(1)

V digitalni dobi informacijska in komunikacijska tehnologija (IKT) podpira kompleksne sisteme, ki se uporabljajo za vsakodnevne dejavnosti. Zagotavlja delovanje naših gospodarstev v ključnih sektorjih, vključno s finančnim sektorjem, in krepi delovanje notranjega trga. Z vse večjo digitalizacijo in medsebojno povezanostjo se povečuje tudi tveganje na področju IKT, zaradi česar je družba kot celota – in zlasti finančni sistem – bolj izpostavljena kibernetskim grožnjam ali motnjam na področju IKT. Čeprav so vsesplošna uporaba sistemov IKT ter visoka digitalizacija in povezljivost danes bistvene značilnosti dejavnosti finančnih subjektov v Uniji, je treba njihovo digitalno odpornost bolje obravnavati in jo vgraditi v njihove širše operativne okvire.

(2)

Uporaba IKT je v zadnjih desetletjih dobila osrednjo vlogo pri opravljanju finančnih storitev, in sicer do takšne mere, da je danes ključna za delovanje tipičnih dnevnih funkcij v vseh finančnih subjektih. Digitalizacija zdaj zajema na primer plačila, ki so se z gotovinskih in papirnatih metod vse bolj preusmerila v uporabo digitalnih rešitev, ter kliring in poravnave vrednostnih papirjev, elektronsko in algoritemsko trgovanje, posli posojanja in financiranja, medsebojno financiranje, bonitetne ocene, obravnavo zahtevkov in operacije zalednih služb. Tudi zavarovalniški sektor se je spremenil z uporabo IKT, in sicer od pojava zavarovalnih posrednikov, ki ponujajo svoje storitve prek spleta in uporabljajo zavarovalniško tehnologijo, do digitalnega sklepanja zavarovanj. Finance so postale večinoma digitalne v celotnem sektorju, poleg tega pa je digitalizacija poglobila medsebojne povezave in odvisnosti znotraj samega finančnega sektorja ter v odnosu do infrastrukture tretjih strani in tretjih ponudnikov storitev.

(3)

Evropski odbor za sistemska tveganja (ESRB) je v poročilu iz leta 2020, ki obravnava sistemska kibernetska tveganja, ponovno potrdil, da lahko obstoječa visoka stopnja medsebojne povezanosti finančnih subjektov, finančnih trgov in infrastruktur finančnega trga ter zlasti medsebojna odvisnost njihovih sistemov IKT, predstavlja sistemsko ranljivost, ker bi se lahko lokalizirani kibernetski incidenti iz katerega koli od približno 22 000 finančnih subjektov v Uniji hitro razširili na celotni finančni sistem, ne da bi jih pri tem ovirale geografske meje. Resne kršitve na področju IKT, do katerih prihaja v finančnem sektorju, ne vplivajo le na posamezne finančne subjekte. Omogočajo tudi, da se lokalizirane ranljivosti širijo po transmisijskih kanalih finančnega sistema in lahko povzročijo škodljive posledice za stabilnost finančnega sistema Unije, kot sta upad likvidnosti in splošna izguba zaupanja v finančne trge.

(4)

V zadnjih letih je tveganje na področju IKT pritegnilo pozornost oblikovalcev politik, regulativnih organov in organov za določanje standardov, in sicer na mednarodni, na ravni Unije in na nacionalni ravni, ki skušajo povečati digitalno odpornost, določiti standarde ter uskladiti regulativno ali nadzorniško delo. Na mednarodni ravni Baselski odbor za bančni nadzor, Odbor za plačila in tržno infrastrukturo, Odbor za finančno stabilnost, Inštitut za finančno stabilnost ter G7 in G20 delujejo z namenom pristojnim organom in upravljavcem trga v različnih jurisdikcijah zagotoviti orodja za krepitev odpornosti njihovih finančnih sistemov. To delo temelji tudi na potrebi po ustreznem upoštevanju tveganja na področju IKT v kontekstu medsebojno zelo povezanega svetovnega finančnega sistema in prizadevanju za večjo usklajenost zadevnih najboljših praks.

(5)

Kljub ciljno usmerjenim političnim in zakonodajnim pobudam na ravni Unije in nacionalni ravni tveganje na področju IKT še naprej predstavlja izziv za operativno odpornost, uspešnost in stabilnost finančnega sistema Unije. Reforme, ki so sledile finančni krizi leta 2008, so predvsem okrepile finančno odpornost finančnega sektorja Unije ter si prizadevale zaščititi konkurenčnost in stabilnost Unije z vidika gospodarstva, bonitetnega vidika in vidika ravnanja na trgu. Čeprav sta varnost IKT in digitalna odpornost del operativnega tveganja, nista bili v središču regulativnega programa po finančni krizi in sta se razvili le na nekaterih področjih politike finančnih storitev in regulativne ureditve Unije ali le v nekaj državah članicah.

(6)

Komisija je v sporočilu z dne 8. marca 2018 z naslovom „Akcijski načrt za finančno tehnologijo: za bolj konkurenčen in inovativen evropski finančni sektor” poudarila, da je izjemno pomembno povečati odpornost finančnega sektorja Unije, vključno z operativnega vidika, da se zagotovi njegova tehnološka varnost in dobro delovanje ter hitro okrevanje po kršitvah in incidentih na področju IKT, kar bi nazadnje omogočilo učinkovito in nemoteno opravljanje finančnih storitev po vsej Uniji, tudi v stresnih situacijah, ter hkrati ohranjalo zaupanje potrošnikov in trga.

(7)

Aprila 2019 so Evropski nadzorni organ (Evropski bančni organ), (EBA), ustanovljen z Uredbo (EU) št. 1093/2010 Evropskega parlamenta in Sveta (4), Evropski nadzorni organ (Evropski organ za zavarovanja in poklicne pokojnine), (EIOPA), ustanovljen z Uredbo (EU) št. 1094/2010 Evropskega parlamenta in Sveta (5), in Evropski nadzorni organ (Evropski organ za vrednostne papirje in trge) (ESMA), ustanovljen z Uredbo (EU) št. 1095/2010 Evropskega parlamenta in Sveta (6), (v nadaljnjem besedilu skupaj znani kot: evropski nadzorni organi) skupaj izdali tehnični nasvet in pozvali k doslednemu pristopu k tveganju na področju IKT v finančnem sektorju ter priporočili, naj se s sektorsko pobudo Unije na sorazmeren način okrepi digitalna operativna odpornost industrije finančnih storitev.

(8)

Finančni sektor Unije urejajo enotna pravila, upravlja pa ga Evropski sistem finančnega nadzora. Vendar določbe o digitalni operativni odpornosti in varnosti IKT še niso v celoti ali dosledno harmonizirane, čeprav je digitalna operativna odpornost ključna za zagotavljanje finančne stabilnosti in celovitosti trga v digitalni dobi in nič manj pomembna kot na primer skupni bonitetni standardi ali standardi ravnanja na trgu. Zato bi bilo treba enotna pravila in sistem nadzora oblikovati tako, da bi zajemala tudi digitalno operativno odpornost, in sicer z okrepitvijo pooblastil pristojnih organov, da se jim omogoči nadzor nad obvladovanjem tveganj na področju IKT v finančnem sektorju, da bi se zavarovali celovitost in učinkovitost notranjega trga ter olajšalo njegovo pravilno delovanje.

(9)

Zakonodajne razlike in neenakomerni nacionalni regulativni ali nadzorni pristopi v zvezi s tveganjem na področju IKT ovirajo delovanje notranjega trga finančnih storitev, kar omejuje nemoteno uveljavljanje svobode ustanavljanja in opravljanje storitev za finančne subjekte, ki poslujejo čezmejni podlagi. Izkrivljena bi lahko bila tudi konkurenca med finančnimi subjekti iste vrste, ki poslujejo v različnih državah članicah. To velja zlasti za področja, na katerih je bila harmonizacija na ravni Unije zelo omejena, kot na primer pri testiranju digitalne operativne odpornosti, ali pa harmonizacije sploh ni, kot na primer pri spremljanju tveganja tretjih strani na področju IKT. Razlike, ki izhajajo iz razvoja, predvidenega na nacionalni ravni, bi lahko povzročile dodatne ovire za delovanje notranjega trga v škodo udeležencev na trgu in finančne stabilnosti.

(10)

Ker so bile določbe, povezane s tveganjem na področju IKT, na ravni Unije do zdaj obravnavne le delno, obstajajo vrzeli ali prekrivanja na pomembnih področjih, kot sta poročanje o incidentih, povezanih z IKT, in testiranje digitalne operativne odpornosti, ter neskladja, ki so posledica nastajajočih različnih nacionalnih pravil ali stroškovno neučinkovite uporabe prekrivajočih se pravil. To je zlasti škodljivo za intenzivne uporabnike IKT, kot je finančni sektor, saj tehnološka tveganja nimajo meja, finančni sektor pa svoje storitve zagotavlja na široki čezmejni podlagi znotraj in zunaj Unije. Posamezni finančni subjekti, ki poslujejo na čezmejni podlagi ali imajo več dovoljenj (npr. en finančni subjekt ima lahko dovoljenje za opravljanje bančnih storitev, dovoljenje za investicijsko podjetje in dovoljenje za plačilno institucijo, pri čemer je vsako dovoljenje izdal drug pristojni organ v eni ali več državah članicah), se soočajo z operativnimi izzivi pri tem, kako sami na usklajen in stroškovno učinkovit način obravnavati tveganje na področju IKT in blažiti škodljive vplive incidentov na področju IKT.

(11)

Ker enotnih pravil ni spremljal celovit okvir za tveganja na področju IKT ali operativna tveganja, je potrebna nadaljnja harmonizacija ključnih zahtev glede digitalne operativne odpornosti za vse finančne subjekte. Razvoj zmožnosti IKT in splošna odpornost finančnih subjektov na podlagi teh ključnih zahtev, da bi ti lahko prenesli prekinitve poslovanja, bi pomagali ohranjati stabilnost in celovitost finančnih trgov Unije in tako prispevali k zagotavljanju visoke ravni zaščite vlagateljev in potrošnikov v Uniji. Ker je namen te uredbe prispevati k nemotenemu delovanju notranjega trga, bi morala temeljiti na določbah člena 114 Pogodbe o delovanju Evropske unije (PDEU), kot se razlagajo v skladu z ustaljeno sodno prakso Sodišča Evropske unije (v nadaljnjem besedilu: Sodišče).

(12)

Namen te uredbe je konsolidirati in nadgraditi zahteve glede tveganja na področju IKT kot del zahtev glede operativnega tveganja, ki so bile do zdaj obravnavane ločeno v različnih pravnih aktih Unije. Ti akti so zajemali glavne kategorije finančnega tveganja (npr. kreditno tveganje, tržno tveganje, kreditno tveganje nasprotne stranke in likvidnostno tveganje, tveganje ravnanja na trgu), vendar v času sprejetja niso celovito obravnavali vseh elementov operativne odpornosti. Pravila glede operativnih tveganj, ki so bila nadalje razvita v teh pravnih aktih Unije, so pogosto dajala prednost tradicionalnemu kvantitativnemu pristopu k obravnavanju tveganj (zlasti določitev kapitalske zahteve za pokritje tveganja na področju IKT) namesto ciljno usmerjenih kvalitativnih pravil glede zmožnosti za zaščito, odkrivanje, omejitev, okrevanje in popravila v zvezi z incidenti, povezanimi z IKT, ali glede zmožnosti za poročanje in digitalno testiranje. Ti akti naj bi predvsem zajeli in posodobili bistvena pravila o bonitetnem nadzoru, celovitosti trga ali ravnanju na trgu. S konsolidacijo in nadgradnjo različnih pravil o tveganju na področju IKT bi se morale vse določbe, ki obravnavajo digitalno tveganje v finančnem sektorju, prvič dosledno združiti v enem samem zakonodajnem aktu. Zato ta uredba zapolnjuje vrzeli ali odpravlja nedoslednosti v nekaterih prejšnjih pravnih aktih, tudi v zvezi s terminologijo, ki se v njih uporablja, in se izrecno sklicuje na tveganje na področju IKT prek ciljno usmerjenih pravil o zmožnostih obvladovanja tveganj na področju IKT, poročanju o incidentih, testiranju operativne odpornosti in spremljanju tveganja tretjih strani na področju IKT. Ta uredba bi morala tako okrepiti tudi ozaveščenost o tveganju na področju IKT in potrditi, da incidenti na področju IKT in pomanjkanje operativne odpornosti lahko ogrozijo trdnost finančnih subjektov.

(13)

Finančni subjekti bi morali pri obravnavanju tveganja na področju IKT uporabljati enak pristop in enaka pravila, ki temeljijo na načelih, pri tem pa bi bilo treba upoštevati njihovo velikost in splošni profil tveganja ter naravo, obseg in kompleksnost njihovih storitev, dejavnosti in poslovanja. Doslednost prispeva k povečanju zaupanja v finančni sistem in ohranjanju njegove stabilnosti, zlasti v časih velike odvisnosti od sistemov, platform in infrastruktur IKT, ki prinaša tudi povečano digitalno tveganje. Upoštevanje osnovne kibernetske higiene bi moralo preprečiti tudi nastajanje znatnih stroškov za gospodarstvo z zmanjšanjem učinkov in stroškov motenj na področju IKT na najmanjšo možno mero.

(14)

Uredba na splošno pomaga zmanjšati regulativno kompleksnost, spodbuja konvergenco nadzora in povečuje pravno varnost ter prispeva k omejevanju stroškov izpolnjevanja obveznosti, zlasti za finančne subjekte, ki poslujejo na čezmejni podlagi, in k zmanjšanju izkrivljanja konkurence. Zato je izbira uredbe za vzpostavitev skupnega okvira za digitalno operativno odpornost finančnih subjektov najustreznejši način za zagotovitev homogene in skladne uporabe vseh elementov obvladovanja tveganj na področju IKT v finančnem sektorju Unije.

(15)

Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta (7) je bila prvi horizontalni okvir za kibernetsko varnost, uveljavljen na ravni Unije, in se je uporabljala tudi za tri vrste finančnih subjektov, in sicer za kreditne institucije, mesta trgovanja in centralne nasprotne stranke. Ker pa je bil v Direktivi (EU) 2016/1148 določen mehanizem določitve izvajalcev bistvenih storitev na nacionalni ravni, so bile v praksi le nekatere kreditne institucije, mesta trgovanja in centralne nasprotne stranke, ki so jih določile države članice, zajete v njeno področje uporabe in primorane izpolnjevati zahteve glede varnosti IKT in obveščanja o incidentih, določene v njej. Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta (8) določa enotno merilo za določitev subjektov, ki spadajo na njeno področje uporabe (pravilo o mejni vrednosti za velikost), hkrati pa na svojem področju uporabe ohranja tudi tri vrste finančnih subjektov.

(16)

Ker pa ta uredba z uvedbo zahtev glede obvladovanja tveganja na področju IKT in poročanja o incidentih, povezanih z IKT, ki so strožje v primerjavi s tistimi, ki jih določa veljavno pravo Unije o finančnih storitvah, viša raven harmonizacije različnih elementov digitalne odpornosti, ta višja raven pomeni večjo harmonizacijo tudi v primerjavi z zahtevami iz Direktive (EU) 2022/2555. Posledično je ta uredba lex specialis glede na Direktivo (EU) 2022/2555. Hkrati je ključno, da se ohrani močna povezava med finančnim sektorjem in horizontalnim okvirom Unije za kibernetsko varnost, kot je trenutno določen v Direktivi (EU) 2022/2555, da bi se zagotovila skladnost s strategijami kibernetske varnosti, ki so jih sprejele države članice, in da bi se finančnim nadzornikom omogočilo, da se seznanijo s kibernetskimi incidenti, ki prizadenejo druge sektorje, zajete v navedeni direktivi.

(17)

V skladu s členom 4(2) Pogodbe o Evropski uniji in brez poseganja v sodni nadzor Sodišča ta uredba ne bi smela vplivati na odgovornost držav članic v zvezi s temeljnimi državnimi funkcijami, ki zadevajo javno varnost, obrambo in varovanje nacionalne varnosti, na primer kar zadeva zagotavljanje informacij, ki bi bile v nasprotju z varovanjem nacionalne varnosti.

(18)

Da bi se omogočilo medsektorsko učenje in bi se učinkovito črpalo iz izkušenj drugih sektorjev pri obravnavanju kibernetskih groženj, bi morali finančni subjekti iz Direktive (EU) 2022/2555 ostati del „ekosistema“ navedene direktive (na primer Skupina za sodelovanje in skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT)). Evropski nadzorni organi in nacionalni pristojni organi bi morali imeti možnost sodelovati v razpravah o strateških politikah in pri tehničnem delu Skupine za sodelovanje na podlagi te direktive ter si izmenjevati informacije in nadalje sodelovati z enotnimi kontaktnimi točkami, imenovanimi ali vzpostavljenimi v skladu z navedeno direktivo. Pristojni organi na podlagi te uredbe bi se morali posvetovati tudi s skupinami CSIRT in z njimi sodelovati. Pristojni organi bi morali imeti tudi možnost, da za tehnični nasvet zaprosijo pristojne organe, imenovane ali ustanovljene v skladu z Direktivo (EU) 2022/2555, in vzpostavijo ureditve sodelovanja, katerih namen je zagotovitev učinkovitih in hitrih mehanizmov usklajevanja.

(19)

Glede na močne medsebojne povezave med digitalno odpornostjo in fizično odpornostjo finančnih subjektov je v tej uredbi in Direktivi (EU) 2022/2557 Evropskega parlamenta in Sveta (9) potreben usklajen pristop do odpornosti kritičnih subjektov. Glede na to, da se fizična odpornost finančnih subjektov celostno obravnava z obveznostmi glede obvladovanja tveganj na področju IKT in poročanja o njem, ki jih zajema ta uredba, se obveznosti iz poglavij III in IV Direktive (EU)2022/2557 ne bi smele uporabljati za finančne subjekte, ki spadajo na področje uporabe navedene direktive.

(20)

Ponudniki storitev računalništva v oblaku so ena od kategorij digitalne infrastrukture, ki jo zajema Direktiva (EU) 2022/2555. Okvir nadzora Unije (v nadaljnjem besedilu: okvir nadzora), vzpostavljen s to uredbo, se uporablja za vse ključne tretje ponudnike storitev IKT, vključno s ponudniki storitev računalništva v oblaku, ki opravljajo storitve IKT za finančne subjekte, in bi ga bilo treba obravnavati kot dopolnitev nadzora na podlagi Direktive (EU) 2022/2555. Poleg tega bi moral okvir nadzora, vzpostavljen s to uredbo, zajemati ponudnike storitev računalništva v oblaku, saj ni horizontalnega okvira Unije, ki bi vzpostavljal organ za digitalni nadzor.

(21)

Da bi se ohranil polni nadzor nad tveganjem na področju IKT, bi morali imeti finančni subjekti celostne zmožnosti, ki bi omogočile trdno in učinkovito obvladovanje tveganj na področju IKT, ter specifične mehanizme in politike za obravnavanje vseh incidentov, povezanih z IKT, in za poročanje o večjih incidentih, povezanih z IKT. Podobno bi morali imeti finančni subjekti vzpostavljene politike za testiranje sistemov, kontrol in postopkov IKT ter za obvladovanje tveganja tretjih strani na področju IKT. Minimalne zahteve glede digitalne operativne odpornosti za finančne subjekte bi bilo treba povečati, hkrati pa tudi omogočiti, da se zahteve sorazmerno uporabljajo za določene finančne subjekte, zlasti mikropodjetja, kot tudi finančne subjekte, za katere se uporablja poenostavljen okvir za obvladovanje tveganj na področju IKT. Za olajšanje učinkovitega nadzora institucij za poklicno pokojninsko zavarovanje, ki je sorazmeren in upošteva potrebo po zmanjšanju upravnih bremen za pristojne organe, bi bilo treba pri ustreznih nacionalnih nadzornih ureditvah v zvezi s takimi finančnimi subjekti upoštevati njihovo velikost in celoten profil tveganja ter naravo, obseg in kompleksnost njihovih storitev, dejavnosti in poslovanja, tudi ko so zadevni pragovi, določeni v členu 5 Direktive (EU) 2016/2341 Evropskega parlamenta in Sveta (10) preseženi. Zlasti bi se morale nadzorne dejavnosti osredotočati predvsem na potrebo po obravnavanju resnih tveganj, povezanih z obvladovanjem tveganj na področju IKT, določenega subjekta.

Pristojni organi bi morali imeti pozoren, vendar sorazmeren pristop v zvezi z nadzorom institucij za poklicno pokojninsko zavarovanje, ki v skladu s členom 31 Direktive (EU) 2016/2341 znaten del svojih osnovnih dejavnosti, kot so upravljanje sredstev, aktuarski izračuni, računovodstvo in upravljanje podatkov, oddajo v zunanje izvajanje ponudnikom storitev.

