om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

1. I detta direktiv fastställs åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem inom unionen, i syfte att förbättra den inre marknadens funktion.

3. Säkerhets- och rapporteringskraven enligt detta direktiv ska inte tillämpas på företag som omfattas av kraven i artiklarna 13a och 13b i direktiv 2002/21/EG eller på leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i förordning (EU) nr 910/2014.

4. Detta direktiv påverkar inte tillämpningen av rådets direktiv 2008/114/EG (14) eller Europaparlamentets och rådets direktiv 2011/93/EU (15) och 2013/40/EU (16).

5. Utan att det påverkar tillämpningen av artikel 346 i EUF-fördraget får information som är konfidentiell enligt unionsbestämmelser och nationella bestämmelser, såsom bestämmelser om affärshemligheter, utbytas med kommissionen och andra relevanta myndigheter endast när sådant utbyte är nödvändigt för att tillämpa detta direktiv. Den information som utbyts ska begränsas till vad som är relevant och proportionellt för ändamålet med utbytet. Vid sådant utbyte ska informationens konfidentialitet bevaras och säkerhetsintressen och kommersiella intressen hos leverantörer av såväl samhällsviktiga tjänster som digitala tjänster skyddas.

6. Detta direktiv påverkar inte medlemsstaternas åtgärder för att skydda sina väsentliga statliga funktioner, särskilt för att skydda den nationella säkerheten, inklusive åtgärder för skydd av information vars avslöjande medlemsstaterna anser strida mot sina väsentliga säkerhetsintressen, och för att upprätthålla lag och ordning, särskilt för att möjliggöra utredning, upptäckt och lagföring av brott.

7. Om det i en sektorsspecifik unionsrättsakt föreskrivs krav på att leverantörer av samhällsviktiga tjänster eller leverantörer av digitala tjänster antingen ska säkerställa säkerheten i sina nätverks- och informationssystem eller rapportera incidenter, ska bestämmelserna i den sektorsspecifika unionsrättsakten tillämpas, förutsatt att verkan av kraven i fråga minst motsvarar verkan av skyldigheterna i detta direktiv.

1. Behandling av personuppgifter enligt detta direktiv ska ske i enlighet med direktiv 95/46/EG.

2. Behandling av personuppgifter som utförs av unionens institutioner och organ enligt detta direktiv ska ske i enlighet med förordning (EG) nr 45/2001.

Utan att det påverkar tillämpningen av artikel 16.10 eller medlemsstaternas skyldigheter enligt unionsrätten får medlemsstaterna anta eller behålla bestämmelser som syftar till att uppnå en högre nivå på säkerheten i nätverks- och informationssystem.

2. säkerhet i nätverks- och informationssystem : nätverks- och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem,

3. nationell strategi för säkerheten i nätverks- och informationssystem : en ram med strategiska mål och prioriteringar för säkerhet i nätverks- och informationssystem på nationell nivå,

4. leverantör av samhällsviktiga tjänster : en offentlig eller privat enhet av en typ som avses i bilaga II vilken uppfyller kriterierna i artikel 5.2,

5. digital tjänst : en tjänst i den mening som avses i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 (17) av en typ som anges i bilaga III,

6. leverantör av digitala tjänster : en juridisk person som tillhandahåller en digital tjänst,

7. incident : en händelse med en faktisk negativ inverkan på säkerheten i nätverks- och informationssystem,

8. incidenthantering : alla förfaranden som stöder upptäckt, analys och begränsning av en incident och åtgärder mot en incident,

9. risk : en rimligen identifierbar omständighet eller händelse med en potentiell negativ inverkan på säkerheten i nätverks- och informationssystem,

10. företrädare : en i unionen etablerad fysisk eller juridisk person som uttryckligen har utsetts att agera för en leverantör av digitala tjänster som inte är etablerad i unionen, till vilken en behörig nationell myndighet eller en CSIRT-enhet kan vända sig, i stället för till leverantören av digitala tjänster, i frågor som gäller de skyldigheter som leverantören av digitala tjänster har enligt detta direktiv,

11. standard : en standard i den mening som avses i artikel 2.1 i förordning (EU) nr 1025/2012,

12. specifikation : en teknisk specifikation i den mening som avses i artikel 2.4 i förordning (EU) nr 1025/2012,

13. internetknutpunkt (IXP) : en nätfacilitet som möjliggör sammankoppling av mer än två oberoende autonoma system, främst i syfte att underlätta utbytet av internettrafik; en IXP tillhandahåller sammankoppling enbart för autonoma system och kräver inte att den internettrafik som passerar mellan två deltagande autonoma system passerar genom ett tredje autonomt system och ändrar inte heller trafiken eller påverkar den på något annat sätt,

14. domännamnssystem (DNS) : ett hierarkiskt, distribuerat namngivningssystem i ett nätverk som hanterar domännamnsförfrågningar,

15. leverantör av DNS-tjänst : en enhet som tillhandahåller DNS-tjänster på internet,

16. registreringsenhet för toppdomäner : en enhet som administrerar och förvaltar registreringen av internetdomännamn under en specifik toppdomän,

17. internetbaserad marknadsplats : en digital tjänst som gör det möjligt för konsumenter och/eller näringsidkare enligt definitionen i artikel 4.1 a respektive 4.1 b i Europaparlamentets och rådets direktiv 2013/11/EU (18) att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats tillhörande en näringsidkare där datatjänster som tillhandahålls av en internetbaserad marknadsplats används,

18. internetbaserad sökmotor : en digital tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk på grundval av en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller annan inmatning och som returnerar länkar som innehåller information om det begärda innehållet,

19. molntjänster : en digital tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.

