(1)

Som tillhandahållare av samhällsviktiga tjänster spelar kritiska entiteter en oumbärlig roll när det gäller att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet på den inre marknaden, i en unionsekonomi som i allt högre grad kännetecknas av ömsesidigt beroende. Det är därför mycket viktigt att det inrättas en unionsram som syftar dels till att stärka kritiska entiteters motståndskraft på den inre marknaden genom att fastställa harmoniserade minimiregler, dels till att bistå entiteterna genom enhetligt och särskilt stöd och tillsynsåtgärder.

(2)

I rådets direktiv 2008/114/EG (4) föreskrivs ett förfarande för att klassificera infrastruktur i energi- och transportsektorerna som europeisk kritisk infrastruktur, vars driftstörning eller förstörelse skulle få betydande gränsöverskridande konsekvenser i minst två medlemsstater. Det direktivet är uteslutande inriktat på skyddet av sådan infrastruktur. Vid den utvärdering av direktiv 2008/114/EG som gjordes 2019 konstaterades dock att skyddsåtgärder som enbart gäller enskilda tillgångar inte är tillräckliga för att förhindra alla störningar från att uppstå, på grund av den alltmer sammankopplade och gränsöverskridande karaktären hos den verksamhet som bedrivs med kritisk infrastruktur. Därför är det nödvändigt att ändra ansatsen i riktning mot att säkerställa att risker redovisas bättre, att bättre definiera och skapa enhetlighet i rollen och uppgifterna för kritiska entiteter i egenskap av tillhandahållare av tjänster som är nödvändiga för att den inre marknaden ska kunna fungera, och att unionsregler antas för att stärka kritiska entiteters motståndskraft. Kritiska entiteter bör kunna öka sin förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från incidenter som kan störa tillhandahållandet av samhällsviktiga tjänster.

(3)

Samtidigt som ett antal åtgärder på unionsnivå, såsom det europeiska programmet för skydd av kritisk infrastruktur, och nationell nivå syftar till att stödja skyddet av kritisk infrastruktur i unionen bör mer göras för att de entiteter som driver sådan infrastruktur ska vara bättre rustade att hantera de risker för deras verksamhet som kan leda till störningar i tillhandahållandet av samhällsviktiga tjänster. Mer bör också göras för att bättre rusta sådana entiteter eftersom det finns en dynamisk hotbild, som inbegriper framväxande hybrid- och terroristhot, och ett ökande ömsesidigt beroende mellan infrastruktur och sektorer. Dessutom finns det en ökad fysisk risk på grund av naturkatastrofer och klimatförändringen, som leder till att extrema väderhändelser blir allt vanligare och mer omfattande och medför långsiktiga förändringar i genomsnittliga klimatförhållanden som kan minska kapaciteten, effektiviteten och livslängden för vissa typer av infrastruktur om det inte vidtas klimatanpassningsåtgärder. Den inre marknaden kännetecknas dessutom av fragmentering när det gäller identifiering av kritiska entiteter, eftersom relevanta sektorer och kategorier av entiteter inte erkänns på ett enhetligt sätt som kritiska i alla medlemsstater. Detta direktiv bör därför åstadkomma en solid harmoniseringsnivå när det gäller de sektorer och kategorier av entiteter som omfattas av dess tillämpningsområde.

(4)

Vissa sektorer inom ekonomin, exempelvis energi- och transportsektorerna, är redan reglerade genom sektorsspecifika unionsrättsakter, men dessa rättsakter innehåller bestämmelser som endast rör vissa aspekter av motståndskraften hos entiteter som är verksamma inom de sektorerna. För att på ett heltäckande sätt hantera motståndskraften hos de entiteter som är kritiska för att den inre marknaden ska fungera väl inrättas genom detta direktiv en övergripande ram för att hantera kritiska entiteters motståndskraft med hänsyn till alla faror, oberoende av om det är naturliga faror eller faror orsakade av människan, olyckshändelser eller avsiktligt framkallade faror.

(5)

Det ökande ömsesidiga beroendet mellan infrastruktur och sektorer är ett resultat av ett alltmer gränsöverskridande och ömsesidigt beroende nätverk av tillhandahållande av tjänster som använder viktig infrastruktur i hela unionen inom sektorerna för energi, transporter, bankverksamhet, dricksvatten, avloppsvatten, produktion, bearbetning och distribution av livsmedel, hälso- och sjukvård, rymden, finansmarknadsinfrastruktur och digital infrastruktur samt vissa aspekter av sektorn för offentlig förvaltning. Rymdsektorn omfattas av tillämpningsområdet för detta direktiv när det gäller tillhandahållandet av vissa tjänster som är beroende av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter; infrastruktur som ägs, förvaltas eller drivs av unionen eller för unionens räkning inom ramen för dess rymdprogram omfattas därför inte av tillämpningsområdet för detta direktiv.