(22)

Pragovi in taksonomije poročanja o incidentih, povezanih z IKT, se na nacionalni ravni zelo razlikujejo. Z ustreznim delom Agencije Evropske unije za kibernetsko varnost (ENISA), ustanovljene z Uredbo (EU) 2019/881 Evropskega parlamenta in Sveta (11), in Skupine za sodelovanje iz Direktive (EU) 2022/2555 je sicer mogoče doseči skupno podlago, vendar za preostale finančne subjekte še vedno obstajajo ali se lahko pojavijo različni pristopi glede določanja pragov in uporabe taksonomij. Zaradi te raznolikosti obstajajo številne zahteve, ki jih morajo izpolnjevati finančni subjekti, zlasti ko poslujejo v več državah članicah in kadar so del finančne skupine. Poleg tega bi lahko take razlike ovirale vzpostavitev nadaljnjih enotnih ali centraliziranih mehanizmov Unije, ki pospešujejo postopek poročanja in podpirajo hitro in nemoteno izmenjavo informacij med pristojnimi organi, kar je bistvenega pomena za obravnavo tveganja na področju IKT v primeru obsežnih napadov s potencialno sistemskimi posledicami.

(23)

Za zmanjšanje upravnega bremena in potencialno podvojenih obveznosti poročanja za nekatere finančne subjekte bi se morale zahteve za poročanje o incidentih na podlagi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta (12) prenehati uporabljati za ponudnike plačilnih storitev, ki spadajo na področje uporabe te uredbe. Zato bi morali kreditne institucije, institucije za izdajo elektronskega denarja, plačilne institucije in ponudniki storitev zagotavljanja informacij o računih iz člena 33(1) navedene direktive od datuma začetka uporabe te uredbe naprej na podlagi te uredbe poročati o vseh operativnih incidentih ali varnostnih incidentih, povezanih s plačili, o katerih se je prej poročalo na podlagi navedene direktive, ne glede na to, ali so taki incidenti povezani z IKT.

(24)

S to uredbo bi bilo treba določiti trdno ureditev poročanja o incidentih, povezanih z IKT, pri čemer bi zadevne zahteve zapolnile trenutne vrzeli v pravu na področju finančnih storitev, ter odpraviti obstoječa prekrivanja in podvajanja za znižanje stroškov, da bi lahko pristojni organi izpolnjevali nadzorno vlogo, tako da bi pridobili celovit vpogled v naravo, pogostost, pomen in učinek incidentov, povezanih z IKT, ter da bi se okrepila izmenjava informacij med ustreznimi javnimi organi, vključno z organi kazenskega pregona in organi za reševanje. Nujno je treba harmonizirati ureditev poročanja o incidentih, povezanih z IKT, tako da se od vseh finančnih subjektov zahteva, naj poročajo svojim pristojnim organom v okviru enotnega usklajenega okvira, kot je določen v tej uredbi. Poleg tega bi morali biti evropski nadzorni organi pooblaščeni za nadaljnjo opredelitev relevantnih elementov za okvir poročanja o incidentih, povezanih z IKT, kot so taksonomija, časovni okviri, nabori podatkov, predloge in veljavni pragovi. Da bi se zagotovila popolna usklajenost z Direktivo (EU) 2022/2555, bi moralo biti finančnim subjektom omogočeno, da pomembne kibernetske grožnje prostovoljno priglasijo ustreznemu pristojnemu organu, kadar menijo, da je kibernetska grožnja relevantna za finančni sistem, uporabnike storitev ali stranke.

(25)

V nekaterih finančnih podsektorjih so se oblikovale zahteve glede testiranja digitalne operativne odpornosti, na podlagi katerih so nastali okviri, ki niso vedno v celoti usklajeni. To vodi v morebitno podvajanje stroškov za čezmejne finančne subjekte, vzajemno priznavanje rezultatov testiranja digitalne operativne odpornosti pa je bolj kompleksno, kar lahko vodi v fragmentacijo notranjega trga.

(26)

Poleg tega, kadar se testiranje IKT ne zahteva, ranljivosti ostanejo neodkrite in posledično so finančni subjekti izpostavljeni tveganju na področju IKT, kar nazadnje vodi do večjega tveganja za stabilnost in celovitost finančnega sektorja. Brez posredovanja Unije bi bilo testiranje digitalne operativne odpornosti še naprej nedosledno in ne bi bilo sistema vzajemnega priznavanja rezultatov testiranja IKT v različnih jurisdikcijah. Ker poleg tega ni verjetno, da bi drugi finančni podsektorji v večjem obsegu sprejeli ureditve testiranja, bi bili prikrajšani za potencialne koristi okvira testiranja v smislu razkritja ranljivosti in tveganj na področju IKT ter testiranja obrambnih zmožnosti in neprekinjenega poslovanja, ki prispeva k večanju zaupanja strank, dobaviteljev in poslovnih partnerjev. Za odpravo teh prekrivanj, razhajanj in vrzeli je treba določiti pravila za usklajeno ureditev testiranja in tako olajšati vzajemno priznavanje naprednega testiranja za finančne subjekte, ki izpolnjujejo merila, določena v tej uredbi.

(27)

Odvisnost finančnih subjektov od uporabe storitev IKT deloma temelji na njihovi potrebi po tem, da se prilagodijo nastajajočemu konkurenčnemu digitalnemu svetovnemu gospodarstvu, povečajo svojo poslovno učinkovitost in zadostijo povpraševanju potrošnikov. Narava in obseg te odvisnosti sta se v zadnjih letih nenehno spreminjala, kar je povzročilo zniževanje stroškov v finančnem posredništvu ter omogočilo širjenje poslovanja in nadgradljivost pri uvajanju finančnih dejavnosti, hkrati pa zagotovilo široko paleto orodij IKT za upravljanje kompleksnih notranjih postopkov.

(28)

Obsežna uporaba storitev IKT se kaže v kompleksnih pogodbenih dogovorih, pri čemer imajo finančni subjekti pogosto težave pri pogajanjih o pogodbenih pogojih, ki so prilagojeni bonitetnim standardom ali drugim regulativnim zahtevam, ki jih zavezujejo, ali sicer pri uveljavljanju posebnih pravic, kot so pravice do dostopa ali revizije, tudi če so slednje vključene v njihove pogodbene dogovore. Poleg tega veliko teh pogodbenih dogovorov ne zagotavlja zadostnih zaščitnih ukrepov, ki bi omogočali celovito spremljanje postopkov oddaje v podizvajanje, zaradi česar finančni subjekt ne more oceniti s tem povezanih tveganj. Ker poleg tega tretji ponudniki storitev IKT pogosto opravljajo standardizirane storitve za različne vrste strank, taki pogodbeni dogovori ne zadovoljijo vedno ustrezno posameznih ali posebnih potreb akterjev v finančnem sektorju.

(29)

Čeprav pravo Unije na področju finančnih storitev vsebuje nekatera splošna pravila o zunanjem izvajanju, spremljanje pogodbenega vidika ni v celoti vključeno v pravo Unije. Ker ni jasnih in prilagojenih standardov Unije, ki bi veljali za pogodbene dogovore, sklenjene s tretjimi ponudniki storitev IKT, zunanji vir tveganja na področju IKT ni v celoti obravnavan. Zato je treba določiti nekatera ključna načela za usmerjanje finančnih subjektov pri obvladovanju tveganja tretjih strani na področju IKT, ki so zlasti pomembna, kadar se finančni subjekti za podporo svojih kritičnih ali pomembnih funkcij obrnejo na tretje ponudnike storitev IKT. Ta načela bi moral spremljati sklop temeljnih pogodbenih pravic v zvezi z več elementi pri izvajanju in prenehanju pogodbenih dogovorov, da se zagotovijo nekateri minimalni zaščitni ukrepi za okrepitev zmožnosti finančnih subjektov, da učinkovito spremljajo vsa tveganja na področju IKT, ki nastanejo na ravni tretjih ponudnikov storitev. Ta načela dopolnjujejo sektorsko pravo, ki se uporablja za zunanje izvajanje.

(30)

Danes se kaže določeno pomanjkanje homogenosti in konvergence v zvezi s spremljanjem tveganja tretjih strani na področju IKT in odvisnosti od tretjih strani na področju IKT. Kljub prizadevanjem za obravnavo zunanjega izvajanja, kot so smernice EBA o zunanjem izvajanju iz leta 2019 in smernice ESMA o oddajanju v zunanje izvajanje ponudnikom storitev v oblaku iz leta 2021, širše vprašanje boja proti sistemskemu tveganju, ki bi ga lahko povzročila izpostavljenost finančnega sektorja omejenemu številu ključnih tretjih ponudnikov storitev IKT, v pravu Unije ni zadostno obravnavano. Pomanjkanje pravil na ravni Unije dodatno stopnjuje neobstoj nacionalnih pravil o pooblastilih in orodjih, ki bi finančnim nadzornikom omogočala dobro razumevanje odvisnosti od tretjih strani na področju IKT in ustrezno spremljanje tveganj, ki izhajajo iz koncentracije odvisnosti od tretjih strani na področju IKT.

(31)

Ob upoštevanju potencialnega sistemskega tveganja, ki ga prinašajo pogostejše prakse oddajanja v zunanje izvajanje in koncentracija tretjih strani na področju IKT, ter ob upoštevanju nezadostnosti nacionalnih mehanizmov, ki bi finančnim nadzornikom zagotovili zadostna orodja za količinsko in kakovostno opredelitev ter odpravo posledic tveganja na področju IKT, ki se pojavlja pri ključnih tretjih ponudnikih storitev IKT, je treba vzpostaviti ustrezen okvir nadzora, ki omogoča stalno spremljanje dejavnosti tretjih ponudnikov storitev IKT, ki so ključni tretji ponudniki storitev IKT za finančne subjekte, ob hkratnem zagotavljanju, da se ohranita zaupnost in varnost strank, ki niso finančni subjekti. Čeprav opravljanje storitev IKT znotraj skupine prinaša posebna tveganja in koristi, se ne bi smelo samodejno šteti za manj tvegano, kot je opravljanje storitev IKT s strani ponudnikov, ki niso del finančne skupine, in bi zato zanj moral veljati isti regulativni okvir. Vendar pa če se storitve IKT opravljajo v okviru iste finančne skupine, imajo lahko finančni subjekti višjo raven kontrole nad ponudniki znotraj skupine, kar bi bilo treba upoštevati pri splošni oceni tveganja.

(32)

Ker tveganje na področju IKT postaja vse bolj kompleksno in izpopolnjeno, so dobri ukrepi za odkrivanje in preprečevanje tveganja na področju IKT v veliki meri odvisni od redne izmenjave obveščevalnih podatkov o grožnjah in ranljivostih med finančnimi subjekti. Izmenjava informacij prispeva k boljši ozaveščenosti o kibernetskih grožnjah. To nasprotno povečuje zmogljivost finančnih subjektov, da preprečijo, da bi kibernetske grožnje postale dejanski incidenti, povezani z IKT, ter finančnim subjektom omogoča, da uspešneje zajezijo vpliv incidentov, povezanih z IKT, ter hitreje okrevajo. Videti je, da ob pomanjkanju smernic na ravni Unije več dejavnikov ovira tako izmenjavo obveščevalnih podatkov, zlasti negotovost glede združljivosti s pravili o varstvu podatkov, protimonopolnimi pravili in pravili o odgovornosti.

(33)

Poleg tega se koristne informacije zadržujejo zaradi dvomov glede vrste informacij, ki se lahko delijo z drugimi udeleženci na trgu ali z nenadzornimi organi (kot sta ENISA za analitični prispevek ali Europol za namene kazenskega pregona). Zato obseg in kakovost izmenjave informacij zato trenutno ostajata omejena in razdrobljena, pri čemer ustrezne izmenjave večinoma potekajo na lokalni ravni (prek nacionalnih pobud) in brez skladnih dogovorov o izmenjavi informacij na ravni Unije, ki bi bili prilagojeni potrebam celostnega finančnega sistema. Zato je pomembno okrepiti te komunikacijske kanale.

(34)

Finančne subjekte bi bilo treba spodbuditi, da si medsebojno izmenjujejo informacije in obveščevalne podatke o kibernetskih grožnjah ter skupaj izkoristijo individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmožnosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, obrambo pred njimi in odzivanje nanje, in sicer tako, da sodelujejo pri dogovorih o izmenjavi informacij. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij, ki bi, kadar bi se izvajali v zaupanja vrednih okoljih, skupnosti finančnega sektorja pomagali, da preprečuje kibernetske grožnje in se skupaj odziva nanje s hitrim omejevanjem širjenja tveganja na področju IKT in preprečevanjem morebitnega širjenja negativnih učinkov po finančnih kanalih. Ti mehanizmi bi morali biti skladni z veljavnimi pravili konkurenčnega prava Unije, določenimi v sporočilu Komisije z dne 14. januarja 2011 z naslovom ”Smernice o uporabi člena 101 Pogodbe o delovanju Evropske unije za sporazume o horizontalnem sodelovanju” in pravili Unije o varstvu podatkov, zlasti Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta (13). Delovati bi morali na podlagi uporabe ene ali več pravnih podlag iz člena 6 navedene uredbe, na primer v okviru obdelave osebnih podatkov, ki je potrebna za namene pravnega interesa upravljavca ali tretje strani, kot je navedeno v členu 6(1), točka (f), navedene uredbe, ter v okviru obdelave osebnih podatkov, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, in je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, kot je navedeno v členu 6(1), točka (c) oziroma (e), navedene uredbe.

(35)

Da bi se ohranila visoka raven digitalne operativne odpornosti za celoten finančni sektor in bi se hkrati sledilo tehnološkemu razvoju, bi morala ta uredba obravnavati tveganje, ki izhaja iz vseh vrst storitev IKT. V ta namen bi bilo treba opredelitev storitev IKT v okviru te uredbe razumeti široko, tako da zajema digitalne in podatkovne storitve, ki se prek sistemov IKT stalno opravljajo za enega ali več notranjih ali zunanjih uporabnikov. Ta opredelitev bi morala na primer vključevati tako imenovane povrhnje storitve, ki spadajo v kategorijo elektronskih komunikacijskih storitev. Izključiti bi morala le omejeno kategorijo tradicionalnih analognih telefonskih storitev, ki se štejejo za storitve javnega komutiranega telefonskega omrežja (PSTN), storitve stacionarnega omrežja, tradicionalne telefonske storitve (POTS) ali fiksne telefonske storitve.

(36)

Ne glede na široko pokritost, predvideno s to uredbo, bi bilo treba pri uporabi pravil o digitalni operativni odpornosti upoštevati pomembne razlike med finančnimi subjekti glede njihove velikosti in splošnega profila tveganja. Načeloma bi morali finančni subjekti pri dodeljevanju virov in zmožnosti za izvajanje okvira za obvladovanje tveganj na področju IKT najti ustrezno ravnotežje med svojimi potrebami v zvezi z IKT ter svojo velikostjo in splošnim profilom tveganja ter naravo, obsegom in kompleksnostjo svojih storitev, dejavnosti in poslovanja, pristojni organi pa bi morali še naprej ocenjevati in pregledovati pristop takega dodeljevanja.

(37)

Ponudniki storitev zagotavljanja informacij o računih iz člena 33(1) Direktive (EU) 2015/2366 so izrecno vključeni v področje uporabe te uredbe, pri čemer se upoštevajo posebna narava njihovih dejavnosti in tveganja, ki izhajajo iz njih. Poleg tega so institucije za izdajo elektronskega denarja in plačilne institucije, ki so izvzete na podlagi člena 9(1) Direktive 2009/110/ES Evropskega parlamenta in Sveta (14) ter člena 32(1) Direktive (EU) 2015/2366, vključene na področje uporabe te uredbe, tudi če jim v skladu z Direktivo 2009/110/ES ni bilo izdano dovoljenje za izdajanje elektronskega denarja ali če jim v skladu z Direktivo (EU) 2015/2366 ni bilo izdano dovoljenje za opravljanje in izvrševanje plačilnih storitev. Vendar so poštne institucije, ki opravljajo storitev brezgotovinskega nakazovanja, iz člena 2(5), točka 3, Direktive 2013/36/EU Evropskega parlamenta in Sveta (15) izključene s področja uporabe te uredbe. Pristojni organ za plačilne institucije, izvzete na podlagi Direktive (EU) 2015/2366, institucije za izdajo elektronskega denarja, izvzete na podlagi Direktive 2009/110/ES, in ponudnike storitev zagotavljanja informacij o računih iz člena 33(1) Direktive (EU) 2015/2366 bi moral biti pristojni organ, imenovan v skladu s členom 22 Direktive (EU) 2015/2366.

(38)

Ker imajo večji finančni subjekti lahko na razpolago precejšnje vire in lahko hitro namenijo sredstva za razvoj struktur upravljanja in oblikovanje različnih poslovnih strategij, bi se moralo le od finančnih subjektov, ki niso mikropodjetja v smislu te uredbe, zahtevati, naj vzpostavijo kompleksnejše ureditve upravljanja. Taki subjekti so zlasti bolje opremljeni, da vzpostavijo namenske funkcije upravljanja za nadziranje dogovorov s tretjimi ponudniki storitev IKT ali obvladovanje kriz, svoje obvladovanje tveganj na področju IKT organizirajo v skladu z modelom treh obrambnih linij ali vzpostavijo notranji model obvladovanja in nadzorovanja tveganj ter svoj okvir za obvladovanje tveganj na področju IKT predložijo v notranjo revizijo.

(39)

Za nekatere finančne subjekte veljajo izjeme ali zelo ohlapen regulativni okvir na podlagi ustreznega sektorskega prava Unije. Taki finančni subjekti vključujejo upravitelje alternativnih investicijskih skladov iz člena 3(2) Direktive 2011/61/EU Evropskega parlamenta in Sveta (16), zavarovalnice in pozavarovalnice iz člena 4 Direktive 2009/138/ES Evropskega parlamenta in Sveta (17) ter institucije za poklicno pokojninsko zavarovanje, ki upravljajo pokojninske načrte, ki skupaj nimajo več kot 15 članov. Glede na te izjeme vključitev takih finančnih subjektov na področje uporabe te uredbe ne bi bila sorazmerna. Poleg tega ta uredba priznava posebnosti strukture trga zavarovalnega posredništva, zato se ne bi smela uporabljati za zavarovalne posrednike, pozavarovalne posrednike in posrednike dopolnilnih zavarovanj, ki se uvrščajo med mikropodjetja ali med mala ali srednja podjetja.

(40)

Ker so subjekti iz člena 2(5), točke 4 do 23, Direktive 2013/36/EU izključeni s področja uporabe navedene direktive, bi morale države članice posledično imeti možnost, da iz uporabe te uredbe izvzamejo te subjekte, ki se nahajajo na njihovem ozemlju.

(41)

Podobno je za uskladitev te uredbe s področjem uporabe Direktive 2014/65/EU Evropskega parlamenta in Sveta (18) ustrezno, da se s področja uporabe te uredbe izključijo tudi fizične in pravne osebe iz členov 2 in 3 navedene direktive, ki lahko opravljajo investicijske storitve, ne da bi jim bilo treba pridobiti dovoljenje na podlagi Direktive 2014/65/EU. Vendar člen 2 Direktive 2014/65/EU s področja uporabe navedene direktive izključuje tudi subjekte, ki se za namene te uredbe štejejo za finančne subjekte, kot so centralne depotne družbe, kolektivni naložbeni podjemi ali zavarovalnice in pozavarovalnice. Izključitev oseb in subjektov iz členov 2 in 3 navedene direktive s področja uporabe te uredbe ne bi smelo zajemati teh centralnih depotnih družb, kolektivnih naložbenih podjemov ali zavarovalnic in pozavarovalnic.

(42)

V skladu s sektorskim pravom Unije za nekatere finančne subjekte veljajo manj stroge zahteve ali izvzetja iz razlogov, povezanih z njihovo velikostjo ali storitvami, ki jih opravljajo. Ta kategorija finančnih subjektov vključuje mala in nepovezana investicijska podjetja, male institucije za poklicno pokojninsko zavarovanje, ki jih zadevna država članica lahko izključi s področja uporabe Direktive (EU) 2016/2341 pod pogoji iz člena 5 navedene direktive in upravljajo pokojninske načrte, ki skupaj nimajo več kot 100 članov, ter institucije, izvzete na podlagi Direktive 2013/36/EU. Zato je v skladu z načelom sorazmernosti in za ohranitev duha sektorskega prava Unije ustrezno, da se tudi za navedene finančne subjekte uporablja poenostavljen okvir za obvladovanje tveganj na področju IKT na podlagi te uredbo. Regulativni tehnični standardi, ki naj bi jih razvili evropski nadzorni organi, ne bi smeli spreminjati sorazmerne narave okvira za obvladovanje tveganj na področju IKT, ki zajema te finančne subjekte. Poleg tega je v skladu z načelom sorazmernosti ustrezno, da se tudi za plačilne institucije iz člena 32(1) Direktive (EU) 2015/2366 in institucije za izdajo elektronskega denarja iz člena 9 Direktive 2009/110/ES, ki so izvzete v skladu z nacionalnim pravom za prenos teh pravnih aktov Unije, uporablja poenostavljen okvir za obvladovanje tveganj na področju IKT na podlagi te uredbe, medtem ko bi morale plačilne institucije in institucije za izdajo elektronskega denarja, ki v skladu z zadevnim nacionalnim pravom za prenos sektorskega prava Unije niso bile izvzete, izpolnjevati zahteve splošnega okvira iz te uredbe.