1. Senast den 9 november 2018 ska medlemsstaterna, för varje sektor och delsektor som avses i bilaga II, identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium.

2. Kriterierna för identifiering av leverantörer av samhällsviktiga tjänster enligt artikel 4.4 ska vara följande:

3. Med avseende på tillämpningen av punkt 1 ska varje medlemsstat upprätta en förteckning över de tjänster som avses i punkt 2 a.

4. Med avseende på tillämpningen av punkt 1 gäller att om en enhet tillhandahåller en tjänst som avses i punkt 2 a i två eller flera medlemsstater, ska dessa medlemsstater samråda med varandra. Detta samråd ska äga rum innan ett beslut om identifiering fattas.

5. Medlemsstaterna ska regelbundet och minst vartannat år efter den 9 maj 2018 se över och vid behov uppdatera förteckningen över identifierade leverantörer av samhällsviktiga tjänster.

6. Samarbetsgruppens roll ska, i överensstämmelse med de uppgifter som anges i artikel 11, vara att hjälpa medlemsstaterna att tillämpa ett enhetligt tillvägagångssätt i förfarandet för identifiering av leverantörer av samhällsviktiga tjänster.

7. Med avseende på den översyn som avses i artikel 23 ska medlemsstaterna, senast den 9 november 2018 och därefter vartannat år, tillhandahålla kommissionen den information som är nödvändig för att kommissionen ska kunna bedöma genomförandet av detta direktiv, särskilt enhetligheten i medlemsstaternas tillvägagångssätt för identifiering av leverantörer av samhällsviktiga tjänster. Denna information ska omfatta åtminstone

I syfte att bidra till tillhandahållandet av jämförbar information får kommissionen, med största hänsyn till yttrandet från Enisa, anta lämpliga tekniska riktlinjer om parametrar för den information som avses i denna punkt.

1. När medlemsstaterna fastställer om en störning är betydande enligt artikel 5.2 c, ska de beakta åtminstone följande sektorsöverskridande faktorer:

2. För att fastställa huruvida en incident skulle medföra en betydande störning ska medlemsstaterna även, i lämpliga fall, beakta sektorsspecifika faktorer.

1. Varje medlemsstat ska anta en nationell strategi för säkerhet i nätverks- och informationssystem som fastställer strategiska mål och lämpliga politiska åtgärder och lagstiftningsåtgärder för att uppnå och bibehålla en hög nivå på säkerheten i nätverks- och informationssystem och som täcker åtminstone de sektorer som avses i bilaga II och de tjänster som avses i bilaga III. Den nationella strategin för säkerhet i nätverks- och informationssystem ska i synnerhet omfatta följande:

2. Medlemsstaterna får begära Enisas bistånd vid utarbetandet av nationella strategier för säkerhet i nätverks- och informationssystem.

3. Medlemsstaterna ska underrätta kommissionen om sina nationella strategier för säkerhet i nätverks- och informationssystem inom tre månader från deras antagande. Härvid får medlemstaterna utesluta delar av strategin som rör nationell säkerhet.

1. Varje medlemsstat ska utse en eller flera nationella behöriga myndigheter för säkerhet i nätverks- och informationssystem (nedan kallad den behöriga myndigheten), åtminstone för de sektorer som avses i bilaga II och de tjänster som avses i bilaga III. Medlemsstaterna får tilldela en eller flera befintliga myndigheter denna roll.

2. De behöriga myndigheterna ska övervaka tillämpningen av detta direktiv på nationell nivå.

3. Varje medlemsstat ska utse en gemensam nationell kontaktpunkt för säkerhet i nätverks- och informationssystem (nedan kallad den gemensamma kontaktpunkten). Medlemsstaterna får tilldela en befintlig myndighet denna roll. Om en medlemsstat bara utser en behörig myndighet, ska denna behöriga myndighet också vara den gemensamma kontaktpunkten.

4. Den gemensamma kontaktpunkten ska utöva en sambandsfunktion för att säkerställa gränsöverskridande samarbete mellan medlemsstaternas myndigheter och med de berörda myndigheterna i andra medlemsstater samt med den samarbetsgrupp som avses i artikel 11 och det CSIRT-nätverk som avses i artikel 12.

5. Medlemsstaterna ska säkerställa att de behöriga myndigheterna och de gemensamma kontaktpunkterna har tillräckliga resurser för att på ett effektivt sätt kunna utföra de uppgifter de tilldelas och därigenom uppnå målen med detta direktiv. Medlemsstaterna ska säkerställa att de utsedda företrädarna samarbetar på ett effektivt och säkert sätt i samarbetsgruppen.

6. De behöriga myndigheterna och den gemensamma kontaktpunkten ska, när så är lämpligt och i överensstämmelse med nationell rätt, samråda och samarbeta med de relevanta nationella rättsvårdande myndigheterna och de nationella dataskyddsmyndigheterna.

