14.9.2023   

SV

Europeiska unionens officiella tidning

C 324/2


MEDDELANDE FRÅN KOMMISSIONEN

Kommissionens riktlinjer för tillämpningen av artikel 3.4 i direktiv (EU) 2022/2555 (NIS 2-direktivet)

(2023/C 324/02)

1.   

I enlighet med artikel 3.4 i Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS 2-direktivet) (1) ska kommissionen, med bistånd från Europeiska unionens cybersäkerhetsbyrå (Enisa), utan onödigt dröjsmål tillhandahålla riktlinjer och mallar för de skyldigheter som fastställs i den bestämmelsen. Artikel 3.4 i direktiv (EU) 2022/2555 hänvisar till artikel 3.3 i det direktivet, där det föreskrivs att medlemsstaterna senast den 17 april 2025 ska upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. Medlemsstaterna ska regelbundet och minst vartannat år därefter se över förteckningen och när det är lämpligt uppdatera den.

2.   

För upprättandet av förteckningen över väsentliga och viktiga entiteter bör medlemsstaterna ålägga entiteter att lämna minst följande information till de behöriga myndigheterna: Namn, adress och aktuella kontaktuppgifter, inklusive entitetens e-postadresser, IP-adressintervall och telefonnummer, och i tillämpliga fall den relevanta sektor och delsektor som avses i de bilagorna samt i tillämpliga fall en förteckning över de medlemsstater där de tillhandahåller tjänster som omfattas av direktivets tillämpningsområde. Bilaga I till dessa riktlinjer innehåller en mall för insamling av denna information för upprättandet av förteckningen.

3.   

I syfte att underlätta upprättandet och uppdateringen av förteckningen över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster föreskrivs i artikel 3.4 i direktiv (EU) 2022/2555 att medlemsstaterna ska kunna fastställa nationella mekanismer så att entiteter kan registrera sig själva (2).

4.   

Enligt artikel 3.5 i direktiv (EU) 2022/2555 ska medlemsstaterna senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och samarbetsgruppen om åtminstone antalet väsentliga och viktiga entiteter som förtecknats enligt punkt 3.3 i det direktivet för varje sektor och delsektor som avses i bilagorna I och II i direktivet. Medlemsstaterna ska också lämna relevant information till kommissionen om antalet väsentliga och viktiga entiteter som identifierats i enlighet med artikel 2.2 b–e i direktiv (EU) 2022/2555 samt om den sektor och delsektor som de tillhör, den typ av tjänst som de tillhandahåller och de bestämmelser i enlighet med vilka de identifierades. I skäl 19 i direktiv (EU) 2022/2555 förklaras att medlemsstaterna uppmuntras att utbyta information med kommissionen om väsentliga och viktiga entiteter och, i händelse av en storskalig cybersäkerhetsincident, relevant information såsom den berörda entitetens namn.

5.   

Utöver den förteckning som medlemsstaterna upprättar i enlighet med artikel 3.3 i direktiv (EU) 2022/2555 ska medlemsstaterna i enlighet med artikel 27.2 i det direktivet även ålägga vissa typer av entiteter som avses i punkt 27.1 i direktivet att lämna följande uppgifter till de behöriga myndigheterna senast den 17 januari 2025: Entitetens namn. Den relevanta sektorn och delsektorn samt typen av entitet enligt bilaga I eller II till direktivet, i tillämpliga fall. Adressen till entitetens huvudsakliga etableringsställe och andra rättsligt giltiga etableringsställen i unionen eller, om entiteten inte är etablerad i unionen, till dess företrädare som utsetts i enlighet med artikel 26.3 i direktivet. Aktuella kontaktuppgifter, inklusive e-postadresser och telefonnummer till entiteten och, i tillämpliga fall, till dess företrädare som utsetts i enlighet med artikel 26.3 i direktivet. De medlemsstater där entiteten tillhandahåller tjänster. Entitetens IP-adressintervall. I enlighet med artikel 27.3 i direktiv (EU) 2022/2555 ska medlemsstaterna ålägga de entiteter som avses i artikel 27.1 i direktivet att underrätta den behöriga myndigheten om alla ändringar av de uppgifter som de lämnat enligt artikel 27.2 i direktivet, utan dröjsmål och under alla omständigheter inom tre månader från dagen för ändringen.

