14.9.2023 |
SV |
Europeiska unionens officiella tidning |
C 324/2 |
MEDDELANDE FRÅN KOMMISSIONEN
Kommissionens riktlinjer för tillämpningen av artikel 3.4 i direktiv (EU) 2022/2555 (NIS 2-direktivet)
(2023/C 324/02)
1.
I enlighet med artikel 3.4 i Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS 2-direktivet) (1) ska kommissionen, med bistånd från Europeiska unionens cybersäkerhetsbyrå (Enisa), utan onödigt dröjsmål tillhandahålla riktlinjer och mallar för de skyldigheter som fastställs i den bestämmelsen. Artikel 3.4 i direktiv (EU) 2022/2555 hänvisar till artikel 3.3 i det direktivet, där det föreskrivs att medlemsstaterna senast den 17 april 2025 ska upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. Medlemsstaterna ska regelbundet och minst vartannat år därefter se över förteckningen och när det är lämpligt uppdatera den.
2.
För upprättandet av förteckningen över väsentliga och viktiga entiteter bör medlemsstaterna ålägga entiteter att lämna minst följande information till de behöriga myndigheterna: Namn, adress och aktuella kontaktuppgifter, inklusive entitetens e-postadresser, IP-adressintervall och telefonnummer, och i tillämpliga fall den relevanta sektor och delsektor som avses i de bilagorna samt i tillämpliga fall en förteckning över de medlemsstater där de tillhandahåller tjänster som omfattas av direktivets tillämpningsområde. Bilaga I till dessa riktlinjer innehåller en mall för insamling av denna information för upprättandet av förteckningen.
3.
I syfte att underlätta upprättandet och uppdateringen av förteckningen över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster föreskrivs i artikel 3.4 i direktiv (EU) 2022/2555 att medlemsstaterna ska kunna fastställa nationella mekanismer så att entiteter kan registrera sig själva (2).
4.
Enligt artikel 3.5 i direktiv (EU) 2022/2555 ska medlemsstaterna senast den 17 april 2025 och därefter vartannat år underrätta kommissionen och samarbetsgruppen om åtminstone antalet väsentliga och viktiga entiteter som förtecknats enligt punkt 3.3 i det direktivet för varje sektor och delsektor som avses i bilagorna I och II i direktivet. Medlemsstaterna ska också lämna relevant information till kommissionen om antalet väsentliga och viktiga entiteter som identifierats i enlighet med artikel 2.2 b–e i direktiv (EU) 2022/2555 samt om den sektor och delsektor som de tillhör, den typ av tjänst som de tillhandahåller och de bestämmelser i enlighet med vilka de identifierades. I skäl 19 i direktiv (EU) 2022/2555 förklaras att medlemsstaterna uppmuntras att utbyta information med kommissionen om väsentliga och viktiga entiteter och, i händelse av en storskalig cybersäkerhetsincident, relevant information såsom den berörda entitetens namn.
5.
Utöver den förteckning som medlemsstaterna upprättar i enlighet med artikel 3.3 i direktiv (EU) 2022/2555 ska medlemsstaterna i enlighet med artikel 27.2 i det direktivet även ålägga vissa typer av entiteter som avses i punkt 27.1 i direktivet att lämna följande uppgifter till de behöriga myndigheterna senast den 17 januari 2025: Entitetens namn. Den relevanta sektorn och delsektorn samt typen av entitet enligt bilaga I eller II till direktivet, i tillämpliga fall. Adressen till entitetens huvudsakliga etableringsställe och andra rättsligt giltiga etableringsställen i unionen eller, om entiteten inte är etablerad i unionen, till dess företrädare som utsetts i enlighet med artikel 26.3 i direktivet. Aktuella kontaktuppgifter, inklusive e-postadresser och telefonnummer till entiteten och, i tillämpliga fall, till dess företrädare som utsetts i enlighet med artikel 26.3 i direktivet. De medlemsstater där entiteten tillhandahåller tjänster. Entitetens IP-adressintervall. I enlighet med artikel 27.3 i direktiv (EU) 2022/2555 ska medlemsstaterna ålägga de entiteter som avses i artikel 27.1 i direktivet att underrätta den behöriga myndigheten om alla ändringar av de uppgifter som de lämnat enligt artikel 27.2 i direktivet, utan dröjsmål och under alla omständigheter inom tre månader från dagen för ändringen.
6.
I enlighet med artikel 27.5 i direktiv (EU) 2022/2555 ska den information som avses i artikel 27.2 och 27.3 i det direktivet lämnas genom den nationella mekanism som avses i artikel 3.4 i direktivet, i tillämpliga fall. För att uppnå större administrativ effektivitet omfattar den mall som bifogas som bilaga till dessa riktlinjer även informationskrav som föreskrivs i både artikel 3.3 och artikel 27.2 i direktiv (EU) 2022/2555. Denna mall har upprättats med bistånd av Enisa.
(1) EUT L 333, 27.12.2022, s. 80.
(2) Se även skäl 18 i direktiv (EU) 2022/2555.
TILLÄGG
Mall för information som krävs för den förteckning som avses i artikel 3.3 och artikel 27.2 i direktiv (EU) 2022/2555
1.
Verksamhetssektor enligt direktiv (EU) 2022/2555
Bilaga I – |
högkritiska sektorer
|
Bilaga II – |
andra kritiska sektorer
|
2.
Entitetens namn
3.
När det gäller en entitet som avses i artikel 27.1 i direktiv (EU) 2022/2555 (leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster, har entiteten sitt huvudsakliga etableringsställe i denna medlemsstat eller, om entiteteten saknar juridiskt etableringsställe i EU, har entiteten sin företrädare i denna medlemsstat?
4.
Adress till entitetens etableringsställe i denna medlemsstat. Om det är en entitet som avses i artikel 27.1 i direktiv (EU) 2022/2555, adressen till entitetens huvudsakliga etableringsställe, om detta är beläget i denna medlemsstat, samt dess andra juridiska etableringsställen i EU. Om etableringsställe saknas, adressen till dess företrädare i EU som utsetts i enlighet med artikel 26.3 i direktiv (EU) 2022/2555, om företrädaren är lokaliserad till denna medlemsstat.
5.
Aktuella kontaktuppgifter, inklusive e-postadresser och telefonnummer i denna medlemsstat.
6.
Entitetens IP-adressintervall för denna medlemsstat.
7.
Om det är en entitet som avses i artikel 27.1 i direktiv (EU) 2022/2555, en förteckning över de medlemsstater där entiteten tillhandahåller tjänster som omfattas av direktivet.