7. Varje medlemsstat ska utan dröjsmål underrätta kommissionen om utnämningen av den behöriga myndigheten och den gemensamma kontaktpunkten och deras uppgifter samt alla senare ändringar. Varje medlemsstat ska offentliggöra utnämningen av den behöriga myndigheten och den gemensamma kontaktpunkten. Kommissionen ska offentliggöra förteckningen över utsedda gemensamma kontaktpunkter.

1. Varje medlemsstat ska utse en eller flera CSIRT-enheter som ska uppfylla kraven i punkt 1 i bilaga I, som täcker åtminstone de sektorer som avses i bilaga II och de tjänster som avses i bilaga III och som ansvarar för hanteringen av incidenter och risker i enlighet med ett tydligt fastställt förfarande. En CSIRT-enhet får inrättas inom en behörig myndighet.

2. Medlemsstaterna ska säkerställa att CSIRT-enheterna har de resurser som de behöver för att effektivt utföra sina uppgifter enligt punkt 2 i bilaga I.

Medlemsstaterna ska säkerställa att deras CSIRT-enheter samarbetar på ett ändamålsenligt, effektivt och säkert sätt i det CSIRT-nätverk som avses i artikel 12.

3. Medlemsstaterna ska säkerställa att deras CSIRT-enheter har tillgång till lämplig, säker och motståndskraftig kommunikations- och informationsinfrastruktur på nationell nivå.

4. Medlemsstaterna ska underrätta kommissionen om sina CSIRT-enheters uppgifter samt om huvudinslagen i deras incidenthanteringsförfarande.

5. Medlemsstaterna får begära Enisas bistånd vid inrättandet av nationella CSIRT-enheter.

1. Om den behöriga myndigheten, den gemensamma kontaktpunkten och CSIRT-enheten i en och samma medlemsstat är separata, ska de samarbeta när det gäller fullgörandet av skyldigheterna enligt detta direktiv.

2. Medlemsstaterna ska säkerställa att antingen de behöriga myndigheterna eller CSIRT-enheterna mottar incidentrapporter som lämnas in i enlighet med detta direktiv. Om en medlemsstat beslutar att CSIRT-enheterna inte ska motta rapporter ska CSIRT-enheterna, i den mån det är nödvändigt för att de ska kunna utföra sina uppgifter, beviljas tillgång till uppgifter om incidenter som rapporterats av leverantörer av samhällsviktiga tjänster enligt artikel 14.3 och 14.5, eller av leverantörer av digitala tjänster enligt artikel 16.3 och 16.6.

3. Medlemsstaterna ska säkerställa att de behöriga myndigheterna eller CSIRT-enheterna informerar de gemensamma kontaktpunkterna om incidentrapporter som lämnats in i enlighet med detta direktiv.

Den gemensamma kontaktpunkten ska senast den 9 augusti 2018, och därefter en gång om året, lämna en sammanfattande rapport till samarbetsgruppen om de rapporter som mottagits, inklusive antalet rapporter och de rapporterade incidenternas art, samt om vilka åtgärder som vidtagits i enlighet med artiklarna 14.3, 14.5, 16.3 och 16.6.

1. För att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlemsstaterna och skapa förtroende och tillit, och i syfte att uppnå en hög gemensam nivå på säkerheten i nätverks- och informationssystem i unionen, inrättas härmed en samarbetsgrupp.

Samarbetsgruppen ska utföra sina uppgifter på grundval av tvååriga arbetsprogram enligt punkt 3 andra stycket.

2. Samarbetsgruppen ska bestå av företrädare för medlemsstaterna, kommissionen och Enisa.

När så är lämpligt får samarbetsgruppen bjuda in företrädare för de berörda parterna att delta i arbetet.

Samarbetsgruppen ska, senast den 9 februari 2018 och därefter vartannat år, utarbeta ett arbetsprogram med åtgärder som ska vidtas för att genomföra dess mål och uppgifter, som ska överensstämma med målen för detta direktiv.

4. Med avseende på den översyn som avses i artikel 23 ska samarbetsgruppen, senast den 9 augusti 2018 och därefter med 1,5 års mellanrum, utarbeta en rapport med en bedömning av erfarenheterna av det strategiska samarbetet enligt den här artikeln.

5. Kommissionen ska anta genomförandeakter i vilka fastställs de förfaranden som krävs för samarbetsgruppens verksamhet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 22.2.

Vid tillämpningen av första stycket ska kommissionen senast den 9 februari 2017 förelägga den kommitté som avses i artikel 22.1 det första utkastet till genomförandeakt.

1. För att bidra till utvecklingen av förtroende och tillit mellan medlemsstaterna och för att främja snabbt och effektivt operativt samarbete inrättas härmed ett nätverk för nationella CSIRT-enheter.

2. CSIRT-nätverket ska bestå av företrädare för medlemsstaternas CSIRT-enheter och Cert-EU. Kommissionen ska delta i CSIRT-nätverket som observatör. Enisa ska tillhandahålla sekretariatet och aktivt stödja samarbetet mellan CSIRT-enheterna.

4. Med avseende på den översyn som avses i artikel 23 ska CSIRT-nätverket, senast den 9 augusti 2018 och därefter med 1,5 års mellanrum, utarbeta en rapport med en bedömning av erfarenheterna av det operativa samarbetet enligt denna artikel, inklusive slutsatser och rekommendationer. Rapporten ska även föreläggas samarbetsgruppen.

