tem primeru je treba predložiti poročilo o napredku in končno poročilo v enem mesecu po razrešitvi incidenta.

20.

Za priglasitev incidenta iz člena 23(4), drugi pododstavek, Direktive (EU) 2022/2555 se v zvezi s ponudniki storitev zaupanja uporablja drugačen časovni okvir. Ti ponudniki morajo pomembne incidente v zvezi z zagotavljanjem svojih storitev zaupanja priglasiti brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po seznanitvi s pomembnim incidentom.

II.2.3.   Vsebina obveznosti poročanja o pomembnih incidentih skupinam CSIRT ali pristojnim organom

21.

Na splošno morajo države članice v skladu s tretjim stavkom člena 23(1), prvi pododstavek, Direktive (EU) 2022/2555 zagotoviti, da bistveni in pomembni subjekti sporočijo, med drugim, vse informacije, ki skupini CSIRT, ali kadar je potrebno, pristojnemu organu omogočajo, da določi čezmejni vpliv incidenta. Ta zahteva glede vsebine obveznosti poročanja je podrobneje določena v členu 23(4) Direktive (EU) 2022/2555, ki določa večstopenjski pristop.

22.

V skladu s členom 23(4), točka (a), mora biti v zgodnjem opozorilu po potrebi navedeno, ali je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem in ali bi lahko imel (v smislu, ali je verjetno, da ima) čezmejni vpliv. V skladu z uvodno izjavo 102 Direktive (EU) 2022/2555 bi moralo zgodnje opozorilo vključevati le informacije, ki so potrebne za seznanitev pristojne skupine CSIRT ali organa s pomembnim incidentom in ki zadevnemu subjektu omogočajo, da po potrebi zaprosi za pomoč.

23.

Priglasitev incidenta mora po potrebi vključevati posodobitve informacij, predloženih v okviru zgodnjega opozorila. Poleg tega mora vključevati začetno oceno pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter kazalniki ogroženosti, če so na voljo.

24.

Če se zahteva vmesno poročilo, mora vsebovati ustrezne posodobitve stanja. Končno poročilo mora vključevati podroben opis incidenta, vključno z njegovo resnostjo in vplivom, vrsto grožnje ali temeljnega vzroka, ki je verjetno sprožil incident, izvedene blažilne ukrepe in take ukrepe v teku in po potrebi čezmejni vpliv incidenta.

II.2.4.   Takojšen dostop do priglasitev incidentov

25.

Člen 4(2), točka (b), Direktive (EU) 2022/2555 določa, da mora sektorski pravni akt Unije, ki se v zvezi z zahtevami glede priglasitve uporablja namesto navedene direktive, skupinam CSIRT, pristojnim organom ali enotnim kontaktnim točkam v skladu z Direktivo (EU) 2022/2555 zagotavljati takojšen dostop do priglasitev incidentov, predloženih v skladu s sektorskim pravnim aktom Unije. V skladu z uvodno izjavo 24 Direktive (EU) 2022/2555 se lahko tak takojšen dostop lahko zagotovi zlasti, če se priglasitve incidentov brez nepotrebnega odlašanja posredujejo skupini CSIRT, pristojnemu organu ali enotni kontaktni točki.

26.

Takojšen dostop se lahko zagotovi s samodejnimi in neposrednimi sredstvi, ki bi jih morale države članice po potrebi vzpostaviti. Mehanizmi samodejnega in neposrednega poročanja zagotavljajo sistematično in takojšnjo izmenjavo informacij s skupinami CSIRT, pristojnimi organi ali enotno kontaktno točko v zvezi z obravnavo priglasitev incidentov. Države članice lahko za namene poenostavitve poročanja in izvajanja samodejnega in avtomatskega mehanizma uporabijo tudi enotno vstopno točko, ki mora biti v skladu s sektorskim pravnim aktom Unije.

27.

Pri ocenjevanju, ali so zahteve iz sektorskega pravnega akta Unije za priglasitev pomembnih incidentov po učinku vsaj enakovredne tistim iz člena 23(1) do (6) Direktive (EU) 2022/2555, bi morale zahteve iz zadevnega sektorskega pravnega akta Unije vsaj ustrezati zahtevam iz člena 23(1) do (6) ali zagotoviti več podrobnosti kot navedene določbe. Zahteve bi se morale nanašati na vrsto incidentov, o katerih je treba poročati v skladu z Direktivo (EU) 2022/2555, ob upoštevanju zlasti prejemnikov, vsebine in veljavnih časovnih okvirov.