När det gäller energisektorn och särskilt metoderna för produktion och överföring av el (avseende elförsörjning) kan det i produktionen av el, när så anses lämpligt, ingå kärnkraftsanläggningars delar för överföring av el, men inte de specifikt kärnkraftsrelaterade delar som omfattas av fördrag och unionsrätt, inbegripet relevanta unionsrättsakter avseende kärnkraft. Processen för identifiering av kritiska entiteter inom livsmedelssektorn bör på lämpligt sätt återspegla den inre marknadens karaktär inom den sektorn och de omfattande unionsreglerna i fråga om allmänna principer och krav för livsmedelslagstiftning och livsmedelssäkerhet. För att säkerställa en proportionerlig ansats och för att på lämpligt sätt återspegla dessa entiteters roll och betydelse på nationell nivå, bör kritiska entiteter därför endast identifieras bland livsmedelsföretag, oavsett om de är vinstdrivande eller inte och oavsett om de är offentliga eller privata, som uteslutande bedriver logistikverksamhet och grossisthandel samt storskalig industriell produktion och bearbetning med en betydande marknadsandel på nationell nivå. Detta ömsesidiga beroende innebär att alla störningar av samhällsviktiga tjänster, även sådana som till en början är begränsade till en entitet eller en sektor, kan få dominoeffekter i vidare bemärkelse, vilket kan leda till långtgående och långvariga negativa konsekvenser för tillhandahållandet av tjänster på hela den inre marknaden. Större kriser såsom covid-19-pandemin har visat hur sårbara våra alltmer av varandra beroende samhällen är för risker med låg sannolikhet och stora konsekvenser.

(6)

De entiteter som deltar i tillhandahållandet av samhällsviktiga tjänster omfattas i allt högre grad av olika krav som införs enligt nationell rätt. Vissa medlemsstater ställer mindre hårda säkerhetskrav på dessa entiteter, vilket inte bara leder till olika grad av motståndskraft utan också riskerar att ge negativa effekter för upprätthållandet av viktiga samhällsfunktioner eller central ekonomisk verksamhet i unionen och skapar hinder för den inre marknadens funktion. Investerare och företag kan förlita sig på och ha förtroende för kritiska entiteter som är motståndskraftiga, och tillförlitlighet och förtroende är hörnstenar i en välfungerande inre marknad. Likartade typer av entiteter betraktas som kritiska i vissa medlemsstater men inte i andra, och de som identifieras som kritiska omfattas av olika krav i olika medlemsstater. Detta leder till en ytterligare och onödig administrativ börda för företag som bedriver gränsöverskridande verksamhet, särskilt för företag med verksamhet i medlemsstater som ställer hårdare krav. En unionsram skulle därför också leda till likvärdiga förutsättningar för kritiska entiteter i hela unionen.

(7)

Det är nödvändigt att införa harmoniserade minimiregler för att säkerställa tillhandahållandet av samhällsviktiga tjänster på den inre marknaden, stärka kritiska entiteters motståndskraft samt förbättra det gränsöverskridande samarbetet mellan behöriga myndigheter. Det är viktigt att dessa regler är framtidssäkrade när det gäller utformning och genomförande, samtidigt som utrymme ges för den flexibilitet som krävs. Det är också mycket viktigt att förbättra kritiska entiteters förmåga att tillhandahålla samhällsviktiga tjänster med avseende på en rad olika risker.

(8)

För att uppnå en hög grad av motståndskraft bör medlemsstaterna identifiera kritiska entiteter som kommer att omfattas av särskilda krav och tillsyn och som kommer att ges särskilt stöd och vägledning med avseende på alla relevanta risker.

(9)

Med tanke på hur viktig cybersäkerhet är för kritiska entiteters motståndskraft och för att skapa enhetlighet bör man, när så är möjligt, säkerställa samstämmighet mellan detta direktiv och Europaparlamentets och rådets direktiv (EU) 2022/2555 (5). Med tanke på den högre frekvensen av och de särskilda egenskaperna hos cyberrisker införs det genom direktiv (EU) 2022/2555 heltäckande krav på en stor uppsättning entiteter för att säkerställa deras cybersäkerhet. Eftersom cybersäkerhet hanteras i tillräcklig grad genom (EU) 2022/2555 bör de frågor som omfattas av det direktivet uteslutas från tillämpningsområdet för det här direktivet, utan att det påverkar tillämpningen av den särskilda ordningen för entiteter inom sektorn för digital infrastruktur.

(10)

Om det enligt bestämmelser i sektorsspecifika unionsrättsakter krävs att kritiska entiteter ska vidta åtgärder för att stärka sin motståndskraft, och om dessa krav av medlemsstaterna erkänns vara minst likvärdiga med motsvarande skyldigheter enligt det här direktivet, bör de relevanta bestämmelserna i det här direktivet inte vara tillämpliga, för att undvika dubbelarbete och onödig börda. I sådant fall bör de relevanta bestämmelserna i de unionsrättsakterna tillämpas. Om de relevanta bestämmelserna i det här direktivet inte är tillämpliga bör inte heller bestämmelserna om tillsyn och kontroll av efterlevnad i det här direktivet vara tillämpliga.

(11)

Detta direktiv påverkar inte medlemsstaternas och deras myndigheters befogenheter i fråga om administrativ självständighet eller deras ansvar att skydda den nationella säkerheten och försvaret eller deras befogenhet att skydda andra väsentliga statliga funktioner, särskilt ifråga om allmän säkerhet, territoriell integritet och upprätthållande av lag och ordning. Undantaget för offentliga förvaltningsentiteter från tillämpningsområdet för detta direktiv bör tillämpas på entiteter vars verksamhet till övervägande del bedrivs på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott. Offentliga förvaltningsentiteter vars verksamhet endast marginellt hänför sig till dessa områden bör dock omfattas av detta direktivs tillämpningsområde. Vid tillämpningen av detta direktiv anses entiteter med tillsynsbefogenheter inte bedriva verksamhet på brottsbekämpningsområdet, och de är därför inte undantagna från detta direktivs tillämpningsområde på den grunden. Offentliga förvaltningsentiteter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal är undantagna från detta direktivs tillämpningsområde. Detta direktiv är inte tillämpligt på medlemsstaternas diplomatiska och konsulära beskickningar i tredjeländer.