Unionen får i enlighet med artikel 218 i EUF-fördraget ingå internationella avtal med tredjeländer eller internationella organisationer, och därvid tillåta och organisera deras deltagande i vissa av samarbetsgruppens verksamheter. Sådana avtal ska beakta behovet av att säkerställa ändamålsenligt skydd av uppgifter.

SÄKERHET I NÄTVERKS- OCH INFORMATIONSSYSTEM SOM ANVÄNDS AV LEVERANTÖRER AV SAMHÄLLSVIKTIGA TJÄNSTER

1. Medlemsstaterna ska säkerställa att leverantörer av samhällsviktiga tjänster vidtar ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder i sin verksamhet. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken.

2. Medlemsstaterna ska säkerställa att leverantörer av samhällsviktiga tjänster vidtar lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten i nätverks- och informationssystem som används för att tillhandahålla sådana samhällsviktiga tjänster, i syfte att säkerställa kontinuiteten i dessa tjänster.

3. Medlemsstaterna ska säkerställa att leverantörer av samhällsviktiga tjänster utan onödigt dröjsmål till den behöriga myndigheten eller CSIRT-enheten rapporterar incidenter som har en betydande inverkan på kontinuiteten i de samhällsviktiga tjänster som de tillhandahåller. Rapporterna ska innehålla information som gör det möjligt för den behöriga myndigheten eller CSIRT-enheten att fastställa incidentens eventuella gränsöverskridande verkningar. Rapportering ska inte medföra ökat ansvar för den rapporterande parten.

4. För att avgöra om en incident har en betydande inverkan ska hänsyn framför allt tas till följande faktorer:

5. Mot bakgrund av informationen i rapporten från leverantören av den samhällsviktiga tjänsten ska den behöriga myndigheten eller CSIRT-enheten informera den eller de andra berörda medlemsstaterna, om incidenten har en betydande inverkan på kontinuiteten i samhällsviktiga tjänster i den medlemsstaten. Därvid ska den behöriga myndigheten eller CSIRT-enheten, i enlighet med unionsrätten eller med nationell lagstiftning som är förenlig med unionsrätten, bevara nämnda leverantörs säkerhetsintressen och kommersiella intressen samt konfidentialiteten hos informationen i leverantörens rapport.

När omständigheterna tillåter ska den behöriga myndigheten eller CSIRT-enheten förse den rapporterande leverantören av samhällsviktiga tjänster med relevant information om uppföljningen av rapporten, såsom information som skulle kunna bidra till effektiv hantering av incidenten.

På begäran av den behöriga myndigheten eller CSIRT-enheten ska den gemensamma kontaktpunkten vidarebefordra rapporter enligt första stycket till gemensamma kontaktpunkter i andra medlemsstater som påverkats av incidenten.

6. Efter samråd med den rapporterande leverantören av samhällsviktiga tjänster får den behöriga myndigheten eller CSIRT-enheten informera allmänheten om enskilda incidenter, om allmänheten behöver känna till dem för att det ska vara möjligt att förhindra en incident eller åtgärda en pågående incident.

7. Behöriga myndigheter som agerar tillsammans inom samarbetsgruppen får utarbeta och anta riktlinjer för under vilka omständigheter leverantörer av samhällsviktiga tjänster är skyldiga att rapportera incidenter, inklusive riktlinjer om vilka faktorer som ska användas för att fastställa om en incident har betydande inverkan enligt punkt 4.

1. Medlemsstaterna ska säkerställa att de behöriga myndigheterna har de befogenheter och medel de behöver för att bedöma huruvida leverantörer av samhällsviktiga tjänster uppfyller sina skyldigheter enligt artikel 14 och effekterna därav på säkerheten i nätverks- och informationssystem.

2. Medlemsstaterna ska säkerställa att de behöriga myndigheterna har de befogenheter och medel som krävs för att ålägga leverantörer av samhällsviktiga tjänster att tillhandahålla

När den behöriga myndigheten begär sådan information eller sådana bevis ska den uppge syftet med begäran och precisera vilken information som krävs.

3. Efter att ha bedömt information eller resultat av säkerhetsrevisioner enligt punkt 2, får den behöriga myndigheten utfärda bindande anvisningar till leverantörerna av samhällsviktiga tjänster om hur de ska avhjälpa de identifierade bristerna.

4. Den behöriga myndigheten ska ha ett nära samarbete med dataskyddsmyndigheter när den åtgärdar incidenter som medför personuppgiftsincidenter.

SÄKERHET I NÄTVERKS- OCH INFORMATIONSSYSTEM SOM ANVÄNDS AV LEVERANTÖRER AV DIGITALA TJÄNSTER

1. Medlemsstaterna ska säkerställa att leverantörer av digitala tjänster utarbetar och vidtar ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder när de tillhandahåller sådana tjänster som avses i bilaga III inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till

2. Medlemsstaterna ska säkerställa att leverantörer av digitala tjänster vidtar åtgärder för att förebygga och minimera den inverkan som incidenter som påverkar säkerheten i deras nätverks- och informationssystem har på de tjänster som avses i bilaga III och som erbjuds inom unionen, i syfte att säkerställa kontinuiteten i dessa tjänster.