III.   POSLEDICE ENAKOVREDNOSTI

III.1.   Nadzor in izvrševanje

28.

Kadar so sektorski pravni akti Unije po učinku vsaj enakovredni obveznostim iz Direktive (EU) 2022/2555, se poleg ustreznih določb navedene direktive v zvezi z obveznostjo sprejetja ukrepov za obvladovanje tveganj za kibernetsko varnost ali priglasitve pomembnih incidentov ne uporabljajo tudi določbe o nadzoru in izvrševanju iz poglavja VII Direktive (EU) 2022/2555.

29.

V uvodni izjavi 25 Direktive (EU) 2022/2555 je pojasnjeno, da bi lahko sektorski pravni akti Unije, ki so po učinku vsaj enakovredni, določali, da pristojni organi iz tovrstnih aktov izvajajo svoja nadzorna in izvršilna pooblastila v zvezi z obvladovanjem tveganj na področju kibernetske varnosti ali obveznostmi priglasitve ob pomoči pristojnih organov iz Direktive (EU) 2022/2555. Zadevni pristojni organi bi lahko v ta namen sklenili dogovore o sodelovanju, ki bi vključevali postopke za usklajevanje nadzornih dejavnosti, postopke preiskav in inšpekcijskih pregledov na kraju samem v skladu z nacionalnim pravom ter mehanizem za izmenjavo relevantnih informacij o nadzoru in izvrševanju med pristojnimi organi. Tak mehanizem za izmenjavo relevantnih informacij bi lahko vključeval dostop do informacij v zvezi s kibernetsko varnostjo, ki jih pristojni organi zahtevajo v skladu z Direktivo (EU) 2022/2555.

III.2.   Nacionalna strategija za kibernetsko varnost

30.

Vsaka država članica mora sprejeti nacionalno strategijo za kibernetsko varnost v skladu s členom 7(1) Direktive (EU) 2022/2555. Nacionalna strategija za kibernetsko varnost je skladen okvir države članice, ki določa strateške cilje in prednostne naloge na področju kibernetske varnosti in upravljanja za uresničitev navedenih ciljev in prednostnih nalog v tej državi članici (glej člen 6, točka 4, Direktive (EU) 2022/2555). Strategija za kibernetsko varnost mora med drugim vključevati cilje in prednostne naloge, ki zajemajo zlasti sektorje iz prilog I in II k Direktivi (EU) 2022/2555. Poleg tega mora ta strategija vključevati okvir upravljanja za uresničitev navedenih ciljev in prednostnih nalog, vključno s politikami iz člena 7(2) Direktive (EU) 2022/2555.

31.

Poleg tega člen 7(1), točka (c), Direktive (EU) 2022/2555 določa, da mora nacionalna strategija za kibernetsko varnost vključevati okvir upravljanja, ki pojasnjuje vloge in odgovornosti ustreznih zainteresiranih strani na nacionalni ravni ter podpira sodelovanje in usklajevanje na nacionalni ravni med pristojnimi organi, enotnimi kontaktnimi točkami in skupinami CSIRT iz Direktive (EU) 2022/2555, pa tudi usklajevanje in sodelovanje med temi organi in pristojnimi organi na podlagi sektorskih pravnih aktov Unije.

32.

Zato zahteva po sprejetju strategije za kibernetsko varnost v skladu s členom 7 Direktive (EU) 2022/2555 ne zadeva zahtev glede kibernetske varnosti, ki za bistvene in pomembne subjekte veljajo v skladu s členoma 21 in 23 navedene direktive, niti določb v zvezi z njihovim nadzorom in izvrševanjem iz poglavja VII, kot se zahteva s členom 4(1) in (2) Direktive. Ustrezna določba člena 7 bi se morala še naprej uporabljati za sektorje, podsektorje in vrste subjektov, za katere obstajajo sektorski pravni akti Unije v smislu člena 4 Direktive (EU) 2022/2555.

III.3.   Imenovanje skupin CSIRT

33.

V skladu s členom 10(1) Direktive (EU) 2022/2555 morajo države članice določiti ali vzpostaviti eno ali več skupin CSIRT, ki pokrivajo vsaj sektorje, podsektorje in vrste subjektov iz prilog I in II k Direktivi, kar torej vključuje sektorje, podsektorje in vrste subjektov, za katere obstajajo sektorski pravni akti Unije. Skupine CSIRT bodo v zvezi s tem običajno izvajale tudi naloge iz člena 11(3) Direktive (EU) 2022/2555, razen če so posebne naloge določene v sektorskih pravnih aktih Unije.