Vissa kritiska entiteter bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott, eller tillhandahåller tjänster uteslutande till offentliga förvaltningsentiteter som till övervägande del bedriver verksamhet på de områdena. Med tanke på medlemsstaternas ansvar att skydda den nationella säkerheten och försvaret bör medlemsstaterna kunna besluta att skyldigheterna för kritiska entiteter enligt detta direktiv helt eller delvis inte ska gälla dessa kritiska entiteter om de tjänster de tillhandahåller eller den verksamhet de bedriver till övervägande del har anknytning till områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott. Kritiska entiteter vars tjänster eller verksamhet endast marginellt hänför sig till dessa områden bör fortfarande omfattas av detta direktivs tillämpningsområde. Ingen medlemsstat bör vara skyldig att lämna information vars avslöjande skulle strida mot dess väsentliga intressen i fråga om nationell säkerhet. Unionsregler eller nationella regler till skydd för säkerhetsskyddsklassificerade uppgifter och sekretessavtal är relevanta i detta sammanhang.

(12)

För att inte äventyra nationell säkerhet eller kritiska entiteters säkerhetsintressen och kommersiella intressen bör tillgången till samt utbytet och hanteringen av känslig information ske med försiktighet och med särskild hänsyn till de transmissionskanaler och den lagringskapacitet som används.

(13)

I syfte att säkerställa ett heltäckande förhållningssätt för kritiska entiteters motståndskraft bör varje medlemsstat inrätta en strategi för att stärka kritiska entiteters motståndskraft (strategin). Strategin bör fastställa de strategiska mål och policyåtgärder som ska genomföras. Strategin bör, i syfte att uppnå samstämmighet och effektivitet, utformas så att den smidigt integrerar befintlig politik och, när så är möjligt, bygger på relevanta befintliga nationella och sektorsspecifika strategier, planer eller liknande dokument. För att uppnå ett heltäckande förhållningssätt bör medlemsstaterna säkerställa att deras strategier innehåller en policyram för utökat samarbete mellan de behöriga myndigheterna enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 i samband med utbyte av information om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter och i samband med fullgörandet av tillsynsuppgifter. Vid inrättandet av sina strategier bör medlemsstaterna ta vederbörlig hänsyn till hybridkaraktären hos hoten mot kritiska entiteter.

(14)

Medlemsstaterna bör underrätta kommissionen om sina strategier och om betydande uppdateringar av dem, särskilt för att kommissionen ska kunna bedöma huruvida detta direktiv tillämpas korrekt när det gäller policyval avseende kritiska entiteters motståndskraft på nationell nivå. Informationen om strategierna kan vid behov lämnas som sekretessbelagd information. Kommissionen bör utarbeta en sammanfattande rapport om de strategier som medlemsstaterna har informerat om, vilken ska ligga till grund för informationsutbyte för att identifiera bästa praxis och frågor av gemensamt intresse inom ramen för gruppen för kritiska entiteters motståndskraft. På grund av den känsliga karaktären hos den aggregerade information som ska ingå i den sammanfattande rapporten, oavsett om den är sekretessbelagd eller inte, bör kommissionen på lämpligt sätt beakta säkerheten för de kritiska entiteterna, medlemsstaterna och unionen. Den sammanfattande rapporten och strategierna bör skyddas mot olagliga eller avsiktligt skadliga handlingar och bör endast vara tillgängliga för behöriga personer i syfte att uppfylla målen i detta direktiv. Informationen om strategierna och om betydande uppdateringar av dem bör även hjälpa kommissionen att förstå hur förhållningssätten till kritiska entiteters motståndskraft utvecklas och bidra till övervakningen av effekterna och mervärdet av detta direktiv, vilket kommissionen regelbundet ska se över.

(15)

Medlemsstaternas åtgärder för att identifiera och bidra till att säkerställa kritiska entiteters motståndskraft bör följa en riskbaserad ansats med inriktning på de entiteter som är mest relevanta för att viktiga samhällsfunktioner och central ekonomisk verksamhet ska kunna upprätthållas. För att säkerställa en sådan riktad ansats bör varje medlemsstat inom en harmoniserad ram göra en bedömning av relevanta risker för naturolyckor och risker orsakade av människan, inbegripet risker av sektorsövergripande eller gränsöverskridande slag, som kan påverka tillhandahållandet av samhällsviktiga tjänster, däribland olyckor, naturkatastrofer, hot mot folkhälsan såsom pandemier och hybridhot eller andra antagonistiska hot, inklusive terroristbrott, brottslig infiltration och sabotage (medlemsstaternas riskbedömning). När medlemsstaternas riskbedömningar görs bör medlemsstaterna ta hänsyn till andra allmänna eller sektorsspecifika riskbedömningar som har gjorts enligt andra unionsrättsakter och bör ta hänsyn till i hur stor grad sektorer är beroende av varandra, inbegripet av sektorer i andra medlemsstater och tredjeländer. Resultatet av medlemsstaternas riskbedömningar bör användas för att identifiera kritiska entiteter och bistå dessa entiteter med att uppfylla sina krav på motståndskraft. Detta direktiv är endast tillämpligt på medlemsstater och kritiska entiteter som är verksamma inom unionen. Den expertis och kunskap som genereras av de behöriga myndigheterna, särskilt genom riskbedömningar, och av kommissionen, särskilt genom olika former av stöd och samarbete, kan dock användas, när så är lämpligt och i enlighet med tillämpliga rättsliga instrument, till förmån för tredjeländer, särskilt de i unionens direkta grannskap, genom att bidra till det befintliga samarbetet om motståndskraft.