3. Medlemsstaterna ska säkerställa att leverantörer av digitala tjänster utan onödigt dröjsmål till den behöriga myndigheten eller CSIRT-enheten rapporterar alla incidenter som har en avsevärd inverkan på tillhandahållandet av en tjänst som avses i bilaga III och som de erbjuder inom unionen. Rapporterna ska innehålla information som gör det möjligt för den behöriga myndigheten eller CSIRT-enheten att fastställa vilken betydelse eventuell gränsöverskridande inverkan har. Rapportering ska inte medföra ökat ansvar för den rapporterande parten.

4. För att fastställa om en incident har en avsevärd inverkan ska hänsyn framför allt tas till följande faktorer:

Skyldigheten att rapportera en incident ska endast gälla om leverantören av digitala tjänster har tillgång till den information som behövs för att bedöma en incidents inverkan mot bakgrund av de faktorer som avses i första stycket.

5. Om en leverantör av samhällsviktiga tjänster är beroende av en tredjepartsleverantör av digitala tjänster för tillhandahållandet av en tjänst som är viktig för att upprätthålla kritisk samhällelig och ekonomisk verksamhet, ska leverantören av samhällsviktiga tjänster rapportera varje betydande inverkan på kontinuiteten i de samhällsviktiga tjänsterna till följd av en incident som påverkar leverantören av digitala tjänster.

6. Om så är lämpligt, och särskilt om den incident som avses i punkt 3 berör två eller flera medlemsstater, ska den behöriga myndigheten eller CSIRT-enheten informera andra medlemsstater som påverkats. Därvid ska de behöriga myndigheterna, CSIRT-enheter och gemensamma kontaktpunkter, i enlighet med unionsrätten eller nationell lagstiftning som är förenlig med unionsrätten, bevara leverantören av digitala tjänsters säkerhetsintressen och kommersiella intressen samt den tillhandahållna informationens konfidentialitet.

7. Efter samråd med den berörda leverantören av digitala tjänster får den behöriga myndigheten eller CSIRT-enheten och, om så är lämpligt, myndigheterna eller CSIRT-enheterna i andra berörda medlemsstater, informera allmänheten om enskilda incidenter eller kräva att leverantören av digitala tjänster gör det, om allmänheten behöver känna till dem för att det ska vara möjligt att förhindra en incident eller åtgärda en pågående incident eller om incidentens avslöjande på annat sätt omfattas av allmänintresset.

8. Kommissionen ska anta genomförandeakter för att ytterligare specificera de element som avses i punkt 1 och de faktorer som anges i punkt 4 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 22.2 senast den 9 augusti 2017.

9. Kommissionen får anta genomförandeakter som fastställer format och förfaranden tillämpliga på rapporteringskrav. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 22.2.

10. Utan att det påverkar tillämpningen av artikel 1.6 får medlemsstaterna inte införa ytterligare säkerhets- eller rapporteringskrav för leverantörer av digitala tjänster.

11. Kapitel V ska inte tillämpas på mikroföretag och små företag enligt definitionen i kommissionens rekommendation 2003/361/EG (19).

1. Medlemsstaterna ska säkerställa att de behöriga myndigheterna vid behov vidtar åtgärder genom tillsynsåtgärder i efterhand, när de har mottagit bevis på att en leverantör av digitala tjänster inte uppfyller kraven i artikel 16. Sådana bevis får läggas fram av en behörig myndighet i en annan medlemsstat där tjänsten tillhandahålls.

2. Vid tillämpning av punkt 1 ska de behöriga myndigheterna ha de befogenheter och medel som krävs för att ålägga leverantörer av digitala tjänster att

3. Om en leverantör av digitala tjänster har sitt huvudsakliga etableringsställe eller en företrädare i en medlemsstat, men dess nätverks- och informationssystem är belägna i en eller flera andra medlemsstater, ska den behöriga myndigheten i den medlemsstat där det huvudsakliga etableringsstället eller företrädaren finns och de behöriga myndigheterna i dessa andra medlemsstater samarbeta och vid behov bistå varandra. Detta bistånd och samarbete får omfatta informationsutbyte mellan de berörda behöriga myndigheterna och begäranden om att de tillsynsåtgärder som avses i punkt 2 ska vidtas.

1. Vid tillämpningen av detta direktiv ska en leverantör av digitala tjänster anses omfattas av jurisdiktionen i den medlemsstat där leverantören har sitt huvudsakliga etableringsställe. En leverantör av digitala tjänster ska anses ha sitt huvudsakliga etableringsställe i en medlemsstat om den har sitt huvudkontor i denna medlemsstat.

2. En leverantör av digitala tjänster som inte är etablerad i unionen men som erbjuder sådana tjänster som avses i bilaga III inom unionen ska utse en företrädare i unionen. Företrädaren ska vara etablerad i en av de medlemsstater där tjänsterna erbjuds. Leverantören av digitala tjänster ska anses omfattas av jurisdiktionen i den medlemsstat där företrädaren är etablerad.

3. Att leverantören av digitala tjänster utser en företrädare ska inte påverka eventuella rättsliga åtgärder mot leverantören av digitala tjänster själv.