III.4.   Nacionalni okviri za obvladovanje kibernetskih kriz in mreža EU-CyCLONe

34.

V skladu s členom 9(1) Direktive (EU) 2022/2555 morajo države članice imenovati ali ustanoviti enega ali več organov za obvladovanje kibernetskih kriz, ki so odgovorni za obvladovanje kibernetskih incidentov velikih razsežnosti in kriz. V skladu s členom 6, točka 7, Direktive incident velikih razsežnosti pomeni incident, ki povzroči motnjo, ki presega zmožnost države članice za odziv nanj, ali incident, ki pomembno vpliva na vsaj dve državi članici. V skladu s členom 9(4) Direktive (EU) 2022/2555 morajo države članice tudi sprejeti nacionalni načrt odzivanja na kibernetske incidente velikih razsežnosti in krize, v katerem so opredeljeni cilji in ureditve obvladovanja kibernetskih incidentov velikih razsežnosti in kriz. Ta načrt bi moral med drugim določati postopke za obvladovanje kibernetskih kriz, vključno z njihovo vključitvijo v splošni nacionalni okvir za obvladovanje kriz, in kanale za izmenjavo informacij, pa tudi ustrezne javne in zasebne deležnike ter vključeno infrastrukturo. Taki postopki za obvladovanje kibernetskih kriz, ustrezni javni in zasebni deležniki ter infrastruktura bi lahko vključevali sektorske postopke in deležnike.

35.

S členom 16 Direktive (EU) 2022/2555 je ustanovljena Evropska organizacijska mreža za povezovanje v kibernetski krizi (mreža EU-CyCLONe), katere namen je podpirati usklajeno obvladovanje kibernetskih incidentov velikih razsežnosti in kriz na operativni ravni ter zagotavljati redne izmenjave relevantnih informacij med državami članicami ter institucijami, organi, uradi in agencijami Unije.

36.

Ker se člen 9 o okvirih za obvladovanje kibernetskih kriz in člen 16 o mreži EU-CyCLONe ne nanašata na zahteve glede kibernetske varnosti, naložene subjektom v skladu s členoma 21 in 23 Direktive (EU) 2022/2555, ali na nadzor in izvrševanje iz poglavja VII, kot se zahteva s členom 4(1) in (2) navedene direktive, bi se morala člena 9 in 16 v celoti uporabljati za sektorje kljub obstoju sektorskih pravnih aktov Unije v smislu člena 4. Zato morajo države članice imenovati ali ustanoviti enega ali več organov za obvladovanje kibernetskih kriz, ki so odgovorni za upravljanje obsežnih kibernetskih incidentov in kriz v sektorjih, zajetih s sektorskimi pravnimi akti Unije. Poleg tega sektorji, zajeti s sektorskimi pravnimi akti Unije, ne bi smeli biti spregledani ob sprejemanju nacionalnega načrta odzivanja na kibernetske incidente velikih razsežnosti in krize. Nazadnje, mreža EU-CyCLONe bi morala svoje naloge iz člena 16 Direktive (EU) 2022/2555 izvajati v zvezi s sektorji, v katerih za subjekte veljajo sektorski pravni akti Unije.

III.5.   Izključitev uporabe člena 3(3) in (4), člena 20 ter člena 27(2) in (3)

37.