(16)

För att säkerställa att alla relevanta entiteter omfattas av kraven på motståndskraft i detta direktiv och för att minska skillnaderna i det avseendet är det viktigt att införa harmoniserade regler som möjliggör en enhetlig identifiering av kritiska entiteter i hela unionen och samtidigt ger medlemsstaterna möjlighet att på lämpligt sätt återge dessa entiteters roll och betydelse på nationell nivå. Varje medlemsstat bör vid tillämpning av de kriterier som fastställs i detta direktiv identifiera entiteter som tillhandahåller en eller flera samhällsviktiga tjänster och som bedriver verksamhet och har kritisk infrastruktur på dess territorium. En entitet bör anses bedriva verksamhet på territoriet i en medlemsstat där den utför verksamhet som är nödvändig för den eller de samhällsviktiga tjänsterna i fråga och där den entitetens kritiska infrastruktur, som används för att tillhandahålla tjänsten eller tjänsterna, är belägen. Om ingen entitet uppfyller dessa kriterier i en medlemsstat bör den medlemsstaten inte vara skyldig att identifiera en kritisk entitet i motsvarande sektor eller undersektor. För att skapa ändamålsenlighet, effektivitet, enhetlighet och rättssäkerhet bör det också fastställas lämpliga regler för att underrätta entiteter om att de har identifierats som kritiska entiteter.

(17)

Medlemsstaterna bör, på ett sätt som uppfyller målen för detta direktiv, till kommissionen överlämna en förteckning över samhällsviktiga tjänster, antalet kritiska entiteter som har identifierats för varje sektor och undersektor som anges i bilagan och för den eller de samhällsviktiga tjänster som varje entitet tillhandahåller och, om sådana tillämpas, tröskelvärden. Det bör vara möjligt att presentera tröskelvärden som sådana eller i aggregerad form, vilket innebär att genomsnittliga uppgifter kan anges per geografiskt område, per år, per sektor, per undersektor eller på annat sätt, och att uppgifter om intervallet för tillhandahållna indikatorer kan ingå.

(18)

Det bör upprättas kriterier för att fastställa hur betydande en störande effekt som uppstår till följd av en incident är. Dessa kriterier bör utgå från de kriterier som fastställs i Europaparlamentets och rådets direktiv (EU) 2016/1148 (6) för att ta vara på medlemsstaternas ansträngningar för att identifiera leverantörer av samhällsviktiga tjänster enligt definitionen i det direktivet, och de erfarenheter som har gjorts i det avseendet. Större kriser såsom covid-19-pandemin har visat hur viktigt det är att säkerställa säkerheten i leveranskedjan och hur störningar av den kan få negativa ekonomiska och samhälleliga konsekvenser inom ett stort antal sektorer och över gränserna. Medlemsstaterna bör därför i möjligaste mån även beakta effekterna på leveranskedjan när de fastställer i hur stor grad andra sektorer och undersektorer är beroende av den samhällsviktiga tjänst som tillhandahålls av en kritisk entitet.

(19)

I enlighet med tillämplig unionsrätt och nationell rätt, inbegripet Europaparlamentets och rådets förordning (EU) 2019/452 (7), som inrättar en ram för granskning av utländska direktinvesteringar i unionen, bör det potentiella hot som utländskt ägande av kritisk infrastruktur inom unionen utgör erkännas, eftersom tjänster, ekonomin och unionsmedborgarnas fria rörlighet och säkerhet är beroende av en välfungerande kritisk infrastruktur.

(20)

Enligt direktiv (EU) 2022/2555 ska entiteter som tillhör sektorn för digital infrastruktur, vilka kan identifieras som kritiska entiteter enligt det här direktivet, vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem samt för att underrätta om betydande incidenter och cyberhot. Eftersom hot mot säkerheten i nätverks- och informationssystem kan ha olika ursprung tillämpas i direktiv (EU) 2022/2555 en allriskansats som omfattar motståndskraften hos nätverks- och informationssystem och dessa systems fysiska komponenter och miljö.

Eftersom de krav som fastställs i direktiv (EU) 2022/2555 i det avseendet minst är likvärdiga med motsvarande skyldigheter enligt det här direktivet, bör de skyldigheter som fastställs i artikel 11 och kapitlen III, IV och VI i detta direktiv inte vara tillämpliga på entiteter som tillhör sektorn för digital infrastruktur, för att undvika dubbelarbete och en onödig administrativ börda. Med tanke på hur viktiga de tjänster som tillhandahålls av entiteter inom sektorn för digital infrastruktur är för kritiska entiteter som tillhör alla andra sektorer, bör medlemsstaterna dock, med utgångspunkt i de kriterier och enligt det förfarande som föreskrivs i det här direktivet, identifiera entiteter som tillhör sektorn för digital infrastruktur som kritiska entiteter. Följaktligen bör strategierna, medlemsstaternas riskbedömningar och de stödåtgärder som anges i kapitel II i det här direktivet vara tillämpliga. Medlemsstaterna bör ha rätt att anta eller behålla bestämmelser i nationell rätt för att uppnå en högre grad av motståndskraft för dessa kritiska entiteter, förutsatt att dessa bestämmelser är förenliga med tillämplig unionsrätt.

(21)

I unionsrätten om finansiella tjänster införs heltäckande krav på att finansiella entiteter ska hantera alla risker de ställs inför, inklusive operativa risker, och säkerställa driftskontinuitet. Denna rätt inbegriper Europaparlamentets och rådets förordningar (EU) nr 648/2012 (8), (EU) nr 575/2013 (9) och (EU) nr 600/2014 (10) samt Europaparlamentets och rådets direktiv 2013/36/EU (11) och 2014/65/EU (12). Denna rättsliga ram kompletteras av Europaparlamentets och rådets förordning (EU) 2022/2554 (13), där det fastställs krav som är tillämpliga på finansiella entiteter i fråga om riskhantering inom informations- och kommunikationsteknik (IKT), däribland beträffande skyddet av fysisk IKT-infrastruktur. Eftersom de entiteternas motståndskraft därför omfattas på ett heltäckande sätt bör artikel 11 och kapitlen III, IV och VI i det här direktivet inte vara tillämpliga på dessa entiteter, för att undvika dubbelarbete och en onödig administrativ börda.