1. För att främja en enhetlig tillämpning av artiklarna 14.1, 14.2, 16.1 och 16.2 ska medlemsstaterna, utan att föreskriva eller gynna användning av en viss typ av teknik, uppmuntra användningen av europeiska eller internationellt accepterade standarder och specifikationer av relevans för säkerheten i nätverks- och informationssystem.

2. Enisa ska i samarbete med medlemsstaterna utarbeta råd och riktlinjer för de tekniska områden som ska beaktas när det gäller punkt 1 samt för redan befintliga standarder, inklusive medlemsstaternas nationella standarder, som skulle kunna täcka dessa områden.

1. Utan att det påverkar tillämpningen av artikel 3 får enheter som inte har identifierats som leverantörer av samhällsviktiga tjänster och som inte är leverantörer av digitala tjänster, på frivillig grund, rapportera incidenter som har en betydande inverkan på kontinuiteten i de tjänster som de tillhandahåller.

2. Vid behandlingen av rapporter ska medlemsstaterna agera i enlighet med det förfarande som fastställs i artikel 14. Medlemsstaterna får ge behandling av obligatoriska rapporter företräde framför behandling av frivilliga rapporter. Frivilliga rapporter ska endast behandlas om behandlingen inte utgör en oproportionell eller orimlig börda för de berörda medlemsstaterna.

En frivillig rapport får inte leda till att den rapporterande enheten åläggs skyldigheter som den inte skulle ha varit föremål för om den inte hade gett in rapporten.

Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av nationella bestämmelser som har antagits enligt detta direktiv och vidta alla nödvändiga åtgärder för att se till att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska till kommissionen anmäla dessa regler och åtgärder senast den 9 maj 2018 samt utan dröjsmål eventuella ändringar som berör dem.

1. Kommissionen ska biträdas av kommittén för säkerhet i nätverks- och informationssystem. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

1. Kommissionen ska senast den 9 maj 2019 lämna en rapport till Europaparlamentet och rådet, där den bedömer enhetligheten i medlemsstaternas tillvägagångssätt vid identifieringen av leverantörer av samhällsviktiga tjänster.

2. Kommissionen ska regelbundet se över hur detta direktiv fungerar och rapportera resultaten till Europaparlamentet och rådet. I detta syfte och för att ytterligare främja det strategiska och operativa samarbetet ska kommissionen beakta rapporterna från samarbetsgruppen och CSIRT-nätverket om de erfarenheter som förvärvats på strategisk och operativ nivå. I sin översyn ska kommissionen också bedöma förteckningarna i bilagorna II och III samt enhetligheten i identifieringen av leverantörer av samhällsviktiga tjänster och tjänster i de sektorer som avses i bilaga II. Den första rapporten ska lämnas senast den 9 maj 2021.

1. Utan att det påverkar tillämpningen av artikel 25 och i syfte att erbjuda medlemsstaterna ytterligare möjligheter till lämpligt samarbete under införlivandeperioden, ska samarbetsgruppen och CSIRT-nätverket börja utföra sina uppgifter enligt artikel 11.3 respektive 12.3 senast den 9 februari 2017.

2. Under perioden från och med den 9 februari 2017 till och med den 9 november 2018 ska samarbetsgruppen, i syfte att hjälpa medlemsstaterna att tillämpa ett enhetligt tillvägagångssätt i förfarandet för identifiering av leverantörer av samhällsviktiga tjänster, diskutera förfarandet för, innehållet i och typen av nationella åtgärder som möjliggör identifiering av leverantörer av samhällsviktiga tjänster inom en särskild sektor i enlighet med de kriterier som anges i artiklarna 5 och 6. Samarbetsgruppen ska på begäran av en medlemsstat också diskutera medlemsstatens utkast till specifika nationella åtgärder som möjliggör identifiering av leverantörer av samhällsviktiga tjänster inom en särskild sektor i enlighet med de kriterier som anges i artiklarna 5 och 6.

3. Senast den 9 februari 2017 ska medlemsstaterna vid tillämpning av denna artikel säkerställa att de är korrekt företrädda i samarbetsgruppen och CSIRT-nätverket.

1. Medlemsstaterna ska senast den 9 maj 2018 anta och offentliggöra de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast underrätta kommissionen om detta.

När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2. Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

(2) Europaparlamentets ståndpunkt av den 13 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av den 17 maj 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 6 juli 2016 (ännu ej offentliggjord i EUT).

(3) Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) (EGT L 108, 24.4.2002, s. 33).

(4) Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).

(5) Rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 274, 15.10.2013, s. 1).

(7) Europaparlamentets och rådets förordning (EU) nr 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004 (EUT L 165, 18.6.2013, s. 41).

(8) Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG (EUT L 316, 14.11.2012, s. 12).

(9) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(10) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

(11) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(12) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(14) Rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna (EUT L 345, 23.12.2008, s. 75).

(15) Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 17.12.2011, s. 1).

(16) Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s. 8).

(17) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).

(18) Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj 2013 om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning) (EUT L 165, 18.6.2013, s. 63).

(19) Kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36).