(43)

Podobno se od finančnih subjektov, ki so mikropodjetja ali za katere se uporablja poenostavljen okvir za obvladovanje tveganj na področju IKT na podlagi te uredbe, ne bi smelo zahtevati, da določijo vlogo za spremljanje dogovorov, sklenjenih s tretjimi ponudniki storitev IKT o uporabi storitev IKT, ali določijo člana višjega vodstva, ki bo odgovoren za nadzor s tem povezane izpostavljenosti tveganju in ustrezne dokumentacije, da odgovornost za obvladovanje tveganj na področju IKT in nadzor nad njimi dodelijo nadzorni funkciji in zagotovijo, da ima taka nadzorna funkcija ustrezno raven neodvisnosti, da bi se preprečila nasprotja interesov, da dokumentirajo in pregledajo najmanj enkrat letno okvir za obvladovanje tveganj na področju IKT, da redno izvajajo notranjo revizijo okvira za obvladovanje tveganj na področju IKT, da izvedejo poglobljene ocene po večjih spremembah v svojem omrežju ter infrastrukturi in procesih informacijskega sistema, da redno izvajajo analize tveganj za obstoječe sisteme IKT, da opravljajo neodvisne notranje revizije izvajanja načrtov odzivanja in okrevanja IKT, da imajo funkcijo obvladovanja kriz, da razširijo testiranje načrtov za neprekinjeno poslovanje ter odzivanje in okrevanje, da bi zajeli scenarije preklopa med primarno infrastrukturo IKT in redundantnimi sistemi, da pristojnim organom na njihovo zahtevo poročajo o oceni skupnih letnih stroškov in izgub, ki nastanejo zaradi večjih incidentov, povezanih z IKT, da ohranjajo redundantne zmogljivosti IKT, da nacionalnim pristojnim organom sporočijo spremembe, izvedene na podlagi opravljenih pregledov po incidentih, povezanih z IKT, da stalno spremljajo ustrezen tehnološki razvoj, da vzpostavijo celosten program testiranja digitalne operativne odpornosti kot sestavni del okvira za obvladovanje tveganj na področju IKT iz te uredbe ali da sprejmejo in redno pregledujejo strategijo o tveganju tretjih strani na področju IKT. Od mikropodjetij bi bilo treba dodatno zahtevati le, da ocenijo potrebo po ohranjanju takih redundantnih zmogljivosti IKT na podlagi svojega profila tveganja. Mikropodjetja bi morala imeti koristi od prožnejše ureditve v zvezi s programi testiranja digitalne operativne odpornosti. Pri razmisleku o vrsti in pogostosti testiranja, ki ga je treba opraviti, bi morala ustrezno uravnotežiti cilj ohranjanja visoke digitalne operativne odpornosti, razpoložljive vire in svoj splošni profil tveganja. Mikropodjetja in finančne subjekte, za katere se uporablja poenostavljeni okvir za obvladovanje tveganj na področju IKT na podlagi te uredbe, bi bilo treba izvzeti iz zahteve po opravljanju naprednega testiranja orodij, sistemov in postopkov IKT, ki temelji na penetracijskem testiranju na podlagi analize groženj, saj bi bilo treba izvedbo takega testiranja zahtevati le od finančnih subjektov, ki izpolnjujejo merila, določena v tej uredbi. Glede na svoje omejene zmožnosti bi morala imeti mikropodjetja možnost, da se s tretjim ponudnikom storitev IKT dogovorijo o prenosu pravic finančnega subjekta glede dostopa, inšpekcijskega pregleda in revizije na neodvisno tretjo stran, ki jo imenuje tretji ponudnik storitev IKT, pod pogojem, da lahko finančni subjekt od zadevne neodvisne tretje strani kadar koli zahteva vse zadevne informacije in zagotovilo o uspešnosti tretjega ponudnika storitev IKT.

(44)

Ker bi morali penetracijsko testiranje na podlagi analize groženj izvajati le tisti finančni subjekti, ki so bili določeni za namene naprednega testiranja digitalne odpornosti, bi moral upravne postopke in finančne stroške, povezane z izvajanjem takih testov, nositi le majhen delež finančnih subjektov.

(45)

Upravljalni organi finančnih subjektov bi morali ohraniti ključno in aktivno vlogo pri usmerjanju in prilagajanju okvira za obvladovanje tveganj na področju IKT in splošne strategije za digitalno operativno odpornost, da se zagotovi popolna uskladitev in splošna skladnost med poslovnimi strategijami finančnih subjektov na eni strani in obvladovanjem tveganja na področju IKT na drugi strani. Pristop upravljalnih organov se ne bi smel osredotočati le na sredstva za zagotavljanje odpornosti sistemov IKT, temveč bi moral vključevati tudi ljudi in postopke, in sicer s sklopom politik, ki na vsaki ravni podjetja in pri vseh zaposlenih vzbujajo močan občutek zavedanja o kibernetskih tveganjih in zavezanost spoštovanju stroge kibernetske higiene na vseh ravneh. Končna odgovornost upravljalnega organa pri upravljanju tveganj finančnega subjekta na področju IKT bi morala biti poglavitno načelo tega celostnega pristopa, ki se nadalje prenese v stalno sodelovanje upravljalnega organa pri nadzoru nad spremljanjem obvladovanja tveganj na področju IKT.

(46)

Poleg tega je načelo polne in končne odgovornosti upravljalnega organa za obvladovanje tveganj finančnega subjekta na področju IKT tesno povezano s potrebo po zagotovitvi določene ravni naložb, povezanih z IKT, in splošnega proračuna za finančni subjekt, ki bi finančnemu subjektu omogočil, da doseže visoko raven digitalne operativne odpornosti.

(47)

Ta uredba črpa navdih iz ustreznih mednarodnih, nacionalnih in panožnih najboljših praks, smernic, priporočil in pristopov k obvladovanju kibernetskih tveganj in spodbuja vrsto načel, ki lajšajo splošno strukturiranje obvladovanja tveganj na področju IKT. Posledično dokler se z najpomembnejšimi zmožnostmi, ki jih vzpostavijo finančni subjekti, obravnavajo različne funkcije pri obvladovanju tveganj na področju IKT (prepoznavanje, zaščita in preprečevanje, odkrivanje, odzivanje in okrevanje, učenje in razvoj ter komunikacija), določene v tej uredbi, bi morali finančni subjekti imeti možnost, da uporabljajo modele obvladovanja tveganj na področju IKT, ki so oblikovani ali kategorizirani drugače.

(48)

Da bi se sledilo spreminjajočemu se okolju kibernetskih groženj, bi morali finančni subjekti vzdrževati posodobljene sisteme IKT, ki so zanesljivi in zmožni ne le zagotavljati obdelavo podatkov, ki je potrebna za njihove storitve, temveč zagotavljati tudi zadostno tehnološko odpornost, ki jim omogoča, da se ustrezno spopadajo z dodatnimi potrebami po obdelavi podatkov, ki so posledica zaostrenih tržnih ali drugih neugodnih razmer.

(49)

Potrebni so učinkoviti načrti neprekinjenega poslovanja in okrevanja, da lahko finančni subjekti takoj in hitro rešujejo incidente, povezane z IKT, zlasti kibernetske napade, tako da omejijo škodo in prednostno ponovno vzpostavijo dejavnosti in izvedejo ukrepe za okrevanje v skladu s svojimi politikami varnostnega kopiranja. Vendar takšna ponovna vzpostavitev nikakor ne bi smela ogroziti celovitosti in varnosti omrežnih in informacijskih sistemov oziroma razpoložljivosti, avtentičnosti, celovitosti ali zaupnosti podatkov.

(50)

Ta uredba finančnim subjektom omogoča, da prilagodljivo določijo svoje cilje glede časa za okrevanje in točke obnovitve in posledično take cilje določijo ob popolnem upoštevanju narave in kritičnosti zadevnih funkcij ter morebitnih posebnih poslovnih potreb, vendar bi se morala pri določanju takih ciljev zahtevati tudi ocena morebitnega splošnega vpliva na učinkovitost trga.

(51)

Storilci kibernetskih napadov si običajno prizadevajo za finančne koristi neposredno pri viru, zato so finančni subjekti izpostavljeni znatnim posledicam. Da sistemi IKT ne bi izgubili celovitosti ali postali nerazpoložljivi ter da bi se tako izognili kršitvam v zvezi s podatki in poškodovanju fizične infrastrukture IKT, bi bilo treba znatno izboljšati in racionalizirati poročanje finančnih subjektov o večjih incidentih, povezanih z IKT. Poročanje o večjih incidentih, povezanih z IKT, bi bilo treba harmonizirati z uvedbo zahteve, da morajo vsi finančni subjekti poročati neposredno svojim ustreznim pristojnim organom. Kadar finančni subjekt nadzira več kot en nacionalni pristojni organ, bi morale države članice kot naslovnika takšnega poročanja določiti en sam pristojni organ. Kreditne institucije, razvrščene kot pomembne v skladu s členom 6(4) Uredbe Sveta (EU) št. 1024/2013 (19), bi morale takšno poročanje predložiti nacionalnim pristojnim organom, ki bi morali nato poročilo posredovati Evropski centralni banki (ECB).

(52)

Neposredno poročanje bi moralo finančnim nadzornikom omogočiti takojšen dostop do informacij o večjih incidentih, povezanih z IKT. Finančni nadzorniki bi nasprotno morali podrobnosti o večjih incidentih, povezanih z IKT, posredovati javnim nefinančnim organom (kot so pristojni organi in enotne kontaktne točke na podlagi Direktive (EU) 2022/2555, nacionalni organi za varstvo podatkov in organi kazenskega pregona za večje incidente, povezane z IKT, ki so kazenske narave), da bi se izboljšala ozaveščenost teh organov o takih incidentih, ter v primeru skupin CSIRT, da bi se olajšalo hitro zagotavljanje pomoči, ki se lahko da na voljo finančnim subjektom, kot je ustrezno. Države članice bi poleg tega morale imeti možnost določiti, da bi morali finančni subjekti sami zagotavljati take informacije javnim organom zunaj področja finančnih storitev. Ti tokovi informacij bi morali finančnim subjektom omogočiti, da hitro izkoristijo vse ustrezne tehnične prispevke, nasvete o popravnih ukrepih in nadaljnje ukrepe teh organov. Informacije o večjih incidentih, povezanih z IKT, bi morale teči obojestransko: finančni nadzorniki bi morali finančnemu subjektu zagotoviti vse potrebne povratne informacije ali smernice, evropski nadzorni organi pa bi morali deliti anonimizirane podatke o kibernetskih grožnjah in ranljivostih v zvezi z incidentom, da bi pripomogli k širši kolektivni obrambi.

(53)

Medtem ko bi morali biti vsi finančni subjekti dolžni poročati o incidentih, ta zahteva verjetno ne bo zadevala vseh na enak način. Ustrezne pragove pomembnosti ter roke za poročanje bi bilo treba ustrezno prilagoditi v kontekstu delegiranega akta na podlagi regulativnih tehničnih standardov, ki jih razvijejo evropski nadzorni organi, da bi zajeli le večje incidente, povezane z IKT. Poleg tega bi bilo treba pri določanju rokov za obveznosti poročanja upoštevati posebnosti finančnih subjektov.

(54)

Ta uredba bi morala od kreditnih institucij, plačilnih institucij, ponudnikov storitev zagotavljanja informacij o računih in institucij za izdajo elektronskega denarja zahtevati, da poročajo o vseh operativnih incidentih ali varnostnih incidentih, povezanih s plačili, o katerih se je predhodno poročalo na podlagi Direktive (EU) 2015/2366, ne glede na to, ali je incident IKT narave ali ne.

(55)

Evropskim nadzornim organom bi bilo treba naložiti, naj ocenijo izvedljivost in pogoje za morebitno centralizacijo poročil o incidentih, povezanih z IKT, na ravni Unije. Taka centralizacija bi lahko pomenila enotno vozlišče EU za poročanje o večjih incidentih, povezanih z IKT, ki bi bodisi neposredno prejemalo zadevna poročila in samodejno obveščalo nacionalne pristojne organe ali zgolj centraliziralo zadevna poročila, ki jih posredujejo nacionalni pristojni organi, in tako imelo koordinacijsko vlogo. Evropskim nadzornim organom bi bilo treba naložiti, da v posvetovanju z ECB in ENISA pripravijo skupno poročilo, v katerem preučijo izvedljivost vzpostavitve enotnega vozlišča EU.

(56)

Da bi se dosegla visoka raven digitalne operativne odpornosti, ki je skladna tako z relevantnimi mednarodnimi standardi (kot so temeljni elementi za penetracijsko testiranje na podlagi analize groženj skupine G7) kot z okviri, ki se uporabljajo v Uniji, kot je okvir TIBER–EU, bi morali finančni subjekti svoje sisteme IKT in zaposlene, ki imajo odgovornosti, povezane z IKT, redno testirati glede učinkovitosti njihovih zmožnosti preprečevanja, odkrivanja, odzivanja in okrevanja, da bi se odkrile in odpravile morebitne ranljivosti na področju IKT. Da bi se odražale obstoječe razlike med različnimi finančnimi podsektorji in znotraj njih glede ravni pripravljenosti finančnih subjektov na področju kibernetske varnosti, bi moralo testiranje vključevati širok nabor orodij in ukrepov, od ocene osnovnih zahtev (npr. ocene in pregledi ranljivosti, analize prosto dostopnih virov, ocene varnosti omrežja, analize vrzeli, pregledi fizične varnosti, vprašalniki in rešitve programske opreme za pregledovanje, pregledi izvorne kode, kadar je to mogoče, testiranja na podlagi scenarijev, testiranje združljivosti, testiranje učinkovitosti ali celovito testiranje) do naprednejšega testiranja s penetracijskim testiranjem na podlagi analize groženj. Tako naprednejše testiranje bi bilo treba zahtevati le za finančne subjekte, ki so z vidika IKT dovolj pripravljeni, da ga lahko razumno izvedejo. Testiranje digitalne operativne odpornosti, ki se zahteva s to uredbo, bi zato moralo biti za tiste finančne subjekte, ki izpolnjujejo merila, določena v tej uredbi, (na primer velike, sistemske kreditne institucije, ki dosegajo zrelost na področju IKT, borze vrednostnih papirjev, centralne depotne družbe in centralne nasprotne stranke) zahtevnejše kot za druge finančne subjekte. Hkrati bi moralo biti testiranje digitalne operativne odpornosti s penetracijskim testiranjem na podlagi analize groženj pomembnejše za finančne subjekte, ki delujejo v osrednjih podsektorjih finančnih storitev in imajo sistemsko vlogo (na primer plačila, bančništvo ter kliring in poravnava), in manj pomembno za druge podsektorje (na primer upravljavci premoženja in bonitetne agencije).

(57)

Finančni subjekti, ki sodelujejo v čezmejnih dejavnostih in uveljavljajo svobodo do ustanavljanja ali do opravljanja storitev v Uniji, bi morali v svoji matični državi članici izpolnjevati enoten sklop zahtev za napredno testiranje (kot je penetracijsko testiranje na podlagi analize groženj), ki bi moralo vključevati infrastrukture IKT v vseh jurisdikcijah, kjer čezmejna finančna skupina posluje znotraj Unije, kar bi takim čezmejnim finančnim skupinam omogočilo, da stroške testiranja, povezanega z IKT, nosijo le v eni jurisdikciji.

(58)

Da bi se črpalo iz strokovnega znanja, ki so ga nekateri pristojni organi že pridobili, zlasti v zvezi z izvajanjem okvira TIBER-EU, bi morala ta uredba državam članicam omogočiti, da na nacionalni ravni imenujejo en sam javni organ, ki je v finančnem sektorju odgovoren za vsa vprašanja z zvezi s penetracijskim testiranjem na podlagi analize groženj, ali – če tak organ ni imenovan – da pristojni organi izvajanje nalog, povezanih s penetracijskim testiranjem na podlagi analize groženj, prenesejo na drug nacionalni finančni pristojni organ.

(59)

Ker ta uredba od finančnih subjektov ne zahteva, da z enim samim penetracijskim testiranjem na podlagi analize groženj pokrijejo vse kritične ali pomembne funkcije, bi morali finančni subjekti imeti možnost, da sami določijo, katere in koliko kritičnih ali pomembnih funkcij bi bilo treba vključiti v okvir takega testiranja.

(60)

Skupno testiranje v smislu te uredbe – kadar v penetracijskem testiranju na podlagi analize groženj sodeluje več finančnih subjektov in kadar lahko tretji ponudnik storitev IKT sklene pogodbene dogovore neposredno z zunanjim preizkuševalcem, – bi lahko bilo dovoljeno le, kadar je mogoče razumno pričakovati, da to ne bo škodljivo vplivalo na kakovost ali varnost storitev, ki jih tretji ponudnik storitev IKT zagotavlja strankam, ki so subjekti zunaj področja uporabe te uredbe, ali zaupnost podatkov v zvezi s temi storitvami. Za skupno testiranje bi morali veljati tudi zaščitni ukrepi (usmerjanje s strani enega imenovanega finančnega subjekta, prilagoditev števila sodelujočih finančnih subjektov), da bi se za sodelujoče finančne subjekte zagotovilo strogo testiranje, ki izpolnjuje cilje penetracijskega testiranja na podlagi analize groženj na podlagi te uredbe.

(61)

Da bi se izkoristili notranji viri, ki so na voljo na ravni podjetja, bi morala ta uredba omogočiti, da bi penetracijsko testiranje na podlagi analize groženj izvajali notranji preizkuševalci, pod pogojem, da je bila izdana nadzorna odobritev, da ni nasprotij interesov, in da se redno (po vsakih treh testih) menjajo notranji in zunanji preizkuševalci, hkrati pa subjekt, ki v okviru penetracijskega testiranja na podlagi analize groženj zagotavlja obveščevalne podatke o grožnjah, nikoli ne sme biti del finančnega subjekta. Za izvajanje penetracijskega testiranja na podlagi analize groženj bi moral biti v celoti odgovoren finančni subjekt. Potrdila, ki jih predložijo organi, bi morala biti namenjena izključno vzajemnemu priznavanju in ne bi smela izključevati nadaljnjih ukrepov, potrebnih za obravnavanje tveganja na področju IKT, ki mu je izpostavljen finančni subjekt, niti se ne bi smela šteti kot nadzorna odobritev zmožnosti finančnega subjekta za obvladovanje in zmanjševanje tveganj na področju IKT.

(62)

Da bi se zagotovilo učinkovito spremljanje tveganja tretjih strani na področju IKT v finančnem sektorju, je treba določiti sklop na načelih temelječih pravil, ki bodo finančnim subjektom zagotavljala usmeritve pri spremljanju tveganja, ki izhaja iz oddajanja funkcij v zunanje izvajanje tretjim ponudnikom storitev IKT, zlasti za storitve IKT, ki podpirajo kritične ali pomembne funkcije, in splošneje, iz vseh odvisnosti od tretjih strani na področju IKT.

(63)

Da bi se obravnavala kompleksnost različnih virov tveganja na področju IKT ob hkratnem upoštevanju številnih in raznolikih ponudnikov tehnoloških rešitev, ki omogočajo nemoteno opravljanje finančnih storitev, bi morala ta uredba pokrivati širok sklop tretjih ponudnikov storitev IKT, vključno s ponudniki storitev računalništva v oblaku, programske opreme in storitev analize podatkov ter ponudniki storitev podatkovnih centrov. Ker bi morali finančni subjekti učinkovito in usklajeno identificirati in obvladovati vse vrste tveganja, tudi v okviru storitev IKT, ki se pridobijo znotraj finančne skupine, je treba pojasniti, da bi bilo treba kot tretje ponudnike storitev IKT na podlagi te uredbe šteti tudi podjetja, ki so del finančne skupine in opravljajo storitve IKT predvsem za svoje obvladujoče podjetje ali odvisna podjetja ali podružnice svojega obvladujočega podjetja, kot tudi finančne subjekte, ki opravljajo storitve IKT za druge finančne subjekte. Nazadnje, bi bilo treba glede na razvoj trga plačilnih storitev, ki postaja vse bolj odvisen od kompleksnih tehničnih rešitev, in glede na nove vrste plačilnih storitev in s plačili povezanih rešitev kot tretje ponudnike storitev IKT na podlagi te uredbe šteti tudi udeležence v ekosistemu plačilnih storitev, ki opravljajo dejavnosti obdelave plačil ali upravljajo plačilne infrastrukture, z izjemo centralnih bank, kadar upravljajo plačilne sisteme ali sisteme poravnave vrednostnih papirjev, in javnih organov, kadar storitve, povezane z IKT, opravljajo v okviru izpolnjevanja državnih funkcij.

(64)

Finančni subjekt bi moral biti ves čas v celoti odgovoren za izpolnjevanje svojih obveznosti iz te uredbe. Finančni subjekti bi morali slediti sorazmernemu pristopu k spremljanju tveganj, ki se pojavljajo na ravni tretjih ponudnikov storitev IKT, tako da ustrezno preučijo naravo, obseg, kompleksnost in pomen svojih odvisnosti, povezanih z IKT, kritičnost ali pomen storitev, postopkov ali funkcij, za katere veljajo pogodbeni dogovori, in nazadnje natančno ocenijo morebitni vpliv na kontinuiteto in kakovost finančnih storitev na ravni posameznika in skupine, kot je ustrezno.