Med tanke på hur viktiga de tjänster som tillhandahålls av entiteter i finanssektorn är för kritiska entiteter som tillhör alla andra sektorer, bör medlemsstaterna dock, med utgångspunkt i de kriterier och enligt det förfarande som föreskrivs i det här direktivet, identifiera entiteter i finanssektorn som kritiska entiteter. Följaktligen bör strategierna, medlemsstaternas riskbedömningar och de stödåtgärder som anges i kapitel II i det här direktivet vara tillämpliga. Medlemsstaterna bör ha rätt att anta eller behålla bestämmelser i nationell rätt för att uppnå en högre grad av motståndskraft för dessa kritiska entiteter, förutsatt att dessa bestämmelser är förenliga med tillämplig unionsrätt.

(22)

Medlemsstaterna bör utse eller inrätta myndigheter som är behöriga att övervaka tillämpningen av och vid behov kontrollera efterlevnaden av reglerna i detta direktiv och säkerställa att dessa myndigheter har tillräckliga befogenheter och resurser. Med tanke på skillnaderna i nationella styrningsstrukturer och för att skydda redan befintliga sektoriella arrangemang eller unionens tillsyns- och regleringsorgan samt för att undvika dubbelarbete bör medlemsstaterna kunna utse eller inrätta mer än en behörig myndighet. Om en medlemsstat utser eller inrättar mer än en behörig myndighet bör den tydligt avgränsa de berörda myndigheternas respektive uppgifter och säkerställa att de samarbetar smidigt och effektivt. Alla behöriga myndigheter bör också samarbeta mer generellt med andra relevanta myndigheter, på både unionsnivå och nationell nivå.

(23)

För att underlätta gränsöverskridande samarbete och kommunikation och för att göra det möjligt att genomföra detta direktiv på ett effektivt sätt bör varje medlemsstat, utan att det påverkar tillämpningen av kraven i sektorsspecifika unionsrättsakter, utse en gemensam kontaktpunkt med ansvar för samordningen av frågor angående kritiska entiteters motståndskraft och gränsöverskridande samarbete på unionsnivå (gemensam kontaktpunkt), i förekommande fall inom en behörig myndighet. Varje gemensam kontaktpunkt bör även vid behov samarbeta och samordna kommunikationen med sin medlemsstats behöriga myndigheter, andra medlemsstaters gemensamma kontaktpunkter och gruppen för kritiska entiteters motståndskraft.

(24)

De behöriga myndigheterna enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 bör samarbeta och utbyta information i fråga om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska entiteter samt i fråga om relevanta åtgärder som vidtas de behöriga myndigheterna enligt det här direktivet och de behöriga myndigheterna enligt direktiv (EU) 2022/2555. Det är viktigt att medlemsstaterna säkerställer att kraven i det här direktivet och i direktiv (EU) 2022/2555 genomförs på ett kompletterande sätt och att kritiska entiteter inte utsätts för en administrativ börda som går utöver vad som är nödvändigt för att uppnå målen i det här direktivet och i det direktivet.

(25)

Medlemsstaterna bör ge kritiska entiteter, inbegripet dem som kan betecknas som små eller medelstora företag, stöd för att stärka sin motståndskraft, i enlighet med medlemsstaternas skyldigheter enligt detta direktiv, utan att detta påverkar de kritiska entiteternas eget rättsliga ansvar för att säkerställa efterlevnaden, och därvid förhindra en oskälig administrativ börda. Framför allt skulle medlemsstaterna kunna utarbeta vägledningsmaterial och metoder, stödja anordnandet av övningar för att testa kritiska entiteters motståndskraft och tillhandahålla rådgivning och utbildning för kritiska entiteters personal. Om det är nödvändigt och motiverat av mål av allmänt intresse kan medlemsstaterna tillhandahålla ekonomiska resurser och bör underlätta frivilligt utbyte av information och utbyte av god praxis mellan kritiska entiteter, utan att detta påverkar tillämpningen av de konkurrensregler som fastställs i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

(26)

I syfte att stärka motståndskraften hos kritiska entiteter som identifierats av medlemsstaterna och för att minska den administrativa bördan för dessa kritiska entiteter, bör de behöriga myndigheterna samråda med varandra när så är lämpligt i syfte att säkerställa att detta direktiv tillämpas på ett konsekvent sätt. Dessa samråd bör inledas på begäran av en berörd behörig myndighet och vara inriktade på att säkerställa en enhetlig ansats när det gäller sammankopplade kritiska entiteter som använder kritisk infrastruktur som är fysiskt sammankopplad mellan två eller flera medlemsstater, som tillhör samma koncerner eller företagsstrukturer, eller som har identifierats i en medlemsstat och tillhandahåller samhällsviktiga tjänster till eller i andra medlemsstater.

(27)

Om det enligt bestämmelser i unionsrätten eller nationell rätt krävs att kritiska entiteter ska bedöma risker som är relevanta för tillämpningen av detta direktiv och vidta åtgärder för att säkerställa sin motståndskraft, bör dessa krav beaktas på lämpligt sätt vid tillsynen av de kritiska entiteternas efterlevnad av detta direktiv.