BILAGA I

KRAV PÅ ENHETER FÖR HANTERING AV IT-SÄKERHETSINCIDENTER (COMPUTER SECURITY INCIDENT RESPONSE TEAMS, NEDAN KALLADE CSIRT-ENHETER) SAMT DERAS UPPGIFTER

Kraven på CSIRT-enheter samt deras uppgifter ska på ett lämpligt och entydigt sätt fastställas och stödjas genom nationell politik och/eller lagstiftning. Följande ska ingå:

Krav på CSIRT-enheter

CSIRT-enheterna ska säkerställa en hög nivå på tillgången till sina kommunikationstjänster genom att undvika felkritiska systemdelar (single points of failure) och ska kunna kontaktas och kontakta andra när som helst och på flera olika sätt. Kommunikationskanalerna ska dessutom vara tydligt specificerade och välkända för användargruppen och samarbetspartner.

b)	CSIRT-enheternas lokaler och de informationssystem som de använder sig av ska vara belägna på säker plats.

Driftskontinuitet:

i)	CSIRT-enheter ska ha ett ändamålsenligt system för handläggning och dirigering av ansökningar, så att överlämnanden underlättas.

ii)	CSIRT-enheter ska ha tillräckligt med personal för att ständigt vara tillgängliga.

iii)	CSIRT-enheter ska förlita sig på en infrastruktur med säkerställd kontinuitet. Därför måste systemen ha inbyggd redundans och reservlokaler finnas tillgängliga.

d)	CSIRT-enheter ska om de så önskar ha möjlighet att delta i internationella samarbetsnätverk.

CSIRT-enheters uppgifter

CSIRT-enheters uppgifter ska omfatta minst följande:

i)	Övervakning av incidenter på nationell nivå.

ii)	Tillhandahållande av tidiga varningar, larm, meddelanden och informationsspridning till relevanta aktörer om risker och incidenter.

iii)	Åtgärder till följd av incidenter.

iv)	Tillhandahållande av dynamisk risk- och incidentanalys och situationsmedvetenhet.

v)	Deltagande i CSIRT-nätverket.

b)	CSIRT-enheter ska bygga upp samarbetsrelationer med den privata sektorn.

För att underlätta samarbete ska CSIRT-enheter främja antagandet och användningen av gemensam eller standardiserad praxis för

i)	förfaranden för hantering av incidenter och risker,

ii)	klassificeringssystem för incidenter, risker och information.

BILAGA II

TYPER AV ENHETER ENLIGT ARTIKEL 4.4

Sektor

Delsektor

Typ av enhet

Energi

a)	Elektricitet

—	Elföretag enligt definitionen i artikel 2.35 i Europaparlamentets och rådets direktiv 2009/72/EG (1) som bedriver ”leverans eller handel” enligt definitionen i artikel 2.19 i det direktivet

—	Systemansvariga för distributionssystemet enligt definitionen i artikel 2.6 i direktiv 2009/72/EG

—	Systemansvariga för överföringssystemet enligt definitionen i artikel 2.4 i direktiv 2009/72/EG

Olja

—	Operatörer av oljeledningar

—	Operatörer av oljeproduktion, raffinaderier, bearbetningsanläggningar, lagring och överföring

Gas

—	Gashandelsföretag eller gashandlare enligt definitionen i artikel 2.8 i Europaparlamentets och rådets direktiv 2009/73/EG (2)

—	Systemansvariga för distributionssystemet enligt definitionen i artikel 2.6 i direktiv 2009/73/EG

—	Systemansvariga för överföringssystemet enligt definitionen i artikel 2.4 i direktiv 2009/73/EG

—	Systemansvariga för lagringssystemet enligt definitionen i artikel 2.10 i direktiv 2009/73/EG

—	Systemansvariga för en LNG-anläggning enligt definitionen i artikel 2.12 i direktiv 2009/73/EG

—	Naturgasföretag enligt definitionen i artikel 2.1 i direktiv 2009/73/EG

—	Operatörer av raffinaderier och bearbetningsanläggningar för naturgas

2.	Transporter

a)	Lufttransport

—	Lufttrafikföretag enligt definitionen i artikel 3.4 i Europaparlamentets och rådets förordning (EG) nr 300/2008 (3)

—

Flygplatsens ledningsenheter enligt definitionen i artikel 2.2 i Europaparlamentets och rådets direktiv 2009/12/EG (4), flygplatser enligt definitionen i artikel 2.1 i det direktivet, inbegripet de huvudflygplatser som förtecknas i avsnitt 2 i bilaga II till Europaparlamentets och rådets förordning (EU) nr 1315/2013 (5), och enheter som driver kringliggande installationer vid flygplatser

—	Operatörer inom trafikstyrning och trafikledning som tillhandahåller flygkontrolltjänst enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EG) nr 549/2004 (6)

b)	Järnvägstransport

—	Infrastrukturförvaltare enligt definitionen i artikel 3.2 i Europaparlamentets och rådets direktiv 2012/34/EU (7)

—	Järnvägsföretag enligt definitionen i artikel 3.1 i direktiv 2012/34/EU, inbegripet tjänsteleverantörer enligt definitionen i artikel 3.12 i direktiv 2012/34/EU

Sjöfart

—	Transportföretag som bedriver persontrafik och godstrafik på inre vattenvägar, till havs och längs kuster, enligt definitionerna för sjötransport i bilaga I till Europaparlamentets och rådets förordning (EG) nr 725/2004 (8), exklusive de enskilda fartyg som drivs av dessa företag