6.   

I enlighet med artikel 27.5 i direktiv (EU) 2022/2555 ska den information som avses i artikel 27.2 och 27.3 i det direktivet lämnas genom den nationella mekanism som avses i artikel 3.4 i direktivet, i tillämpliga fall. För att uppnå större administrativ effektivitet omfattar den mall som bifogas som bilaga till dessa riktlinjer även informationskrav som föreskrivs i både artikel 3.3 och artikel 27.2 i direktiv (EU) 2022/2555. Denna mall har upprättats med bistånd av Enisa.


(1)   EUT L 333, 27.12.2022, s. 80.

(2)  Se även skäl 18 i direktiv (EU) 2022/2555.


TILLÄGG

Mall för information som krävs för den förteckning som avses i artikel 3.3 och artikel 27.2 i direktiv (EU) 2022/2555

1.   

Verksamhetssektor enligt direktiv (EU) 2022/2555

Bilaga I –

högkritiska sektorer

Energi

Elektricitet

Elföretag

Systemansvariga för distributionssystem

Systemansvariga för överföringssystem

Producenter

Nominerade elmarknadsoperatörer

Marknadsaktörer som tillhandahåller aggregering, efterfrågeflexibilitet eller energilagringstjänster

Laddningsoperatörer som har ansvar för förvaltning och drift av en laddningspunkt och som tillhandahåller en laddningstjänst till slutanvändare, även när detta utförs på uppdrag av en leverantör av mobilitetstjänster och i dess namn

Operatörer av fjärrvärme eller fjärrkyla

Olja

Operatörer av oljeledningar

Operatörer av anläggningar för oljeproduktion, raffinaderier, bearbetningsanläggningar och anläggningar för lagring och överföring av olja

Centrala lagringsenheter

Gas

Gashandelsföretag eller gashandlare

Systemansvariga för distributionssystem

Systemansvariga för överföringssystem

Systemansvariga för lagringssystem

Systemansvariga för LNG-anläggningar

Naturgasföretag

Operatörer av raffinaderier och bearbetningsanläggningar för naturgas

Operatörer av produktion, lagring och överföring av vätgas

Transporter

Lufttransport

Lufttrafikföretag

Flygplatsers ledningsenheter

Operatörer inom trafikstyrning och trafikledning som tillhandahåller flygkontrolltjänst

Järnvägstransport

Infrastrukturförvaltare

Järnvägsföretag inbegripet tjänsteleverantörer

Sjöfart

Transportföretag som bedriver persontrafik och godstrafik på inre vattenvägar, till havs och längs kuster, exklusive de enskilda fartyg som drivs av dessa företag

Ledningsenheter för hamnar, inbegripet deras hamnanläggningar och enheter som sköter anläggningar och utrustning i hamnar

Operatörer av sjötrafikinformationstjänst (VTS)

Vägtransport

Vägmyndigheter med ansvar för trafikstyrning, med undantag för offentliga entiteter för vilka trafikstyrning eller driften av intelligenta transportsystem är en icke väsentlig del av deras allmänna verksamhet

Operatörer av intelligenta transportsystem

Hälso- och sjukvårdssektorn

Vårdgivare

EU-referenslaboratorier

Entiteter som bedriver forskning och utveckling avseende läkemedel

Enheter som tillverkar farmaceutiska basprodukter och läkemedel i den mening som avses i huvudgrupp 21 avsnitt C i Nace rev. 2.