V skladu s členom 3(3) Direktive (EU) 2022/2555 morajo države članice oblikovati seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen, ki spadajo na področje uporabe Direktive. V skladu s členom 27(2) države članice od subjektov iz člena 27(1) navedene direktive zahtevajo, da predložijo določene informacije pristojnim organom. Ker je namen teh določb zagotoviti jasen pregled nad subjekti, ki spadajo na področje uporabe Direktive (EU) 2022/2555, da bi se podprl nadzor nad bistvenimi in pomembnimi subjekti, ki spadajo na njeno področje uporabe, to pomeni, da se te določbe ne bi smele uporabljati za subjekte, za katere se uporablja sektorski pravni akt Unije, v zvezi z zahtevami glede obvladovanja tveganj za kibernetsko varnost in poročanja. To državam članicam ne preprečuje, da take subjekte vključijo na seznam. V skladu s členom 20(1) Direktive (EU) 2022/2555 morajo upravljalni organi bistvenih in pomembnih subjektov odobriti ukrepe za obvladovanje tveganj za kibernetsko varnost, ki jih sprejmejo zadevni subjekti, da upoštevajo člen 21, nadzirati njihovo izvajanje in lahko odgovarjajo za kršitve tega člena s strani subjektov. V skladu s členom 20(2) navedene direktive države članice zagotovijo, da se morajo člani upravljalnega organa bistvenih in pomembnih subjektov usposabljati, in spodbujajo bistvene in pomembne subjekte, da podobno usposabljanje redno ponujajo svojim zaposlenim, da pridobijo dovolj znanja in spretnosti, ki jih usposobi za prepoznavanje in ocenjevanje tveganj in za oceno praks obvladovanja tveganj za kibernetsko varnosti ter njihovega vpliva na storitve, ki jih opravlja subjekt. Ker so obveznosti, ki izhajajo iz člena 20 Direktive (EU) 2022/2555, neločljivo povezane z zahtevami iz člena 21 navedene direktive, to pomeni, da se člen 20 ne bi smel uporabljati v primeru sektorskih pravnih aktov Unije v smislu člena 4 navedene direktive, ki se uporabljajo v zvezi z zahtevami glede obvladovanja tveganj za kibernetsko varnost.

---

(1)   UL L 333, 27.12.2022, str. 80.

(2)  Glej tudi uvodne izjave 78, 81 in 82 Direktive (EU) 2022/2555.

(3)  Člen 2(1) Direktive (EU) 2018/1972 Evropskega parlamenta in Sveta z dne 11. decembra 2018 o Evropskem zakoniku o elektronskih komunikacijah (UL L 321, 17.12.2018, str. 36).

(4)  Glej uvodno izjavo 79 Direktive (EU) 2022/2555.

(5)  Glej poglavje D, naslovljeno Dodatna pravila, s katerimi se izvaja temeljni akt, Nezavezujoča meril za uporabo členov 290 in 291 Pogodbe o delovanju Evropske unije – 18. junij 2019 (UL C 223, 3.7.2019, str. 1).

(6)  Glej poglavje D, naslovljeno Dodatna pravila, s katerimi se izvaja temeljni akt, Nezavezujoča meril za uporabo členov 290 in 291 Pogodbe o delovanju Evropske unije – 18. junij 2019 (UL C 223, 3.7.2019, str. 1).

(7)  Glej uvodno izjavo 101 Direktive (EU) 2022/2555.

Osebam in subjektom iz Priloge k Sklepu Sveta 2011/235/SZVP (1), kakor se izvaja z Izvedbenim sklepom Sveta (SZVP) 2023/1780 (2), in iz Priloge I k Uredbi Sveta (EU) št. 359/2011 (3), kakor se izvaja z Izvedbeno uredbo Sveta (EU) 2023/1779 (4), o omejevalnih ukrepih proti nekaterim osebam, subjektom in organom zaradi razmer v Iranu, sporočamo naslednje:

Svet Evropske unije je ugotovil, da je treba te osebe in subjekte uvrstiti na seznam oseb in subjektov, za katere veljajo omejevalni ukrepi iz Sklepa 2011/235/SZVP in Uredbe (EU) št. 359/2011.

Zadevne osebe in subjekte obveščamo, da je mogoče pri pristojnih organih zadevne države članice oziroma zadevnih držav članic, kot so navedeni na spletnih straneh iz Priloge II k Uredbi (EU) št. 359/2011, vložiti prošnjo za dovoljenje za uporabo zamrznjenih sredstev za nujne potrebe ali posebna plačila (glej člen 4 Uredbe).

Zadevne osebe in subjekti morajo morebitno zahtevo za ponovno preučitev odločitve o njihovi uvrstitvi na navedeni seznam skupaj z dokazili Svetu predložiti pred 1. januarjem 2024 na naslov:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

e-naslov: sanctions@consilium.europa.eu

Zadevne osebe in subjekte obenem obveščamo, da je mogoče odločitev Sveta izpodbijati pred Splošnim sodiščem Evropske unije v skladu s pogoji iz člena 275, drugi odstavek, in člena 263, četrti in šesti odstavek, Pogodbe o delovanju Evropske unije.

---

(1)   UL L 100, 14.4.2011, str. 51.

(2)   UL L 228 I, 15.9.2023, str. 6.

(3)   UL L 100, 14.4.2011, str. 1.

(4)   UL L 228 I, 15.9.2023, str. 1.