(65)

Tako spremljanje bi se moralo izvajati na podlagi strateškega pristopa k tveganju tretjih strani na področju IKT, ki je bil formaliziran s sprejetjem posebne strategije glede tveganja tretjih strani na področju IKT s strani upravljalnega organa finančnega subjekta, in temeljiti na nenehnem preverjanju vseh odvisnosti od tretjih strani na področju IKT. Da bi se povečala ozaveščenost nadzornikov o odvisnosti od tretjih strani na področju IKT in bi se dodatno podprlo delo v kontekstu okvira nadzora, vzpostavljenega s to uredbo, bi bilo treba od vseh finančnih subjektov zahtevati, da vodijo register informacij z vsemi pogodbenimi dogovori o uporabi storitev IKT, ki jih opravljajo tretji ponudniki storitev IKT. Finančni nadzorniki bi morali imeti možnost, da zahtevajo dostop do celotnega registra ali njegovih posameznih delov in tako pridobijo bistvene informacije za dosego širšega razumevanja odvisnosti finančnih subjektov na področju IKT.

(66)

Temeljita analiza, opravljena vnaprej pred sklenitvijo pogodbe, bi morala biti podlaga za formalno sklenitev pogodbenih dogovorov, zlasti z osredotočanjem na elemente, kot so kritičnost ali pomembnost storitev, podprtih s predvideno pogodbo o IKT, potrebne nadzorne odobritve ali drugi pogoji, morebitno tveganje koncentracije, uporaba potrebne skrbnosti v postopku izbire in ocenjevanja tretjih ponudnikov storitev IKT ter ocenjevanje morebitnih nasprotij interesov. Pri pogodbenih dogovorih, ki zadevajo kritične ali pomembne funkcije, bi morali finančni subjekti upoštevati, ali tretji ponudniki storitev IKT uporabljajo najnovejše in najvišje standarde informacijske varnosti. Na prenehanje pogodbenih dogovorov bi lahko vplivala vsaj vrsta okoliščin, ki kažejo na pomanjkljivosti na ravni tretjega ponudnika storitev IKT, zlasti pomembne kršitve prava ali pogodbenih pogojev, okoliščine, ki kažejo na morebitne spremembe pri opravljanju funkcij, opredeljenih v pogodbenih dogovorih, dokazila o šibkih točkah tretjega ponudnika storitev IKT v celotnem okviru obvladovanja tveganj na področju IKT, ali okoliščine, ki kažejo na nezmožnost ustreznih pristojnih organov, da učinkovito nadzirajo finančni subjekt.

(67)

Za obravnavo sistemskega vpliva tveganja koncentracije tretjih strani na področju IKT ta uredba spodbuja uravnoteženo rešitev, in sicer sprejetje prilagodljivega in postopnega pristopa k takšnemu koncentriranemu tveganju, saj bi lahko naložitev katere koli neprilagodljive zgornje meje ali strogih omejitev ovirala poslovanje in omejevala pogodbeno svobodo. Finančni subjekti bi morali temeljito oceniti svoje predvidene pogodbene dogovore, da bi prepoznali verjetnost pojava takega tveganja, tudi s poglobljenimi analizami dogovorov o podizvajanju, zlasti kadar so sklenjeni s tretjimi ponudniki storitev IKT s sedežem v tretji državi. V tej fazi in zaradi doseganja poštenega ravnovesja med nujnostjo ohranjanja pogodbene svobode in nujnostjo zagotavljanja finančne stabilnosti se ne zdi ustrezno, da bi se določila pravila za stroge zgornje meje in omejitve v zvezi z izpostavljenostjo tretjim stranem na področju IKT. V kontekstu okvira nadzora bi moral glavni nadzornik, imenovan na podlagi te uredbe, v zvezi s ključnimi tretjimi ponudniki storitev IKT posebno pozornost nameniti temu, da bi v celoti razumel razsežnost soodvisnosti, odkril posebne primere, v katerih bo visoka stopnja koncentracije ključnih tretjih ponudnikov storitev IKT v Uniji verjetno obremenila stabilnost in celovitost finančnega sistema Unije, ter ob prepoznavi takega specifičnega tveganja ohranjal dialog s ključnimi tretjimi ponudniki storitev IKT.

(68)

Za redno ocenjevanje in spremljanje zmožnosti tretjega ponudnika storitev IKT, da finančnemu subjektu varno opravlja storitve brez škodljivih učinkov na digitalno operativno odpornost finančnega subjekta, bi bilo treba harmonizirati več ključnih pogodbenih elementov s tretjimi ponudniki storitev IKT. Taka harmonizacija bi morala zajemati najmanj področja, ki so ključna za to, da lahko finančni subjekt celostno spremlja tveganja, ki bi lahko izhajala od tretjega ponudnika storitev IKT, in sicer z vidika potrebe finančnega subjekta, da zaščiti svojo digitalno odpornost, saj je v veliki meri odvisna od stabilnosti, funkcionalnosti, razpoložljivosti in varnosti prejetih storitev IKT.

(69)

Pri ponovnih pogajanjih o pogodbenih dogovorih za uskladitev z zahtevami te uredbe bi morali finančni subjekti in tretji ponudniki storitev IKT zagotoviti, da so zajete ključne pogodbene določbe iz te uredbe.

(70)

Opredelitev „kritične ali pomembne funkcije“ iz te uredbe zajema opredelitev „kritičnih funkcij“ iz člena 2(1), točka (35), Direktive 2014/59/EU Evropskega parlamenta in Sveta (20). Tako so funkcije, ki veljajo za kritične na podlagi Direktive 2014/59/EU, vključene v opredelitev kritičnih funkcij v smislu te uredbe.

(71)

Ne glede na kritičnost ali pomembnost funkcije, ki jo podpirajo storitve IKT, bi morali pogodbeni dogovori zlasti vsebovati specifikacijo podrobnih opisov funkcij in storitev, lokacij, na katerih se zagotavljajo take funkcije in kjer se bodo obdelovali podatki, ter navedbo opisov ravni storitev. Drugi bistveni elementi, ki finančnemu subjektu omogočajo spremljanje tveganja tretjih strani na področju IKT so: pogodbene določbe, ki določajo, kako tretji ponudnik storitev IKT zagotavlja dostopnost, razpoložljivost, celovitost, varnost in varstvo osebnih podatkov, določbe za ustrezna jamstva, ki omogočajo dostopnost, reševanje in vračilo podatkov v primeru insolventnosti, reševanja ali prenehanja poslovanja tretjega ponudnika storitev IKT, ter določbe, ki od tretjega ponudnika storitev IKT zahtevajo, da zagotovi pomoč v primeru incidentov IKT, povezanih s storitvami, ki jih opravlja, in sicer brez dodatnih stroškov ali z vnaprej določenimi stroški; določbe o obveznosti tretjega ponudnika storitev IKT, da v celoti sodeluje s pristojnimi organi in organi za reševanje finančnega subjekta, ter določbe o pravicah do odpovedi in povezanih minimalnih rokih za odpoved pogodbenih dogovorov v skladu s pričakovanji pristojnih organov in organov za reševanje.

(72)

Poleg takih pogodbenih določb in da se zagotovi, da finančni subjekti ohranijo popoln nadzor nad vsemi dogodki na ravni tretjih oseb, ki bi lahko škodovali njihovi varnosti IKT, bi morale pogodbe za zagotavljanje storitev IKT, ki podpirajo kritične ali pomembne funkcije, določati tudi naslednje: specifikacijo vseh opisov ravni storitev z natančnimi kvantitativnimi in kvalitativnimi cilji uspešnosti, da se brez nepotrebnega odlašanja omogočijo ustrezni korektivni ukrepi, kadar dogovorjene ravni storitev niso dosežene; ustrezne odpovedne roke in obveznosti poročanja tretjega ponudnika storitev IKT v primeru sprememb, ki bi lahko pomembno vplivale na zmožnost tretjega ponudnika storitev IKT, da učinkovito opravlja svoje zadevne storitve IKT; zahtevo, da tretji ponudnik storitev IKT izvaja in testira poslovne načrte izrednih ukrepov ter vzpostavi varnostne ukrepe, orodja in politike na področju IKT, ki omogočajo varno opravljanje storitev, ter da je vključen v penetracijsko testiranje na podlagi analize groženj, ki ga izvaja finančni subjekt, in pri tem v celoti sodeluje.

(73)

Pogodbe za opravljanje storitev IKT, ki podpirajo kritične ali pomembne funkcije, bi morale vsebovati tudi določbe, ki omogočajo pravice do dostopa, inšpekcijskega pregleda in revizije s strani finančnega subjekta ali imenovane tretje strani, in pravico do izdelave kopij kot ključnega instrumenta v okviru stalnega spremljanja uspešnosti tretjega ponudnika storitev IKT, ki ga izvaja finančni subjekt, pri čemer ponudnik storitev med inšpekcijskimi pregledi polno sodeluje. Podobno bi moral imeti pristojni organ finančnega subjekta na podlagi obvestil pravico, da pri tretjem ponudniku storitev IKT opravi inšpekcijski pregled in revizijo, pri čemer mora varovati zaupne informacije.

(74)

Taki pogodbeni dogovori bi morali določati tudi namenske izhodne strategije, ki bi omogočile zlasti obvezna prehodna obdobja, v katerih bi morali tretji ponudniki storitev IKT še naprej opravljati ustrezne storitve, da bi se zmanjšalo tveganje motenj na ravni finančnega subjekta ali bi se slednjemu omogočilo, da začne učinkovito uporabljati storitve drugih tretjih ponudnikov storitev IKT ali da preide na notranje rešitve, ki ustrezajo kompleksnosti opravljene storitve IKT. Poleg tega bi morali finančni subjekti, ki spadajo na področje uporabe Direktive 2014/59/EU, zagotoviti, da so zadevne pogodbe za storitve IKT trdne in v celoti izvršljive, če se ti finančni subjekti znajdejo v postopku reševanja. Zato bi morali ti finančni subjekti v skladu s pričakovanji organov za reševanje zagotoviti, da na zadevne pogodbe za storitve IKT reševanje ne vpliva. Dokler ti finančni subjekti še naprej izpolnjujejo svoje plačilne obveznosti, bi morali med drugim zagotoviti, da zadevne pogodbe za storitve IKT vsebujejo klavzule, da teh pogodb zaradi prestrukturiranja ali reševanja ni mogoče odpovedati, začasno prekiniti in spremeniti.

(75)

Poleg tega bi lahko prostovoljna uporaba standardnih pogodbenih klavzul, ki jih je razvil javni organ ali institucija Unije, zlasti uporaba pogodbenih klavzul, ki jih je razvila Komisija za storitve računalništva v oblaku, finančnim subjektom in tretjim ponudnikom storitev IKT dala dodatno zagotovilo, saj bi se zvišala stopnja njihove pravne varnosti glede uporabe storitev računalništva v oblaku v finančnem sektorju, in sicer v polni skladnosti z zahtevami in pričakovanji iz prava Unije o finančnih storitvah. Razvoj standardnih pogodbenih klavzul temelji na ukrepih, predvidenih že v akcijskem načrtu za finančno tehnologijo iz leta 2018, v katerem je Komisija objavila svojo namero, da spodbudi in olajša oblikovanje standardnih pogodbenih klavzul, na podlagi katerih finančni subjekti oddajo storitve računalništva v oblaku v zunanje izvajanje, pri čemer se opira na medsektorska prizadevanja deležnikov na področju storitev računalništva v oblaku, ki jih je Komisija podprla skupaj s sodelovanjem finančnega sektorja.

(76)

Za ključne tretje ponudnike storitev IKT bi moral veljati okvir nadzora Unije, da bi se spodbudili konvergenca in učinkovitost pristopov nadzora v zvezi z obravnavanjem tveganja tretjih strani na področju IKT v finančnem sektorju ter okrepila digitalna operativna odpornost finančnih subjektov, ki so za opravljanje storitve IKT, ki podpirajo zagotavljanje finančnih storitev, odvisni od ključnih tretjih ponudnikov storitev IKT, s čimer bi se prispevalo k ohranjanju stabilnosti finančnega sistema Unije in celovitosti notranjega trga finančnih storitev. Čeprav je vzpostavitev okvira nadzora upravičena zaradi dodane vrednosti ukrepanja na ravni Unije ter zaradi inherentne vloge in posebnosti uporabe storitev IKT pri opravljanju finančnih storitev, bi bilo treba hkrati opozoriti, da se ta rešitev zdi primerna le v okviru te uredbe, ki posebej obravnava digitalno operativno odpornost v finančnem sektorju. Vendar takšen okvir nadzora ne bi smel veljati kot nov model za nadzor Unije na drugih področjih finančnih storitev in dejavnosti.

(77)

Okvir nadzora bi se moral uporabljati samo za ključne tretje ponudnike storitev IKT. Zato bi moral obstajati mehanizem imenovanja, ki bi upošteval razsežnost in naravo odvisnosti finančnega sektorja od takih tretjih ponudnikov storitev IKT. Ta mehanizem bi moral vključevati sklop kvantitativnih in kvalitativnih meril za določitev parametrov kritičnosti kot podlage za vključitev v okvir nadzora. Za zagotovitev točnosti te ocene in ne glede na podjetniško strukturo tretjega ponudnika storitev IKT bi morala taka merila v primeru tretjega ponudnika storitev IKT, ki je del širše skupine, upoštevati celotno strukturo skupine tretjega ponudnika storitev IKT. Po drugi strani bi morali ključni tretji ponudniki storitev IKT, ki niso samodejno imenovani na podlagi uporabe navedenih meril, imeti možnost, da se prostovoljno vključijo v okvir nadzora, na drugi strani pa bi bilo treba izvzeti tretje ponudnike storitev IKT, za katere že veljajo okviri mehanizmov nadzora, ki podpirajo izpolnjevanje nalog Evropskega sistema centralnih bank iz člena 127(2) PDEU.

(78)

Podobno bi morali biti tudi finančni subjekti, ki opravljajo storitve IKT za druge finančne subjekte, čeprav spadajo v kategorijo tretjih ponudnikov storitev IKT na podlagi te uredbe, izvzeti iz okvira nadzora, saj zanje že veljajo mehanizmi nadzora, vzpostavljeni z ustreznim pravom Unije o finančnih storitvah. Kadar je ustrezno, bi morali pristojni organi v okviru svojih nadzornih dejavnosti upoštevati tveganje na področju IKT, ki ga za finančne subjekte predstavljajo finančni subjekti, ki opravljajo storitve IKT. Prav tako bi bilo treba zaradi obstoječih mehanizmov za spremljanje tveganja na ravni skupine uvesti enako izjemo za tretje ponudnike storitev IKT, ki opravljajo storitve IKT predvsem za subjekte znotraj svoje skupine. Iz mehanizma imenovanja bi morali biti izvzeti tudi tretji ponudniki storitev IKT, ki storitve IKT opravljajo samo v eni državi članici za finančne subjekte, ki so dejavni samo v tej državi članici, saj je njihova dejavnost omejena in nima čezmejnega učinka.

(79)

Z digitalno preobrazbo na področju finančnih storitev sta se kot še nikoli doslej povišali stopnja uporabe storitev IKT in odvisnost od njih. Ker si ni možno več predstavljati, da bi se finančne storitve opravljale brez uporabe storitev računalništva v oblaku, rešitev na področju programske opreme in podatkovnih storitev, je finančni ekosistem Unije postal neločljivo povezan z nekaterimi storitvami IKT, ki jih opravljajo ponudniki storitev IKT. Nekateri od teh ponudnikov, inovatorji pri razvoju in uporabi tehnologij, ki temeljijo na IKT, imajo pomembno vlogo pri zagotavljanju finančnih storitev ali so vključeni v vrednostno verigo finančnih storitev. Tako so postali ključni za stabilnost in integriteto finančnega sistema Unije. Ta vsesplošna odvisnost od storitev, ki jih zagotavljajo ključni tretji ponudniki storitev IKT, skupaj s soodvisnostjo informacijskih sistemov različnih upravljavcev trga ustvarja neposredno in potencialno resno tveganje za sistem finančnih storitev Unije in za neprekinjeno zagotavljanje finančnih storitev, če bi na ključne tretje ponudnike storitev IKT vplivale operativne motnje ali večji kibernetski incidenti. Kibernetski incidenti imajo posebno sposobnost, da se v celotnem finančnem sistemu razmnožujejo in širijo precej hitreje kot druge vrste tveganj, ki se spremljajo v finančnem sektorju, ter se lahko razširijo med sektorji in prek geografskih meja. Lahko se razvijejo v sistemsko krizo, pri čemer se zaupanje v finančni sistem zmanjša zaradi motnje v funkcijah, ki podpirajo realno gospodarstvo, ali znatnih finančnih izgub na ravni, ki je finančni sistem ne more prenesti ali ki zahteva uvedbo strogih ukrepov za absorbiranje pretresov. Da bi se preprečila uresničitev teh scenarijev in ogrožanje finančne stabilnosti in integritete Unije, je bistveno zagotoviti konvergenco nadzornih praks v zvezi s tveganji tretjih strani na področju IKT v finančnem sektorju, zlasti z novimi pravili, ki bi omogočala nadzor Unije nad ključnimi tretjimi ponudniki storitev IKT.

(80)

Okvir nadzora je v veliki meri odvisen od stopnje sodelovanja med glavnim nadzornikom in ključnim tretjim ponudnikom storitev IKT, ki finančnim subjektom zagotavlja storitve, ki vplivajo na zagotavljanje finančnih storitev. Uspešen nadzor je med drugim odvisen od sposobnosti glavnega nadzornika, da učinkovito izvaja naloge spremljanja in inšpekcijske preglede za oceno pravil, kontrol in postopkov, ki jih uporabljajo ključni tretji ponudniki storitev IKT, ter za oceno morebitnega kumulativnega učinka njihovih dejavnosti na finančno stabilnost in integriteto finančnega sistema. Hkrati je zelo pomembno, da ključni tretji ponudniki storitev IKT upoštevajo priporočila glavnega nadzornika in obravnavajo njegove pomisleke. Če ključni tretji ponudnik storitev IKT, ki opravlja storitve, ki vplivajo na zagotavljanje finančnih storitev, ne bi sodeloval, tako da bi na primer zavrnil dostop do svojih prostorov ali ne bi predložil informacij, bi lahko glavni nadzornik ostal brez bistvenega orodja za ocenjevanje tveganja tretjih strani na področju IKT, kar bi lahko škodljivo vplivalo na finančno stabilnost in integriteto finančnega sistema, zato je treba zagotoviti tudi ustrezen režim sankcij.

(81)

Glede na navedeno potreba glavnega nadzornika, da naloži denarne kazni, s katerimi ključne tretje ponudnike storitev IKT prisili k izpolnjevanju obveznosti v zvezi s preglednostjo in dostopom iz te uredbe, ne bi smela biti ogrožena zaradi težav pri izvrševanju teh denarnih kazni v zvezi s ključnimi tretjimi ponudniki storitev IKT s sedežem v tretjih državah. Da se zagotovi izvršljivost takih kazni in omogoči hitra uvedba postopkov za uveljavljanje pravic ključnih tretjih ponudnikov storitev IKT do obrambe v okviru mehanizma imenovanja in izdajanja priporočil, bi bilo treba od teh ključnih tretjih ponudnikov storitev IKT, ki za finančne subjekte opravljajo storitve, ki vplivajo na zagotavljanje finančnih storitev, zahtevati, da vzdržujejo ustrezno poslovno prisotnost v Uniji. Zaradi narave nadzora in ker v drugih jurisdikcijah ni primerljivih ureditev, ni ustreznih alternativnih mehanizmov, ki bi zagotovili ta cilj z učinkovitim sodelovanjem s finančnimi nadzorniki v tretjih državah v zvezi s spremljanjem učinka digitalnih operativnih tveganj, ki jih predstavljajo sistemski tretji ponudniki storitev IKT, ki se štejejo za ključne tretje ponudnike storitev IKT s sedežem v tretjih državah. Zato bi moral tretji ponudnik storitev IKT s sedežem v tretji državi, ki je bil v skladu s to uredbo imenovan za ključnega, da bi lahko še naprej opravljal svoje storitve za finančne subjekte Unije, v 12 mesecih od zadevnega imenovanja urediti vse potrebno za ureditev registracije v Uniji, tako da ustanovi odvisno podjetje, kot je opredeljeno v pravnem redu Unije, zlasti v Direktivi 2013/34/EU Evropskega parlamenta in Sveta (21).

(82)

Zahteva po ustanovitvi odvisnega podjetja v Uniji ključnemu tretjemu ponudniku storitev IKT ne bi smela preprečevati zagotavljanja storitev IKT in povezane tehnične podpore iz objektov in infrastrukture, ki se nahajajo zunaj Unije. Ta uredba ne bi smela nalagati obveznosti lokalizacije podatkov, saj ne zahteva, da se podatki shranjujejo ali obdelujejo v Uniji.

