27.12.2022
В
Официальный журнал Европейского Союза
Л 333/80
ДИРЕКТИВА (ЕС) 2022/2555 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА
от 14 декабря 2022 г.
о мерах по обеспечению высокого общего уровня кибербезопасности во всем Союзе, внося поправки в Регламент (ЕС) № 910/2014 и Директиву (ЕС) 2018/1972, а также отменяя Директиву (ЕС) 2016/1148 (Директива NIS 2)
(Текст, имеющий отношение к ЕЭЗ)
ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,
Принимая во внимание Договор о функционировании Европейского Союза, и в частности его статью 114,
Принимая во внимание предложение Европейской комиссии,
После передачи проекта законодательного акта национальным парламентам,
Принимая во внимание мнение Европейского центрального банка (1),
Принимая во внимание мнение Европейского экономического и социального комитета (2),
Посоветовавшись с Комитетом регионов,
Действуя в соответствии с обычной законодательной процедурой (3),
Тогда как:
(1)
Директива (ЕС) 2016/1148 Европейского парламента и Совета (4) направлена на создание возможностей кибербезопасности во всем Союзе, снижение угроз сетевым и информационным системам, используемым для предоставления основных услуг в ключевых секторах, и обеспечение непрерывности таких услуг при возникновении инцидентов, тем самым способствуя безопасности Союза и эффективному функционированию его экономики и общества.
(2)
С момента вступления в силу Директивы (ЕС) 2016/1148 был достигнут значительный прогресс в повышении уровня киберустойчивости Союза. Анализ этой Директивы показал, что она послужила катализатором институционального и нормативного подхода к кибербезопасности в Союзе, проложив путь к значительному изменению мышления. Эта Директива обеспечила завершение разработки национальных рамок безопасности сетевых и информационных систем путем разработки национальных стратегий по безопасности сетевых и информационных систем и создания национального потенциала, а также путем реализации мер регулирования, охватывающих основные инфраструктуры и объекты, определенные каждым государством-членом. Директива (ЕС) 2016/1148 также способствовала сотрудничеству на уровне Союза посредством создания Группы сотрудничества и сети национальных групп реагирования на инциденты компьютерной безопасности. Несмотря на эти достижения, пересмотр Директивы (ЕС) 2016/1148 выявил присущие ей недостатки, которые не позволяют ей эффективно решать текущие и возникающие проблемы кибербезопасности.
(3)
Сетевые и информационные системы превратились в центральную часть повседневной жизни благодаря быстрой цифровой трансформации и взаимосвязанности общества, в том числе в рамках трансграничного обмена. Это развитие привело к расширению спектра киберугроз, что привело к возникновению новых проблем, которые требуют адаптированных, скоординированных и инновационных мер реагирования во всех государствах-членах. Число, масштабы, сложность, частота и влияние инцидентов растут и представляют собой серьезную угрозу для функционирования сетевых и информационных систем. В результате инциденты могут препятствовать осуществлению экономической деятельности на внутреннем рынке, привести к финансовым потерям, подорвать доверие пользователей и нанести серьезный ущерб экономике и обществу Союза. Поэтому готовность и эффективность кибербезопасности сейчас более важны, чем когда-либо, для правильного функционирования внутреннего рынка. Более того, кибербезопасность является ключевым фактором, позволяющим многим критически важным секторам успешно освоить цифровую трансформацию и в полной мере воспользоваться экономическими, социальными и устойчивыми преимуществами цифровизации.
(4)
Правовой основой Директивы (ЕС) 2016/1148 стала статья 114 Договора о функционировании Европейского Союза (TFEU), целью которой является создание и функционирование внутреннего рынка путем усиления мер по сближению национальных правил. . Требования кибербезопасности, предъявляемые к организациям, предоставляющим услуги или осуществляющим экономически значимую деятельность, значительно различаются в разных государствах-членах с точки зрения типа требований, уровня их детализации и метода надзора. Эти различия влекут за собой дополнительные затраты и создают трудности для предприятий, предлагающих товары или услуги через границы. Требования, предъявляемые одним государством-членом ЕС, которые отличаются или даже противоречат требованиям, предъявляемым другим государством-членом ЕС, могут существенно повлиять на такую трансграничную деятельность. Более того, возможность неадекватной разработки или реализации требований кибербезопасности в одном государстве-члене, вероятно, будет иметь последствия на уровне кибербезопасности других государств-членов, особенно с учетом интенсивности трансграничных обменов. Обзор Директивы (ЕС) 2016/1148 показал значительные расхождения в ее реализации государствами-членами, в том числе в отношении ее сферы действия, разграничение которой в значительной степени было оставлено на усмотрение государств-членов. Директива (ЕС) 2016/1148 также предоставила государствам-членам очень широкую свободу действий в отношении выполнения изложенных в ней обязательств по обеспечению безопасности и информированию об инцидентах. Таким образом, эти обязательства реализовывались на национальном уровне существенно по-разному. Аналогичные расхождения существуют и в реализации положений Директивы (ЕС) 2016/1148 о надзоре и правоприменении.
(5)
Все эти расхождения влекут за собой фрагментацию внутреннего рынка и могут оказать пагубное влияние на его функционирование, затрагивая, в частности, трансграничное предоставление услуг и уровень киберустойчивости из-за применения различных мер. В конечном итоге эти расхождения могут привести к повышению уязвимости некоторых государств-членов к киберугрозам с потенциальными последствиями для всего Союза. Целью настоящей Директивы является устранение таких широких расхождений между государствами-членами, в частности, путем установления минимальных правил, касающихся функционирования скоординированной нормативной базы, путем установления механизмов эффективного сотрудничества между ответственными органами в каждом государстве-члене, путем обновления списка секторов. и деятельность, на которую распространяются обязательства по кибербезопасности, а также путем предоставления эффективных средств правовой защиты и мер принуждения, которые являются ключом к эффективному обеспечению соблюдения этих обязательств. Следовательно, Директива (ЕС) 2016/1148 должна быть отменена и заменена настоящей Директивой.
(6)
С отменой Директивы (ЕС) 2016/1148 сфера применения по секторам должна быть расширена на большую часть экономики, чтобы обеспечить всесторонний охват секторов и услуг, имеющих жизненно важное значение для ключевых социальных и экономических видов деятельности на внутреннем рынке. . В частности, эта Директива направлена на преодоление недостатков дифференциации между операторами основных услуг и поставщиками цифровых услуг, которая, как доказано, устарела, поскольку не отражает важность секторов или услуг для общественной и экономической деятельности в стране. внутренний рынок.
(7)
В соответствии с Директивой (ЕС) 2016/1148 государства-члены были ответственны за выявление организаций, которые соответствовали критериям квалификации в качестве операторов основных услуг. Чтобы устранить широкие разногласия между государствами-членами в этом отношении и обеспечить правовую определенность в отношении мер управления рисками кибербезопасности и обязательств по отчетности для всех соответствующих организаций, должен быть установлен единый критерий, который определяет организации, подпадающие под действие настоящей Директивы. . Этот критерий должен включать применение правила ограничения размера, в соответствии с которым все предприятия, которые квалифицируются как средние предприятия в соответствии со Статьей 2 Приложения к Рекомендации Комиссии 2003/361/EC (5), или превышают предельные значения для средних предприятий. предприятия, предусмотренные в пункте 1 этой статьи, которые действуют в рамках секторов и предоставляют виды услуг или осуществляют деятельность, охватываемую настоящей Директивой, подпадают под ее сферу действия. Государства-члены также должны предусмотреть определенные малые предприятия и микропредприятия, как определено в статье 2(2) и (3) этого Приложения, которые соответствуют конкретным критериям, которые указывают на ключевую роль для общества, экономики или для определенных секторов или видов услуг. подпадать под действие настоящей Директивы.
(8)
Исключение субъектов государственного управления из сферы действия настоящей Директивы должно применяться к субъектам, деятельность которых преимущественно осуществляется в сферах национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая предотвращение, расследование, обнаружение и судебное преследование уголовных преступлений. Однако субъекты государственного управления, деятельность которых лишь незначительно связана с этими сферами, не должны исключаться из сферы действия настоящей Директивы. Для целей настоящей Директивы субъекты, обладающие регулирующими полномочиями, не считаются осуществляющими деятельность в сфере правоохранительной деятельности и, следовательно, не исключаются на этом основании из сферы действия настоящей Директивы. Субъекты государственного управления, созданные совместно с третьей страной в соответствии с международным соглашением, исключаются из сферы действия настоящей Директивы. Настоящая Директива не применяется к дипломатическим и консульским представительствам государств-членов в третьих странах или к их сетям и информационным системам, если такие системы расположены в помещениях представительств или эксплуатируются для пользователей в третьей стране.
(9)
Государства-члены должны иметь возможность принимать необходимые меры для обеспечения защиты основных интересов национальной безопасности, защиты государственной политики и общественной безопасности, а также обеспечения возможности предотвращения, расследования, выявления и преследования уголовных преступлений. С этой целью государства-члены должны иметь возможность освобождать конкретные организации, которые осуществляют деятельность в области национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая предотвращение, расследование, обнаружение и судебное преследование уголовных преступлений, от определенных обязательств, установленных в настоящей Директиве в отношении такой деятельности. Если организация предоставляет услуги исключительно субъекту государственного управления, исключенному из сферы действия настоящей Директивы, государства-члены ЕС должны иметь возможность освободить эту организацию от определенных обязательств, изложенных в настоящей Директиве в отношении таких услуг. Более того, ни одно государство-член не должно быть обязано предоставлять информацию, раскрытие которой противоречило бы существенным интересам его национальной безопасности, общественной безопасности или обороны. В этом контексте следует принимать во внимание союзные или национальные правила защиты секретной информации, соглашения о неразглашении и неофициальные соглашения о неразглашении, такие как протокол светофора. Протокол светофора следует понимать как средство предоставления информации о любых ограничениях в отношении дальнейшего распространения информации. Он используется почти во всех группах реагирования на инциденты компьютерной безопасности (CSIRT), а также в некоторых центрах анализа и обмена информацией.
(10)
Хотя настоящая Директива применяется к организациям, осуществляющим деятельность по производству электроэнергии на атомных электростанциях, некоторые из этих видов деятельности могут быть связаны с национальной безопасностью. В этом случае государство-член должно иметь возможность выполнять свои обязанности по обеспечению национальной безопасности в отношении такой деятельности, включая деятельность в рамках цепочки создания стоимости в ядерной сфере, в соответствии с Договорами.
(11)
Некоторые организации осуществляют деятельность в области национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая предотвращение, расследование, обнаружение и судебное преследование уголовных преступлений, а также предоставляют трастовые услуги. Поставщики трастовых услуг, подпадающие под действие Регламента (ЕС) № 910/2014 Европейского парламента и Совета (6), должны подпадать под действие настоящей Директивы, чтобы обеспечить тот же уровень требований безопасности и надзора, что и этот что было ранее установлено в этом Регламенте в отношении поставщиков трастовых услуг. В соответствии с исключением некоторых конкретных услуг из Регламента (ЕС) № 910/2014, настоящая Директива не должна применяться к предоставлению трастовых услуг, которые используются исключительно внутри закрытых систем в соответствии с национальным законодательством или соглашениями между определенным набором участников. .
(12)
Поставщики почтовых услуг, определенные в Директиве 97/67/EC Европейского парламента и Совета (7), включая поставщиков курьерских услуг, должны подпадать под действие настоящей Директивы, если они обеспечивают хотя бы один из этапов цепочки почтовой доставки. , в частности оформление, сортировку, транспортировку или распространение почтовых отправлений, включая услуги по получению, принимая во внимание степень их зависимости от сетевых и информационных систем. Транспортные услуги, которые не оказываются в сочетании с одним из этих этапов, должны быть исключены из сферы почтовых услуг.
(13)
Учитывая усиление и усложнение киберугроз, государства-члены должны стремиться обеспечить, чтобы субъекты, исключенные из сферы действия настоящей Директивы, достигли высокого уровня кибербезопасности и поддерживать реализацию эквивалентных мер по управлению рисками кибербезопасности, которые отражают чувствительный характер этих субъектов.
(14)
Закон Союза о защите данных и закон Союза о конфиденциальности применяются к любой обработке персональных данных в соответствии с настоящей Директивой. В частности, настоящая Директива не наносит ущерба Регламенту (ЕС) 2016/679 Европейского парламента и Совета (8) и Директиве 2002/58/EC Европейского парламента и Совета (9). Таким образом, настоящая Директива не должна затрагивать, среди прочего, задачи и полномочия органов, компетентных контролировать соблюдение применимого закона Союза о защите данных и закона Союза о конфиденциальности.
(15)
Субъекты, подпадающие под действие настоящей Директивы, в целях соблюдения мер по управлению рисками кибербезопасности и обязательств по отчетности должны быть разделены на две категории: основные субъекты и важные субъекты, отражающие степень, в которой они имеют решающее значение с точки зрения их сектора или типа. предоставляемых ими услуг, а также их размер. В этом отношении следует должным образом учитывать любые соответствующие оценки отраслевых рисков или рекомендации компетентных органов, где это применимо. Режимы надзора и правоприменения для этих двух категорий организаций должны быть дифференцированы, чтобы обеспечить справедливый баланс между риск-ориентированными требованиями и обязательствами, с одной стороны, и административным бременем, возникающим в результате надзора за соблюдением, с другой.
(16)
Во избежание того, чтобы предприятия, имеющие предприятия-партнеры или связанные предприятия, считались существенными или важными предприятиями, если это было бы несоразмерно, государства-члены ЕС могут принимать во внимание степень независимости, которой пользуется предприятие по отношению к своему партнеру или связанным предприятиям. предприятия при применении статьи 6(2) Приложения к Рекомендации 2003/361/EC. В частности, государства-члены ЕС могут принять во внимание тот факт, что организация независима от своего партнера или связанных предприятий с точки зрения сети и информационных систем, которые эта организация использует при предоставлении своих услуг, а также с точки зрения услуг, которые предоставляет сущность. На этом основании, где это уместно, государства-члены ЕС могут считать, что такая организация не квалифицируется как предприятие среднего размера в соответствии со Статьей 2 Приложения к Рекомендации 2003/361/EC или не превышает предельные значения для среднего предприятия. предприятием размера, предусмотренным в пункте 1 этой статьи, если после принятия во внимание степени независимости этого предприятия не считалось бы, что это предприятие квалифицируется как среднее предприятие или превышает эти предельные значения в случае, если только были учтены его собственные данные. Это оставляет незатронутыми обязательства партнеров и связанных предприятий, изложенные в настоящей Директиве, которые подпадают под действие настоящей Директивы.
(17)
Государства-члены должны иметь возможность решать, что организации, определенные до вступления в силу настоящей Директивы в качестве операторов основных услуг в соответствии с Директивой (ЕС) 2016/1148, должны считаться основными организациями.