Posameznike, na katere se nanašajo osebni podatki, v skladu s členom 16 Uredbe Evropskega parlamenta in Sveta (1) (EU) 2018/1725 obveščamo o naslednjem:

Pravni podlagi za ta postopek obdelave sta Sklep Sveta 2011/235/SZVP (2), kakor se izvaja z Izvedbenim sklepom Sveta (SZVP) 2023/1780 (3), in Uredba Sveta (EU) št. 359/2011 (4), kakor se izvaja z Izvedbeno uredbo Sveta (EU) 2023/1779 (5).

Upravljavec tega postopka obdelave je Svet Evropske unije, ki ga zastopa generalni direktor Generalnega direktorata za zunanje odnose (RELEX) Generalnega sekretariata Sveta, oddelek, pristojen za postopek obdelave, pa je RELEX.1, katerega naslov je:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

e-naslov: sanctions@consilium.europa.eu

Pooblaščena oseba Sveta za varstvo podatkov je dosegljiva na naslovu:

Pooblaščena oseba Sveta za varstvo podatkov

data.protection@consilium.europa.eu

Namen postopka obdelave je vzpostaviti in posodobiti seznam oseb, za katere veljajo omejevalni ukrepi v skladu s Sklepom 2011/235/SZVP, kakor se izvaja z Izvedbenim sklepom (SZVP) 2023/1780, in Uredbo (EU) št. 359/2011, kakor se izvaja z Izvedbeno uredbo (EU) 2023/1779.

Posamezniki, na katere se nanašajo osebni podatki, so fizične osebe, ki izpolnjujejo merila za uvrstitev na seznam, določena v Sklepu 2011/235/SZVP in Uredbi (EU) št. 359/2011.

Zbrani osebni podatki vključujejo potrebne podatke za pravilno identifikacijo zadevne osebe in utemeljitev ter katere koli druge podatke v zvezi z razlogi za uvrstitev na seznam.

Pravne podlage za obdelavo osebnih podatkov so sklepi Sveta, sprejeti na podlagi člena 29 PEU, in uredbe Sveta, sprejete v skladu s členom 215 PDEU, ki določajo fizične osebe (posameznike, na katere se nanašajo osebni podatki) ter nalagajo zamrznitev sredstev in omejitve potovanj.

Obdelava je potrebna za opravljanje naloge v javnem interesu v skladu s členom 5(1)(a) in za izpolnitev zakonskih obveznosti iz zgoraj navedenih pravnih aktov, ki veljajo za upravljavca, v skladu s členom 5(1)(b) Uredbe (EU) 2018/1725.

Obdelava je potrebna iz razlogov bistvenega javnega interesa v skladu s členom 10(2)(g) Uredbe (EU) 2018/1725.

Svet lahko pridobi osebne podatke posameznikov, na katere se nanašajo osebni podatki, od držav članic in/ali Evropske službe za zunanje delovanje. Prejemniki osebnih podatkov so države članice, Evropska komisija in Evropska služba za zunanje delovanje.

Vsi osebni podatki, ki jih obdeluje Svet v kontekstu avtonomnih omejevalnih ukrepov EU, se bodo hranili pet let od trenutka, ko je bil posameznik, na katerega se nanašajo osebni podatki, odstranjen s seznama oseb, za katere velja zamrznitev sredstev, ali ko je veljavnost ukrepa potekla, ali, če je vložena tožba pri Sodišču, do izreka pravnomočne sodbe. Osebne podatke, ki jih vsebujejo dokumenti, registrirani v Svetu, hrani Svet za namene arhiviranja v javnem interesu v smislu člena 4(1)(e) Uredbe (EU) 2018/1725.

Svet bo morda moral izmenjati osebne podatke v zvezi s posameznikom, na katerega se nanašajo osebni podatki, s tretjo državo ali mednarodno organizacijo v kontekstu prenosa uvrstitev na sezname ZN s strani Sveta ali v kontekstu mednarodnega sodelovanja v zvezi s politiko omejevalnih ukrepov EU.

Če sklep o ustreznosti ali pa ustrezni zaščitni ukrepi niso sprejeti, se prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede pod naslednjim pogojem oziroma naslednjimi pogoji v skladu s členom 50 Uredbe (EU) 2018/1725: prenos je potreben zaradi pomembnih razlogov javnega interesa; prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Pri obdelavi osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ni vključeno avtomatizirano sprejemanje odločitev.