(28)

Kritiska entiteter bör ha en heltäckande bild av de relevanta risker som de är utsatta för och en skyldighet att analysera de riskerna. För det ändamålet bör de göra riskbedömningar när det är nödvändigt med hänsyn till deras specifika omständigheter och utvecklingen av riskerna, och under alla omständigheter vart fjärde år, för att bedöma alla relevanta risker som kan störa tillhandahållandet av deras samhällsviktiga tjänster (riskbedömning av kritiska entiteter). Om kritiska entiteter, i enlighet med skyldigheter som föreskrivs i andra rättsakter, har gjort andra riskbedömningar eller utarbetat dokument som är relevanta för riskbedömningen av kritiska entiteter bör de kunna använda dessa bedömningar och dokument för att uppfylla kraven i detta direktiv avseende riskbedömning av kritiska entiteter. En behörig myndighet bör kunna slå fast att en befintlig riskbedömning som gjorts av en kritisk entitet och som omfattar relevanta risker och den relevanta beroendegraden helt eller delvis uppfyller de skyldigheter som fastställs i detta direktiv.

(29)

Kritiska entiteter bör vidta de tekniska, säkerhetsmässiga och organisatoriska åtgärder som är lämpliga och proportionella i förhållande till de risker de ställs inför, i syfte att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig efter en incident. De kritiska entiteterna bör vidta dessa åtgärder i enlighet med detta direktiv, men den detaljerade utformningen och omfattningen av åtgärderna bör avspegla de olika risker som varje kritisk entitet har identifierat inom ramen för sin riskbedömning av kritiska entiteter och särdragen hos den entiteten på ett ändamålsenligt och proportionerligt sätt. I syfte att främja en enhetlig unionsomfattande ansats bör kommissionen efter samråd med gruppen för kritiska entiteters motståndskraft anta icke-bindande riktlinjer för att närmare fastställa de tekniska, säkerhetsmässiga och organisatoriska åtgärderna. Medlemsstaterna bör säkerställa att varje kritisk entitet utser en sambandsansvarig eller motsvarande som kontaktpunkt med de behöriga myndigheterna.

(30)

För effektivitetens och ansvarsutkrävandets skull bör de kritiska entiteterna beskriva de åtgärder som de vidtar tillräckligt detaljerat för att dessa syften avseende effektivitet och ansvarsutkrävande ska uppnås, med hänsyn till de identifierade riskerna, i en plan för motståndskraft eller i ett eller flera dokument som är likvärdiga med en plan för motståndskraft, och tillämpa den planen i praktiken. Om en kritisk entitet redan har vidtagit tekniska, säkerhetsmässiga och organisatoriska åtgärder och utarbetat dokument, i enlighet med andra rättsakter, som är relevanta för motståndskraftsstärkande åtgärder enligt detta direktiv, bör den, i syfte att undvika dubbelarbete, kunna använda dessa åtgärder och dokument för att uppfylla kraven avseende motståndskraft enligt detta direktiv. För att undvika dubbelarbete bör en behörig myndighet kunna slå fast att befintliga åtgärder för motståndskraft som vidtagits av en kritisk entitet och som adresserar dess skyldighet att vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder enligt detta direktiv helt eller delvis uppfyller kraven i detta direktiv.

(31)

I Europaparlamentets och rådets förordningar (EG) nr 725/2004 (14) och (EG) nr 300/2008 (15) samt Europaparlamentets och rådets direktiv 2005/65/EG (16) fastställs krav som är tillämpliga på entiteter inom luftfarts- och sjöfartssektorerna för att förebygga incidenter till följd av olagliga handlingar och för att stå emot och begränsa konsekvenserna av sådana incidenter. De åtgärder som krävs enligt det här direktivet är bredare i fråga om de risker som behandlas och de åtgärder som ska vidtas, men kritiska entiteter inom dessa sektorer bör i sin plan för motståndskraft eller motsvarande dokument återge de åtgärder som har vidtagits enligt dessa andra unionsrättsakter. Kritiska entiteter ska också ta hänsyn till Europaparlamentets och rådets direktiv 2008/96/EG (17), där det införs en nätövergripande vägsäkerhetsbedömning för att kartlägga riskerna för olyckor och en riktad vägsäkerhetsinspektion för att, på grundval av inspektioner på plats av befintliga vägar eller vägsträckor, identifiera farliga förhållanden, brister och problem som ökar risken för olyckor och personskador. Säkerställande av de kritiska entiteternas skydd och motståndskraft är av yttersta vikt för järnvägssektorn, och när de kritiska entiteterna genomför åtgärder för motståndskraft i enlighet med det här direktivet uppmuntras de att hänvisa till icke-bindande riktlinjer och dokument över god praxis som har utarbetats inom ramen för sektorsbaserade arbetsflöden, exempelvis EU:s plattform för tågresenärers säkerhet som inrättats genom kommissionens beslut 2018/C 232/03 (18).

(32)

Risken för att anställda vid kritiska entiteter eller deras uppdragstagare till exempel missbrukar sina åtkomsträttigheter inom den kritiska entitetens organisation för skadliga ändamål är ett växande problem. Medlemsstaterna bör därför ange på vilka villkor kritiska entiteter, i vederbörligen motiverade fall och med beaktande av medlemsstaternas riskbedömningar, får ansöka om bakgrundskontroll av personer som ingår i specifika personalkategorier. Det bör säkerställas att de berörda myndigheterna bedömer sådana ansökningar inom en rimlig tidsram och behandlar dem i enlighet med nationell rätt och nationella förfaranden samt relevant och tillämplig unionsrätt, inbegripet om skydd av personuppgifter. För att bekräfta identiteten på en person som är föremål för en bakgrundskontroll är det lämpligt att medlemsstaterna kräver ett identitetsbevis, såsom pass, nationellt identitetskort eller digitala identifieringsformer, i enlighet med tillämplig rätt.