(18)
Чтобы обеспечить четкий обзор организаций, подпадающих под действие настоящей Директивы, государства-члены должны составить список основных и важных организаций, а также организаций, предоставляющих услуги по регистрации доменных имен. С этой целью государства-члены должны требовать от организаций предоставлять как минимум следующую информацию компетентным органам, а именно: имя, адрес и актуальные контактные данные, включая адреса электронной почты, диапазоны IP-адресов и номера телефонов организации: и, где это применимо, соответствующий сектор и подсектор, упомянутые в приложениях, а также, где это применимо, список государств-членов, в которых они предоставляют услуги, подпадающие под сферу действия настоящей Директивы. С этой целью Комиссия при содействии Агентства Европейского Союза по кибербезопасности (ENISA) должна без неоправданной задержки предоставить руководящие принципы и шаблоны, касающиеся обязательства по предоставлению информации. Чтобы облегчить создание и обновление перечня основных и важных организаций, а также организаций, предоставляющих услуги по регистрации доменных имен, государства-члены должны иметь возможность создавать национальные механизмы, позволяющие организациям регистрироваться самостоятельно. Если реестры существуют на национальном уровне, государства-члены могут принять решение о соответствующих механизмах, которые позволяют идентифицировать организации, подпадающие под действие настоящей Директивы.
(19)
Государства-члены должны нести ответственность за представление Комиссии по крайней мере количества основных и важных субъектов для каждого сектора и подсектора, указанных в приложениях, а также соответствующую информацию о количестве выявленных субъектов и положении из числа установленных в настоящей Директиве, на основании чего они были идентифицированы, а также тип услуг, которые они предоставляют. Государствам-членам рекомендуется обмениваться с Комиссией информацией об основных и важных организациях, а в случае крупномасштабного инцидента кибербезопасности - соответствующей информацией, такой как название соответствующей организации.
(20)
Комиссия должна в сотрудничестве с Группой сотрудничества и после консультаций с соответствующими заинтересованными сторонами предоставить руководящие указания по реализации критериев, применимых к микропредприятиям и малым предприятиям для оценки того, подпадают ли они под действие настоящей Директивы. Комиссия также должна обеспечить предоставление соответствующих указаний микропредприятиям и малым предприятиям, подпадающим под действие настоящей Директивы. Комиссия должна, при содействии государств-членов, предоставить информацию микропредприятиям и малым предприятиям в этом отношении.
(21)
Комиссия могла бы предоставить рекомендации, которые помогут государствам-членам во внедрении положений настоящей Директивы относительно сферы применения и оценки соразмерности мер, которые должны быть приняты в соответствии с настоящей Директивой, в частности, в отношении предприятий со сложными бизнес-моделями или операционной средой, в соответствии с которыми предприятие может одновременно выполнять критерии, присвоенные как существенным, так и важным организациям, или могут одновременно осуществлять деятельность, некоторые из которых подпадают под действие настоящей Директивы, а некоторые исключены из нее.
(22)
Эта Директива устанавливает основу для мер по управлению рисками кибербезопасности и обязательств по отчетности во всех секторах, подпадающих под ее сферу действия. Во избежание фрагментации положений о кибербезопасности в законодательных актах Союза, когда дополнительные отраслевые правовые акты Союза, относящиеся к мерам по управлению рисками кибербезопасности и обязательствам по отчетности, считаются необходимыми для обеспечения высокого уровня кибербезопасности во всем Союзе, Комиссия следует оценить, могут ли такие дополнительные положения быть предусмотрены в исполнительном акте в соответствии с настоящей Директивой. Если такой имплементационный акт не подходит для этой цели, отраслевые правовые акты Союза могут способствовать обеспечению высокого уровня кибербезопасности во всем Союзе, при этом полностью учитывая специфику и сложности соответствующих секторов. С этой целью настоящая Директива не исключает принятия дальнейших отраслевых правовых актов Союза, касающихся мер управления рисками кибербезопасности и обязательств по отчетности, которые должным образом учитывают необходимость всеобъемлющей и последовательной структуры кибербезопасности. Данная Директива не наносит ущерба существующим полномочиям по реализации, которые были предоставлены Комиссии в ряде секторов, включая транспорт и энергетику.
(23)
Если отраслевой правовой акт Союза содержит положения, требующие от основных или важных организаций принимать меры по управлению рисками кибербезопасности или уведомлять о значительных инцидентах, и если эти требования, по крайней мере, эквивалентны по своей сути обязательствам, изложенным в настоящей Директиве, эти положения: в том числе о надзоре и правоприменении, должны применяться к таким субъектам. Если отраслевой правовой акт Союза не распространяется на все субъекты определенного сектора, подпадающие под действие настоящей Директивы, соответствующие положения настоящей Директивы должны продолжать применяться к субъектам, не подпадающим под действие этого акта.
(24)
Если положения отраслевого правового акта Союза требуют от существенных или важных организаций соблюдать обязательства по отчетности, которые, по крайней мере, эквивалентны по сути обязательствам по отчетности, изложенным в настоящей Директиве, следует обеспечить последовательность и эффективность обработки уведомлений об инцидентах. . С этой целью положения отраслевого правового акта Союза, касающиеся уведомлений об инцидентах, должны предоставлять CSIRT, компетентным органам или единым точкам контакта по кибербезопасности (единым точкам контакта) в соответствии с настоящей Директивой немедленный доступ к инциденту. уведомления, подаваемые в соответствии с отраслевым правовым актом Союза. В частности, такой немедленный доступ может быть обеспечен, если уведомления о происшествиях пересылаются без неоправданной задержки в CSIRT, компетентный орган или единое контактное лицо в соответствии с настоящей Директивой. Там, где это возможно, государства-члены должны внедрить автоматический и прямой механизм отчетности, который обеспечивает систематический и немедленный обмен информацией с CSIRT, компетентными органами или едиными контактными лицами относительно обработки таких уведомлений об инцидентах. В целях упрощения отчетности и внедрения механизма автоматической и прямой отчетности государства-члены могли бы, в соответствии с отраслевым правовым актом Союза, использовать единую точку входа.
(25)
Отраслевые правовые акты Союза, которые предусматривают меры по управлению рисками кибербезопасности или обязательства по отчетности, которые, по крайней мере, эквивалентны по сути тем, что изложены в настоящей Директиве, могут предусматривать, что компетентные органы в соответствии с такими актами осуществляют свои надзорные и правоприменительные полномочия в отношении таких меры или обязательства при содействии компетентных органов в соответствии с настоящей Директивой. Соответствующие компетентные органы могли бы заключить с этой целью механизмы сотрудничества. Такие механизмы сотрудничества могли бы, среди прочего, определять процедуры координации надзорной деятельности, включая процедуры расследований и инспекций на месте в соответствии с национальным законодательством, а также механизм обмена соответствующей информацией о надзоре и правоприменении между компетентными органами. властями, включая доступ к информации, связанной с киберпространством, запрошенной компетентными органами в соответствии с настоящей Директивой.
(26)
В тех случаях, когда отраслевые правовые акты Союза требуют или предоставляют стимулы для организаций уведомлять о существенных киберугрозах, государства-члены должны также поощрять обмен информацией о значительных киберугрозах с CSIRT, компетентными органами или едиными точками контакта в соответствии с настоящей Директивой, чтобы обеспечить повышенный уровень осведомленности этих органов о ландшафте киберугроз и дать им возможность эффективно и своевременно реагировать в случае материализации серьезных киберугроз.
(27)
Будущие отраслевые правовые акты Союза должны должным образом учитывать определения, а также систему надзора и правоприменения, изложенную в настоящей Директиве.
(28)
Регламент (ЕС) 2022/2554 Европейского парламента и Совета (10) следует рассматривать как отраслевой правовой акт Союза в отношении настоящей Директивы в отношении финансовых организаций. Положения Регламента (ЕС) 2022/2554, касающиеся управления рисками в сфере информационных и коммуникационных технологий (ИКТ), управления инцидентами, связанными с ИКТ и, в частности, отчетности о крупных инцидентах, связанных с ИКТ, а также тестирования цифровой операционной устойчивости, информации - соглашения о совместном использовании и риски третьих сторон в сфере ИКТ должны применяться вместо тех, которые предусмотрены в настоящей Директиве. Поэтому государства-члены не должны применять положения настоящей Директивы об обязательствах по управлению рисками кибербезопасности и отчетности, а также надзору и правоприменению к финансовым организациям, на которые распространяется действие Регламента (ЕС) 2022/2554. В то же время важно поддерживать прочные отношения и обмен информацией с финансовым сектором в соответствии с настоящей Директивой. С этой целью Регламент (ЕС) 2022/2554 позволяет европейским надзорным органам (ESA) и компетентным органам в соответствии с этим Регламентом участвовать в деятельности Группы сотрудничества, а также обмениваться информацией и сотрудничать с едиными контактными лицами, а также как и в случае с CSIRT и компетентными органами в соответствии с настоящей Директивой. Компетентные органы в соответствии с Регламентом (ЕС) 2022/2554 также должны передавать подробную информацию о крупных инцидентах, связанных с ИКТ, и, где это уместно, о значительных киберугрозах CSIRT, компетентным органам или единым точкам контакта в соответствии с настоящей Директивой. Это достижимо за счет предоставления немедленного доступа к уведомлениям об инцидентах и их пересылки напрямую или через единую точку входа. Более того, государства-члены должны продолжать включать финансовый сектор в свои стратегии кибербезопасности, а CSIRT могут охватывать финансовый сектор в своей деятельности.
(29)
Во избежание пробелов или дублирования обязательств в области кибербезопасности, налагаемых на предприятия авиационного сектора, национальные органы в соответствии с Регламентами (ЕС) № 300/2008 (11) и (ЕС) 2018/1139 (12) Европейского парламента и Совет и компетентные органы в соответствии с настоящей Директивой должны сотрудничать в отношении реализации мер по управлению рисками кибербезопасности и надзора за соблюдением этих мер на национальном уровне. Соответствие организации требованиям безопасности, изложенным в Регламентах (ЕС) № 300/2008 и (ЕС) 2018/1139, а также в соответствующих делегированных и имплементационных актах, принятых в соответствии с этими Регламентами, может рассматриваться компетентными органами в соответствии с настоящей Директивой. для подтверждения соответствия соответствующим требованиям, изложенным в настоящей Директиве.
(30)
Учитывая взаимосвязь между кибербезопасностью и физической безопасностью организаций, необходимо обеспечить согласованный подход между Директивой (ЕС) 2022/2557 Европейского парламента и Совета (13) и настоящей Директивой. Для достижения этой цели организации, определенные как критически важные в соответствии с Директивой (ЕС) 2022/2557, должны считаться важными организациями в соответствии с настоящей Директивой. Более того, каждое государство-член должно обеспечить, чтобы его национальная стратегия кибербезопасности предусматривала политическую основу для улучшения координации внутри этого государства-члена между его компетентными органами в соответствии с настоящей Директивой и органами, предусмотренными Директивой (ЕС) 2022/2557, в контексте обмена информацией о рисках. киберугроз и инцидентов, а также некиберрисков, угроз и инцидентов, а также выполнения надзорных задач. Компетентные органы в соответствии с настоящей Директивой и органами, указанными в Директиве (ЕС) 2022/2557, должны сотрудничать и обмениваться информацией без неоправданной задержки, в частности, в отношении выявления критически важных объектов, рисков, киберугроз и инцидентов, а также в отношении не -киберриски, угрозы и инциденты, затрагивающие критически важные субъекты, включая меры кибербезопасности и физические меры, принимаемые критически важными субъектами, а также результаты надзорной деятельности, осуществляемой в отношении таких субъектов.
Кроме того, в целях оптимизации надзорной деятельности между компетентными органами в соответствии с настоящей Директивой и органами, предусмотренными Директивой (ЕС) 2022/2557, а также в целях минимизации административного бремени для соответствующих организаций, эти компетентные органы должны стремиться гармонизировать шаблоны уведомлений о происшествиях и надзорные процессы. В соответствующих случаях компетентные органы в соответствии с Директивой (ЕС) 2022/2557 должны иметь возможность требовать от компетентных органов в соответствии с настоящей Директивой осуществления своих надзорных и правоприменительных полномочий в отношении организации, которая определена как критически важная организация в соответствии с Директивой (ЕС). 2022/2557. Компетентные органы в соответствии с настоящей Директивой и Директивой (ЕС) 2022/2557 должны, где это возможно, в режиме реального времени сотрудничать и обмениваться информацией для этой цели.
(31)
Субъекты, принадлежащие к сектору цифровой инфраструктуры, по своей сути основаны на сетевых и информационных системах, и поэтому обязательства, налагаемые на эти субъекты в соответствии с настоящей Директивой, должны комплексно охватывать физическую безопасность таких систем как часть их мер по управлению рисками кибербезопасности и обязательства по отчетности. Поскольку эти вопросы регулируются настоящей Директивой, обязательства, изложенные в Главах III, IV и VI Директивы (ЕС) 2022/2557, не распространяются на такие организации.
(32)
Поддержание и сохранение надежной, отказоустойчивой и безопасной системы доменных имен (DNS) являются ключевыми факторами в поддержании целостности Интернета и необходимы для его непрерывной и стабильной работы, от которой зависят цифровая экономика и общество. Таким образом, данная Директива должна применяться к реестрам доменных имен верхнего уровня (TLD) и поставщикам услуг DNS, которых следует понимать как организации, предоставляющие общедоступные услуги рекурсивного разрешения доменных имен для конечных пользователей Интернета или авторитетные услуги по разрешению доменных имен для третьих лиц. -партийное использование. Эта Директива не должна применяться к корневым серверам имен.
(33)
Услуги облачных вычислений должны охватывать цифровые услуги, которые обеспечивают администрирование по требованию и широкий удаленный доступ к масштабируемому и эластичному пулу общих вычислительных ресурсов, в том числе в тех случаях, когда такие ресурсы распределены по нескольким местам. Вычислительные ресурсы включают в себя такие ресурсы, как сети, серверы или другая инфраструктура, операционные системы, программное обеспечение, хранилища, приложения и услуги. Сервисные модели облачных вычислений включают, среди прочего, инфраструктуру как услугу (IaaS), платформу как услугу (PaaS), программное обеспечение как услугу (SaaS) и сеть как услугу (NaaS). Модели развертывания облачных вычислений должны включать частное, общественное, публичное и гибридное облако. Модели услуг и развертывания облачных вычислений имеют то же значение, что и условия обслуживания и модели развертывания, определенные в стандарте ISO/IEC 17788:2014. Возможность пользователя облачных вычислений в одностороннем порядке самостоятельно предоставлять вычислительные возможности, такие как время сервера или сетевое хранилище, без какого-либо человеческого взаимодействия со стороны поставщика услуг облачных вычислений, можно охарактеризовать как администрирование по требованию.
Термин «широкий удаленный доступ» используется для описания того, что облачные возможности предоставляются по сети и доступны через механизмы, способствующие использованию гетерогенных тонких или толстых клиентских платформ, включая мобильные телефоны, планшеты, ноутбуки и рабочие станции. Термин «масштабируемый» относится к вычислительным ресурсам, которые гибко распределяются поставщиком облачных услуг, независимо от географического местоположения ресурсов, чтобы справляться с колебаниями спроса. Термин «эластичный пул» используется для описания вычислительных ресурсов, которые предоставляются и высвобождаются в зависимости от спроса, чтобы быстро увеличивать или уменьшать доступные ресурсы в зависимости от рабочей нагрузки. Термин «совместно используемые» используется для описания вычислительных ресурсов, которые предоставляются множеству пользователей, которые имеют общий доступ к услуге, но где обработка выполняется отдельно для каждого пользователя, хотя услуга предоставляется с помощью одного и того же электронного оборудования. Термин «распределенный» используется для описания вычислительных ресурсов, которые расположены на разных сетевых компьютерах или устройствах и которые взаимодействуют и координируют себя между собой посредством передачи сообщений.