(83)

Ključni tretji ponudniki storitev IKT bi morali imeti možnost, da storitve IKT opravljajo kjer koli na svetu, ne nujno oziroma ne samo iz prostorov, ki se nahajajo v Uniji. Nadzorne dejavnosti bi bilo treba najprej izvajati v prostorih, ki se nahajajo v Uniji, in v sodelovanju s subjekti, ki se nahajajo v Uniji, vključno z odvisnimi podjetij, ki jih na podlagi te uredbe ustanovijo ključni tretji ponudniki storitev IKT. Vendar taki ukrepi v Uniji morda ne bodo zadostovali, da bi lahko glavni nadzornik v celoti in učinkovito opravljal svoje naloge na podlagi te uredbe. Glavni nadzornik bi zato moral imeti tudi možnost, da svoja ustrezna nadzorna pooblastila izvaja v tretjih državah. Izvajanje teh pooblastil v tretjih državah bi moralo glavnemu nadzorniku omogočiti, da pregleda objekte, iz katerih ključni tretji ponudnik storitev IKT dejansko opravlja ali upravlja storitve IKT ali storitve tehnične podpore, poleg tega pa bi mu moralo omogočiti tudi celovito in operativno razumevanje obvladovanja tveganj na področju IKT, ki ga izvaja ključni tretji ponudnik storitev IKT. Možnost glavnega nadzornika, da kot agencija Unije izvaja pooblastila zunaj ozemlja Unije, bi morala biti ustrezno urejena z ustreznimi pogoji, zlasti s privolitvijo zadevnega ključnega tretjega ponudnika storitev IKT. Podobno bi morali biti ustrezni organi tretje države obveščeni o izvajanju dejavnosti glavnega nadzornika na svojem ozemlju in mu ne nasprotujejo. Vendar pa morajo biti za zagotovitev učinkovitega izvajanja in brez poseganja v ustrezne pristojnosti institucij Unije in držav članic ta pooblastila v celoti vključena tudi v sklepanje dogovorov o upravnem sodelovanju z ustreznimi organi zadevne tretje države. Ta uredba bi zato morala evropskim nadzornim organom omogočiti, da sklenejo dogovore o upravnem sodelovanju z ustreznimi organi tretjih držav, ki sicer ne bi smeli ustvarjati pravnih obveznosti za Unijo in njene države članice.

(84)

Za lažjo komunikacijo z glavnim nadzornikom in zagotovitev ustrezne zastopanosti bi morali ključni tretji ponudniki storitev IKT, ki so del skupine, imenovati eno pravno osebo za svojo koordinacijsko točko.

(85)

Okvir nadzora ne bi smel posegati v pristojnost držav članic za izvajanje lastnih nadzornih nalog ali nalog spremljanja v zvezi s tretjimi ponudniki storitev IKT, ki v skladu s to uredbo niso imenovani kot ključni, vendar se štejejo za pomembne na nacionalni ravni.

(86)

Da bi se izkoristila večplastna institucionalna arhitektura na področju finančnih storitev, bi moral Skupni odbor evropskih nadzornih organov še naprej zagotavljati splošno medsektorsko usklajevanje v zvezi z vsemi zadevami, povezanimi s tveganji na področju IKT, v skladu s svojimi nalogami na področju kibernetske varnosti. Podpirati bi ga moral nov pododbor (v nadaljnjem besedilu: nadzorniški forum), ki bi izvajal pripravljalno delo tako za posamezne odločitve, naslovljene na ključne tretje ponudnike storitev IKT, kot za izdajanje skupnih priporočil, zlasti glede primerjalne analize programov nadzora nad ključnimi tretjimi ponudniki storitev IKT, ter opredeljeval najboljše prakse za obravnavo tveganj koncentracije na področju IKT.

(87)

Za zagotovitev, da se ključne tretje ponudnike storitev IKT ustrezno in učinkovito nadzoruje na ravni Unije, ta uredba določa, da je lahko kateri koli od treh evropskih nadzornih organov imenovan za glavnega nadzornika. Dodelitev posameznega ključnega tretjega ponudnika storitev IKT enemu od treh evropskih nadzornih organov bi morala temeljiti na oceni prevladujoče narave finančnih subjektov, ki delujejo v finančnih sektorjih, za katere je odgovoren zadevni evropski nadzorni organ. S takim pristopom bi se morala doseči uravnotežena razdelitev nalog in odgovornosti med tremi evropskimi nadzornimi organi v okviru izvajanja nadzornih funkcij ter bi se morali čim bolje izkoristiti človeški viri in tehnično strokovno znanje, ki so na voljo v vsakem od treh evropskih nadzornih organov.

(88)

Glavnim nadzornikom bi bilo treba dodeliti potrebna pooblastila za izvajanje preiskav, opravljanje inšpekcijskih pregledov na kraju samem in zunaj njega ključnih tretjih ponudnikov storitev IKT ter za pridobitev popolnih in posodobljenih informacij. Ta pooblastila bi morala glavnemu nadzorniku omogočiti, da pridobi pravi vpogled v vrsto, razsežnost in učinek tveganja tretjih strani na področju IKT za finančne subjekte in, nazadnje, za finančni sistem Unije. Podelitev glavne nadzorne vloge evropskim nadzornim organom je predpogoj za razumevanje in obravnavanje sistemske razsežnosti tveganj na področju IKT v finančnem sektorju. Zaradi vpliva ključnih tretjih ponudnikov storitev IKT na sektor finančnih storitev Unije in morebitnih težav, ki jih povzroča s tem povezano tveganje koncentracije na področju IKT, je potreben skupen pristop na ravni Unije. Sočasno ločeno izvajanje številnih revizij in pravic do dostopa s strani več pristojnih organov, pri katerem bi bilo usklajevanje omejeno ali pa ga sploh ne bi bilo, bi finančnim nadzornikom preprečilo pridobitev popolnega in celovitega pregleda nad tveganjem tretjih strani na področju IKT v Uniji, hkrati pa bi ustvarilo tudi odvečnost, breme in zapletenost za ključne tretje ponudnike storitev IKT, če bi se soočali s številnimi zahtevami za spremljanje in inšpekcijske preglede.

(89)

Zaradi znatnega vpliva imenovanja za ključnega ponudnika bi bilo treba s to uredbo zagotoviti, da se pravice ključnih tretjih ponudnikov storitev IKT upoštevajo v celotnem izvajanju okvira nadzora. Preden se taki ponudniki imenujejo za ključne, bi morali taki ponudniki, na primer, imeti pravico, da glavnemu nadzorniku predložijo utemeljeno izjavo, ki bi vsebovala vse ustrezne informacije za namene ocene v zvezi z njihovim imenovanjem. Ker bi morali imeti glavni nadzorniki pooblastilo, da predložijo priporočila v zvezi s tveganji na področju IKT in ustreznimi popravnimi ukrepi, vključno s pooblastilom za nasprotovanje nekaterim pogodbenim dogovorom, ki nazadnje vplivajo na stabilnost finančnega subjekta ali finančnega sistema, bi morali imeti ključni tretji ponudniki storitev IKT tudi možnost, da pred dokončnim oblikovanjem teh priporočil predložijo pojasnila o pričakovanem učinku rešitev, predvidenih v priporočilih, na stranke, ki so subjekti, ki ne spadajo na področje uporabe te uredbe, in oblikujejo rešitve za zmanjšanje tveganj. Ključni tretji ponudniki storitev IKT, ki se ne strinjajo s priporočili, bi morali predložiti utemeljeno obrazložitev svoje namere, da priporočila ne bodo potrdili. Kadar se taka utemeljena obrazložitev ne predloži ali kadar se šteje za nezadostno, bi moral glavni nadzornik izdati javno obvestilo s kratkim opisom vprašanja neskladnosti.

(90)

Pristojni organi bi morali ustrezno vključiti nalogo preverjanja vsebinskega upoštevanja priporočil, ki jih izda glavni nadzornik, med svoje funkcije v zvezi z bonitetnim nadzorom finančnih subjektov. Pristojni organi bi morali imeti možnost, da od finančnih subjektov zahtevajo, da sprejmejo dodatne ukrepe za obravnavanje tveganj, opredeljenih v priporočilih glavnega nadzornika, in bi morali v ta namen pravočasno izdati obvestila. Kadar glavni nadzornik naslovi priporočila na ključne tretje ponudnike storitev IKT, ki so nadzorovani na podlagi Direktive (EU) 2022/2555, bi morali imeti pristojni organi možnost, da se pred sprejetjem dodatnih ukrepov prostovoljno posvetujejo s pristojnimi organi na podlagi navedene direktive, da bi spodbudili usklajen pristop pri obravnavi zadevnih ključnih tretjih ponudnikov storitev IKT.

(91)

Izvajanje nadzora bi moralo temeljiti na treh operativnih načelih, ki naj bi zagotovila: (a) tesno usklajevanje med evropskimi nadzornimi organi v njihovi vlogi glavnih nadzornikov prek skupne nadzorne mreže, (b) skladnost z okvirom, vzpostavljenim z Direktivo (EU) 2022/2555 (s prostovoljnim posvetovanjem z organi na podlagi navedene direktive, da se prepreči podvajanje ukrepov, namenjenih ključnim tretjim ponudnikom storitev IKT), in (c) uporabo skrbnih pregledov za zmanjšanje morebitnega tveganja motenj storitev, ki jih ključni tretji ponudniki storitev IKT opravljajo za stranke, ki so subjekti, ki ne spadajo na področje uporabe te uredbe.

(92)

Okvir nadzora ne bi smel zamenjati ali na kakršen koli način oziroma v kakšnem koli delu nadomestiti zahteve, da finančni subjekti sami obvladujejo tveganja, ki nastanejo v zvezi z uporabo tretjih ponudnikov storitev IKT, vključno z obveznostjo ohranjanja stalnega spremljanja pogodbenih dogovorov, sklenjenih s ključnimi tretjimi ponudniki storitev IKT. Prav tako okvir nadzora ne bi smel vplivati na polno odgovornost finančnih subjektov, da upoštevajo in izpolnijo vse pravne obveznosti iz te uredbe in ustreznega prava o finančnih storitvah.

(93)

V izogib podvajanju in prekrivanju, pristojni organi ne bi smeli ločeno sprejemati ukrepov, namenjenih spremljanju tveganj ključnih tretjih ponudnikov storitev IKT, in bi se morali v zvezi s tem opirati na zadevno oceno glavnega nadzornika. Vsak ukrep bi bilo treba v vsakem primeru vnaprej uskladiti in se o njem dogovoriti z glavnim nadzornikom v okviru izvajanja nalog iz okvira nadzora.

(94)

Evropske nadzorne organe bi bilo treba spodbujati, da sklenejo dogovore o sodelovanju z ustreznimi nadzornimi in regulativnimi organi tretjih držav, da bi se na mednarodni ravni spodbujala konvergenca glede uporabe najboljših praks pri reviziji in spremljanju obvladovanja digitalnih tveganj tretjih ponudnikov storitev IKT.

(95)

Da bi se izkoristili posebne sposobnosti, tehnične spretnosti in strokovno znanje osebja, ki je specializirano za operativna tveganja in tveganja na področju IKT znotraj pristojnih organov, treh evropskih nadzornih organov in, na prostovoljni podlagi, pristojnih organov na podlagi Direktive (EU) 2022/2555, bi moral glavni nadzornik črpati iz nacionalnih nadzornih zmožnosti in znanja in za vsakega posameznega ključnega tretjega ponudnika storitev IKT ustanoviti posebne pregledniške ekipe, ki bi združevale multidisciplinarne skupine za podporo pri pripravi in izvajanju nadzornih dejavnosti, vključno s splošnimi preiskavami in inšpekcijskimi pregledi ključnih tretjih ponudnikov storitev IKT, ter pri vsakem potrebnem nadaljnjem spremljanju.

(96)

Medtem ko bi se stroški, ki izhajajo iz nadzornih nalog, v celoti financirali z nadomestili, ki se zaračunavajo ključnim tretjim ponudnikom storitev IKT, bodo evropski nadzorni organi pred začetkom nadzornega okvira verjetno imeli stroške v zvezi z izvedbo namenskih sistemov IKT za podporo prihodnjemu nadzoru, saj bi bilo treba namenske sisteme IKT razviti in uvesti prej. Ta uredba zato določa model hibridnega financiranja, pri katerem bi se okvir nadzora kot tak v celoti financiral z nadomestili, medtem ko bi se razvoj sistemov IKT evropskih nadzornih organov financiral iz prispevkov Unije in pristojnih nacionalnih organov.

(97)

Pristojni organi bi morali imeti vsa potrebna pooblastila za nadzor, preiskovanje in izrekanje sankcij, da se zagotovi pravilno izvrševanje njihovih nalog na podlagi te uredbe. Načeloma bi morali objaviti obvestila o upravnih kaznih, ki jih naložijo. Ker lahko imajo finančni subjekti in tretji ponudniki storitev IKT sedež v različnih državah članicah in so pod nadzorom različnih pristojnih organov, bi bilo treba uporabo te uredbe olajšati na eni strani s tesnim sodelovanjem med zadevnimi pristojnimi organi, vključno z ECB v zvezi s posebnimi nalogami, ki so nanjo prenesene z Uredbo Sveta (EU) št. 1024/2013, in na drugi strani s posvetovanjem z evropskimi nadzornimi organi prek vzajemne izmenjave informacij ter zagotavljanja pomoči pri ustreznih nadzornih dejavnostih.

(98)

Za nadaljnjo kakovostno in količinsko opredelitev meril za imenovanje tretjih ponudnikov storitev IKT za ključne in za harmonizacijo nadomestil za nadzor bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte za dopolnitev te uredbe z nadaljnjo opredelitvijo sistemskega vpliva, ki bi ga prenehanje delovanja ali prekinitev poslovanja tretjega ponudnika storitev IKT lahko imelo na finančne subjekte, za katere opravlja storitve IKT, števila globalnih sistemsko pomembnih institucij ali drugih sistemsko pomembnih institucij, ki so odvisne od zadevnega tretjega ponudnika storitev IKT, števila tretjih ponudnikov storitev IKT, ki delujejo na določenem trgu, stroškov selitve podatkov in delovnih obremenitev IKT na druge tretje ponudnike storitev IKT ter zneska nadomestil za nadzor in načina njihovega plačila. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje (22). Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

(99)

Regulativni tehnični standardi bi morali zagotoviti dosledno harmonizacijo zahtev iz te uredbe. Evropski nadzorni organi bi morali v vlogi organov z visoko specializiranim strokovnim znanjem pripraviti osnutke regulativnih tehničnih standardov, ki ne vključujejo odločitev politike, in osnutke predložiti Komisiji. Razviti bi bilo treba regulativne tehnične standarde na področjih obvladovanja tveganj na področju IKT, poročanja o večjih incidentih, povezanih z IKT, testiranja, pa tudi v povezavi s ključnimi zahtevami za dobro spremljanje tveganj tretjih strani na področju IKT. Komisija in evropski nadzorni organi bi morali zagotoviti, da bi lahko te standarde in zahteve vsi finančni subjekti uporabljali sorazmerno glede na njihovo velikost in splošen profil tveganja ter naravo, obseg in kompleksnost njihovih storitev, dejavnosti in poslovanja. Na Komisijo bi bilo treba prenesti pooblastilo za sprejetje teh regulativnih tehničnih standardov z delegiranimi akti na podlagi člena 290 PDEU ter v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

(100)

Za lažjo primerljivost poročil o večjih incidentih, povezanih z IKT, in večjih operativnih ali varnostnih incidentih, povezanih s plačili, pa tudi za zagotovitev preglednosti glede pogodbenih dogovorov o uporabi storitev IKT, ki jih opravljajo tretji ponudniki storitev IKT, bi morali evropski nadzorni organi pripraviti osnutke izvedbenih tehničnih standardov, ki bi določali standardizirane predloge, obrazce in postopke, v skladu s katerimi bi finančni subjekti poročali o večjem incidentu, povezanem z IKT, in večjem operativnem ali varnostnem incidentu, povezanem s plačili, ter standardizirane predloge za register informacij. Evropski nadzorni organi bi morali pri oblikovanju teh standardov upoštevati velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in poslovanja. Na Komisijo bi bilo treba prenesti pooblastilo za sprejetje teh izvedbenih tehničnih standardov z izvedbenimi akti na podlagi člena 291 PDEU ter v skladu s členom 15 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

(101)

Ker so bile nadaljnje zahteve že določene z delegiranimi in izvedbenimi akti, ki temeljijo na tehničnih regulativnih in izvedbenih tehničnih standardih iz uredb (ES) št. 1060/2009 (23), (EU) št. 648/2012 (24), (EU) št. 600/2014 (25) in (EU) št. 909/2014 (26) Evropskega parlamenta in Sveta, je ustrezno pooblastiti evropske nadzorne organe, da bodisi posamično bodisi skupaj prek Skupnega odbora Komisiji predložijo regulativne in izvedbene tehnične standarde za sprejetje delegiranih in izvedbenih aktov, s katerimi se prenašajo in posodabljajo obstoječa pravila o obvladovanju tveganj na področju IKT.

(102)

Ker ta uredba, skupaj z Direktivo (EU) 2022/2556 Evropskega parlamenta in Sveta (27), pomeni konsolidacijo določb o obvladovanju tveganj na področju IKT iz številnih uredb in direktiv pravnega reda Unije na področju finančnih storitev, vključno z uredbami (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014 in (EU) št. 909/2014 ter Uredbo (EU) 2016/1011 Evropskega parlamenta in Sveta (28), bi bilo treba za zagotovitev popolne skladnosti navedene uredbe spremeniti, da se razjasni, da so veljavne določbe, povezane s tveganji na področju IKT, določene v tej uredbi.

(103)

Zato bi bilo treba področje uporabe zadevnih členov o operativnem tveganju, na podlagi katerih so bili v skladu s pooblastili iz uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 sprejeti delegirani in izvedbeni akti, omejiti z namenom, da se v to uredbo prenesejo vse določbe o vidikih digitalne operativne odpornosti, ki so trenutno del navedenih uredb.

(104)

Morebitna sistemska kibernetska tveganja, povezana z uporabo infrastruktur IKT, ki omogočajo delovanje plačilnih sistemov in opravljanje dejavnosti obdelave plačil, bi bilo treba ustrezno obravnavati na ravni Unije s harmoniziranimi pravili o digitalni odpornosti. V ta namen bi morala Komisija hitro oceniti potrebo po pregledu področja uporabe te uredbe, pri čemer se pregled uskladi z izidom celovitega pregleda, predvidenega na podlagi Direktive (EU) 2015/2366. Številni obsežni napadi v zadnjem desetletju dokazujejo, da so plačilni sistemi postali izpostavljeni kibernetskim grožnjam. Plačilni sistemi in dejavnosti obdelave plačil so v središču verige plačilnih storitev in so tesno medsebojno povezani s finančnim sistemom kot celoto, zato so postali ključnega pomena za delovanje finančnih trgov Unije. Kibernetski napadi na take sisteme lahko povzročijo resne operativne motnje poslovanja, ki imajo neposredne posledice za ključne gospodarske funkcije, kot je poenostavitev plačil, in posredne učinke na povezane gospodarske procese. Dokler se na ravni Unije ne vzpostavita harmonizirana ureditev ter nadzor operaterjev plačilnih sistemov in subjektov obdelovalcev, se lahko države članice z namenom uporabljanja podobnih tržnih praks pri uporabi pravil za operaterje plačilnih sistemov in subjekte obdelovalce, ki so nadzorovani v okviru njihove jurisdikcije, zgledujejo po zahtevah glede digitalne operativne odpornosti iz te uredbe.

(105)

Ker cilja te uredbe, in sicer doseganja visoke stopnje digitalne operativne odpornosti regulativnih finančnih subjektov, države članice zaradi potrebe po harmonizaciji več različnih pravil v pravu Unije in nacionalnem pravu ne morejo zadovoljivo doseči, temveč se zaradi obsega in učinkov te uredbe lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja.

(106)

V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (29) je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 10. maja 2021 (30) –

(1)

Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta (4) je bila namenjena razvoju zmogljivosti za kibernetsko varnost po vsej Uniji, ublažitvi groženj za omrežja in informacijske sisteme, ki se uporabljajo za opravljanje bistvenih storitev v ključnih sektorjih, ter zagotovitvi neprekinjenega izvajanja takih storitev pri spoprijemanju z incidenti, s čimer naj bi prispevala k varnosti Unije ter učinkovitemu delovanju njenega gospodarstva in družbe.

(2)

Od začetka veljavnosti Direktive (EU) 2016/1148 je bil dosežen velik napredek pri zviševanju ravni kibernetske odpornosti v Uniji. Pregled navedene direktive je pokazal, da se je uporabljala kot katalizator za institucionalni in regulativni pristop h kibernetski varnosti v Uniji, s čimer je utrla pot do velike spremembe v mišljenju. Navedena direktiva je zagotovila dokončanje nacionalnih okvirov za varnost omrežij in informacijskih sistemov z vzpostavitvijo nacionalnih strategij za varnost omrežij in informacijskih sistemov ter z vzpostavitvijo nacionalnih zmogljivosti in izvajanjem regulativnih ukrepov, ki so zajemali bistvene infrastrukture in subjekte, ki jih je določila vsaka država članica. Direktiva (EU) 2016/1148 je prispevala tudi k sodelovanju na ravni Unije z ustanovitvijo skupine za sodelovanje in mreže nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti. Kljub tem dosežkom pa so bile pri pregledu Direktive (EU) 2016/1148 razkrite pomanjkljivosti, zaradi katerih z navedeno direktivo ni mogoče učinkovito obravnavati sedanjih in nastajajočih izzivov na področju kibernetske varnosti.