Bakgrundskontroller bör omfatta en kontroll av den berörda personen i kriminalregister. Medlemsstaterna bör använda det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister i enlighet med de förfaranden som fastställs i rådets rambeslut 2009/315/RIF (19) och, i förekommande och tillämpliga fall, Europaparlamentets och rådets förordning (EU) 2019/816 (20) för att inhämta information ur kriminalregister som innehas av andra medlemsstater. Medlemsstaterna kan också, i förekommande och tillämpliga fall, utnyttja andra generationen av Schengens informationssystem (SIS II), som inrättats genom Europaparlamentets och rådets förordning (EU) 2018/1862 (21), underrättelser och annan tillgänglig objektiv information som kan vara nödvändig för att avgöra om den berörda personen är lämplig för att arbeta i den befattning för vilken den kritiska entiteten har begärt en bakgrundskontroll.

(33)

En mekanism för anmälan av vissa incidenter bör inrättas för att göra det möjligt för de behöriga myndigheterna att reagera snabbt och ändamålsenligt på incidenter och få en heltäckande bild av verkningarna, arten och de möjliga konsekvenserna av samt orsaken till incidenter som de kritiska entiteterna hanterar. De kritiska entiteterna bör utan onödigt dröjsmål lämna in en anmälan till de behöriga myndigheterna om incidenter som medför en betydande störning eller kan medföra en betydande störning av tillhandahållandet av samhällsviktiga tjänster. Om detta inte är operativt omöjligt bör de kritiska entiteterna lämna in en första anmälan senast 24 timmar efter det att de har fått kännedom om en incident. Den första anmälan bör endast innehålla den information som är absolut nödvändig för att göra den behöriga myndigheten medveten om incidenten och för att den kritiska entiteten vid behov ska kunna söka hjälp. En sådan anmälan bör om möjligt innehålla information om den förmodade orsaken till incidenten. Medlemsstaterna bör säkerställa att kravet på att lämna in denna första anmälan inte avleder den kritiska entitetens resurser från verksamhet som rör incidenthantering, vilken bör prioriteras. Den första anmälan bör i förekommande fall åtföljas av en detaljerad rapport senast en månad efter incidenten. Den detaljerade rapporten bör komplettera den första anmälan och ge en mer komplett bild av incidenten.

(34)

Standardisering bör förbli en i första hand marknadsdriven process. Det kan dock fortfarande finnas situationer där det är lämpligt att kräva överensstämmelse med specificerade standarder. Medlemsstaterna bör, när så är användbart, uppmuntra användning av europeiska och internationella standarder och tekniska specifikationer som är relevanta för åtgärder för säkerhet och motståndskraft som är tillämpliga på kritiska entiteter.

(35)

Kritiska entiteter bedriver i allmänhet sin verksamhet inom ramen för ett allt mer sammankopplat nätverk av tillhandahållande av tjänster och infrastruktur och tillhandahåller ofta samhällsviktiga tjänster i mer än en medlemsstat, men vissa av dessa kritiska entiteter har särskild betydelse för unionen och den inre marknaden eftersom de tillhandahåller samhällsviktiga tjänster till eller i minst sex medlemsstater, och kan därför omfattas av särskilt stöd på unionsnivå. Därför bör det fastställas regler om rådgivande uppdrag med avseende på sådana kritiska entiteter av särskild europeisk betydelse. Dessa regler påverkar inte de regler om tillsyn och kontroll av efterlevnad som fastställs i detta direktiv.

(36)

På motiverad begäran från kommissionen eller en eller flera medlemsstater till eller i vilka den samhällsviktiga tjänsten tillhandahålls, och om det krävs ytterligare upplysningar för att man ska kunna ge råd till en kritisk entitet avseende uppfyllandet av dess skyldigheter enligt detta direktiv eller för att man ska kunna bedöma huruvida en kritisk entitet av särskild europeisk betydelse uppfyller dessa skyldigheter, bör den medlemsstat som har identifierat en kritisk entitet av särskild europeisk betydelse som en kritisk entitet förse kommissionen med viss information i enlighet med detta direktiv. Kommissionen bör, i samförstånd med den medlemsstat som har identifierat den kritiska entiteten av särskild europeisk betydelse som en kritisk entitet, kunna anordna ett rådgivande uppdrag för att bedöma de åtgärder som den entiteten har infört. För att säkerställa att sådana rådgivande uppdrag utförs korrekt bör kompletterande regler fastställas, särskilt om hur de rådgivande uppdragen ska anordnas och genomföras, de uppföljande åtgärder som ska vidtas och vilka skyldigheter de berörda kritiska entiteterna av särskild europeisk betydelse har. Utan att det påverkar skyldigheten för den medlemsstat där det rådgivande uppdraget genomförs och för den berörda kritiska entiteten att följa reglerna i detta direktiv, bör det rådgivande uppdraget genomföras i enlighet med de närmare föreskrifterna i den medlemsstatens rätt, till exempel om de exakta villkor som ska vara uppfyllda för att få åtkomst till relevanta lokaler eller handlingar och om rättslig prövning. Särskild expertis som behövs för sådana rådgivande uppdrag skulle i förekommande fall kunna begäras via Centrumet för samordning av katastrofberedskap, som inrättats genom Europaparlamentets och rådets beslut nr 1313/2013/EU (22).