(34)
Учитывая появление инновационных технологий и новых бизнес-моделей, ожидается, что новые модели услуг и развертывания облачных вычислений появятся на внутреннем рынке в ответ на растущие потребности клиентов. В этом контексте услуги облачных вычислений могут предоставляться в высокораспределенной форме, даже ближе к месту генерации или сбора данных, тем самым переходя от традиционной модели к высокораспределенной (периферийным вычислениям).
(35)
Услуги, предлагаемые поставщиками услуг центров обработки данных, не всегда могут предоставляться в форме услуги облачных вычислений. Соответственно, центры обработки данных не всегда могут составлять часть инфраструктуры облачных вычислений. Поэтому, чтобы управлять всеми рисками, связанными с безопасностью сетевых и информационных систем, настоящая Директива должна охватывать поставщиков услуг центров обработки данных, которые не являются услугами облачных вычислений. Для целей настоящей Директивы термин «услуга центра обработки данных» должен охватывать предоставление услуги, охватывающей структуры или группы структур, предназначенных для централизованного размещения, соединения и эксплуатации информационных технологий (ИТ) и сетевого оборудования, обеспечивающего хранение данных. , перерабатывающие и транспортные услуги вместе со всеми объектами и инфраструктурой для распределения электроэнергии и экологического контроля. Термин «услуги центра обработки данных» не должен применяться к внутренним корпоративным центрам обработки данных, принадлежащим и управляемым заинтересованной организацией для ее собственных целей.
(36)
Исследовательская деятельность играет ключевую роль в разработке новых продуктов и процессов. Многие из этих видов деятельности осуществляются организациями, которые делятся, распространяют или используют результаты своих исследований в коммерческих целях. Таким образом, эти организации могут быть важными игроками в цепочках создания стоимости, что делает безопасность их сетей и информационных систем неотъемлемой частью общей кибербезопасности внутреннего рынка. Под исследовательскими организациями следует понимать организации, которые сосредотачивают основную часть своей деятельности на проведении прикладных исследований или экспериментальных разработок в значении Руководства Фраскати 2015 Организации экономического сотрудничества и развития: Руководящие принципы по сбору и представлению данных об исследованиях и Экспериментальные разработки с целью использования их результатов в коммерческих целях, таких как производство или разработка продукта или процесса, предоставление услуг или их маркетинг.
(37)
Растущая взаимозависимость является результатом все более трансграничной и взаимозависимой сети предоставления услуг с использованием ключевых инфраструктур по всему Союзу в таких секторах, как энергетика, транспорт, цифровая инфраструктура, питьевое водоснабжение и сточные воды, здравоохранение, некоторые аспекты государственного управления, а также а также пространство, поскольку речь идет о предоставлении определенных услуг в зависимости от наземных инфраструктур, которые принадлежат, управляются и эксплуатируются либо государствами-членами ЕС, либо частными сторонами, поэтому не охватываются инфраструктуры, принадлежащие, управляемые или эксплуатируемые Союза в рамках своей космической программы. Эти взаимозависимости означают, что любой сбой, даже тот, который изначально ограничивался одной организацией или одним сектором, может иметь каскадные последствия в более широком смысле, что потенциально может привести к далеко идущим и долгосрочным негативным последствиям в предоставлении услуг на внутреннем рынке. Усиление кибератак во время пандемии COVID-19 продемонстрировало уязвимость все более взаимозависимых обществ перед лицом маловероятных рисков.
(38)
Ввиду различий в национальных структурах управления и в целях защиты уже существующих отраслевых механизмов или надзорных и регулирующих органов Союза, государства-члены должны иметь возможность назначать или учреждать один или несколько компетентных органов, ответственных за кибербезопасность и задачи надзора в соответствии с настоящей Директивой. .
(39)
Чтобы облегчить трансграничное сотрудничество и общение между органами власти, а также обеспечить эффективную реализацию настоящей Директивы, каждому государству-члену необходимо назначить единое контактное лицо, ответственное за координацию вопросов, связанных с безопасностью сетевых и информационных систем и приграничное сотрудничество на уровне Союза.
(40)
Единые контактные лица должны обеспечивать эффективное трансграничное сотрудничество с соответствующими органами других государств-членов и, при необходимости, с Комиссией и ENISA. Таким образом, единым точкам контакта следует поручить пересылку уведомлений о значительных инцидентах, имеющих трансграничное воздействие, в единые точки контакта других затронутых государств-членов по запросу CSIRT или компетентного органа. На национальном уровне единые точки контакта должны обеспечивать бесперебойное межсекторальное сотрудничество с другими компетентными органами. Едиными точками контакта также могут быть адресаты соответствующей информации об инцидентах, касающихся финансовых организаций, от компетентных органов в соответствии с Регламентом (ЕС) 2022/2554, которую они должны иметь возможность направить, при необходимости, в CSIRT или компетентные органы в соответствии с Регламентом (ЕС) 2022/2554. Директива.
(41)
Государства-члены должны быть адекватно оснащены как техническими, так и организационными возможностями для предотвращения, обнаружения, реагирования и смягчения инцидентов и рисков. Поэтому государства-члены должны создать или назначить одну или несколько CSIRT в соответствии с настоящей Директивой и обеспечить наличие у них достаточных ресурсов и технических возможностей. CSIRT должны соблюдать требования, изложенные в настоящей Директиве, чтобы гарантировать эффективные и совместимые возможности по реагированию на инциденты и риски, а также для обеспечения эффективного сотрудничества на уровне Союза. Государства-члены должны иметь возможность назначать существующие группы реагирования на компьютерные чрезвычайные ситуации (CERT) в качестве CSIRT. Чтобы улучшить доверительные отношения между организациями и CSIRT, если CSIRT является частью компетентного органа, государства-члены должны иметь возможность рассмотреть функциональное разделение между оперативными задачами, выполняемыми CSIRT, в частности, в отношении обмена информацией и помощь, оказываемая субъектам, и надзорная деятельность компетентных органов.
(42)
CSIRT поручено обрабатывать инциденты. Сюда входит обработка больших объемов иногда конфиденциальных данных. Государства-члены должны обеспечить, чтобы CSIRT имели инфраструктуру для обмена и обработки информации, а также хорошо оснащенный персонал, который обеспечивает конфиденциальность и надежность их деятельности. CSIRT также могли бы принять в этом отношении кодексы поведения.
(43)
Что касается персональных данных, CSIRT должны быть в состоянии обеспечить, в соответствии с Регламентом (ЕС) 2016/679, по запросу важной или важной организации упреждающее сканирование сети и информационных систем, используемых для предоставления данных организации. услуги. Там, где это применимо, государства-члены должны стремиться обеспечить равный уровень технических возможностей для всех отраслевых CSIRT. Государства-члены должны иметь возможность запросить помощь ENISA в разработке своих CSIRT.
(44)
CSIRT должны иметь возможность по запросу важной или важной организации контролировать активы организации, подключенные к Интернету, как внутри, так и за ее пределами, чтобы выявлять, понимать и управлять общими организационными рисками организации в отношении вновь выявленных нарушений в цепочке поставок. или критические уязвимости. Следует поощрять организацию сообщать CSIRT, использует ли она привилегированный интерфейс управления, поскольку это может повлиять на скорость принятия мер по смягчению последствий.
(45)
Учитывая важность международного сотрудничества в области кибербезопасности, CSIRT должны иметь возможность участвовать в сетях международного сотрудничества в дополнение к сети CSIRT, созданной настоящей Директивой. Таким образом, для выполнения своих задач CSIRT и компетентные органы должны иметь возможность обмениваться информацией, включая персональные данные, с национальными группами реагирования на инциденты компьютерной безопасности или компетентными органами третьих стран при условии соблюдения условий защиты данных Союза. Закон о передаче персональных данных в третьи страны, в частности, статьи 49 Регламента (ЕС) 2016/679, соблюдаются.
(46)
Обеспечение достаточных ресурсов для достижения целей настоящей Директивы и предоставления возможности компетентным органам и CSIRT выполнять задачи, изложенные в ней, имеет важное значение. Государства-члены могут ввести на национальном уровне механизм финансирования для покрытия необходимых расходов, связанных с выполнением задач государственных организаций, ответственных за кибербезопасность в государстве-члене в соответствии с настоящей Директивой. Такой механизм должен соответствовать законодательству Союза, быть пропорциональным и недискриминационным и должен учитывать различные подходы к предоставлению безопасных услуг.
(47)
Сеть CSIRT должна продолжать способствовать укреплению уверенности и доверия, а также способствовать быстрому и эффективному оперативному сотрудничеству между государствами-членами. Чтобы улучшить оперативное сотрудничество на уровне Союза, сети CSIRT следует рассмотреть возможность приглашения органов и агентств Союза, занимающихся политикой кибербезопасности, таких как Европол, принять участие в ее работе.
(48)
В целях достижения и поддержания высокого уровня кибербезопасности национальные стратегии кибербезопасности, требуемые настоящей Директивой, должны состоять из последовательных рамок, определяющих стратегические цели и приоритеты в области кибербезопасности и управления для их достижения. Эти стратегии могут состоять из одного или нескольких законодательных или незаконодательных инструментов.
(49)
Политики кибергигиены обеспечивают основу для защиты инфраструктуры сетей и информационных систем, оборудования, программного обеспечения и безопасности онлайн-приложений, а также данных бизнеса или конечных пользователей, на которые полагаются организации. Политики кибергигиены, включающие общий базовый набор практик, включая обновления программного и аппаратного обеспечения, смену паролей, управление новыми установками, ограничение учетных записей доступа на уровне администратора и резервное копирование данных, обеспечивают упреждающую структуру готовности и общая безопасность и защищенность в случае инцидентов или киберугроз. ENISA должна отслеживать и анализировать политику кибергигиены государств-членов.
(50)
Осведомленность о кибербезопасности и кибергигиена необходимы для повышения уровня кибербезопасности в Евросоюзе, особенно в свете растущего числа подключенных устройств, которые все чаще используются в кибератаках. Следует приложить усилия для повышения общей осведомленности о рисках, связанных с такими устройствами, а оценки на уровне Союза могут помочь обеспечить общее понимание таких рисков на внутреннем рынке.
(51)
Государства-члены должны поощрять использование любых инновационных технологий, включая искусственный интеллект, использование которых могло бы улучшить обнаружение и предотвращение кибератак, позволяя более эффективно перенаправлять ресурсы на кибератаки. Поэтому государства-члены должны поощрять в своих национальных стратегиях кибербезопасности деятельность по исследованиям и разработкам, чтобы облегчить использование таких технологий, в частности тех, которые относятся к автоматизированным или полуавтоматическим инструментам кибербезопасности, и, где это уместно, обмен данными, необходимыми для обучения пользователей. такой технологии и для ее улучшения. Использование любой инновационной технологии, включая искусственный интеллект, должно соответствовать законодательству Союза о защите данных, включая принципы защиты данных, такие как точность данных, минимизация данных, справедливость и прозрачность, а также безопасность данных, например современное шифрование. Требования защиты данных, предусмотренные замыслом и по умолчанию, изложенные в Регламенте (ЕС) 2016/679, должны быть полностью использованы.
(52)
Инструменты и приложения кибербезопасности с открытым исходным кодом могут способствовать повышению степени открытости и оказать положительное влияние на эффективность промышленных инноваций. Открытые стандарты облегчают взаимодействие между инструментами безопасности, повышая безопасность заинтересованных сторон в промышленности. Инструменты и приложения кибербезопасности с открытым исходным кодом могут привлечь более широкое сообщество разработчиков, позволяя диверсифицировать поставщиков. Открытый исходный код может привести к более прозрачному процессу проверки инструментов, связанных с кибербезопасностью, и к процессу обнаружения уязвимостей, управляемому сообществом. Поэтому государства-члены должны иметь возможность продвигать использование программного обеспечения с открытым исходным кодом и открытых стандартов, проводя политику, связанную с использованием открытых данных и открытого исходного кода как части безопасности посредством прозрачности. Политика, способствующая внедрению и устойчивому использованию инструментов кибербезопасности с открытым исходным кодом, имеет особое значение для малых и средних предприятий, которые сталкиваются со значительными затратами на внедрение, которые можно минимизировать за счет снижения потребности в конкретных приложениях или инструментах.
(53)
Коммунальные службы все чаще подключаются к цифровым сетям в городах с целью улучшения городских транспортных сетей, модернизации объектов водоснабжения и удаления отходов, а также повышения эффективности освещения и отопления зданий. Эти цифровые коммунальные предприятия уязвимы для кибератак и в случае успешной кибератаки рискуют нанести крупномасштабный вред гражданам из-за своей взаимосвязанности. Государствам-членам ЕС следует разработать политику, направленную на развитие таких подключенных или «умных» городов и их потенциальное воздействие на общество, в рамках своей национальной стратегии кибербезопасности.
(54)
В последние годы Союз столкнулся с экспоненциальным ростом атак программ-вымогателей, в ходе которых вредоносное ПО шифрует данные и системы и требует выкуп за выпуск. Рост частоты и серьезности атак программ-вымогателей может быть обусловлен несколькими факторами, такими как различные модели атак, преступные бизнес-модели, основанные на «программах-вымогателях как услуге» и криптовалютах, требованиях выкупа и росте атак на цепочки поставок. Государствам-членам ЕС следует разработать политику борьбы с ростом атак программ-вымогателей в рамках своей национальной стратегии кибербезопасности.
(55)
Государственно-частное партнерство (ГЧП) в области кибербезопасности может обеспечить соответствующую основу для обмена знаниями, обмена передовым опытом и установления общего уровня понимания между заинтересованными сторонами. Государства-члены должны продвигать политику, лежащую в основе создания ГЧП, ориентированных на кибербезопасность. Эта политика должна, среди прочего, прояснять сферу деятельности и участвующих заинтересованных сторон, модель управления, доступные варианты финансирования и взаимодействие между участвующими заинтересованными сторонами в отношении ГЧП. ГЧП может использовать опыт организаций частного сектора для оказания помощи компетентным органам в разработке современных услуг и процессов, включая обмен информацией, раннее предупреждение, учения по киберугрозам и инцидентам, кризисное управление и планирование устойчивости.