Entiteter som tillverkar medicintekniska produkter som anses vara kritiska vid ett hot mot folkhälsan (förteckning över kritiska medicintekniska produkter vid ett hot mot folkhälsan)

Dricksvatten – Leverantörer och distributörer av dricksvatten undantaget distributörer för vilka distribution av dricksvatten utgör en icke väsentlig del av deras allmänna verksamhet, som består i distribution av andra förnödenheter och varor

Avloppsvatten – Företag som samlar ihop, släpper ut och renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten, undantaget företag som samlar ihop, släpper ut eller renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten som en icke väsentlig del av sin allmänna verksamhet

Digital infrastruktur

Leverantörer av internetknutpunkter

Leverantörer av DNS-tjänster

Registreringsenheter för toppdomäner

Leverantörer av molntjänster

Leverantörer av datacentraltjänster

Leverantörer av nätverk för leverans av innehåll

Tillhandahållare av betrodda tjänster

Tillhandahållare av allmänna elektroniska kommunikationsnät

Tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster

Förvaltning av IKT-tjänster (mellan företag)

Leverantörer av hanterade tjänster

Leverantörer av hanterade säkerhetstjänster

Offentlig förvaltning

Offentliga förvaltningsentiteter hos nationella regeringar

Offentliga förvaltningsentiteter på regional nivå

Rymden – Operatörer av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter och som stöder tillhandahållandet av rymdbaserade tjänster, undantaget tillhandahållare av allmänna elektroniska kommunikationsnät

Bilaga II –

andra kritiska sektorer

Post- och budtjänster

Avfallshantering – Verksamhetsutövare som bedriver avfallshantering, dock undantaget verksamhetsutövare vars huvudsakliga näringsverksamhet inte är av avfallshantering

Tillverkning, produktion och distribution av kemikalier – Företag som tillverkar ämnen och företag som producerar varor genom att använda ämnen och blandningar

Produktion, bearbetning och distribution av livsmedel – Livsmedelsföretag som bedriver grossisthandel och industriell produktion och bearbetning

Tillverkning

Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik

Tillverkning av datorer, elektronikvaror och optik

Tillverkning av elapparatur

Tillverkning av övriga maskiner

Tillverkning av motorfordon, släpfordon och påhängsvagnar

Tillverkning av andra transportmedel

Digitala leverantörer

Leverantörer av marknadsplatser online

Leverantörer av sökmotorer

Leverantörer av plattformar för sociala nätverkstjänster

Forskningsorganisationer

Entiteter som inte omfattas av bilagorna

Entiteter som tillhandahåller domännamnsregistreringstjänster

Andra entiteter som identifieras som kritiska enligt direktiv (EU) 2022/2557

Entiteter som identifieras som leverantörer av samhällsviktiga tjänster enligt nationell rätt

2.   

Entitetens namn

3.   

När det gäller en entitet som avses i artikel 27.1 i direktiv (EU) 2022/2555 (leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster, har entiteten sitt huvudsakliga etableringsställe i denna medlemsstat eller, om entiteteten saknar juridiskt etableringsställe i EU, har entiteten sin företrädare i denna medlemsstat?

4.   

Adress till entitetens etableringsställe i denna medlemsstat. Om det är en entitet som avses i artikel 27.1 i direktiv (EU) 2022/2555, adressen till entitetens huvudsakliga etableringsställe, om detta är beläget i denna medlemsstat, samt dess andra juridiska etableringsställen i EU. Om etableringsställe saknas, adressen till dess företrädare i EU som utsetts i enlighet med artikel 26.3 i direktiv (EU) 2022/2555, om företrädaren är lokaliserad till denna medlemsstat.

5.   

Aktuella kontaktuppgifter, inklusive e-postadresser och telefonnummer i denna medlemsstat.

6.   

Entitetens IP-adressintervall för denna medlemsstat.

7.   

Om det är en entitet som avses i artikel 27.1 i direktiv (EU) 2022/2555, en förteckning över de medlemsstater där entiteten tillhandahåller tjänster som omfattas av direktivet.