Posamezniki, na katere se nanašajo osebni podatki, imajo pravico do obveščenosti in pravico do dostopa do svojih osebnih podatkov. Poleg tega imajo pravico, da svoje podatke popravijo in dopolnijo. Pod nekaterimi pogoji imajo lahko pravico do izbrisa svojih osebnih podatkov, lahko nasprotujejo njihovi obdelavi ali zahtevajo, da se njihova obdelava omeji.

Posamezniki, na katere se nanašajo osebni podatki, lahko te pravice uveljavljajo tako, da upravljavcu pošljejo elektronsko sporočilo in o tem v kopiji obvestijo tudi pooblaščeno osebo za varstvo podatkov, kot je navedeno zgoraj.

Posamezniki, na katere se nanašajo osebni podatki, morajo svoji zahtevi priložiti kopijo identifikacijskega dokumenta, da potrdijo svojo identiteto (osebna izkaznica ali potni list). Na tem dokumentu morajo biti navedeni identifikacijska številka, država izdaje, obdobje veljavnosti, ime, naslov in datum rojstva. Vsi drugi podatki, navedeni na kopiji identifikacijskega dokumenta, kot so fotografija ali morebitne telesne značilnosti, se lahko potemnijo.

Posamezniki, na katere se nanašajo osebni podatki, imajo v skladu z Uredbo (EU) 2018/1725 pravico vložiti pritožbo pri Evropskem nadzorniku za varstvo podatkov (edps@edps.europa.eu).

Pred tem je priporočljivo, da posamezniki, na katere se nanašajo osebni podatki, najprej poskusijo pridobiti pravno sredstvo tako, da stopijo v stik z upravljavcem in/ali pooblaščeno osebo Sveta za varstvo podatkov.

---

(1)   UL L 295, 21.11.2018, str. 39.

(2)   UL L 100, 14.4.2011, str. 51.

(3)   UL L 228 I, 15.9.2023, str. 6.

(4)   UL L 100, 14.4.2011, str. 1.

(5)   UL L 228 I, 15.9.2023, str. 1.

Sklep o dodelitvi avtorizacije

Sklic na sklep (2)	Datum sprejetja sklepa	Ime snovi	Naslovnik sklepa	Preklicana uporaba	Razveljavljeni sklep	Razlogi za sklep
C(2023) 6014	11. septembra 2023	Natrijev dikromat št. ES: 234-190-3; št. CAS 10588-019 (brezvodni); št. CAS 7789-12-0 (dihidrat)	Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Prato, Italija	Kot čimža pri barvanju volne s temnimi barvami	C(2017) 8331	V oceni o preverjanju ni bilo dokazano, da vlagatelj nima na voljo ustreznih alternativ v skladu s členom 60(4) Uredbe (ES) št. 1907/2006.

---

(1)   UL L 396, 30.12.2006, str. 1.

(2)  Sklep je dostopen na spletišču Evropske komisije na naslovu: Avtorizacija (europa.eu).

1 euro =

	Valuta	Menjalni tečaj
USD	ameriški dolar	1,0658
JPY	japonski jen	157,50
DKK	danska krona	7,4573
GBP	funt šterling	0,85878
SEK	švedska krona	11,8730
CHF	švicarski frank	0,9554
ISK	islandska krona	145,30
NOK	norveška krona	11,4220
BGN	bolgarski lev	1,9558
CZK	češka krona	24,496
HUF	madžarski forint	383,75
PLN	poljski zlot	4,6308
RON	romunski lev	4,9698
TRY	turška lira	28,7513
AUD	avstralski dolar	1,6498
CAD	kanadski dolar	1,4409
HKD	hongkonški dolar	8,3416
NZD	novozelandski dolar	1,8008
SGD	singapurski dolar	1,4524
KRW	južnokorejski won	1 415,78
ZAR	južnoafriški rand	20,2968
CNY	kitajski juan	7,7561
IDR	indonezijska rupija	16 379,21
MYR	malezijski ringit	4,9922
PHP	filipinski peso	60,612
RUB	ruski rubelj
THB	tajski bat	38,145
BRL	brazilski real	5,1860
MXN	mehiški peso	18,2275
INR	indijska rupija	88,6150

---

(1)   Vir: referenčni menjalni tečaj, ki ga objavlja ECB.

---

(1)   UL L 24, 29.1.2004, str. 1 (uredba o združitvah).

(2)   UL C 366, 14.12.2013, str. 5.