(3)

Omrežni in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve splošne kibernetske ogroženosti, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv incidentov so vse večji ter pomenijo večjo grožnjo delovanju omrežnih in informacijskih sistemov. Posledično lahko incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančno izgubo, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu in družbi Unije. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za ustrezno delovanje notranjega trga kot kdaj koli prej. Poleg tega je kibernetska varnost eden od glavnih dejavnikov, ki številnim ključnim sektorjem omogočajo, da se uspešno podajo na pot digitalne preobrazbe ter v celoti izkoristijo gospodarske, družbene in trajnostne prednosti digitalizacije.

(4)

Pravna podlaga Direktive (EU) 2016/1148 je bil člen 114 Pogodbe o delovanju Evropske unije (PDEU), katerega cilj je vzpostavitev in delovanje notranjega trga z okrepitvijo ukrepov za približevanje nacionalnih pravil. Zahteve glede kibernetske varnosti, ki jih morajo izpolnjevati subjekti, ki opravljajo storitve ali izvajajo dejavnosti, ki so gospodarsko pomembne, se med državami članicami močno razlikujejo v smislu vrste zahtev, njihove ravni podrobnosti in metode nadzora. Te razlike povzročajo dodatne stroške in ustvarjajo težave za subjekte, ki blago ali storitve ponujajo čez meje. Zahteve, ki jih naloži ena država članica in ki se razlikujejo od zahtev, ki jih naloži druga država članica, ali so celo v nasprotju z njimi, lahko bistveno vplivajo na takšne čezmejne dejavnosti. Poleg tega bo možnost neustreznega oblikovanja ali izvajanja zahtev glede kibernetske varnosti v eni državi članici verjetno vplivala na raven kibernetske varnosti drugih držav članic, zlasti glede na intenzivnost čezmejnih izmenjav. Pregled Direktive (EU) 2016/1148 je pokazal velike razlike v njenem izvajanju v državah članicah, tudi v zvezi z njenim področjem uporabe, katerega razmejitev je bila v zelo veliki meri prepuščena presoji držav članic. Direktiva (EU) 2016/1148 je državam članicam zagotovila tudi zelo široko polje proste presoje, kar zadeva izvajanje obveznosti glede varnosti in poročanja o incidentih, določenih v Direktivi. Te obveznosti so se zato na nacionalni ravni izvajale na zelo različne načine. Podobne razlike obstajajo pri izvajanju določb Direktive (EU) 2016/1148 o nadzoru in izvrševanju.

(5)

Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih ukrepov. Navsezadnje bi lahko te razlike privedle do večje ranljivosti nekaterih držav članic za kibernetske grožnje, kar bi lahko povzročilo učinke prelivanja po vsej Uniji. Cilj te direktive je odpraviti tovrstne velike razlike med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v vsaki državi članici, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in izvršilnih ukrepov, ki so ključni za učinkovito izvrševanje teh obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo.

(6)

Z razveljavitvijo Direktive (EU) 2016/1148 bi bilo treba področje uporabe po sektorjih razširiti na večji del gospodarstva, da bi se zagotovila celovita pokritost sektorjev in storitev, ki so bistvenega pomena za ključne družbene in gospodarske dejavnosti na notranjem trgu. Cilj te direktive je zlasti odpraviti pomanjkljivosti razlikovanja med izvajalci bistvenih storitev in ponudniki digitalnih storitev, ki se je izkazalo za zastarelo, saj ne odraža pomena sektorjev ali storitev za družbene in gospodarske dejavnosti na notranjem trgu.

(7)

Na podlagi Direktive (EU) 2016/1148 so bile države članice odgovorne za določitev subjektov, ki izpolnjujejo merila, na podlagi katerih se štejejo za izvajalce bistvenih storitev. Za odpravo velikih razlik med državami članicami v zvezi s tem in zagotovitev pravne varnosti v zvezi z ukrepi kibernetske varnosti za obvladovanje tveganja in obveznosti poročanja za vse ustrezne subjekte bi bilo treba določiti enotno merilo, ki bi določalo, kateri subjekti spadajo na področje uporabe te direktive. To merilo bi moralo vključevati uporabo pravila omejitve velikosti, v skladu s katerim na področje uporabe te direktive spadajo vsi subjekti, ki se na podlagi člena 2 Priloge k Priporočilu Komisije 2003/361/ES (5) štejejo za srednja podjetja, ali presegajo zgornje meje za srednja podjetja iz odstavka 1 navedenega člena, in ki delujejo v sektorjih in opravljajo vrste storitev ali izvajajo dejavnosti, zajete s to direktivo. Države članice bi morale tudi zagotoviti, da na področje uporabe te direktive spadajo nekatera mala podjetja in mikropodjetja, kot so opredeljena v členu 2(2) in (3) navedene priloge, ki izpolnjujejo posebna merila, ki kažejo na ključno vlogo za družbo, gospodarstvo ali za določene sektorje ali vrste storitev.

(8)

Izključitev subjektov javne uprave s področja uporabe te direktive bi morala veljati za subjekte, katerih dejavnosti se večinoma izvajajo na področjih nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preprečevanjem, preiskovanjem, odkrivanjem in pregonom kaznivih dejanj. Vendar subjekti javne uprave, katerih dejavnosti so le obrobno povezane s temi področji, ne bi smeli biti izključeni s področja uporabe te direktive. Za namene te direktive se za subjekte z regulativno pristojnostjo ne šteje, da opravljajo dejavnosti na področju kazenskega pregona, in zato iz tega razloga niso izključeni s področja uporabe te direktive. Subjekti javne uprave, ki so ustanovljeni skupaj s tretjo državo v skladu z mednarodnim sporazumom, so izključeni s področja uporabe te direktive. Ta direktiva se ne uporablja za diplomatska in konzularna predstavništva držav članic v tretjih državah ali za njihove omrežne in informacijske sisteme, če so ti sistemi v prostorih predstavništva ali če delujejo za uporabnike v tretji državi.

(9)

Države članice bi morale imeti možnost, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese nacionalne varnosti, javni red in javno varnost ter omogočijo preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj. V ta namen bi morale imeti države članice možnost, da posebne subjekte, ki izvajajo dejavnosti na področjih nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preprečevanjem, preiskovanjem, odkrivanjem in pregonom kaznivih dejanj, izvzamejo iz določenih obveznosti iz te direktive v zvezi s temi dejavnostmi. Kadar subjekt opravlja storitve izključno za subjekt javne uprave, ki je izključen s področja uporabe te direktive, bi morale imeti države članice možnost, da ta subjekt izvzamejo iz določenih obveznosti iz te direktive v zvezi s temi storitvami. Poleg tega se od nobene države članice ne bi smelo zahtevati, da daje informacije, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene nacionalne varnosti, javne varnosti ali obrambe. V tem okviru bi bilo potrebno upoštevati pravila Unije ali nacionalna pravila za varovanje tajnih podatkov, sporazume o nerazkritju informacij in neuradne sporazume o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol). Semaforski protokol je treba razumeti kot sredstvo za zagotavljanje informacij o kakršnih koli omejitvah v zvezi z nadaljnjim širjenjem informacij. Uporablja se v skoraj vseh skupinah za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT) ter v nekaterih centrih za analizo in izmenjavo informacij.

(10)

Čeprav se ta direktiva uporablja za subjekte, ki opravljajo dejavnosti na področju proizvodnje električne energije v jedrskih elektrarnah, so nekatere od teh dejavnosti lahko povezane z nacionalno varnostjo. V primeru, da je temu tako, bi morala imeti država članica možnost, da uveljavlja svojo odgovornost za zaščito svoje nacionalne varnosti v zvezi s temi dejavnostmi, vključno z dejavnostmi znotraj jedrske vrednostne verige, v skladu s Pogodbama.

(11)

Nekateri subjekti izvajajo dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preprečevanjem, preiskovanjem, odkrivanjem in pregonom kaznivih dejanj, hkrati pa zagotavljajo storitve zaupanja. Ponudniki storitev zaupanja, ki spadajo na področje uporabe Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta (6), bi morali spadati na področje uporabe te direktive, da se zagotovi enaka raven varnostnih zahtev in nadzora, kot je bila poprej v zvezi s ponudniki storitev zaupanja predpisana v navedeni uredbi. Skladno z izključitvijo nekaterih posebnih storitev iz Uredbe (EU) št. 910/2014 se ta uredba ne bi smela uporabljati za zagotavljanje storitev zaupanja, ki se uporabljajo izključno znotraj zaprtih sistemov, ki obstajajo na podlagi nacionalnega prava ali sporazumov med določeno skupino udeležencev.

(12)

Ponudniki poštnih storitev, kot so opredeljeni v Direktivi 97/67/ES Evropskega parlamenta in Sveta (7), vključno s ponudniki kurirskih storitev, bi morali biti predmet te direktive, če zagotavljajo vsaj en korak v verigi poštne dostave, zlasti sprejem, usmerjanje, prevoz ali dostavo poštnih pošiljk, vključno s storitvami prevzema, ob upoštevanju stopnje njihove odvisnosti od omrežnih in informacijskih sistemov. Storitve prenosa, ki se ne izvajajo v povezavi z enim od teh korakov, bi bilo treba izključiti iz obsega poštnih storitev.

(13)

Glede na okrepitev in večjo izpopolnjenost kibernetskih groženj bi si morale države članice prizadevati zagotoviti, da subjekti, ki so izključeni s področja uporabe te direktive, dosežejo visoko raven kibernetske varnosti, in podpirati izvajanje enakovrednih ukrepov za obvladovanje tveganj za kibernetsko varnost, ki odražajo občutljivo naravo teh subjektov.

(14)

Pravo Unije o varstvu podatkov in pravo Unije o zasebnosti se uporablja za vsakršno obdelavo osebnih podatkov na podlagi te direktive. Ta direktiva zlasti ne posega v Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta (8) ter Direktivo 2002/58/ES Evropskega parlamenta in Sveta (9). Ta direktiva zato med drugim ne bi smela vplivati na naloge in pooblastila organov, pristojnih za spremljanje skladnosti z veljavnim pravom Unije o varstvu podatkov in pravom Unije o zasebnosti.

(15)

Subjekti, ki spadajo na področje uporabe te direktive za namene izpolnjevanja ukrepov za obvladovanje tveganj za kibernetsko varnost in obveznosti poročanja, bi morali biti razvrščeni v dve kategoriji, in sicer bistvene in pomembne subjekte, ki bi odražali, v kolikšni meri so kritični glede na sektor ali vrsto storitev, ki jih zagotavljajo, ter na njihovo velikost. V zvezi s tem bi bilo treba po potrebi ustrezno upoštevati vse ustrezne sektorske ocene tveganja ali usmeritve pristojnih organov. Pri teh dveh kategorijah subjektov bi bilo treba razlikovati med ureditvijo nadzora in ureditvijo izvrševanja, da bi se zagotovilo ustrezno ravnovesje med zahtevami na podlagi tveganj in obveznostmi na eni strani ter upravnim bremenom, ki izhaja iz nadzora nad izpolnjevanjem zahtev in obveznosti, na drugi strani.

(16)

Da bi se preprečilo, da bi se subjekti, ki imajo partnerska podjetja ali so povezana podjetja, šteli za bistvene ali pomembne subjekte, kadar bi bilo to nesorazmerno, lahko države članice pri uporabi člena 6(2) Priloge k Priporočilu 2003/361/ES upoštevajo stopnjo neodvisnosti, ki jo ima subjekt v razmerju do svojih partnerskih ali povezanih podjetij. Države članice lahko zlasti upoštevajo, da je subjekt neodvisen od svojega partnerja ali povezanih podjetij, kar zadeva omrežne in informacijske sisteme, ki jih ta subjekt uporablja pri opravljanju svojih storitev, in storitev, ki jih subjekt opravlja. Na podlagi tega lahko države članice po potrebi štejejo, da tak subjekt ne izpolnjuje pogojev za srednje podjetje na podlagi člena 2 Priloge k Priporočilu 2003/361/ES ali ne presega zgornjih mej za srednje podjetje iz odstavka 1 navedenega člena, če bi se ob upoštevanju stopnje neodvisnosti tega subjekta zanj štelo, da ne izpolnjuje pogojev za srednje podjetje ali da presega navedene zgornje meje, če bi se upoštevali samo njegovi podatki. To ne vpliva na obveznosti iz te direktive za partnerska in povezana podjetja, ki spadajo na področje uporabe te direktive.

(17)

Države članice bi morale imeti možnost, da se odločijo, da se subjekti, ki so bili pred začetkom veljavnosti te direktive določeni kot izvajalci bistvenih storitev v skladu z Direktivo (EU) 2016/1148, štejejo za bistvene subjekte.

(18)

Za zagotovitev jasnega pregleda subjektov, ki spadajo na področje uporabe te direktive, bi morale države članice oblikovati seznam bistvenih in pomembnih subjektov, kot tudi subjektov, ki opravljajo storitve registracije domenskih imen. V ta namen bi morale države članice od subjektov zahtevati, da pristojnim organom predložijo vsaj naslednje informacije, in sicer ime, naslov in ažurne kontaktne podatke, vključno z naslovi elektronske pošte, bloki naslovov IP in telefonskimi številkami subjekta, ustrezni sektor in podsektor iz prilog, kadar je to primerno, po potrebi pa tudi seznam držav članic, v katerih opravljajo storitve, ki spadajo na področje uporabe te direktive. V ta namen bi morala Komisija ob pomoči Agencije Evropske unije za kibernetsko varnost (ENISA) brez nepotrebnega odlašanja sprejeti smernice in obrazce v zvezi z obveznostjo predložitve informacij. Za lažje oblikovanje in posodabljanje seznama bistvenih in pomembnih subjektov, kot tudi subjektov, ki opravljajo storitve registracije domenskih imen, bi morale imeti države članice možnost, da vzpostavijo nacionalne mehanizme za registracijo subjektov. Če obstajajo registri na nacionalni ravni, se lahko države članice odločijo o ustreznih mehanizmih, ki omogočajo identifikacijo subjektov, ki spadajo na področje uporabe te direktive.

(19)

Države članice bi morale biti odgovorne, da Komisiji predložijo vsaj število bistvenih in pomembnih subjektov za vsak sektor in podsektor iz prilog ter ustrezne informacije o številu identificiranih subjektov in določbi iz te direktive, na podlagi katere so bili identificirani, ter o vrsti storitve, ki jo zagotavljajo. Države članice se spodbuja, da si s Komisijo izmenjujejo informacije o bistvenih in pomembnih subjektih ter v primeru kibernetskega incidenta velikih razsežnosti ustrezne informacije, kot je ime zadevnega subjekta.

(20)

Komisija bi morala v sodelovanju s skupino za sodelovanje in po posvetovanju z ustreznimi deležniki določiti smernice o izvajanju meril, ki se uporabljajo za ocenjevanje, ali mikropodjetja in mala podjetja spadajo na področje uporabe te direktive. Komisija bi morala pripraviti tudi ustrezne smernice za vsa mikropodjetja in mala podjetja, ki spadajo na področje uporabe ta direktive. Komisija bi morala ob pomoči držav članic mikropodjetjem in malim podjetjem dati na voljo informacije v zvezi s tem.

(21)

Komisija bi lahko zagotovila navodila, da bi državam članicam pomagala pri izvajanju določb te direktive glede področja uporabe in pri oceni sorazmernosti ukrepov, ki se sprejmejo na podlagi te direktive, zlasti za subjekte z zapletenimi poslovnimi modeli ali delovnimi okolji, pri čemer lahko subjekt hkrati izpolnjuje merila, dodeljena tako bistvenim kot pomembnim subjektom, ali hkrati izvaja dejavnosti, od katerih nekatere spadajo na področje uporabe te direktive, druge pa so z njega izključene.

(22)

Ta direktiva določa izhodišče za ukrepe za obvladovanje tveganj za kibernetsko varnost in obveznosti poročanja v sektorjih, ki spadajo na njeno področje uporabe. Da bi se preprečila razdrobljenost določb pravnih aktov Unije o kibernetski varnosti, bi morala Komisija, kadar se šteje, da so za zagotavljanje visoke ravni kibernetske varnosti po vsej Uniji potrebni nadaljnji sektorski pravni akti Unije glede ukrepov za obvladovanje tveganj za kibernetsko varnost in obveznosti poročanja, oceniti, ali bi se takšne nadaljnje določbe lahko določile v izvedbenem aktu na podlagi te direktive. Če takšen izvedbeni akt ne bi bil primeren za to, bi sektorski pravni akti Unije lahko prispevali k zagotavljanju visoke ravni kibernetske varnosti po vsej Uniji, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Zato ta direktiva ne izključuje sprejetja nadaljnjih sektorskih pravnih aktov Unije, ki bi obravnavali ukrepe za obvladovanje tveganj za kibernetsko varnost in obveznosti poročanja ter pri katerih bi se ustrezno upoštevala potrebo po celovitem in doslednem okviru za kibernetsko varnost. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometom in energetiko.

(23)

Kadar sektorski pravni akti Unije vsebuje določbe, ki zahtevajo, da bistveni ali pomembni subjekti sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost ali da priglasijo pomembne incidente, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz te direktive, bi se morale te določbe, tudi tiste o nadzoru in izvrševanju, uporabljati za take subjekte. Če sektorski pravni akt Unije ne zajema vseh subjektov v določenem sektorju, ki spadajo na področje uporabe te direktive, bi se morale ustrezne določbe te direktive še naprej uporabljati za subjekte, ki jih ta akt ne zajema.

(24)

Kadar določbe sektorskega pravnega akta Unije od bistvenih ali pomembnih subjektov zahtevajo, da izpolnjujejo obveznosti poročanja, ki imajo vsaj enakovreden učinek kot obveznosti poročanja iz te direktive, bi bilo treba zagotoviti skladnost in učinkovitost pri obravnavi priglasitev incidentov. V ta namen bi morale določbe sektorskega pravnega akta Unije v zvezi s priglasitvijo incidentov skupinam CSIRT, pristojnim organom ali enotnim kontaktnim točkam za kibernetsko varnost (v nadaljnjem besedilu: enotna kontaktna točka) na podlagi te direktive zagotavljati takojšen dostop do priglasitev incidentov, ki se predložijo v skladu s sektorskim pravnim aktom Unije. Tak takojšen dostop se lahko zagotovi zlasti, če se priglasitve incidentov brez nepotrebnega odlašanja posredujejo skupini CSIRT, pristojnemu organu ali enotni kontaktni točki iz te direktive. Države članice bi morale po potrebi vzpostaviti mehanizem samodejnega in neposrednega poročanja, ki bi v zvezi z obravnavo takih priglasitev incidentov zagotavljal sistematično in takojšnjo izmenjavo informacij s skupinami CSIRT, pristojnimi organi ali enotno kontaktno točko. Za namene poenostavitve poročanja in izvajanja mehanizma samodejnega in neposrednega poročanja bi lahko države članice v skladu s sektorskim pravnim aktom Unije uporabile enotno vstopno točko.

(25)

V sektorskih pravnih aktih Unije, ki predpisujejo ukrepe za obvladovanje tveganj za kibernetsko varnost ali obveznosti poročanja, ki so po učinku vsaj enakovredni tistim iz te direktive, bi se lahko določilo, da pristojni organi iz tovrstnih aktov izvajajo svoja nadzorna in izvršilna pooblastila v zvezi s takšnimi ukrepi ali obveznostmi s pomočjo pristojnih organov iz te direktive. Zadevni pristojni organi bi lahko v ta namen sklenili dogovore o sodelovanju. V takšnih dogovorih o sodelovanju bi se lahko med drugim določili postopki za usklajevanje nadzornih dejavnosti, vključno s postopki preiskav in inšpekcijskih pregledov na kraju samem v skladu z nacionalnim pravom, ter mehanizem za izmenjavo relevantnih informacij o nadzoru in izvrševanju med pristojnimi organi, vključno z dostopom do informacij v zvezi s kibernetsko varnostjo, ki jih zahtevajo pristojni organi iz te direktive.

(26)

Kadar se v sektorskih pravnih aktih Unije od subjektov zahteva ali se jih spodbuja, da priglasijo pomembne kibernetske grožnje, bi morale države članice spodbujati tudi izmenjavo pomembnih kibernetskih groženj s skupinami CSIRT, pristojnimi organi ali enotnimi kontaktnimi točkami na podlagi te direktive, da bi se zagotovila višja raven ozaveščenosti teh organov o splošni kibernetski ogroženosti ter se jim omogočil učinkovit in pravočasen odziv, če bi se pomembne kibernetske grožnje uresničile.

(27)

V nadaljnjih sektorskih pravnih aktih Unije bi se morali ustrezno upoštevati opredelitve ter nadzorni in izvršilni okvir iz te direktive.