(56)
Государства-члены должны в своих национальных стратегиях кибербезопасности учитывать конкретные потребности малых и средних предприятий в области кибербезопасности. Малые и средние предприятия по всему Союзу представляют значительную долю промышленного и делового рынка и часто с трудом адаптируются к новым бизнес-практикам в более взаимосвязанном мире и в цифровой среде, при этом сотрудники, работающие из дома и на работе, все чаще проводится онлайн. Некоторые малые и средние предприятия сталкиваются с конкретными проблемами кибербезопасности, такими как низкая осведомленность о кибербезопасности, отсутствие удаленной ИТ-безопасности, высокая стоимость решений по кибербезопасности и повышенный уровень угроз, таких как программы-вымогатели, для решения которых им следует получить рекомендации и помощь. . Малые и средние предприятия все чаще становятся объектами атак в цепочке поставок из-за менее строгих мер по управлению рисками кибербезопасности и управления атаками, а также из-за того, что они имеют ограниченные ресурсы безопасности. Такие атаки на цепочки поставок не только оказывают влияние на малые и средние предприятия и их деятельность по отдельности, но также могут иметь каскадный эффект на более крупные атаки на организации, которым они поставляли товары. Государства-члены должны посредством своих национальных стратегий кибербезопасности помогать малым и средним предприятиям решать проблемы, с которыми они сталкиваются в своих цепочках поставок. Государства-члены должны иметь контактное лицо для малых и средних предприятий на национальном или региональном уровне, которое либо предоставляет рекомендации и помощь малым и средним предприятиям, либо направляет их в соответствующие органы для получения рекомендаций и помощи в отношении вопросов, связанных с кибербезопасностью. проблемы. Государствам-членам также рекомендуется предлагать такие услуги, как настройка веб-сайтов и ведение журналов, позволяющие микропредприятиям и малым предприятиям, у которых нет таких возможностей.
(57)
В рамках своих национальных стратегий кибербезопасности государства-члены должны принять политику содействия активной киберзащите как части более широкой оборонительной стратегии. Вместо реактивного реагирования активная киберзащита представляет собой активное предотвращение, обнаружение, мониторинг, анализ и смягчение нарушений сетевой безопасности в сочетании с использованием возможностей, развернутых внутри и за пределами сети жертвы. Это может включать в себя предоставление государствами-членами бесплатных услуг или инструментов определенным организациям, включая проверки самообслуживания, инструменты обнаружения и услуги по удалению. Способность быстро и автоматически обмениваться и понимать информацию и анализ угроз, оповещения о киберактивности и ответные действия имеют решающее значение для обеспечения единства усилий в успешном предотвращении, обнаружении, устранении и блокировании атак на сетевые и информационные системы. Активная киберзащита основана на защитной стратегии, исключающей наступательные меры.
(58)
Поскольку эксплуатация уязвимостей в сетевых и информационных системах может привести к значительным сбоям и вреду, быстрое выявление и устранение таких уязвимостей является важным фактором снижения риска. Поэтому организации, которые разрабатывают или администрируют сетевые и информационные системы, должны установить соответствующие процедуры для устранения уязвимостей при их обнаружении. Поскольку уязвимости часто обнаруживаются и раскрываются третьими лицами, производитель или поставщик ИКТ-продуктов или ИКТ-услуг также должен внедрить необходимые процедуры для получения информации об уязвимостях от третьих сторон. В этом отношении международные стандарты ISO/IEC 30111 и ISO/IEC 29147 содержат рекомендации по обработке и раскрытию уязвимостей. Укрепление координации между физическими и юридическими лицами, сообщающими информацию, и производителями или поставщиками продуктов ИКТ или услуг ИКТ особенно важно с целью содействия добровольному раскрытию информации об уязвимостях. Скоординированное раскрытие уязвимостей определяет структурированный процесс, посредством которого об уязвимостях сообщается производителю или поставщику потенциально уязвимых продуктов ИКТ или услуг ИКТ таким образом, чтобы он мог диагностировать и устранить уязвимость до того, как подробная информация об уязвимостях будет раскрыта третьим лицам или общественности. . Скоординированное раскрытие уязвимостей должно также включать координацию между сообщающим физическим или юридическим лицом и производителем или поставщиком потенциально уязвимых продуктов ИКТ или услуг ИКТ в отношении сроков устранения и публикации уязвимостей.
(59)
Комиссия, ENISA и государства-члены должны продолжать способствовать приведению в соответствие с международными стандартами и существующими передовыми практиками отрасли в области управления рисками кибербезопасности, например, в области оценки безопасности цепочки поставок, обмена информацией и раскрытия уязвимостей.
(60)
Государства-члены в сотрудничестве с ENISA должны принять меры для облегчения скоординированного раскрытия уязвимостей путем разработки соответствующей национальной политики. В рамках своей национальной политики государства-члены должны стремиться, насколько это возможно, решать проблемы, с которыми сталкиваются исследователи уязвимостей, включая их потенциальную подверженность уголовной ответственности, в соответствии с национальным законодательством. Учитывая, что в некоторых государствах-членах физические и юридические лица, исследующие уязвимости, могут быть подвергнуты уголовной и гражданской ответственности, государствам-членам рекомендуется принять руководящие принципы в отношении непреследования исследователей информационной безопасности и освобождения от гражданской ответственности за их деятельность.
(61)
Государства-члены должны назначить одну из своих CSIRT в качестве координатора, действующего в качестве доверенного посредника между сообщающими физическими или юридическими лицами и производителями или поставщиками продуктов ИКТ или услуг ИКТ, которые могут пострадать от уязвимости, где это необходимо. В задачи CSIRT, назначенного координатором, должны входить выявление заинтересованных организаций и установление связи с ними, оказание помощи физическим или юридическим лицам, сообщающим об уязвимости, согласование сроков раскрытия информации и управление уязвимостями, которые затрагивают несколько организаций (координированное раскрытие уязвимостей несколькими сторонами). Если сообщенная уязвимость может оказать существенное влияние на организации более чем в одном государстве-члене, CSIRT, назначенные координаторами, должны сотрудничать в рамках сети CSIRT, где это возможно.
(62)
Доступ к правильной и своевременной информации об уязвимостях, влияющих на продукты и услуги ИКТ, способствует улучшению управления рисками кибербезопасности. Источники общедоступной информации об уязвимостях являются важным инструментом для организаций и пользователей их услуг, а также для компетентных органов и CSIRT. По этой причине ENISA следует создать европейскую базу данных уязвимостей, где организации, независимо от того, подпадают ли они под действие настоящей Директивы, и их поставщики сетевых и информационных систем, а также компетентные органы и CSIRT, могут раскрывать и регистрировать, на добровольной основе публично известные уязвимости с целью предоставления пользователям возможности принять соответствующие меры по смягчению последствий. Целью этой базы данных является решение уникальных проблем, связанных с рисками для организаций Союза. Кроме того, ENISA должна установить соответствующую процедуру в отношении процесса публикации, чтобы дать организациям время принять меры по смягчению последствий их уязвимостей и использовать самые современные меры по управлению рисками кибербезопасности, а также машиночитаемые наборы данных и соответствующие интерфейсы. Чтобы стимулировать культуру раскрытия уязвимостей, раскрытие не должно иметь пагубных последствий для физического или юридического лица, сообщившего информацию.
(63)
Хотя аналогичные реестры или базы данных уязвимостей существуют, они размещаются и поддерживаются организациями, не зарегистрированными в Евросоюзе. Европейская база данных уязвимостей, поддерживаемая ENISA, обеспечит повышенную прозрачность процесса публикации до того, как уязвимость будет публично раскрыта, а также устойчивость в случае сбоя или перерыва в предоставлении аналогичных услуг. Чтобы, насколько это возможно, избежать дублирования усилий и добиться взаимодополняемости, ENISA следует изучить возможность заключения структурированных соглашений о сотрудничестве с аналогичными реестрами или базами данных, подпадающими под юрисдикцию третьих стран. В частности, ENISA следует изучить возможность тесного сотрудничества с операторами системы Common Vulnerabilities and Exposures (CVE).
(64)
Группа сотрудничества должна поддерживать и облегчать стратегическое сотрудничество и обмен информацией, а также укреплять доверие между государствами-членами. Группа сотрудничества должна разрабатывать рабочую программу каждые два года. Программа работы должна включать действия, которые должна предпринять Группа сотрудничества для реализации своих целей и задач. Сроки создания первой рабочей программы в соответствии с настоящей Директивой должны быть приведены в соответствие со сроками последней рабочей программы, установленной в соответствии с Директивой (ЕС) 2016/1148, чтобы избежать потенциальных сбоев в работе Группы сотрудничества.
(65)
При разработке руководящих документов Группа сотрудничества должна последовательно отображать национальные решения и опыт, оценивать влияние результатов Группы сотрудничества на национальные подходы, обсуждать проблемы реализации и формулировать конкретные рекомендации, в частности, в отношении содействия согласованию транспонирования настоящей Директивы среди членов. государств, которые необходимо решать путем более эффективного осуществления существующих правил. Группа сотрудничества могла бы также составить карту национальных решений, чтобы обеспечить совместимость решений по кибербезопасности, применяемых в каждом конкретном секторе по всему Союзу. Это особенно актуально для секторов, имеющих международный или трансграничный характер.
(66)
Группа сотрудничества должна оставаться гибким форумом и быть в состоянии реагировать на меняющиеся и новые политические приоритеты и проблемы, принимая во внимание наличие ресурсов. Он мог бы организовывать регулярные совместные встречи с соответствующими частными заинтересованными сторонами со всего Союза для обсуждения деятельности, проводимой Группой сотрудничества, а также сбора данных и информации о возникающих политических проблемах. Кроме того, Группа сотрудничества должна проводить регулярную оценку состояния киберугроз или инцидентов, таких как программы-вымогатели. В целях расширения сотрудничества на уровне Союза Группе сотрудничества следует рассмотреть возможность приглашения соответствующих институтов, органов, ведомств и учреждений Союза, занимающихся политикой кибербезопасности, таких как Европейский парламент, Европол, Европейский совет по защите данных, Агентство авиационной безопасности Европейского Союза, созданное Регламентом (ЕС) 2018/1139, и Агентство Европейского Союза по космическим программам, созданное Регламентом (ЕС) 2021/696 Европейского парламента и Совета (14), для участия в его работе.
(67)
Компетентные органы и CSIRT должны иметь возможность участвовать в схемах обмена должностными лицами из других государств-членов в рамках конкретной структуры и, где это применимо, при условии наличия необходимого допуска должностных лиц, участвующих в таких схемах обмена, в целях улучшения сотрудничества и укрепить доверие между государствами-членами. Компетентные органы должны принять необходимые меры, чтобы позволить должностным лицам из других государств-членов играть эффективную роль в деятельности принимающего компетентного органа или принимающей CSIRT.
(68)
Государства-члены должны внести свой вклад в создание Рамочной программы ЕС по реагированию на кризисы в области кибербезопасности, как это изложено в Рекомендации Комиссии (ЕС) 2017/1584 (15), через существующие сети сотрудничества, в частности, Европейскую сеть организаций по связям с киберкризисами (EU-CyCLONe), сеть CSIRT и Группа сотрудничества. EU-CyCLONe и сеть CSIRT должны сотрудничать на основе процедурных соглашений, которые определяют детали этого сотрудничества и избегают любого дублирования задач. Правила процедуры EU-CyCLONe должны дополнительно определять механизмы, посредством которых эта сеть должна функционировать, включая роли сети, средства сотрудничества, взаимодействие с другими соответствующими субъектами и шаблоны для обмена информацией, а также средства связи. Для управления кризисами на уровне Союза соответствующие стороны должны полагаться на механизмы комплексного реагирования на политические кризисы ЕС в соответствии с Исполнительным решением Совета (ЕС) 2018/1993 (16) (договоренности IPCR). Для этой цели Комиссии следует использовать процесс межсекторальной кризисной координации ARGUS на высоком уровне. Если кризис влечет за собой важное внешнее измерение или измерение общей политики безопасности и обороны, следует активировать Механизм реагирования на кризисы Европейской службы внешних действий.
(69)
В соответствии с Приложением к Рекомендации (ЕС) 2017/1584, крупномасштабный инцидент кибербезопасности должен означать инцидент, который вызывает уровень нарушения, превышающий возможности государства-члена отреагировать на него, или который оказывает существенное влияние как минимум на две Государства-члены. В зависимости от их причины и воздействия крупномасштабные инциденты кибербезопасности могут перерасти и превратиться в полноценные кризисы, не позволяющие нормальному функционированию внутреннего рынка или создающие серьезные риски для общественной безопасности и безопасности для юридических лиц или граждан в нескольких государствах-членах или Союзе, как целое. Учитывая широкий диапазон и, в большинстве случаев, трансграничный характер таких инцидентов, государства-члены и соответствующие институты, органы, офисы и агентства Союза должны сотрудничать на техническом, оперативном и политическом уровне, чтобы должным образом координировать реагирование на всех уровнях. Союз.
(70)
Крупномасштабные инциденты и кризисы в области кибербезопасности на уровне Союза требуют скоординированных действий для обеспечения быстрого и эффективного реагирования из-за высокой степени взаимозависимости между секторами и государствами-членами. Наличие киберустойчивых сетей и информационных систем, а также доступность, конфиденциальность и целостность данных жизненно важны для безопасности Союза и защиты его граждан, предприятий и учреждений от инцидентов и киберугроз, а также для повышения эффективности доверие отдельных лиц и организаций к способности Союза продвигать и защищать глобальное, открытое, свободное, стабильное и безопасное киберпространство, основанное на правах человека, основных свободах, демократии и верховенстве закона.
(71)
EU-CyCLONe должен работать посредником между техническим и политическим уровнем во время крупномасштабных инцидентов и кризисов в области кибербезопасности, а также должен расширять сотрудничество на оперативном уровне и поддерживать принятие решений на политическом уровне. В сотрудничестве с Комиссией, принимая во внимание компетенцию Комиссии в области кризисного управления, EU-CyCLONe должен опираться на выводы сети CSIRT и использовать свои собственные возможности для проведения анализа последствий крупномасштабных инцидентов и кризисов кибербезопасности.
(72)
Кибератаки носят трансграничный характер, и серьезный инцидент может нарушить и повредить критически важные информационные инфраструктуры, от которых зависит бесперебойное функционирование внутреннего рынка. Рекомендация (ЕС) 2017/1584 рассматривает роль всех соответствующих участников. Кроме того, Комиссия несет ответственность в рамках Механизма гражданской защиты Союза, созданного Решением № 1313/2013/ЕС Европейского парламента и Совета (17), за общие действия по обеспечению готовности, включая управление Координационным центром реагирования на чрезвычайные ситуации и Общая система связи и информации в чрезвычайных ситуациях, поддержание и дальнейшее развитие возможностей ситуационной осведомленности и анализа, а также создание и управление возможностями мобилизации и направления групп экспертов в случае запроса на помощь со стороны государства-члена или третьей страны. Комиссия также отвечает за предоставление аналитических отчетов для механизмов IPCR в соответствии с Исполнительным решением (ЕС) 2018/1993, в том числе в отношении ситуационной осведомленности и готовности к кибербезопасности, а также за ситуационную осведомленность и реагирование на кризисы в областях сельского хозяйства, неблагоприятных погодных условий. условия, картирование конфликтов и прогнозы, системы раннего предупреждения о стихийных бедствиях, чрезвычайные ситуации в области здравоохранения, надзор за инфекционными заболеваниями, здоровье растений, химические инциденты, безопасность продуктов питания и кормов, здоровье животных, миграция, таможня, ядерные и радиологические чрезвычайные ситуации и энергетика.