(37)

För att ge kommissionen stöd och underlätta samarbete mellan medlemsstaterna och utbyte av information, inbegripet bästa praxis, i frågor som rör detta direktiv bör det inrättas en grupp för kritiska entiteters motståndskraft, som kommissionens expertgrupp. Medlemsstaterna bör sträva efter att säkerställa att de utsedda företrädarna från deras behöriga myndigheter i gruppen för kritiska entiteters motståndskraft samarbetar ändamålsenligt och effektivt, inbegripet genom att när så är lämpligt utse företrädare med säkerhetsgodkännande. Gruppen för kritiska entiteters motståndskraft bör inleda sitt arbete så snart som möjligt, för att erbjuda ytterligare möjligheter till lämpligt samarbete under införlivandeperioden för detta direktiv. Gruppen för kritiska entiteters motståndskraft bör samverka med andra relevanta sektorsspecifika expertgrupper.

(38)

Gruppen för kritiska entiteters motståndskraft bör samarbeta med den samarbetsgrupp som inrättats enligt direktiv (EU) 2022/2555 för att stödja en övergripande ram för cybermotståndskraft och icke-cyberrelaterad motståndskraft för kritiska entiteter. Gruppen för kritiska entiteters motståndskraft och den samarbetsgrupp som inrättats enligt direktiv (EU) 2022/2555 bör föra en regelbunden dialog för att främja samarbete mellan de behöriga myndigheterna enligt det här direktivet och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 och för att underlätta utbyte av information, särskilt i frågor som är relevanta för båda grupperna.

(39)

För att uppnå målen för detta direktiv och utan att det påverkar medlemsstaternas och de kritiska entiteternas rättsliga ansvar att säkerställa efterlevnad av sina respektive skyldigheter enligt detta direktiv bör kommissionen, när den anser att det är lämpligt, ge stöd till behöriga myndigheter och kritiska entiteter för att underlätta deras efterlevnad av respektive skyldigheter. När kommissionen ger stöd till medlemsstater och kritiska entiteter i genomförandet av skyldigheter enligt detta direktiv bör den utgå från befintliga strukturer och verktyg, exempelvis inom ramen för unionens civilskyddsmekanism som inrättats genom beslut nr 1313/2013/EU, och det europeiska referensnätverket för skydd av kritisk infrastruktur. Dessutom bör den informera medlemsstaterna om tillgängliga resurser på unionsnivå, såsom Fonden för inre säkerhet, som inrättats genom Europaparlamentets och rådets förordning (EU) 2021/1149 (23), Horisont Europa, som inrättats genom Europaparlamentets och rådets förordning (EU) 2021/695 (24), eller andra instrument som är relevanta för kritiska entiteters motståndskraft.

(40)

Medlemsstaterna bör säkerställa att deras behöriga myndigheter har vissa särskilda befogenheter att tillämpa och kontrollera efterlevnaden av detta direktiv på ett korrekt sätt med avseende på kritiska entiteter, när dessa entiteter omfattas av deras jurisdiktion i enlighet med vad som fastställs i detta direktiv. Dessa befogenheter bör särskilt omfatta befogenhet att utföra inspektioner och revisioner, befogenhet att utöva tillsyn, befogenhet att kräva att kritiska entiteter ska lämna information och bevis som rör de åtgärder de har vidtagit för att uppfylla sina skyldigheter och, vid behov, befogenhet att utfärda förelägganden om att avhjälpa konstaterade överträdelser. När medlemsstaterna utfärdar sådana förelägganden bör de inte kräva åtgärder som går utöver vad som är nödvändigt och proportionerligt för att säkerställa att den berörda kritiska entiteten uppfyller skyldigheterna, med beaktande av, i synnerhet, överträdelsens allvarlighetsgrad och den berörda kritiska entitetens ekonomiska kapacitet. Mer generellt bör dessa befogenheter åtföljas av lämpliga och effektiva skyddsåtgärder som ska fastställas i nationell rätt i enlighet med Europeiska unionens stadga om de grundläggande rättigheterna. När de behöriga myndigheterna enligt detta direktiv bedömer om en kritisk entitet uppfyller sina skyldigheter enligt detta direktiv bör de kunna begära att de behöriga myndigheterna enligt direktiv (EU) 2022/2555 utövar sina tillsyns- och efterlevnadskontrollbefogenheter med avseende på en entitet enligt det direktivet som har identifierats som en kritisk entitet enligt det här direktivet. De behöriga myndigheterna enligt det här direktivet och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 bör samarbeta och utbyta information för detta ändamål.

(41)

I syfte att tillämpa detta direktiv på ett ändamålsenligt och enhetligt sätt bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på att komplettera detta direktiv genom att upprätta en förteckning över samhällsviktiga tjänster. Denna förteckning bör användas av de behöriga myndigheterna för att genomföra medlemsstaternas riskbedömningar och identifiera kritiska entiteter enligt detta direktiv. Mot bakgrund av den minimiharmoniseringsansats som föreskrivs i detta direktiv är denna förteckning icke uttömmande och medlemsstaterna kan komplettera den med ytterligare samhällsviktiga tjänster på nationell nivå för att ta hänsyn till nationella särdrag vid tillhandahållandet av samhällsviktiga tjänster. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (25). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(42)

För att säkerställa enhetliga villkor för genomförandet av detta direktiv, bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (26).

(43)

Eftersom målen för detta direktiv, nämligen att säkerställa att tjänster som är nödvändiga för att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet tillhandahålls på ett obehindrat sätt på den inre marknaden och att stärka motståndskraften hos kritiska entiteter som tillhandahåller sådana tjänster, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens effekter, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(44)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (27) och avgav ett yttrande den 11 augusti 2021.

(45)

Direktiv 2008/114/EG bör därför upphävas.