(28)

Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta (10) bi se morala šteti za sektorski pravni akt Unije v zvezi s to direktivo, kar zadeva finančne subjekte. Določbe Uredbe (EU) 2022/2554 v zvezi z ukrepi za obvladovanje tveganj na področju informacijske in komunikacijske tehnologije (IKT), obvladovanjem incidentov, povezanih z IKT, in zlasti poročanjem o večjih incidentih, povezanih z IKT, kot tudi testiranjem digitalne operativne odpornosti, dogovori o izmenjavi informacij in tveganjem tretjih oseb na področju IKT bi se morale uporabljati namesto določb te direktive. Države članice zato ne bi smele uporabljati določb te direktive o obvladovanju tveganj za kibernetsko varnost in obveznostih poročanja ter nadzoru in izvrševanju za finančne subjekte, zajete z Uredbo (EU) 2022/2554. Hkrati je pomembno ohranjati tesno povezavo in izmenjavo informacij s finančnim sektorjem na podlagi te direktive. V ta namen Uredba (EU) 2022/2554 evropskim nadzornim organom in pristojnim organom iz navedene uredbe omogoča, da sodelujejo pri dejavnostih skupine za sodelovanje ter si izmenjujejo informacije in sodelujejo z enotnimi kontaktnimi točkami, kot tudi s skupinami CSIRT in pristojnimi organi iz te direktive. Pristojni organi iz Uredbe (EU) 2022/2554 bi morali podrobnosti o večjih incidentih, povezanih z IKT, in po potrebi pomembnih kibernetskih grožnjah posredovati tudi skupinam CSIRT, pristojnim organom ali enotnim kontaktnim točkam iz te direktive. To je mogoče doseči z zagotovitvijo takojšnjega dostopa do priglasitev incidentov in njihovega posredovanja neposredno ali prek enotne vstopne točke. Poleg tega bi morale države članice še naprej vključevati finančni sektor v svoje strategije za kibernetsko varnost, skupine CSIRT pa lahko vključijo finančni sektor v svoje dejavnosti.

(29)

V izogib vrzelim ali podvajanju obveznosti glede kibernetske varnosti, ki veljajo za subjekte v letalskem sektorju, bi morali nacionalni organi iz uredb (ES) št. 300/2008 (11) in (EU) 2018/1139 (12) Evropskega parlamenta in Sveta ter pristojni organi iz te direktive sodelovati pri izvajanju ukrepov za obvladovanje tveganj za kibernetsko varnost in nadzoru spoštovanja teh ukrepov na nacionalni ravni. Pristojni organi iz te direktive bi lahko skladnost subjekta z varnostnimi zahtevami iz uredb (ES) št. 300/2008 in (EU) 2018/1139 ter iz ustreznih delegiranih in izvedbenih aktov, sprejetih na podlagi navedenih uredb, šteli za skladnost z ustreznimi zahtevami iz te direktive.

(30)

Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) 2022/2557 Evropskega parlamenta in Sveta (13) in to direktivo. Za dosego tega bi se morali subjekti, ki so identificirani kot kritični na podlagi Direktive (EU) 2022/2557, šteti za bistvene subjekte iz te direktive. Poleg tega bi morala vsaka država članica zagotoviti, da njena nacionalna strategija za kibernetsko varnost določa okvir politike za okrepljeno usklajevanje v tej državi članici med njenimi pristojnimi organi iz te direktive in pristojnimi organi iz Direktive (EU) 2022/2557 v okviru izmenjave informacij o tveganjih, kibernetskih grožnjah in incidentih, pa tudi o nekibernetskih tveganjih, grožnjah in incidentih, ter izvajanja nadzornih nalog. Pristojni organi iz te direktive in pristojni organi iz Direktive (EU) 2022/2557 bi morali sodelovati in si brez nepotrebnega odlašanja izmenjevati informacije, zlasti v zvezi z identifikacijo kritičnih subjektov, tveganji, kibernetskimi grožnjami in incidenti, pa tudi v zvezi z nekibernetskimi tveganji, grožnjami in incidenti, ki vplivajo na kritične subjekte, vključno z ukrepi za kibernetsko varnost in fizičnimi ukrepi, ki jih sprejmejo kritični subjekti, kot tudi rezultati nadzornih dejavnosti, opravljenih v zvezi s takšnimi subjekti.

Poleg tega bi si morali pristojni organi za racionalizacijo nadzornih dejavnosti med pristojnimi organi iz te direktive in pristojni organi iz Direktive (EU) 2022/2557 in za zmanjšanje upravnega bremena za zadevne subjekte prizadevati za harmonizacijo predlog za priglasitev incidentov in nadzornih postopkov. Kadar je ustrezno, bi morali imeti pristojni organi iz Direktive (EU) 2022/2557 možnost, da od pristojnih organov iz te direktive zahtevajo, da izvajajo nadzorna in izvršilna pooblastila v zvezi s subjektom, ki je identificiran kot kritičen subjekt iz Direktive (EU) 2022/2557. Pristojni organi iz te direktive in pristojni organi iz Direktive (EU) 2022/2557 bi morali v ta namen sodelovati in si izmenjevati informacije, po možnosti v realnem času.

(31)

Subjekti, ki spadajo v sektor digitalne infrastrukture, v bistvu temeljijo na omrežnih in informacijskih sistemih, zato bi morale obveznosti, ki se tem subjektom nalagajo na podlagi te direktive, celovito obravnavati fizično varnost takšnih sistemov kot del njihovih ukrepov obvladovanja tveganj za kibernetsko varnost in obveznosti poročanja. Ker so te zadeve zajete v tej direktivi, se obveznosti iz poglavij III, IV in VI Direktive (EU) 2022/2557 ne uporabljajo za takšne subjekte.

(32)

Podpiranje in ohranjanje zanesljivega, odpornega in varnega sistema domenskih imen (DNS) sta ključna dejavnika pri ohranjanju celovitosti interneta ter bistvena za njegovo neprekinjeno in stabilno delovanje, od katerega sta odvisna digitalno gospodarstvo in družba. Zato bi se morala ta direktiva uporabljati za registre vrhnjih domenskih imen (TLD) in ponudnike storitev DNS, ki bi se morali šteti za subjekte, ki zagotavljajo javno dostopne storitve rekurzivnega razreševanja domenskih imen za končne uporabnike interneta ali storitve avtoritativnega razreševanja domenskih imen, ki jih uporabljajo tretje strani. Ta direktiva se ne bi smela uporabljati za korenske imenske strežnike.

(33)

Storitve računalništva v oblaku bi morale zajemati digitalne storitve, ki omogočajo upravljanje na zahtevo in širok oddaljeni dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov, tudi kadar so ti viri porazdeljeni na več lokacijah. Računalniški viri vključujejo vire, kot so omrežja, strežniki ali druga infrastruktura, operacijski sistemi, programska oprema, pomnilniki, aplikacije in storitve. Modeli storitev računalništva v oblaku med drugim vključujejo infrastrukturo kot storitev (IaaS), platformo kot storitev (PaaS), programsko opremo kot storitev (SaaS) in omrežje kot storitev (NaaS). Modeli uvajanja računalništva v oblaku bi morali vključevati zasebni, skupnostni, javni in hibridni oblak. Storitev računalništva v oblaku in modeli uvajanja imajo enak pomen kot izrazi za storitve in modele uvajanja, opredeljeni v standardu ISO/IEC 17788:2014. Zmožnost uporabnika računalništva v oblaku, da enostransko samostojno zagotavlja računalniške zmogljivosti, kot je čas strežnika ali omrežno shranjevanje, brez kakršne koli človeške interakcije ponudnika računalništva v oblaku, bi bilo mogoče opisati kot upravljanje na zahtevo.

Izraz „širok oddaljeni dostop“ se uporablja za opis, da se zmogljivosti oblaka zagotavljajo prek omrežja in da se do njih dostopa z mehanizmi, ki spodbujajo uporabo raznolikih platform tankih in debelih odjemalcev, vključno z mobilnimi telefoni, tablicami, prenosniki in delovnimi postajami. Izraz „prožen“ se nanaša na računalniške vire, ki jih ponudnik storitev v oblaku prilagodljivo dodeljuje, ne glede na geografsko lokacijo virov, da bi se tako lahko odzvali na spremembe v povpraševanju. Izraz „prilagodljiv nabor“ opisuje računalniške vire, ki se zagotavljajo in sproščajo glede na povpraševanje, da bi se tako število razpoložljivih virov hitro povečalo ali zmanjšalo, odvisno od delovne obremenitve. Izraz „deljivi“ opisuje računalniške vire, ki se zagotavljajo več uporabnikom, ki imajo skupen dostop do storitve, vendar obdelava poteka ločeno za vsakega uporabnika, čeprav se storitev zagotavlja z isto elektronsko opremo. Izraz „porazdeljeni“ se uporablja za opis računalniških virov, ki so na različnih omrežnih računalnikih ali napravah ter ki medsebojno komunicirajo in se usklajujejo z izmenjevanjem sporočil.

(34)

Zaradi pojava inovativnih tehnologij in novih poslovnih modelov se pričakuje, da se bodo na notranjem trgu pojavili nove storitve računalništva v oblaku in novi modeli uvajanja v odziv na razvijajoče se potrebe strank. V tem okviru se lahko storitve računalništva v oblaku zagotavljajo v zelo porazdeljeni obliki, še bližje lokaciji, kjer se podatki pridobivajo ali zbirajo, kar pomeni premik s tradicionalnega modela na zelo porazdeljen model (računalništvo na robu).

(35)

Storitve, ki jih ponujajo ponudniki storitev podatkovnih centrov, se morda ne zagotavljajo vedno v obliki storitve računalništva v oblaku. Zato podatkovni centri morda niso vedno del infrastrukture računalništva v oblaku. Za obvladovanje vseh tveganj za varnost omrežnih in informacijskih sistemov bi morala ta direktiva torej zajemati ponudnike storitev podatkovnih centrov, ki niso storitve računalništva v oblaku. V tej direktivi bi moral izraz „storitev podatkovnega centra“ zajemati opravljanje storitve, ki vključuje strukture ali skupine struktur, namenjene centralizirani namestitvi, medsebojnemu povezovanju in delovanju opreme za informacijsko tehnologijo (IT) in omrežne opreme, za shranjevanje, obdelavo in prenos podatkov skupaj z vsemi zmogljivostmi in infrastrukturami za distribucijo električne energije in okoljski nadzor. Izraz „storitev podatkovnega centra“ se ne bi smel nanašati na podatkovne centre v podjetjih, ki so v lasti zadevnega subjekta in jih ta upravlja za lastne namene.

(36)

Raziskovalne dejavnosti imajo ključno vlogo pri razvijanju novih proizvodov in postopkov. Številne od teh dejavnosti izvajajo subjekti, ki delijo, razširjajo ali izkoriščajo rezultate svojih raziskav v komercialne namene. Ti subjekti so zato lahko pomembni akterji v vrednostnih verigah, zato je varnost njihovih omrežnih in informacijskih sistemov sestavni del splošne kibernetske varnosti notranjega trga. Raziskovalne organizacije bi bilo treba razumeti tako, da vključujejo subjekte, ki bistveni del svojih dejavnosti namenjajo izvajanju uporabnih raziskav ali eksperimentalnega razvoja v smislu Frascatskega priročnika Organizacije za gospodarsko sodelovanje in razvoj iz leta 2015: Smernice za zbiranje in sporočanje podatkov o raziskavah in razvoju, da bi izkoristile njihove rezultate v komercialne namene, kot sta proizvodnja ali razvoj izdelka ali postopka, zagotavljanje storitve ali njihovo trženje.

(37)

Vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih, kot so energetika, promet, digitalna infrastruktura, pitna in odpadna voda, zdravje, nekateri vidiki javne uprave ter vesolje, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenega vesoljskega programa. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Okrepljeni kibernetski napadi med pandemijo COVID-19 so razkrili ranljivost vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.

(38)

Glede na razlike v nacionalnih strukturah upravljanja in zaradi varovanja že obstoječih sektorskih dogovorov ali nadzornih in regulativnih organov Unije bi morale imeti države članice možnost, da imenujejo ali ustanovijo enega ali več pristojnih organov, odgovornih za kibernetsko varnost ter za nadzorne naloge na podlagi te direktive.

(39)

Za zagotavljanje lažjega čezmejnega sodelovanja in komunikacije med organi ter za učinkovito izvajanje te direktive je nujno, da vsaka država članica imenuje enotno kontaktno točko, odgovorno za usklajevanje vprašanj v zvezi z varnostjo omrežnih in informacijskih sistemov ter za čezmejno sodelovanje na ravni Unije.

(40)

Enotne kontaktne točke bi morale zagotavljati učinkovito čezmejno sodelovanje z ustreznimi organi drugih držav članic ter po potrebi s Komisijo in ENISA. Enotne kontaktne točke bi zato morale biti zadolžene za posredovanje priglasitev pomembnih incidentov s čezmejnim vplivom enotnim kontaktnim točkam drugih prizadetih držav članic na zahtevo skupine CSIRT ali pristojnega organa. Na nacionalni ravni bi morale enotne kontaktne točke omogočati nemoteno medsektorsko sodelovanje z drugimi pristojnimi organi. Enotne kontaktne točke bi tudi lahko prejemale ustrezne informacije o incidentih v zvezi s finančnimi subjekti od pristojnih organov iz Uredbe (EU) 2022/2554, ki bi jih morale biti sposobne posredovati, kakor je ustrezno, skupinam CSIRT ali ustreznim pristojnim nacionalnim organom iz te direktive.

(41)

Države članice bi morale imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje in odkrivanje incidentov in tveganj, odzivanje nanje in okrevanje po njih ter za ublažitev njihovih vplivov. Zato bi morale države članice v skladu s to direktivo ustanoviti ali imenovati eno ali več skupin CSIRT ter zagotoviti, da imajo ustrezna sredstva in tehnične zmogljivosti. Skupine CSIRT bi morale izpolnjevati zahteve iz te direktive, da bi se zagotovile učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj ter zagotovilo učinkovito sodelovanje na ravni Unije. Države članice bi morale imeti možnost, da kot skupine CSIRT določijo obstoječe skupine za odzivanje na računalniške grožnje (skupine CERT). Za okrepitev odnosa zaupanja med subjekti in skupinami CSIRT, kadar je skupina CSIRT del pristojnega organa, bi morale imeti države članice možnost, da razmislijo o funkcionalnem ločevanju med operativnimi nalogami, ki jih opravljajo skupine CSIRT, zlasti v zvezi z izmenjavo informacij in podporo, ki se nudi subjektom, in nadzornimi dejavnostmi pristojnih organov.

(42)

Skupine CSIRT so zadolžene za obvladovanje incidentov. To vključuje obdelavo velikih količin podatkov, ki so včasih občutljivi. Države članice bi morale zagotoviti, da imajo skupine CSIRT infrastrukturo za izmenjavo in obdelavo informacij ter ustrezno opremljeno osebje, ki zagotavlja zaupnost in zanesljivost njihovih dejavnosti. Skupine CSIRT bi lahko v zvezi s tem sprejele tudi kodekse ravnanja.

(43)

Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 na zahtevo bistvenega ali pomembnega subjekta, zagotovijo proaktivni pregled omrežnih in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjekta. Kadar je to primerno, bi si morale države članice prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice bi morale imeti možnost, da pri oblikovanju svojih skupin CSIRT zaprosijo za pomoč ENISA.

(44)

Skupine CSIRT bi morale imeti možnost, da na zahtevo bistvenega ali pomembnega subjekta spremljajo njegova sredstva, povezana z internetom, tako v njegovih prostorih kot drugje, da bi prepoznale, razumele in obvladale splošna organizacijska tveganja za subjekt, kar zadeva na novo odkrite grožnje v dobavni verigi ali kritične ranljivosti. Subjekt bi bilo treba spodbujati, naj skupini CSIRT sporoči, ali uporablja privilegirani upravljalni vmesnik, saj bi to lahko vplivalo na hitrost sprejemanja ublažitvenih ukrepov.

(45)

Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja. Zato bi morali imeti skupine CSIRT in pristojni organi za namene opravljanja svojih nalog možnost, da izmenjujejo informacije, vključno z osebnimi podatki, z nacionalnimi skupinami za odzivanje na incidente na področju računalniške varnosti ali pristojnimi organi tretjih držav, če so izpolnjeni pogoji iz prava Unije o varstvu podatkov za prenose osebnih podatkov tretjim državam, med drugim pogoji iz člena 49 Uredbe (EU) 2016/679.

(46)

Bistveno je zagotoviti ustrezna sredstva za doseganje ciljev te direktive in pristojnim organom in skupinam CSIRT omogočiti izvajanje nalog, predpisanih v tej direktivi. Države članice lahko na nacionalni ravni uvedejo mehanizem financiranja za kritje potrebnih odhodkov, povezanih z izvajanjem nalog javnih subjektov, odgovornih za kibernetsko varnost v državi članici v skladu s to direktivo. Tak mehanizem bi moral biti skladen s pravom Unije ter sorazmeren in nediskriminatoren ter bi moral upoštevati različne pristope k zagotavljanju varnih storitev.

(47)

Mreža skupin CSIRT bi morala še naprej prispevati h krepitvi zaupanja ter spodbujati hitro in učinkovito operativno sodelovanje med državami članicami. Za okrepitev operativnega sodelovanja na ravni Unije bi morala mreža skupin CSIRT razmisliti o tem, da bi k sodelovanju pri svojem delu povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot je Europol.

(48)

Za doseganje in ohranjanje visoke ravni kibernetske varnosti bi morale biti nacionalne strategije za kibernetsko varnost, ki se zahtevajo na podlagi te direktive, sestavljene iz skladnih okvirov, ki določajo strateške cilje in prednostne naloge na področju kibernetske varnosti in upravljanja za njihovo doseganje. Te strategije lahko sestavlja eden ali več zakonodajnih ali nezakonodajnih instrumentov.

(49)

Politike kibernetske higiene predstavljajo temelje za zaščito varnosti infrastruktur omrežnih in informacijskih sistemov, strojne opreme, programske opreme in spletnih aplikacij ter poslovnih podatkov ali podatkov končnih uporabnikov, ki jih subjekti uporabljajo. Politike kibernetske higiene zajemajo skupni izhodiščni nabor praks, vključno s posodobitvijo programske in strojne opreme, menjavanjem gesel, upravljanjem novih namestitev, omejevanjem računov s skrbniško ravnjo dostopa in varnostnim kopiranjem podatkov, omogočanjem proaktivnega okvira pripravljenosti ter splošno varnostjo in zaščito v primeru incidentov ali kibernetskih groženj. ENISA bi morala spremljati in analizirati politike kibernetske higiene držav članic.

(50)

Ozaveščenost o kibernetski varnosti in kibernetska higiena sta bistveni za izboljšanje ravni kibernetske varnosti v Uniji, zlasti glede na vse večje število povezanih naprav, ki se vse pogosteje uporabljajo pri kibernetskih napadih. Prizadevati bi si bilo treba za izboljšanje splošne ozaveščenosti o tveganjih, povezanih s takimi napravami, ocene na ravni Unije pa bi lahko pomagale zagotoviti enotno razumevanje takih tveganj na notranjem trgu.

(51)

Države članice bi morale spodbujati uporabo vseh inovativnih tehnologij, tudi umetne inteligence, katerih uporaba bi lahko izboljšala odkrivanje in preprečevanje kibernetskih napadov, kar bi omogočilo učinkovitejšo preusmeritev sredstev proti kibernetskim napadom. Zato bi morale države članice v svojih nacionalnih strategijah za kibernetsko varnost spodbujati dejavnosti na področju raziskav in razvoja, da bi olajšale uporabo teh tehnologij, zlasti tistih, ki zadevajo avtomatizirana ali polavtomatizirana orodja za kibernetsko varnost, in po potrebi izmenjave podatkov, potrebnih za usposabljanje uporabnikov take tehnologije in za njeno izboljšanje. Uporaba vsake inovativne tehnologije, tudi umetne inteligence, bi morala biti skladna s pravom Unije o varstvu podatkov, vključno z načeli varstva podatkov, in sicer točnost podatkov, minimizacija podatkov, pravičnost in preglednost, ter varnost podatkov, kot je najsodobnejše šifriranje. V celoti bi bilo treba izkoristiti zahteve glede vgrajenega in privzetega varstva podatkov, določene v Uredbi (EU) 2016/679.

(52)

Odprtokodna orodja in aplikacije za kibernetsko varnost lahko prispevajo k višji stopnji odprtosti in lahko pozitivno vplivajo na učinkovitost industrijskih inovacij. Odprti standardi omogočajo interoperabilnost med orodji za varnost in koristijo varnosti industrijskih deležnikov. Odprtokodna orodja in aplikacije za kibernetsko varnost lahko spodbudijo širšo skupnost razvijalcev, kar omogoča diverzifikacijo dobaviteljev. Odprta koda lahko vodi k preglednejšemu postopku preverjanja orodij, povezanih s kibernetsko varnostjo, in k procesu odkrivanja ranljivosti, ki ga vodi skupnost. Države članice bi zato morale imeti možnost, da spodbujajo uporabo odprtokodne programske opreme in odprtih standardov z izvajanjem politik v zvezi z uporabo odprtih podatkov in odprtih virov kot dela varnosti prek preglednosti. Politike za spodbujanje uvajanja in trajnostne uporabe odprtokodnih orodij in aplikacij za kibernetsko varnost so še posebej pomembne za mala in srednja podjetja, ki se soočajo z velikimi stroški izvajanja, ki bi jih bilo mogoče zmanjšati, če bi se zmanjšala potreba po točno določenih aplikacijah ali orodjih.

(53)

Javne dobrine so vse bolj povezane z digitalnimi omrežji v mestih za namene izboljšanja mestnih prometnih omrežij, nadgradnje infrastrukture za oskrbo z vodo in odlagališč odpadkov ter povečanja učinkovitost razsvetljave in ogrevanja stavb. Te digitalizirane javne dobrine so izpostavljene kibernetskim napadom in v primeru, da so ti uspešni, tvegajo, da zaradi njihove medsebojne povezanosti škodo utrpi veliko število državljanov. Države članice bi morale v okviru svojih nacionalnih strategij za kibernetsko varnost razviti politike, ki obravnavajo razvoj takih povezanih ali pametnih mest ter njihove morebitne učinke na družbo.