(73)
Союз может, при необходимости, заключать международные соглашения в соответствии со статьей 218 TFEU с третьими странами или международными организациями, разрешая и организуя их участие в конкретных мероприятиях Группы сотрудничества, сети CSIRT и EU-CyCLONe. Такие соглашения должны обеспечивать интересы Союза и адекватную защиту данных. Это не должно исключать право государств-членов сотрудничать с третьими странами в управлении уязвимостями и рисками кибербезопасности, содействуя отчетности и общему обмену информацией в соответствии с законодательством Союза.
(74)
Чтобы облегчить эффективную реализацию настоящей Директивы в отношении, среди прочего, управления уязвимостями, мер по управлению рисками кибербезопасности, обязательств по отчетности и механизмов обмена информацией о кибербезопасности, государства-члены могут сотрудничать с третьими странами и предпринимать действия, которые считаются должны быть подходящими для этой цели, включая обмен информацией о киберугрозах, инцидентах, уязвимостях, инструментах и методах, тактике, методах и процедурах, готовности и учениях по управлению кризисами кибербезопасности, обучении, построении доверия и структурированных механизмах обмена информацией.
(75)
Необходимо ввести экспертные оценки, чтобы помочь извлечь уроки из общего опыта, укрепить взаимное доверие и достичь высокого общего уровня кибербезопасности. Коллегиальные проверки могут привести к получению ценной информации и рекомендаций, укрепляющих общий потенциал кибербезопасности, создавая еще один функциональный путь для обмена передовым опытом между государствами-членами и способствуя повышению уровня зрелости государств-членов в области кибербезопасности. Кроме того, экспертные оценки должны учитывать результаты аналогичных механизмов, таких как система экспертной оценки сети CSIRT, и должны повышать ценность и избегать дублирования. Проведение экспертных проверок не должно наносить ущерба законодательству Союза или национальному законодательству о защите конфиденциальной или секретной информации.
(76)
Группа сотрудничества должна разработать методологию самооценки для государств-членов, направленную на охват таких факторов, как уровень реализации мер по управлению рисками кибербезопасности и обязательств по отчетности, уровень возможностей и эффективность выполнения задач Группы сотрудничества. компетентные органы, оперативные возможности CSIRT, уровень реализации взаимной помощи, уровень реализации механизмов обмена информацией о кибербезопасности или конкретные вопросы трансграничного или межсекторального характера. Государства-члены следует поощрять к проведению самооценки на регулярной основе, а также к представлению и обсуждению результатов своей самооценки в рамках Группы сотрудничества.
(77)
Ответственность за обеспечение безопасности сети и информационных систем в значительной степени лежит на основных и важных субъектах. Культуру управления рисками, включающую оценку рисков и реализацию мер по управлению рисками кибербезопасности, соответствующих возникающим рискам, следует поощрять и развивать.
(78)
Меры по управлению рисками кибербезопасности должны учитывать степень зависимости существенного или важного субъекта от сетевых и информационных систем и включать меры по выявлению любых рисков инцидентов, предотвращению, обнаружению, реагированию на инциденты и восстановлению после них, а также по смягчению их воздействия. . Безопасность сетевых и информационных систем должна включать безопасность хранимых, передаваемых и обрабатываемых данных. Меры по управлению рисками кибербезопасности должны предусматривать системный анализ с учетом человеческого фактора, чтобы иметь полное представление о безопасности сети и информационной системы.
(79)
Поскольку угрозы безопасности сетевых и информационных систем могут иметь различное происхождение, меры по управлению рисками кибербезопасности должны основываться на подходе, учитывающем все риски, который направлен на защиту сетевых и информационных систем, а также физической среды этих систем от таких событий, как кража. , пожар, наводнение, сбои в телекоммуникациях или электроснабжении, а также несанкционированный физический доступ, повреждение и вмешательство в важную или важную информацию и средства обработки информации организации, которые могут поставить под угрозу доступность, подлинность, целостность или конфиденциальность хранящихся, передаваемых или обрабатываемых данных. данные или услуги, предлагаемые или доступные через сети и информационные системы. Поэтому меры по управлению рисками кибербезопасности должны также учитывать физическую и экологическую безопасность сетевых и информационных систем, включая меры по защите таких систем от системных сбоев, человеческих ошибок, злонамеренных действий или природных явлений в соответствии с европейскими и международными стандартами, такими как: те, которые включены в серию ISO/IEC 27000. В этом отношении важным и важным организациям следует в рамках своих мер по управлению рисками кибербезопасности также уделять внимание безопасности человеческих ресурсов и иметь соответствующие политики контроля доступа. Эти меры должны соответствовать Директиве (ЕС) 2022/2557.
(80)
В целях демонстрации соблюдения мер по управлению рисками кибербезопасности и в отсутствие соответствующих европейских схем сертификации кибербезопасности, принятых в соответствии с Регламентом (ЕС) 2019/881 Европейского парламента и Совета (18), государствам-членам следует: консультации с Группой сотрудничества и Европейской группой по сертификации кибербезопасности, содействовать использованию соответствующих европейских и международных стандартов важными и важными организациями или может требовать от организаций использования сертифицированных продуктов ИКТ, услуг ИКТ и процессов ИКТ.
(81)
Чтобы избежать наложения непропорционального финансового и административного бремени на важные и важные организации, меры по управлению рисками кибербезопасности должны быть пропорциональны рискам, связанным с соответствующей сетью и информационной системой, принимая во внимание современное состояние такие меры и, где это применимо, соответствующие европейские и международные стандарты, а также стоимость их внедрения.
(82)
Меры по управлению рисками кибербезопасности должны быть пропорциональны степени подверженности существенного или важного субъекта рискам, а также социальным и экономическим последствиям, которые может иметь инцидент. При разработке мер по управлению рисками кибербезопасности, адаптированных к основным и важным объектам, следует должным образом учитывать различную подверженность рискам основных и важных объектов, например, критичность объекта, риски, включая социальные риски, которым он подвергается. , размер организации и вероятность возникновения инцидентов и их серьезность, включая их социальные и экономические последствия.
(83)
Важнейшие и важные субъекты должны обеспечивать безопасность сетей и информационных систем, которые они используют в своей деятельности. Эти системы представляют собой в первую очередь частные сети и информационные системы, управляемые внутренним ИТ-персоналом важных и важных организаций или безопасность которых передана на аутсорсинг. Меры по управлению рисками кибербезопасности и обязательства по отчетности, изложенные в настоящей Директиве, должны применяться к соответствующим важным и важным организациям независимо от того, поддерживают ли эти организации свои сети и информационные системы внутри компании или передают их обслуживание сторонним организациям.
(84)
Принимая во внимание их трансграничный характер, поставщики услуг DNS, реестры имен TLD, поставщики услуг облачных вычислений, поставщики услуг центров обработки данных, поставщики сетей доставки контента, поставщики управляемых услуг, поставщики управляемых услуг безопасности, поставщики онлайн-торговых площадок, онлайн-поисковых систем Платформы социальных сетей и поставщики трастовых услуг должны подлежать высокой степени гармонизации на уровне Союза. Поэтому реализация мер по управлению рисками кибербезопасности в отношении этих организаций должна быть облегчена имплементационным актом.
(85)
Устранение рисков, связанных с цепочкой поставок организации и ее взаимоотношениями с поставщиками, такими как поставщики услуг хранения и обработки данных или поставщики управляемых услуг безопасности и редакторы программного обеспечения, особенно важно, учитывая распространенность инцидентов, когда организации становились жертвами кибератак и когда злоумышленники смогли поставить под угрозу безопасность сети и информационных систем организации, используя уязвимости, затрагивающие сторонние продукты и услуги. Поэтому важнейшие и важные организации должны оценивать и принимать во внимание общее качество и устойчивость продуктов и услуг, встроенные в них меры по управлению рисками кибербезопасности, а также методы кибербезопасности своих поставщиков и поставщиков услуг, включая их процедуры безопасной разработки. Необходимо, в частности, поощрять важные и важные организации включать меры по управлению рисками кибербезопасности в контрактные соглашения со своими прямыми поставщиками и поставщиками услуг. Эти организации могли бы учитывать риски, связанные с поставщиками и поставщиками услуг других уровней.
(86)
Среди поставщиков услуг поставщики управляемых услуг безопасности в таких областях, как реагирование на инциденты, тестирование на проникновение, аудит безопасности и консультирование, играют особенно важную роль, помогая организациям в их усилиях по предотвращению, обнаружению, реагированию на инциденты или восстановлению после них. Однако поставщики управляемых услуг безопасности также сами подвергаются кибератакам и из-за своей тесной интеграции в деятельность организаций представляют особый риск. Поэтому важным и важным организациям следует проявлять повышенную осмотрительность при выборе поставщика управляемых услуг безопасности.
(87)
Компетентные органы в контексте своих надзорных задач также могут получить выгоду от услуг кибербезопасности, таких как аудит безопасности, тестирование на проникновение или реагирование на инциденты.
(88)
Важнейшие и важные субъекты должны также учитывать риски, возникающие в результате их взаимодействия и отношений с другими заинтересованными сторонами в рамках более широкой экосистемы, в том числе в отношении противодействия промышленному шпионажу и защиты коммерческой тайны. В частности, этим организациям следует принять соответствующие меры для обеспечения того, чтобы их сотрудничество с академическими и исследовательскими учреждениями осуществлялось в соответствии с их политикой кибербезопасности и передовой практикой в отношении безопасного доступа и распространения информации в целом и защиты интеллектуальной собственности в частности. Аналогичным образом, учитывая важность и ценность данных для деятельности важных и важных организаций, полагаясь на услуги преобразования данных и анализа данных от третьих сторон, эти организации должны принимать все соответствующие меры по управлению рисками кибербезопасности.
(89)
Основные и важные организации должны принять широкий спектр базовых практик кибергигиены, таких как принципы нулевого доверия, обновления программного обеспечения, конфигурация устройств, сегментация сети, управление идентификацией и доступом или осведомленность пользователей, организовать обучение своего персонала и повысить осведомленность о киберугрозах. , фишинга или методов социальной инженерии. Кроме того, эти организации должны оценить свои собственные возможности кибербезопасности и, при необходимости, продолжить интеграцию технологий повышения кибербезопасности, таких как системы искусственного интеллекта или машинного обучения, для повышения своих возможностей и безопасности сетевых и информационных систем.
(90)
Для дальнейшего устранения ключевых рисков цепочки поставок и оказания помощи важнейшим и важным субъектам, работающим в секторах, охватываемых настоящей Директивой, в надлежащем управлении рисками, связанными с цепочкой поставок и поставщиками, Группа сотрудничества в сотрудничестве с Комиссией и ENISA и, при необходимости, после консультаций с соответствующими заинтересованными сторонами, включая представителей отрасли, должны провести скоординированную оценку рисков безопасности критически важных цепочек поставок, как это делается для сетей 5G в соответствии с Рекомендацией Комиссии (ЕС) 2019/534 (19), с целью выявления в каждом секторе критически важных услуг ИКТ, ИКТ системы или продукты ИКТ, соответствующие угрозы и уязвимости. Такие скоординированные оценки рисков безопасности должны определять меры, планы смягчения и лучшие практики для противодействия критическим зависимостям, потенциальным точкам отказа, угрозам, уязвимостям и другим рискам, связанным с цепочкой поставок, а также должны исследовать способы дальнейшего поощрения их более широкого внедрения важными и важными организациями. сущности. Потенциальные нетехнические факторы риска, такие как неправомерное влияние третьей страны на поставщиков и поставщиков услуг, особенно в случае альтернативных моделей управления, включают скрытые уязвимости или лазейки, а также потенциальные системные перебои в поставках, особенно в случае технологических привязка или зависимость от провайдера.
(91)
Скоординированные оценки рисков безопасности критических цепочек поставок с учетом особенностей соответствующего сектора должны учитывать как технические, так и, где это уместно, нетехнические факторы, включая те, которые определены в Рекомендации (ЕС) 2019/534, в ЕС. скоординированная оценка рисков кибербезопасности сетей 5G и Инструментарий ЕС по кибербезопасности 5G, согласованный Группой сотрудничества. Чтобы определить цепочки поставок, которые должны подвергаться скоординированной оценке рисков безопасности, следует принять во внимание следующие критерии: (i) степень, в которой основные и важные субъекты используют и полагаются на конкретные критически важные услуги ИКТ, системы ИКТ или продукты ИКТ. ; (ii) актуальность конкретных критически важных услуг ИКТ, систем ИКТ или продуктов ИКТ для выполнения критически важных или конфиденциальных функций, включая обработку персональных данных; (iii) наличие альтернативных услуг ИКТ, систем ИКТ или продуктов ИКТ; (iv) устойчивость всей цепочки поставок услуг ИКТ, систем ИКТ или продуктов ИКТ на протяжении всего их жизненного цикла к разрушительным событиям; и (v) для новых услуг ИКТ, систем ИКТ или продуктов ИКТ – их потенциальное будущее значение для деятельности организаций. Кроме того, особое внимание следует уделять услугам ИКТ, системам ИКТ или продуктам ИКТ, к которым предъявляются особые требования, исходящие от третьих стран.
(92)
В целях оптимизации обязательств, налагаемых на поставщиков сетей электронных коммуникаций общего пользования или общедоступных услуг электронных коммуникаций, а также поставщиков трастовых услуг, связанных с безопасностью их сетей и информационных систем, а также для того, чтобы дать возможность этим организациям и компетентным органам в соответствии с Директива (ЕС) 2018/1972 Европейского парламента и Совета (20) и Регламент (ЕС) № 910/2014 соответственно, чтобы воспользоваться правовыми рамками, установленными настоящей Директивой, включая назначение CSIRT, ответственной за обработку инцидентов, участие соответствующих компетентных органов в деятельности Группы сотрудничества и сети CSIRT, эти организации должны подпадать под действие настоящей Директивы. Поэтому соответствующие положения, изложенные в Регламенте (ЕС) № 910/2014 и Директиве (ЕС) 2018/1972, касающиеся наложения требований безопасности и уведомления на эти типы организаций, должны быть удалены. Правила обязательств по отчетности, изложенные в настоящей Директиве, не должны наносить ущерба Регламенту (ЕС) 2016/679 и Директиве 2002/58/EC.
(93)
Обязательства по кибербезопасности, изложенные в настоящей Директиве, следует рассматривать как дополняющие требования, предъявляемые к поставщикам трастовых услуг в соответствии с Регламентом (ЕС) № 910/2014. Поставщики трастовых услуг должны быть обязаны принимать все соответствующие и пропорциональные меры для управления рисками, связанными с их услугами, в том числе в отношении клиентов и доверяющих третьих сторон, а также сообщать об инцидентах в соответствии с настоящей Директивой. Такие обязательства по кибербезопасности и отчетности должны также касаться физической защиты предоставляемых услуг. Требования к квалифицированным поставщикам трастовых услуг, изложенные в статье 24 Регламента (ЕС) № 910/2014, продолжают применяться.