—	Ledningsenheter för hamnar enligt definitionen i artikel 3.1 i Europaparlamentets och rådets direktiv 2005/65/EG (9), inbegripet deras hamnanläggningar enligt definitionen i artikel 2.11 i förordning (EG) nr 725/2004, och enheter som sköter anläggningar och utrustning i hamnar

—	Operatörer av sjötrafikinformationstjänster enligt definitionen i artikel 3 o i Europaparlamentets och rådets direktiv 2002/59/EG (10)

d)	Vägtransport

—	Vägmyndigheter enligt definitionen i artikel 2.12 i kommissionens delegerade förordning (EU) 2015/962 (11) med ansvar för trafikstyrning och trafikledning

—	Operatörer av intelligenta transportsystem enligt definitionen i artikel 4.1 i Europaparlamentets och rådets direktiv 2010/40/EU (12)

3.	Bankverksamhet

Kreditinstitut enligt definitionen i artikel 4.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 (13)

4.	Finans-marknads-infrastruktur

—	Operatörer av handelsplatser enligt definitionen i artikel 4.24 i Europaparlamentets och rådets direktiv 2014/65/EU (14)

—	Centrala motparter enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) nr 648/2012 (15)

5.	Hälso- och sjukvårds-sektorn

Hälso- och sjukvårdsmiljöer (inklusive sjukhus och privata kliniker)

Vårdgivare enligt definitionen i artikel 3 g i Europaparlamentets och rådets direktiv 2011/24/EU (16)

6.	Leverans och distribution av dricksvatten

Leverantörer och distributörer av dricksvatten enligt definitionen i artikel 2.1 a i rådets direktiv 98/83/EG (17), dock exklusive distributörer för vilka distribution av dricksvatten endast utgör en del av deras allmänna verksamhet, som består i distribution av andra förnödenheter och varor som inte anses utgöra samhällsviktiga tjänster

7.	Digital infrastruktur

—	Internetknutpunkter

—	Leverantörer av DNS-tjänster

—	Registreringsenheter för toppdomäner

(1) Europaparlamentets och rådets direktiv 2009/72/EG av den 13 juli 2009 om gemensamma regler för den inre marknaden för el och om upphävande av direktiv 2003/54/EG (EUT L 211, 14.8.2009, s. 55).

(2) Europaparlamentets och rådets direktiv 2009/73/EG av den 13 juli 2009 om gemensamma regler för den inre marknaden för naturgas och om upphävande av direktiv 2003/55/EG (EUT L 211, 14.8.2009, s. 94).

(3) Europaparlamentets och rådets förordning (EG) nr 300/2008 av den 11 mars 2008 om gemensamma skyddsregler för den civila luftfarten och om upphävande av förordning (EG) nr 2320/2002 (EUT L 97, 9.4.2008, s. 72).

(4) Europaparlamentets och rådets direktiv 2009/12/EG av den 11 mars 2009 om flygplatsavgifter (EUT L 70, 14.3.2009, s. 11).

(5) Europaparlamentets och rådets förordning (EU) nr 1315/2013 av den 11 december 2013 om unionens riktlinjer för utbyggnad av det transeuropeiska transportnätet och om upphävande av beslut nr 661/2010/EU (EUT L 348, 20.12.2013, s. 1).

(6) Europaparlamentets och rådets förordning (EG) nr 549/2004 av den 10 mars 2004 om ramen för inrättande av det gemensamma europeiska luftrummet (”ramförordning”) (EUT L 96, 31.3.2004, s. 1).

(7) Europaparlamentets och rådets direktiv 2012/34/EU av den 21 november 2012 om inrättande av ett gemensamt europeiskt järnvägsområde (EUT L 343, 14.12.2012, s. 32).

(8) Europaparlamentets och rådets förordning (EG) nr 725/2004 av den 31 mars 2004 om förbättrat sjöfartsskydd på fartyg och i hamnanläggningar (EUT L 129, 29.4.2004, s. 6).

(9) Europaparlamentets och rådets direktiv 2005/65/EG av den 26 oktober 2005 om ökat hamnskydd (EUT L 310, 25.11.2005, s. 28).

(10) Europaparlamentets och rådets direktiv 2002/59/EG av den 27 juni 2002 om inrättande av ett övervaknings- och informationssystem för sjötrafik i gemenskapen och om upphävande av rådets direktiv 93/75/EEG (EGT L 208, 5.8.2002, s. 10).

(11) Kommissionens delegerade förordning (EU) 2015/962 av den 18 december 2014 om komplettering av Europaparlamentets och rådets direktiv 2010/40/EU vad gäller tillhandahållande av EU-omfattande realtidstrafikinformationstjänster (EUT L 157, 23.6.2015, s. 21).

(12) Europaparlamentets och rådets direktiv 2010/40/EU av den 7 juli 2010 om ett ramverk för införande av intelligenta transportsystem på vägtransportområdet och för gränssnitt mot andra transportslag (EUT L 207, 6.8.2010, s. 1).

(13) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).

(14) Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349).

(15) Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1).

(16) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

(17) Rådets direktiv 98/83/EG av den 3 november 1998 om kvaliteten på dricksvatten (EGT L 330, 5.12.1998, s. 32).