(54)

V zadnjih letih se je v Uniji eksponentno povečalo število napadov z izsiljevalskim programjem, pri katerih zlonamerna programska oprema šifrira podatke in sisteme ter za njihovo sprostitev zahteva plačilo odkupnine. Vse pogostejši in hujši napadi z izsiljevalskim programjem so lahko posledica več dejavnikov, kot so različni vzorci napadov, kriminalni poslovni modeli v zvezi z „izsiljevalskim programjem kot storitvijo“ in kriptovalutami, zahteve po odkupninah in porast napadov na dobavne verige. Države članice bi morale v okviru svojih nacionalnih strategij za kibernetsko varnost oblikovati politike za boj proti porastu napadov z izsiljevalskim programjem.

(55)

Javno-zasebna partnerstva na področju kibernetske varnosti lahko zagotovijo primeren okvir za izmenjavo znanja, širjenje dobrih praks in vzpostavitev skupne ravni razumevanja med deležniki. Države članice bi morale spodbujati politike, na katere se opira ustanavljanje javno-zasebnih partnerstev, ki se posebej ukvarjajo s kibernetsko varnostjo. Te politike bi morale med drugim jasno opredeliti področje uporabe in vključene deležnike, model upravljanja, razpoložljive možnosti financiranja in interakcijo med sodelujočimi deležniki, kar zadeva javno-zasebna partnerstva. Javno-zasebna partnerstva lahko izkoristijo strokovno znanje subjektov iz zasebnega sektorja za pomoč pristojnim organom pri razvijanju najsodobnejših storitev in procesov, vključno z izmenjavo informacij, zgodnjim opozarjanjem, vajami na področju kibernetskih groženj in incidentov, obvladovanjem kriz in načrtovanjem odpornosti.

(56)

Države članice bi morale v svojih nacionalnih strategijah za kibernetsko varnost obravnavati posebne potrebe malih in srednjih podjetij na področju kibernetske varnosti. Mala in srednja podjetja po vsej Uniji predstavljajo velik odstotek industrijskega in poslovnega trga ter se pogosto težje prilagajajo novim poslovnim praksam v bolj povezanem svetu in digitalnem okolju, v katerem zaposleni delajo od doma, poslovanje pa vse bolj poteka prek spleta. Nekatera mala in srednja podjetja se soočajo s posebnimi izzivi na področju kibernetske varnosti, kot so slaba kibernetska ozaveščenost, slaba informacijska varnost pri poslovanju na daljavo, visoki stroški rešitev za kibernetsko varnost in višja stopnja ogroženosti, na primer zaradi izsiljevalskega programja, za kar bi jim bilo treba nuditi usmerjanje in podporo. Mala in srednja podjetja so vse pogosteje tarča napadov na dobavne verige zaradi manj strogih ukrepov za obvladovanje tveganj na področju kibernetske varnosti in obvladovanje napadov ter dejstva, da so njihova sredstva za varnost omejena. Taki napadi na dobavne verige ne vplivajo zgolj na mala in srednja podjetja ter njihovo poslovanje, ampak imajo lahko tudi kaskadne učinke za večje napade na subjekte, katerim ta dobavljajo blago. Države članice bi morale prek svojih nacionalnih strategij za kibernetsko varnost pomagati malim in srednjim podjetjem pri spoprijemanju z izzivi, s katerimi se soočajo v svojih dobavnih verigah. Države članice bi morale imeti kontaktno točko na nacionalni ali regionalni ravni za mala in srednja podjetja, ki bi tem zagotavljala smernice in pomoč ali jih napotila na ustrezne organe za usmerjanje in pomoč v zvezi z vprašanji, povezanimi s kibernetsko varnostjo. Države članice se tudi spodbuja, naj mikropodjetjem in malim podjetjem, ki nimajo teh zmogljivosti, ponudijo storitve, kot sta konfiguracija spletišč in omogočanje beleženja.

(57)

Države članice bi morale v okviru svojih nacionalnih strategij za kibernetsko varnost sprejeti politike za spodbujanje aktivne kibernetske zaščite kot dela širše obrambne strategije. Bolj kot za reaktivno odzivanje gre pri aktivni kibernetski zaščiti za aktivno preprečevanje, odkrivanje, spremljanje, analiziranje in ublažitev kršitev varnosti omrežja, skupaj z uporabo zmogljivosti znotraj in zunaj ogroženega omrežja. To bi lahko vključevalo nudenje, s strani držav članic, brezplačnih storitev ali orodij nekaterim subjektom, vključno s samopostrežnimi pregledi, orodji za odkrivanje in storitvami odstranjevanja. Sposobnost hitre in avtomatske izmenjave ter razumevanja informacij o grožnjah in njihove analize, opozorila o kibernetski dejavnosti ter odzivanje so kritični za doseganje enotnosti prizadevanj za uspešno preprečevanje, odkrivanje, obvladovanje in blokiranje napadov na omrežne in informacijske sisteme. Aktivna kibernetska zaščita temelji na obrambni strategiji, ki izključuje ofenzivne ukrepe.

(58)

Ker lahko izkoriščanje ranljivosti v omrežnih in informacijskih sistemih povzroči hude motnje in škodo, sta hitro odkrivanje in odpravljanje takih ranljivosti pomemben dejavnik pri zmanjševanju tveganja. Subjekti, ki razvijajo ali upravljajo omrežne in informacijske sisteme, bi morali zato vzpostaviti ustrezne postopke za obravnavanje ranljivosti, ko jih odkrijejo. Ker ranljivosti pogosto odkrijejo in jih razkrijejo tretje osebe, bi moral proizvajalec ali ponudnik proizvodov IKT ali storitev IKT vzpostaviti tudi potrebne postopke za prejemanje informacij o ranljivostih od tretjih oseb. V zvezi s tem mednarodna standarda ISO/IEC 30111 in ISO/IEC 29147 določata usmeritve o obravnavanju in razkrivanju ranljivosti. Okrepitev usklajevanja med poročajočimi fizičnimi in pravnimi osebami in proizvajalci ali ponudniki proizvodov IKT ali storitev IKT je še posebej pomembna za spodbujanje prostovoljnega okvira za razkrivanje ranljivosti. Usklajeno razkrivanje ranljivosti določa strukturiran postopek, prek katerega se ranljivosti sporočijo proizvajalcu ali ponudniku potencialno ranljivega proizvoda IKT ali storitve IKT tako, da lahko diagnosticira in odpravi ranljivost, preden se podrobne informacije o ranljivosti razkrijejo tretji osebi ali javnosti. Usklajeno razkrivanje ranljivosti bi moralo vključevati tudi usklajevanje med poročajočo fizično ali pravno osebo in proizvajalcem ali ponudnikom potencialno ranljivega proizvoda IKT ali storitve IKT v zvezi s časovnim okvirom za odpravo in objavo ranljivosti.

(59)

Komisija, ENISA in države članice bi morale še naprej spodbujati usklajevanje z mednarodnimi standardi in obstoječimi dobrimi praksami industrije na področju obvladovanja tveganj za kibernetsko varnost, na primer na področju ocen varnosti dobavne verige, izmenjave informacij in razkrivanja ranljivosti.

(60)

Države članice bi morale v sodelovanju z ENISA sprejeti ukrepe za olajšanje usklajenega razkrivanja ranljivosti z vzpostavitvijo ustrezne nacionalne politike. Države članice bi si morale v okviru svoje nacionalne politike prizadevati, da v skladu z nacionalnim pravom čim bolje obravnavajo izzive, s katerimi se soočajo raziskovalci ranljivosti, vključno z njihovo morebitno izpostavljenostjo kazenski odgovornosti. Glede na to, da bi bile lahko fizične in pravne osebe, ki raziskujejo ranljivosti, v nekaterih državah članicah izpostavljene kazenski in civilnopravni odgovornosti, se države članice spodbuja, naj sprejmejo smernice v zvezi s tem, da se raziskovalcev informacijske varnosti kazensko ne preganja in da so njihove dejavnosti izvzete iz civilnopravne odgovornosti.

(61)

Države članice bi morale eno od svojih skupin CSIRT imenovati za koordinatorja, ki bi po potrebi deloval kot zaupanja vreden posrednik med poročajočimi fizičnimi ali pravnimi osebami in proizvajalci ali ponudniki proizvodov IKT ali storitev IKT, ki bi jih ranljivost lahko prizadela. Naloge skupine CSIRT, ki je imenovana za koordinatorja, bi morale vključevati identifikacijo prizadetih subjektov in vzpostavitev stika z njimi, podpiranje fizičnih ali pravnih oseb, ki poročajo o ranljivosti, pogajanja o časovnicah razkrivanja in obvladovanja ranljivosti, ki vplivajo na več subjektov (usklajeno razkrivanje ranljivosti več strani). Kadar bi ranljivosti lahko pomembno vplivale na subjekte v več državah članicah, bi morale skupine CSIRT, ki so imenovane kot koordinatorji, po potrebi sodelovati v okviru mreže skupin CSIRT.

(62)

Dostop do točnih in pravočasnih informacij o ranljivostih, ki vplivajo na proizvode IKT in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za kibernetsko varnost. Viri javno dostopnih informacij o ranljivostih so pomembno orodje za subjekte in uporabnike njihovih storitev, pa tudi za pristojne organe in skupine CSIRT. Zato bi morala ENISA vzpostaviti evropsko podatkovno zbirko ranljivosti, v kateri bi subjekti, ne glede na to, ali spadajo na področje uporabe te direktive, in njihovi dobavitelji omrežnih in informacijskih sistemov, kot tudi pristojni organi in skupine CSIRT, lahko prostovoljno razkrivali in evidentirali javno znane ranljivosti z namenom, da se uporabnikom omogoči sprejetje ustreznih blažilnih ukrepov. Namen te podatkovne zbirke je obravnava edinstvenih izzivov, ki jih tveganja pomenijo za subjekte Unije. Poleg tega bi morala ENISA vzpostaviti ustrezen postopek v zvezi s postopkom objave, da bi imeli subjekti čas za sprejetje blažilnih ukrepov v zvezi s svojimi ranljivostmi, ter uporabiti najsodobnejše ukrepe za obvladovanje tveganj za kibernetsko varnost, kot tudi strojno berljive nabore podatkov in ustrezne vmesnike. Za spodbujanje kulture razkrivanja ranljivosti razkritje ne bi smelo negativno vplivati na poročajočo fizično ali pravno osebo.

(63)

Čeprav podobni registri ali podatkovne zbirke o ranljivostih obstajajo, te upravljajo in vzdržujejo subjekti, ki nimajo sedeža v Uniji. Evropska podatkovna zbirka ranljivosti, ki bi jo vzdrževala ENISA, bi zagotovila večjo preglednost v zvezi s postopkom objave pred javnim razkritjem ranljivosti in odpornost v primeru motnje ali prekinitve pri opravljanju podobnih storitev. Da bi v največji možni meri preprečila podvajanje prizadevanj in poskušala doseči dopolnjevanje, bi morala ENISA preučiti možnost sklenitve sporazumov o strukturnem sodelovanju s podobnimi registri ali podatkovnimi zbirkami, ki spadajo v jurisdikcije tretjih držav. ENISA bi morala zlasti preučiti možnost tesnega sodelovanja z upravljavci sistema skupnih ranljivosti in izpostavljenosti.

(64)

Skupina za sodelovanje bi morala podpirati in spodbujati strateško sodelovanje in izmenjavo informacij ter krepiti zaupanje med državami članicami. Skupina za sodelovanje bi morala vsaki dve leti pripraviti delovni program. Ta program bi moral vključevati ukrepe, ki jih skupina za sodelovanje sprejme za izvajanje svojih ciljev in nalog. Časovni okvir za pripravo prvega delovnega programa na podlagi te direktive bi moral biti usklajen s časovnim okvirom zadnjega delovnega programa, pripravljenega na podlagi Direktive (EU) 2016/1148, da bi se preprečile morebitne motnje pri delu skupine za sodelovanje.

(65)

Skupina za sodelovanje bi morala pri pripravi smernic dosledno evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, zlasti o lažjem usklajevanju med državami članicami pri prenosu te direktive, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil. Skupina za sodelovanje bi poleg tega lahko evidentirala nacionalne rešitve, da bi se spodbudila združljivost rešitev na področju kibernetske varnosti, ki se uporabljajo v vsakem posameznem sektorju po Uniji. To je zlasti pomembno za sektorje mednarodne ali čezmejne narave.

(66)

Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti sredstev. Organizirala bi lahko redne skupne sestanke z ustreznimi zasebnimi deležniki iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina za sodelovanje, in zbirali podatki in informacije o nastajajočih izzivih politike. Poleg tega bi morala skupina za sodelovanje redno ocenjevati položaj, kar zadeva kibernetske grožnje ali incidente, kot je izsiljevalsko programje. Za okrepitev sodelovanja na ravni Unije bi morala skupina za sodelovanje razmisliti o tem, da bi k sodelovanju pri svojem delu povabila ustrezne institucije, organe, urade in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski parlament, Europol, Evropski odbor za varstvo podatkov, Agencija Evropske unije za varnost v letalstvu, ustanovljena z Uredbo (EU) 2018/1139, in Agencija Evropske unije za vesoljski program, ustanovljena z Uredbo (EU) 2021/696 Evropskega parlamenta in Sveta (14).

(67)

Pristojni organi in skupine CSIRT bi morali imeti možnost, da sodelujejo v programih izmenjave uradnikov iz drugih držav članic, in sicer v posebnem okviru in, kadar je ustrezno, z zahtevano varnostno odobritvijo za uradnike, ki sodelujejo v takih programih izmenjave, da bi se izboljšalo sodelovanje in okrepilo zaupanje med državami članicami. Pristojni organi bi morali sprejeti potrebne ukrepe, s katerimi bi uradnikom iz drugih držav članic omogočili učinkovito sodelovanje v dejavnostih pristojnega organa ali skupine CSIRT gostiteljice.

(68)

Države članice bi morale prispevati k vzpostavitvi okvira EU za odzivanje na krize na področju kibernetske varnosti, določenega v Priporočilu Komisije (EU) 2017/1584 (15), z obstoječimi mrežami za sodelovanje, zlasti Evropsko organizacijsko mrežo za povezovanje v kibernetski krizi (v nadaljnjem besedilu: mreža EU-CyCLONe), mrežo skupin CSIRT in skupino za sodelovanje. Mreža EU-CyCLONe in mreža skupin CSIRT bi morali sodelovati na podlagi postopkovnih ureditev, ki določajo podrobnosti tega sodelovanja, in se izogibati morebitnemu podvajanju nalog. V poslovniku mreže EU-CyCLONe bi morale biti podrobneje opredeljene ureditve delovanja te mreže, vključno z njenimi vlogami, načini sodelovanja, stiki z drugimi ustreznimi akterji in predlogami za izmenjavo informacij ter sredstvi komuniciranja. Za obvladovanje krize na ravni Unije bi se morale ustrezne strani zanašati na enotno ureditev EU za politično odzivanje na krize iz Izvedbenega sklepa Sveta (EU) 2018/1993 (16). Komisija bi morala v ta namen uporabljati postopek medsektorskega kriznega usklajevanja na visoki ravni v okviru sistema ARGUS. Če ima kriza znaten vpliv na zunanjo ali skupno varnostno in obrambno politiko, bi bilo treba sprožiti mehanizem Evropske službe za zunanje delovanje za krizno odzivanje.

(69)

V skladu s Prilogo k Priporočilu (EU) 2017/1584 bi moral velik kibernetski incident pomeniti incident, ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje, ali pomembno vpliva na vsaj dve državi članici. Glede na njihov vzrok in vpliv se lahko kibernetski incidenti velikih razsežnosti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga, ali pomenijo resna tveganja za javno varnost ter varnost subjektov ali državljanov v več državah članicah ali Uniji kot celoti. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi, uradi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.

(70)

V primeru kibernetskih incidentov velikih razsežnosti in kriz na ravni Unije je potrebno usklajeno delovanje, da bi se zagotovil hiter in učinkovit odziv, saj je medsebojna odvisnost sektorjev in držav članic zelo velika. Razpoložljivost kibernetsko odpornih omrežnih in informacijskih sistemov ter razpoložljivost, zaupnost in celovitost podatkov so bistvenega pomena za varnost Unije in zaščito njenih državljanov, podjetij in institucij pred incidenti in kibernetskimi grožnjami, pa tudi za krepitev zaupanja posameznikov in organizacij v zmožnost Unije, da spodbuja in varuje globalen, odprt, svoboden, stabilen in varen kibernetski prostor, ki temelji na človekovih pravicah, temeljnih svoboščinah, demokraciji in pravni državi.

(71)

Mreža EU-CyCLONe bi morala pri kibernetskih incidentih velikih razsežnosti in krizah delovati kot posrednik med tehnično in politično ravnjo, okrepiti sodelovanje na operativni ravni in podpirati odločanje na politični ravni. Ob upoštevanju pristojnosti Komisije na področju obvladovanja kriz bi morala mreža EU-CyCLONe sodelovati s Komisijo in se opirati na ugotovitve mreže skupin CSIRT ter uporabiti lastne zmogljivosti za pripravo analize vpliva kibernetskih incidentov velikih razsežnosti in kriz.

(72)

Kibernetski napadi so čezmejne narave in pomembni incident lahko zmoti ali poškoduje kritično informacijsko infrastrukturo, od katere je odvisno nemoteno delovanje notranjega trga. Priporočilo (EU) 2017/1584 obravnava vlogo vseh ustreznih akterjev. Komisija je v okviru mehanizma Unije na področju civilne zaščite, vzpostavljenega s Sklepom št. 1313/2013/EU Evropskega parlamenta in Sveta (17), tudi pristojna za dejavnosti splošne pripravljenosti, vključno z vodenjem Centra za usklajevanje nujnega odziva in skupnega komunikacijskega in informacijskega sistema za primer nesreč, ohranjanjem in nadaljnjim razvojem situacijskega zavedanja in analitične zmožnosti ter vodenjem zmožnosti za mobilizacijo in napotitev strokovnih ekip v primeru prošnje države članice ali tretje države za pomoč. Komisija je odgovorna tudi za zagotavljanje analitičnih poročil za enotno ureditev za politično odzivanje na krize v skladu z Izvedbenim sklepom (EU) 2018/1993, tudi v zvezi s situacijskim zavedanjem na področju kibernetske varnosti in pripravljenostjo ter za situacijsko zavedanje in krizno odzivanje na področju kmetijstva, slabih vremenskih razmer, kartiranja in napovedi konfliktov, sistemov zgodnjega opozarjanja na naravne nesreče, izrednih zdravstvenih razmer, nadzora okužb, zdravja rastlin, kemičnih incidentov, varnosti hrane in krme, migracij, carine, jedrske energije, izrednih radioloških dogodkov ter energije na splošno.

(73)

Unija lahko, kadar je ustrezno, v skladu s členom 218 PDEU sklepa mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki omogočajo in urejajo njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje, mreže skupin CSIRT ter mreže EU-CyCLONe. Taki sporazumi bi morali zagotoviti upoštevanje interesov Unije in ustrezno varstvo podatkov. To ne bi smelo izključevati pravice držav članic do sodelovanja s tretjimi državami pri obvladovanju ranljivosti in obvladovanju tveganj za kibernetsko varnost, ki omogoča poročanje in souporabo splošnih informacij v skladu s pravom Unije.

(74)

Da bi se olajšalo učinkovito izvajanje te direktive, kar med drugim zadeva obvladovanje ranljivosti, ukrepe obvladovanja tveganj za kibernetsko varnost, obveznosti poročanja in dogovore o izmenjavi informacij o kibernetski varnosti, lahko države članice sodelujejo s tretjimi državami in izvajajo dejavnosti, ki se štejejo kot ustrezne za ta namen, vključno z izmenjavo informacij o kibernetskih grožnjah, incidentih, ranljivostih, orodjih in metodah, taktikah, tehnikah in postopkih, pripravljenostjo in vajami za obvladovanje kibernetskih kriz, usposabljanjem, vzpostavljanjem zaupanja in dogovori o strukturirani izmenjavi informacij.

(75)

Uvesti bi bilo treba medsebojne strokovne preglede, da bi se pripomoglo k učenju iz skupnih izkušenj, krepilo medsebojno zaupanje in dosegla visoko skupno raven kibernetske varnosti. Medsebojni strokovni pregledi lahko omogočijo pomembna spoznanja in priporočila, ki krepijo splošne zmogljivosti za kibernetsko varnost, ustvarijo dodatno funkcionalno pot za izmenjavo primerov dobre prakse med državami članicami in prispevajo k izboljšanju zrelosti držav članic na področju kibernetske varnosti. Poleg tega bi morali medsebojni strokovni pregledi upoštevati rezultate podobnih mehanizmov, kot je sistem medsebojnega strokovnega pregleda mreže skupin CSIRT, dodati vrednost in preprečiti podvajanje. Izvajanje medsebojnih strokovnih pregledov ne bi smelo posegati v pravo Unije ali nacionalno pravo o varstvu zaupnih ali tajnih podatkov.