(94)
Государства-члены могут возложить роль компетентных органов по трастовым услугам на надзорные органы в соответствии с Регламентом (ЕС) № 910/2014, чтобы обеспечить продолжение текущей практики и использовать знания и опыт, полученные при применении этого Регламента. . В таком случае компетентные органы в соответствии с настоящей Директивой должны тесно и своевременно сотрудничать с этими надзорными органами путем обмена соответствующей информацией, чтобы обеспечить эффективный надзор и соблюдение поставщиками трастовых услуг требований, изложенных в настоящей Директиве и Регламенте. (ЕС) № 910/2014. Там, где это применимо, CSIRT или компетентный орган в соответствии с настоящей Директивой должны немедленно информировать надзорный орган в соответствии с Регламентом (ЕС) № 910/2014 о любой уведомленной значительной киберугрозе или инциденте, влияющем на трастовые услуги, а также о любых нарушениях со стороны поставщика трастовых услуг. настоящей Директивы. В целях отчетности государства-члены могут, где это применимо, использовать единую точку входа, созданную для обеспечения общего и автоматического уведомления о происшествиях как в надзорный орган в соответствии с Регламентом (ЕС) № 910/2014, так и в CSIRT или компетентный орган в соответствии с настоящим Регламентом. Директива.
(95)
При необходимости и во избежание ненужных сбоев при транспонировании настоящей Директивы следует учитывать существующие национальные руководящие принципы, принятые для транспонирования правил, касающихся мер безопасности, изложенных в статьях 40 и 41 Директивы (ЕС) 2018/1972. , тем самым опираясь на знания и навыки, уже приобретенные в соответствии с Директивой (ЕС) 2018/1972 о мерах безопасности и уведомлениях об инцидентах. ENISA также может разработать руководство по требованиям безопасности и обязательствам по отчетности для поставщиков общедоступных сетей электронной связи или общедоступных услуг электронной связи, чтобы облегчить гармонизацию и переход, а также свести к минимуму сбои. Государства-члены могут возложить роль компетентных органов в области электронных коммуникаций на национальные регулирующие органы в соответствии с Директивой (ЕС) 2018/1972, чтобы обеспечить продолжение текущей практики и использовать знания и опыт, полученные в результате реализации. этой Директивы.
(96)
Учитывая растущую важность услуг межличностной связи, не зависящих от номера, как это определено в Директиве (ЕС) 2018/1972, необходимо обеспечить, чтобы к таким услугам также предъявлялись соответствующие требования безопасности с учетом их специфического характера и экономической важности. Поскольку поверхность атаки продолжает расширяться, независимые от номера службы межличностной связи, такие как службы обмена сообщениями, становятся широко распространенными векторами атак. Злоумышленники используют платформы для общения и привлечения жертв к открытию скомпрометированных веб-страниц, тем самым увеличивая вероятность инцидентов, связанных с эксплуатацией персональных данных и, как следствие, безопасность сетевых и информационных систем. Поставщики услуг межличностной связи, не зависящих от номера, должны обеспечить уровень безопасности сетевых и информационных систем, соответствующий возникающим рискам. Учитывая, что поставщики услуг межличностной связи, не зависящих от номера, обычно не осуществляют фактического контроля над передачей сигналов по сетям, степень рисков, связанных с такими услугами, можно считать в некоторых отношениях более низкой, чем для традиционных услуг электронной связи. То же самое относится и к услугам межличностной связи, определенным в Директиве (ЕС) 2018/1972, которые используют номера и не осуществляют фактического контроля над передачей сигналов.
(97)
Внутренний рынок больше, чем когда-либо, зависит от функционирования Интернета. Услуги почти всех основных и важных организаций зависят от услуг, предоставляемых через Интернет. Чтобы обеспечить бесперебойное предоставление услуг, предоставляемых важными и важными организациями, важно, чтобы все поставщики сетей электронных коммуникаций общего пользования имели соответствующие меры по управлению рисками кибербезопасности и сообщали о серьезных инцидентах, связанных с ними. Государства-члены ЕС должны обеспечить поддержание безопасности государственных сетей электронных коммуникаций и защиту их жизненно важных интересов безопасности от саботажа и шпионажа. Поскольку международная связь усиливает и ускоряет конкурентоспособную цифровизацию Союза и его экономики, об инцидентах, затрагивающих подводные кабели связи, следует сообщать CSIRT или, если применимо, компетентному органу. Национальная стратегия кибербезопасности должна, где это уместно, учитывать кибербезопасность подводных кабелей связи и включать в себя картирование потенциальных рисков кибербезопасности и мер по их снижению для обеспечения самого высокого уровня их защиты.
(98)
Для обеспечения безопасности сетей электронных коммуникаций общего пользования и общедоступных услуг электронных коммуникаций необходимо использовать технологии шифрования, в частности сквозное шифрование, а также концепции безопасности, ориентированные на данные, такие как картография, сегментация, маркировка, доступ. Следует поощрять политику и управление доступом, а также автоматизированные решения о доступе. При необходимости использование шифрования, в частности сквозного шифрования, должно быть обязательным для поставщиков сетей электронных коммуникаций общего пользования или общедоступных услуг электронных коммуникаций в соответствии с принципами безопасности и конфиденциальности по умолчанию и намеренно для целей настоящей Директивы. Использование сквозного шифрования должно быть согласовано с полномочиями государств-членов ЕС по обеспечению защиты их основных интересов безопасности и общественной безопасности, а также по предотвращению, расследованию, обнаружению и судебному преследованию уголовных преступлений в соответствии с требованиями Союза. закон. Однако это не должно ослабить сквозное шифрование, которое является критически важной технологией для эффективной защиты данных и конфиденциальности, а также безопасности коммуникаций.
(99)
Чтобы обеспечить безопасность и предотвратить злоупотребления и манипуляции сетями общедоступной электронной связи и общедоступными услугами электронной связи, следует поощрять использование стандартов безопасной маршрутизации, чтобы гарантировать целостность и надежность функций маршрутизации в экосистеме Интернета. доступ к поставщикам услуг.
(100)
Чтобы защитить функциональность и целостность Интернета, а также повысить безопасность и устойчивость DNS, соответствующие заинтересованные стороны, включая организации частного сектора Союза, поставщиков общедоступных услуг электронной связи, в частности поставщиков услуг доступа в Интернет, и поставщиков онлайн-услуг. поисковые системы следует поощрять к принятию стратегии диверсификации разрешения DNS. Кроме того, государства-члены должны поощрять разработку и использование общедоступной и безопасной европейской службы разрешения DNS.
(101)
Эта Директива устанавливает многоэтапный подход к сообщению о значительных инцидентах, чтобы найти правильный баланс между, с одной стороны, быстрым сообщением, которое помогает смягчить потенциальное распространение значительных инцидентов и позволяет важным и важным субъектам обращаться за помощью, и, с другой стороны, подробные отчеты, которые извлекают ценные уроки из отдельных инцидентов и со временем улучшают киберустойчивость отдельных организаций и целых секторов. В этом отношении настоящая Директива должна включать отчетность об инцидентах, которые, на основании первоначальной оценки, проведенной заинтересованным лицом, могут привести к серьезному нарушению работы услуг или финансовым потерям для этого лица или повлиять на других физических или юридических лиц, причинив значительные убытки. материальный или нематериальный ущерб. Такая первоначальная оценка должна учитывать, среди прочего, затронутые сети и информационные системы, в частности их важность в предоставлении услуг организации, серьезность и технические характеристики киберугрозы и любые основные уязвимости, которые используются, а также опыт организации в подобных инцидентах. Такие показатели, как степень воздействия на функционирование службы, продолжительность инцидента или количество пострадавших получателей услуг, могут сыграть важную роль в определении того, является ли серьезное нарушение работы службы.
(102)
Если важным или важным организациям становится известно о значительном инциденте, они должны быть обязаны подать раннее предупреждение без неоправданной задержки и в любом случае в течение 24 часов. За этим ранним предупреждением должно последовать уведомление об инциденте. Заинтересованные организации должны подать уведомление о происшествии без неоправданной задержки и в любом случае в течение 72 часов после того, как им стало известно о значительном происшествии, с целью, в частности, обновления информации, представленной посредством раннего предупреждения, и указания первоначальной оценки значительного происшествия. , включая его серьезность и влияние, а также индикаторы компрометации, если таковые имеются. Окончательный отчет должен быть представлен не позднее одного месяца после уведомления о происшествии. Раннее предупреждение должно включать только информацию, необходимую для того, чтобы CSIRT или, где это применимо, компетентный орган узнали о значительном инциденте и позволили заинтересованной организации обратиться за помощью, если потребуется. Такое раннее предупреждение, где это применимо, должно указывать на то, есть ли подозрение, что значительный инцидент вызван незаконными или злонамеренными действиями, и может ли он иметь трансграничные последствия. Государства-члены ЕС должны обеспечить, чтобы обязательство подавать такое раннее предупреждение или последующее уведомление об инциденте не отвлекало ресурсы уведомляющего органа от деятельности, связанной с обработкой инцидентов, которая должна быть приоритетной, чтобы не допустить, чтобы обязательства по информированию об инцидентах отвлекали ресурсы от значительных реагирования на инциденты или иным образом ставящие под угрозу усилия организации в этом отношении. В случае продолжающегося инцидента на момент подачи окончательного отчета государства-члены должны обеспечить, чтобы заинтересованные организации представили отчет о ходе работы в это время, а окончательный отчет - в течение одного месяца после рассмотрения значительного инцидента.
(103)
Там, где это применимо, важные и важные организации должны без неоправданной задержки сообщать получателям услуг о любых мерах или средствах защиты, которые они могут предпринять для снижения рисков, возникающих в результате значительной киберугрозы. Этим организациям следует, где это уместно и, в частности, когда существует вероятность материализации значительной киберугрозы, также информировать своих получателей услуг о самой угрозе. Требование информировать этих получателей о значительных киберугрозах должно выполняться в максимально возможном порядке, но не должно освобождать эти организации от обязательства принимать за свой счет соответствующие и немедленные меры для предотвращения или устранения любых таких угроз и восстановления нормального функционирования. уровень безопасности сервиса. Предоставление такой информации о существенных киберугрозах получателям услуг должно быть бесплатным и составлено на понятном языке.
(104)
Поставщики общедоступных сетей электронных коммуникаций или общедоступных услуг электронных коммуникаций должны обеспечивать безопасность по замыслу и по умолчанию и информировать получателей своих услуг о значительных киберугрозах и о мерах, которые они могут предпринять для защиты безопасности своих устройств и коммуникаций, например, путем с использованием определенных типов программного обеспечения или технологий шифрования.
(105)
Упреждающий подход к киберугрозам является жизненно важным компонентом управления рисками кибербезопасности, который должен позволить компетентным органам эффективно предотвращать превращение киберугроз в инциденты, которые могут нанести значительный материальный или нематериальный ущерб. Для этой цели уведомление о киберугрозах имеет ключевое значение. С этой целью организациям рекомендуется добровольно сообщать о киберугрозах.
(106)
Чтобы упростить представление информации, требуемой в соответствии с настоящей Директивой, а также снизить административную нагрузку для организаций, государства-члены должны предоставить технические средства, такие как единая точка входа, автоматизированные системы, онлайн-формы, удобные интерфейсы, шаблоны, специальные платформы для использования организациями, независимо от того, подпадают ли они под действие настоящей Директивы, для подачи соответствующей информации, подлежащей отчетности. Финансирование Союза, поддерживающее реализацию настоящей Директивы, в частности в рамках программы «Цифровая Европа», установленной Регламентом (ЕС) 2021/694 Европейского парламента и Совета (21), может включать поддержку единых точек входа. Кроме того, организации часто оказываются в ситуации, когда о конкретном происшествии из-за его особенностей необходимо сообщать различным органам власти в результате обязательств по уведомлению, включенных в различные правовые инструменты. Такие случаи создают дополнительное административное бремя, а также могут привести к неопределенности в отношении формата и процедур таких уведомлений. Если установлена единая точка входа, государствам-членам также рекомендуется использовать эту единую точку входа для уведомлений об инцидентах безопасности, требуемых в соответствии с другими законами Союза, такими как Регламент (ЕС) 2016/679 и Директива 2002/58/EC. Использование такой единой точки входа для сообщения об инцидентах безопасности в соответствии с Регламентом (ЕС) 2016/679 и Директивой 2002/58/EC не должно влиять на применение положений Регламента (ЕС) 2016/679 и Директивы 2002/58/EC. , в частности те, которые касаются независимости органов власти, упомянутых в нем. ENISA в сотрудничестве с Группой сотрудничества должна разработать общие шаблоны уведомлений с помощью руководящих принципов, чтобы упростить и оптимизировать информацию, подлежащую сообщению в соответствии с законодательством Союза, и снизить административную нагрузку на уведомляющие организации.
(107)
Если есть подозрение, что инцидент связан с серьезной преступной деятельностью в соответствии с законодательством Союза или национальным законодательством, государства-члены должны поощрять основные и важные организации на основе применимых правил уголовного судопроизводства в соответствии с законодательством Союза сообщать о случаях, когда подозреваемый серьезный преступник характера в соответствующие правоохранительные органы. В соответствующих случаях и без ущерба для правил защиты персональных данных, применимых к Европолу, желательно, чтобы координация между компетентными органами и правоохранительными органами различных государств-членов осуществлялась Европейским центром по борьбе с киберпреступностью (EC3) и ENISA.
(108)
Персональные данные во многих случаях подвергаются риску в результате инцидентов. В этом контексте компетентные органы должны сотрудничать и обмениваться информацией по всем соответствующим вопросам с органами, указанными в Регламенте (ЕС) 2016/679 и Директиве 2002/58/EC.
(109)
Поддержание точных и полных баз данных о регистрации доменных имен (данных WHOIS) и предоставление законного доступа к таким данным имеет важное значение для обеспечения безопасности, стабильности и отказоустойчивости DNS, что, в свою очередь, способствует высокому общему уровню кибербезопасности во всем Союзе. Для этой конкретной цели реестры имен TLD и организации, предоставляющие услуги по регистрации доменных имен, должны быть обязаны обрабатывать определенные данные, необходимые для достижения этой цели. Такая обработка должна представлять собой юридическое обязательство по смыслу пункта (c) статьи 6(1) Регламента (ЕС) 2016/679. Это обязательство не наносит ущерба возможности собирать данные о регистрации доменных имен для других целей, например, на основе договорных соглашений или юридических требований, установленных в другом законодательстве Союза или национальном законодательстве. Это обязательство направлено на получение полного и точного набора регистрационных данных и не должно приводить к многократному сбору одних и тех же данных. Реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, должны сотрудничать друг с другом, чтобы избежать дублирования этой задачи.
(110)
Наличие и своевременная доступность регистрационных данных доменных имен для законных лиц, ищущих доступ, имеет важное значение для предотвращения и борьбы со злоупотреблениями DNS, а также для предотвращения, обнаружения и реагирования на инциденты. Под законными лицами, ищущими доступ, следует понимать любое физическое или юридическое лицо, делающее запрос в соответствии с законодательством Союза или национальным законодательством. В их число могут входить органы, компетентные в соответствии с настоящей Директивой, а также органы, компетентные в соответствии с законодательством Союза или национальным законодательством в области предотвращения, расследования, обнаружения или преследования уголовных преступлений, а также CERT или CSIRT. Реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, должны быть обязаны обеспечивать законный доступ к конкретным регистрационным данным доменных имен, которые необходимы для целей запроса на доступ, для законных искателей доступа в соответствии с законодательством Союза и национальным законодательством. Запрос законных лиц, ищущих доступа, должен сопровождаться указанием причин, позволяющих оценить необходимость доступа к данным.
(111)
Чтобы обеспечить доступность точных и полных данных о регистрации доменных имен, реестры имен TLD и организации, предоставляющие услуги по регистрации доменных имен, должны собирать и гарантировать целостность и доступность регистрационных данных о доменных именах. В частности, реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, должны установить политику и процедуры для сбора и поддержания точных и полных регистрационных данных доменных имен, а также для предотвращения и исправления неточных регистрационных данных в соответствии с законом Союза о защите данных. Эта политика и процедуры должны, насколько это возможно, учитывать стандарты, разработанные структурами управления с участием многих заинтересованных сторон на международном уровне. Реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, должны принять и внедрить пропорциональные процедуры для проверки регистрационных данных доменных имен. Эти процедуры должны отражать передовой опыт, используемый в отрасли, и, насколько это возможно, прогресс, достигнутый в области электронной идентификации. Примеры процедур проверки могут включать в себя контроль ex ante, проводимый во время регистрации, и контроль ex post, осуществляемый после регистрации. Реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, должны, в частности, проверить хотя бы одно средство связи с владельцем регистрации.
(112)
Реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, должны быть обязаны сделать общедоступными данные регистрации доменных имен, которые выходят за рамки закона о защите данных Союза, например данные, которые касаются юридических лиц, в соответствии с преамбулой Регламента (ЕС). 2016/679. Для юридических лиц реестры имен TLD и организации, предоставляющие услуги по регистрации доменных имен, должны публиковать как минимум имя владельца регистрации и номер контактного телефона. Контактный адрес электронной почты также должен быть опубликован при условии, что он не содержит каких-либо личных данных, например, в случае псевдонимов электронной почты или функциональных учетных записей. Реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, также должны обеспечивать законный доступ к конкретным регистрационным данным доменных имен, касающихся физических лиц, законным лицам, ищущим доступа, в соответствии с законом о защите данных Союза. Государства-члены должны требовать от реестров доменных имен и организаций, предоставляющих услуги по регистрации доменных имен, без неоправданной задержки реагировать на запросы о раскрытии регистрационных данных доменных имен от законных лиц, ищущих доступ. Реестры доменных имен и организации, предоставляющие услуги по регистрации доменных имен, должны установить политику и процедуры публикации и раскрытия регистрационных данных, включая соглашения об уровне обслуживания для обработки запросов на доступ от законных лиц, ищущих доступ. Эта политика и процедуры должны, насколько это возможно, учитывать любые рекомендации и стандарты, разработанные структурами управления с участием многих заинтересованных сторон на международном уровне. Процедура доступа может включать использование интерфейса, портала или другого технического инструмента для обеспечения эффективной системы запроса и доступа к регистрационным данным. В целях продвижения гармонизированной практики на внутреннем рынке Комиссия может, без ущерба для компетенции Европейского совета по защите данных, предоставить руководящие принципы в отношении таких процедур, которые учитывают, насколько это возможно, стандарты, разработанные Европейским советом по защите данных. многосторонние структуры управления на международном уровне. Государства-члены должны обеспечить, чтобы все виды доступа к личным и неличным регистрационным данным доменных имен были бесплатными.
(113)
Субъекты, подпадающие под действие настоящей Директивы, должны считаться подпадающими под юрисдикцию государства-члена ЕС, в котором они учреждены. Однако провайдеры общедоступных сетей электронных коммуникаций или провайдеры общедоступных услуг электронных коммуникаций должны считаться подпадающими под юрисдикцию государства-члена ЕС, в котором они предоставляют свои услуги. Поставщики услуг DNS, реестры имен TLD, организации, предоставляющие услуги регистрации доменных имен, поставщики услуг облачных вычислений, поставщики услуг центров обработки данных, поставщики сетей доставки контента, поставщики управляемых услуг, поставщики управляемых услуг безопасности, а также поставщики онлайн-торговых площадок, онлайн-поиска движков и платформ социальных сетей следует считать подпадающими под юрисдикцию государства-члена, в котором они имеют свое основное представительство в Союзе. Органы государственного управления должны подпадать под юрисдикцию государства-члена, которое их учредило. Если организация предоставляет услуги или учреждена более чем в одном государстве-члене ЕС, она должна подпадать под отдельную и одновременную юрисдикцию каждого из этих государств-членов ЕС. Компетентные органы этих государств-членов должны сотрудничать, оказывать друг другу взаимную помощь и, при необходимости, осуществлять совместные надзорные действия. В тех случаях, когда государства-члены ЕС осуществляют юрисдикцию, они не должны применять принудительные меры или наказания более одного раза за одно и то же поведение в соответствии с принципом ne bis in idem.
(114)
Чтобы принять во внимание трансграничный характер услуг и операций поставщиков услуг DNS, реестров имен TLD, организаций, предоставляющих услуги регистрации доменных имен, поставщиков услуг облачных вычислений, поставщиков услуг центров обработки данных, поставщиков сетей доставки контента, поставщиков управляемых услуг. , поставщиков управляемых услуг безопасности, а также поставщиков онлайн-торговых площадок, онлайн-поисковых систем и платформ социальных сетей, только одно государство-член должно иметь юрисдикцию над этими организациями. Юрисдикция должна быть присвоена государству-члену ЕС, в котором соответствующая организация имеет свое основное представительство в Союзе. Критерий учреждения для целей настоящей Директивы подразумевает эффективное осуществление деятельности посредством стабильных механизмов. Юридическая форма таких образований, будь то филиал или дочерняя компания, имеющая правосубъектность, не является определяющим фактором в этом отношении. Соблюдение этого критерия не должно зависеть от того, физически расположены ли сеть и информационные системы в данном месте; наличие и использование таких систем сами по себе не образуют такого основного предприятия и, следовательно, не являются решающими критериями для определения основного предприятия. Основное учреждение следует считать находящимся в государстве-члене, где решения, связанные с мерами по управлению рисками кибербезопасности, преимущественно принимаются в Союзе. Обычно это соответствует месту центральной администрации субъектов в Союзе. Если такое государство-член не может быть определено или если такие решения не принимаются в Союзе, основное учреждение должно считаться находящимся в государстве-члене, где выполняются операции по кибербезопасности. Если такое государство-член не может быть определено, основное предприятие должно рассматриваться как находящееся в государстве-члене, где у предприятия есть предприятие с наибольшим количеством сотрудников в Союзе. Если услуги предоставляются группой предприятий, основное учреждение контролирующего предприятия должно считаться основным учреждением группы предприятий.
(115)
Если общедоступная рекурсивная служба DNS предоставляется провайдером общедоступных сетей электронных коммуникаций или общедоступных услуг электронной связи только как часть услуги доступа в Интернет, следует считать, что организация подпадает под юрисдикцию всех государств-членов ЕС, где его услуги предоставляются.
(116)
Если поставщик услуг DNS, реестр имен TLD, организация, предоставляющая услуги регистрации доменных имен, поставщик услуг облачных вычислений, поставщик услуг центра обработки данных, поставщик сети доставки контента, поставщик управляемых услуг, поставщик управляемых услуг безопасности или поставщик онлайн-рынка, онлайн-поисковой системы или платформы социальных сетей, которая не создана в Союзе, предлагает услуги внутри Союза, он должен назначить представителя в Союзе. Чтобы определить, предлагает ли такая организация услуги внутри Союза, необходимо выяснить, планирует ли организация предлагать услуги лицам в одном или нескольких государствах-членах ЕС. Простая доступность в Евросоюзе веб-сайта организации или посредника, адреса электронной почты или других контактных данных или использование языка, обычно используемого в третьей стране, где учреждена организация, должно считаться недостаточным для установления такого факта. намерение. Однако такие факторы, как использование языка или валюты, обычно используемых в одном или нескольких государствах-членах ЕС, с возможностью заказа услуг на этом языке, или упоминание клиентов или пользователей, находящихся в Союзе, могут сделать очевидным, что организация планирует предлагать услуги внутри Союза. Представитель должен действовать от имени организации, и у компетентных органов или CSIRT должна быть возможность обратиться к представителю. Представитель должен быть прямо назначен на основании письменного поручения организации действовать от имени последней в отношении обязательств последней, изложенных в настоящей Директиве, включая сообщение о происшествиях.
(117)
Чтобы обеспечить четкий обзор поставщиков услуг DNS, реестров имен TLD, организаций, предоставляющих услуги регистрации доменных имен, поставщиков услуг облачных вычислений, поставщиков услуг центров обработки данных, поставщиков сетей доставки контента, поставщиков управляемых услуг, поставщиков управляемых услуг безопасности, а также провайдеры онлайн-торговых площадок, онлайн-поисковых систем и платформ социальных сетей, которые предоставляют услуги по всему Союзу, подпадающие под действие настоящей Директивы, ENISA должна создать и поддерживать реестр таких организаций на основе информации, полученной государствами-членами ЕС. , где это применимо, через национальные механизмы, созданные для самостоятельной регистрации субъектов. Единые контактные лица должны направлять в ENISA информацию и любые изменения к ней. В целях обеспечения точности и полноты информации, которая должна быть включена в этот реестр, государства-члены могут предоставлять ENISA информацию, имеющуюся в любых национальных реестрах об этих организациях. ENISA и государства-члены должны принять меры для облегчения взаимодействия таких реестров, обеспечивая при этом защиту конфиденциальной или секретной информации. ENISA должна установить соответствующие протоколы классификации и управления информацией, чтобы обеспечить безопасность и конфиденциальность раскрываемой информации, а также ограничить доступ, хранение и передачу такой информации предполагаемым пользователям.
(118)
Если информация, которая засекречена в соответствии с законодательством Союза или национальным законодательством, обменивается, сообщается или иным образом передается в соответствии с настоящей Директивой, должны применяться соответствующие правила обращения с секретной информацией. Кроме того, ENISA должна иметь инфраструктуру, процедуры и правила для обработки конфиденциальной и секретной информации в соответствии с применимыми правилами безопасности для защиты секретной информации ЕС.
(119)
Поскольку киберугрозы становятся все более сложными и изощренными, хорошее обнаружение таких угроз и меры по их предотвращению во многом зависят от регулярного обмена информацией об угрозах и уязвимостях между организациями. Обмен информацией способствует повышению осведомленности о киберугрозах, что, в свою очередь, повышает способность организаций предотвращать превращение таких угроз в инциденты и позволяет организациям лучше сдерживать последствия инцидентов и более эффективно восстанавливаться. В отсутствие руководящих указаний на уровне Союза, различные факторы, по-видимому, препятствовали такому обмену разведывательной информацией, в частности, неопределенность в отношении совместимости с правилами конкуренции и ответственности.
(120)
Государства-члены должны поощрять и помогать организациям коллективно использовать свои индивидуальные знания и практический опыт на стратегическом, тактическом и оперативном уровнях с целью расширения их возможностей адекватно предотвращать, обнаруживать, реагировать на инциденты или восстанавливаться после них или смягчать их последствия. Таким образом, необходимо обеспечить появление на уровне Союза добровольных механизмов обмена информацией о кибербезопасности. С этой целью государства-члены должны активно помогать и поощрять организации, например, предоставляющие услуги и исследования в области кибербезопасности, а также соответствующие организации, не подпадающие под действие настоящей Директивы, к участию в таких соглашениях по обмену информацией о кибербезопасности. Эти механизмы должны быть установлены в соответствии с правилами конкуренции Союза и законодательством Союза о защите данных.
(121)
Обработка персональных данных в той степени, в которой это необходимо и соразмерно целям обеспечения безопасности сетей и информационных систем важными и важными субъектами, может считаться законной на том основании, что такая обработка соответствует правовому обязательству, которое возлагается на контролера. подлежит в соответствии с требованиями статьи 6(1), пункта (c) и статьи 6(3) Регламента (ЕС) 2016/679. Обработка персональных данных также может быть необходима для законных интересов, преследуемых важными и важными организациями, а также поставщиками технологий и услуг безопасности, действующими от имени этих организаций, в соответствии со статьей 6(1), пункт (f) Регламента ( ЕС) 2016/679, включая случаи, когда такая обработка необходима для механизмов обмена информацией о кибербезопасности или добровольного уведомления соответствующей информации в соответствии с настоящей Директивой. Меры, связанные с предотвращением, обнаружением, идентификацией, сдерживанием, анализом и реагированием на инциденты, меры по повышению осведомленности о конкретных киберугрозах, обмен информацией в контексте устранения уязвимостей и скоординированное раскрытие уязвимостей, добровольный обмен информацией о них инциденты, киберугрозы и уязвимости, индикаторы компрометации, тактики, методы и процедуры, оповещения о кибербезопасности и инструменты настройки могут потребовать обработки определенных категорий персональных данных, таких как IP-адреса, унифицированные указатели ресурсов (URL), доменные имена, электронная почта. адреса и, если они раскрывают личные данные, отметки времени. Обработка персональных данных компетентными органами, едиными контактными лицами и CSIRT может представлять собой юридическое обязательство или считаться необходимой для выполнения задачи в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера в соответствии с в соответствии со статьей 6(1), пунктом (c) или (e) и статьей 6(3) Регламента (ЕС) 2016/679, или для реализации законных интересов существенных и важных субъектов, как указано в статье 6. (1), пункт (f) настоящего Регламента. Кроме того, национальное законодательство могло бы установить правила, позволяющие компетентным органам, единым точкам контакта и CSIRT, в той степени, в которой это необходимо и соразмерно с целью обеспечения безопасности сетей и информационных систем основных и важных субъектов, обрабатывать специальные категории персональных данных в соответствии со статьей 9 Регламента (ЕС) 2016/679, в частности, предусмотрев подходящие и конкретные меры для защиты основных прав и интересов физических лиц, включая технические ограничения на повторное использование таких данных и использование самых современных мер безопасности и сохранения конфиденциальности, таких как псевдонимизация или шифрование, где анонимизация может существенно повлиять на преследуемую цель.
(122)
В целях усиления надзорных полномочий и мер, помогающих обеспечить эффективное соблюдение требований, настоящая Директива должна предусматривать минимальный перечень надзорных мер и средств, с помощью которых компетентные органы могут контролировать основные и важные субъекты. Кроме того, данная Директива должна установить дифференциацию режима надзора между существенными и важными организациями с целью обеспечения справедливого баланса обязательств между этими организациями и компетентными органами. Таким образом, на существенные предприятия должен распространяться всеобъемлющий режим надзора ex ante и ex post, в то время как на важные предприятия должен распространяться облегченный режим надзора только ex post. Таким образом, важные организации не должны быть обязаны систематически документировать соблюдение мер по управлению рисками кибербезопасности, в то время как компетентные органы должны применять реагирующий постфактум подход к надзору и, следовательно, не иметь общих обязательств по надзору за этими организациями. Надзор ex post за важными организациями может быть инициирован доказательствами, указаниями или информацией, доведенными до сведения компетентных органов, которые, по мнению этих органов, предполагают потенциальные нарушения настоящей Директивы. Например, такие доказательства, указания или информация могут относиться к типу, предоставленному компетентным органам другими органами, организациями, гражданами, средствами массовой информации или другими источниками или общедоступной информацией, или могут возникнуть в результате другой деятельности, проводимой компетентными органами в целях выполнения своих задач.
(123)
Выполнение надзорных задач компетентными органами не должно без необходимости препятствовать предпринимательской деятельности соответствующего субъекта. Если компетентные органы выполняют свои надзорные задачи в отношении важных субъектов, включая проведение инспекций на местах и дистанционного надзора, расследование нарушений настоящей Директивы и проведение аудитов безопасности или проверок безопасности, они должны свести к минимуму воздействие о хозяйственной деятельности соответствующего лица.
(124)
При осуществлении предварительного надзора компетентные органы должны иметь возможность принимать решения о приоритетности использования надзорных мер и средств, находящихся в их распоряжении, на пропорциональной основе. Это означает, что компетентные органы могут принимать решения о такой приоритезации на основе методологий надзора, которые должны следовать подходу, основанному на риске. Более конкретно, такие методологии могут включать критерии или ориентиры для классификации основных объектов по категориям риска и соответствующие меры и средства надзора, рекомендуемые для каждой категории риска, такие как использование, частота или типы проверок на месте, целевые проверки безопасности или проверки безопасности. , тип запрашиваемой информации и уровень детализации этой информации. Такие методологии надзора могли бы также сопровождаться рабочими программами и регулярно оцениваться и пересматриваться, в том числе по таким аспектам, как распределение ресурсов и потребности. В отношении органов государственного управления надзорные полномочия должны осуществляться в соответствии с национальной законодательной и институциональной базой.
(125)
Компетентные органы должны обеспечить, чтобы их надзорные задачи в отношении важнейших и важных субъектов выполнялись обученными специалистами, которые должны обладать необходимыми навыками для выполнения этих задач, в частности, в отношении проведения инспекций на местах и дистанционного надзора. , включая выявление слабых мест в базах данных, аппаратном обеспечении, межсетевых экранах, шифровании и сетях. Эти проверки и надзор должны проводиться объективно.
(126)
В должным образом обоснованных случаях, когда ему известно о значительной киберугрозе или неминуемом риске, компетентный орган должен быть в состоянии принять немедленные правоприменительные решения с целью предотвращения инцидента или реагирования на него.
(127)
Чтобы сделать правоприменение эффективным, следует установить минимальный список правоприменительных полномочий, которые могут быть применены в случае нарушения мер по управлению рисками кибербезопасности и обязательств по отчетности, предусмотренных в настоящей Директиве, устанавливая четкую и последовательную структуру для такого правоприменения на всей территории. Союз. Должное внимание следует уделить характеру, серьезности и продолжительности нарушения настоящей Директивы, причиненному материальному или нематериальному ущербу, независимо от того, было ли нарушение преднамеренным или небрежным, действиям, предпринятым для предотвращения или смягчения материального или нематериального ущерба, степень ответственности или любые соответствующие предыдущие нарушения, степень сотрудничества с компетентным органом и любой другой отягчающий или смягчающий фактор. Принудительные меры, включая административные штрафы, должны быть соразмерными, а их наложение должно осуществляться с соблюдением соответствующих процессуальных гарантий в соответствии с общими принципами права Союза и Хартией основных прав Европейского Союза («Хартия»), включая право на эффективное средство правовой защиты и справедливое судебное разбирательство, презумпцию невиновности и права защиты.
(128)
Данная Директива не требует от государств-членов предусматривать уголовную или гражданскую ответственность в отношении физических лиц, ответственных за обеспечение соблюдения организацией требований настоящей Директивы за ущерб, понесенный третьими лицами в результате нарушения настоящей Директивы.
(129)
Для обеспечения эффективного исполнения обязательств, изложенных в настоящей Директиве, каждый компетентный орган должен иметь право налагать или требовать наложения административных штрафов.
(130)
Если административный штраф наложен на существенное или важное предприятие, которое является предприятием, под предприятием следует понимать предприятие в соответствии со статьями 101 и 102 ДФЕС для этих целей. Если административный штраф налагается на лицо, не являющееся предприятием, компетентный орган должен учитывать общий уровень дохода в государстве-члене, а также экономическое положение лица при определении соответствующей суммы штрафа. Государства-члены должны определять, должны ли государственные органы подвергаться административным штрафам и если да, то в какой степени. Наложение административного штрафа не влияет на применение других полномочий компетентных органов или других наказаний, предусмотренных национальными правилами, транспонирующими настоящую Директиву.
(131)
Государства-члены должны иметь возможность устанавливать правила уголовного наказания за нарушения национальных правил, транспонирующих настоящую Директиву. Однако наложение уголовных наказаний за нарушения таких национальных правил и связанных с ними административных наказаний не должно приводить к нарушению принципа ne bis in idem, как его интерпретирует Суд Европейского Союза.
(132)
Если настоящая Директива не гармонизирует административные наказания или если это необходимо в других случаях, например, в случае серьезного нарушения настоящей Директивы, государства-члены должны внедрить систему, которая обеспечивает эффективные, пропорциональные и сдерживающие наказания. Характер таких наказаний и то, являются ли они уголовными или административными, должны определяться национальным законодательством.
(133)
В целях дальнейшего повышения эффективности и разубеждающих мер правоприменения, применимых к нарушениям настоящей Директивы, компетентные органы должны быть уполномочены временно приостанавливать или запрашивать временное приостановление действия сертификации или разрешения в отношении части или всех соответствующих услуг, предоставляемых или деятельность, осуществляемую существенным субъектом, и требовать введения временного запрета на осуществление управленческих функций любым физическим лицом, выполняющим управленческие обязанности на уровне генерального директора или законного представителя. Учитывая их серьезность и влияние на деятельность организаций и, в конечном итоге, на пользователей, такие временные приостановки или запреты должны применяться только пропорционально серьезности нарушения и с учетом обстоятельств каждого отдельного случая, включая то, было ли нарушение преднамеренным или небрежным. , а также любые действия, предпринятые для предотвращения или смягчения материального или нематериального ущерба. Такие временные приостановки или запреты должны применяться только в качестве крайней меры, а именно, только после того, как другие соответствующие принудительные меры, предусмотренные настоящей Директивой, были исчерпаны, и только до тех пор, пока заинтересованное лицо не предпримет необходимые действия для устранения недостатков или соблюдения требований. компетентного органа, в отношении которого были применены такие временные приостановления или запреты. Наложение таких временных приостановлений или запретов должно осуществляться с соблюдением соответствующих процессуальных гарантий в соответствии с общими принципами права Союза и Хартии, включая право на эффективное средство правовой защиты и на справедливое судебное разбирательство, презумпцию невиновности и права защита.
(134)
В целях обеспечения соблюдения организациями своих обязательств, изложенных в настоящей Директиве, государства-члены ЕС должны сотрудничать и помогать друг другу в отношении мер надзора и правоприменения, в частности, если организация предоставляет услуги более чем в одном государстве-члене ЕС или когда ее сеть и информационные системы расположены в государстве-члене, отличном от того, где они предоставляют услуги. При оказании помощи запрашиваемый компетентный орган должен принять меры надзора или принуждения в соответствии с национальным законодательством. Чтобы обеспечить бесперебойное функционирование взаимной помощи в соответствии с настоящей Директивой, компетентные органы должны использовать Группу сотрудничества в качестве форума для обсуждения случаев и конкретных запросов на помощь.
(135)
Чтобы обеспечить эффективный надзор и правоприменение, особенно в ситуации трансграничного измерения, государство-член, получившее запрос о взаимной помощи, должно в пределах этого запроса принять соответствующие меры надзора и правоприменения в отношении организация, которая является предметом этого запроса и которая предоставляет услуги или имеет сеть и информационную систему на территории этого государства-члена ЕС.
(136)
Эта Директива должна установить правила сотрудничества между компетентными органами и надзорными органами в соответствии с Регламентом (ЕС) 2016/679 для борьбы с нарушениями настоящей Директивы, связанными с персональными данными.
(137)
Эта Директива должна быть направлена на обеспечение высокого уровня ответственности за меры по управлению рисками кибербезопасности и обязательства по отчетности на уровне основных и важных субъектов. Поэтому органы управления важнейших и важных субъектов должны утверждать меры по управлению рисками кибербезопасности и контролировать их реализацию.
(138)
Чтобы обеспечить высокий общий уровень кибербезопасности во всем Союзе на основе настоящей Директивы, полномочия по принятию актов в соответствии со статьей 290 TFEU должны быть делегированы Комиссии в отношении дополнения настоящей Директивы путем указания, какие категории существенных и важные организации должны быть обязаны использовать определенные сертифицированные продукты ИКТ, услуги ИКТ и процессы ИКТ или получить сертификат в соответствии с европейской схемой сертификации кибербезопасности. Особенно важно, чтобы Комиссия провела соответствующие консультации в ходе своей подготовительной работы, в том числе на экспертном уровне, и чтобы эти консультации проводились в соответствии с принципами, изложенными в Межведомственном соглашении от 13 апреля 2016 года о совершенствовании законотворчества (22 ). В частности, для обеспечения равного участия в подготовке делегированных актов Европейский парламент и Совет получают все документы одновременно с экспертами государств-членов, а их эксперты систематически имеют доступ к заседаниям экспертных групп Комиссии, занимающихся подготовкой делегированные акты.
(139)
Чтобы обеспечить единые условия для реализации настоящей Директивы, Комиссии должны быть предоставлены полномочия по реализации, чтобы установить процедурные механизмы, необходимые для функционирования Группы сотрудничества, а также технические и методологические, а также отраслевые требования, касающиеся рисков кибербезопасности. меры управления, а также дополнительно указать тип информации, формат и порядок уведомлений об инцидентах, киберугрозах и угрозах, а также о существенных сообщениях о киберугрозах, а также случаи, в которых инцидент следует считать значительным. Эти полномочия должны осуществляться в соответствии с Регламентом (ЕС) № 182/2011 Европейского парламента и Совета (23).
(140)
Комиссия должна периодически пересматривать настоящую Директиву после консультаций с заинтересованными сторонами, в частности, с целью определения целесообразности предложения поправок в свете изменений социальных, политических, технологических или рыночных условий. В рамках этих проверок Комиссия должна оценить значимость размера соответствующих организаций, а также секторов, подсекторов и типов организаций, упомянутых в приложениях к настоящей Директиве, для функционирования экономики и общества в отношении кибербезопасности. Комиссия должна оценить, среди прочего, являются ли провайдеры, подпадающие под действие настоящей Директивы, обозначенными как очень крупные онлайн-платформы по смыслу статьи 33 Регламента (ЕС) 2022/2065 Европейского парламента и Совета ( 24) могут быть определены как существенные субъекты согласно настоящей Директиве.
(141)
Эта Директива создает новые задачи для ENISA, тем самым повышая ее роль, а также может привести к тому, что ENISA будет обязана выполнять свои существующие задачи в соответствии с Регламентом (ЕС) 2019/881 на более высоком уровне, чем раньше. Чтобы гарантировать, что ENISA имеет необходимые финансовые и человеческие ресурсы для выполнения существующих и новых задач, а также для достижения любого более высокого уровня выполнения этих задач в результате ее возросшей роли, ее бюджет должен быть соответственно увеличен. Кроме того, чтобы обеспечить эффективное использование ресурсов, ENISA должна быть предоставлена большая гибкость в том, как она сможет распределять ресурсы внутри страны с целью эффективного выполнения своих задач и удовлетворения ожиданий.
(142)
Поскольку цель настоящей Директивы, а именно достижение высокого общего уровня кибербезопасности во всем Союзе, не может быть в достаточной степени достигнута государствами-членами, но может, скорее, из-за последствий действия быть лучше достигнута на уровне Союза, Союз может принимать меры в соответствии с принципом субсидиарности, изложенным в статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, изложенным в этой статье, настоящая Директива не выходит за рамки того, что необходимо для достижения этой цели.
(143)
Настоящая Директива уважает основные права и соблюдает принципы, признанные Хартией, в частности право на уважение частной жизни и общения, защиту персональных данных, свободу ведения бизнеса, право на собственность, право на эффективное средство правовой защиты и справедливое судебное разбирательство, презумпция невиновности и права защиты. Право на эффективное средство правовой защиты распространяется на получателей услуг, предоставляемых важными и важными организациями. Настоящая Директива должна осуществляться в соответствии с этими правами и принципами.
(144)
С Европейским инспектором по защите данных были проведены консультации в соответствии со статьей 42(1) Регламента (ЕС) 2018/1725 Европейского парламента и Совета (25), и он вынес заключение 11 марта 2021 г. (26),
ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:
ГЛАВА I
ОСНОВНЫЕ ПОЛОЖЕНИЯ
Статья 1
Тема сообщения
1. Настоящая Директива устанавливает меры, направленные на достижение высокого общего уровня кибербезопасности во всем Союзе с целью улучшения функционирования внутреннего рынка.
2. С этой целью настоящая Директива устанавливает:
(а)
обязательства, которые требуют от государств-членов принятия национальных стратегий кибербезопасности и назначения или создания компетентных органов, органов управления киберкризисами, единых точек контакта по кибербезопасности (единых точек контакта) и групп реагирования на инциденты компьютерной безопасности (CSIRT);
(б)
меры по управлению рисками кибербезопасности и обязательства по отчетности для организаций типа, указанного в Приложении I или II, а также для организаций, определенных как критические организации в соответствии с Директивой (ЕС) 2022/2557;
(с)
правила и обязательства по обмену информацией о кибербезопасности;
(г)
надзорные и правоприменительные обязательства государств-членов.
Статья 2
Объем
1. Настоящая Директива применяется к государственным или частным организациям типа, указанным в Приложении I или II, которые квалифицируются как предприятия среднего размера в соответствии со Статьей 2 Приложения к Рекомендации 2003/361/EC или превышают предельные значения для предприятий среднего размера. предусмотренных в пункте 1 этой статьи, и которые предоставляют свои услуги или осуществляют свою деятельность в рамках Союза.
Статья 3(4) Приложения к этой Рекомендации не применяется для целей настоящей Директивы.
2. Независимо от их размера, настоящая Директива также применяется к организациям типа, указанным в Приложении I или II, если:
(а)
услуги оказывают:
(я)
поставщики сетей электронных коммуникаций общего пользования или общедоступных услуг электронных коммуникаций;
(ii)
поставщики трастовых услуг;
(iii)
реестры доменных имен верхнего уровня и поставщики услуг системы доменных имен;
(б)
организация является единственным поставщиком в государстве-члене ЕС услуг, которые необходимы для поддержания критически важной общественной или экономической деятельности;
(с)
нарушение оказания услуги, предоставляемой организацией, может оказать существенное влияние на общественную безопасность, общественную безопасность или здоровье населения;
(г)
нарушение оказания услуги, предоставляемой организацией, может вызвать значительный системный риск, особенно для секторов, где такое нарушение может иметь трансграничные последствия;
(е)
организация имеет решающее значение из-за ее особой важности на национальном или региональном уровне для конкретного сектора или типа услуг или для других взаимозависимых секторов в государстве-члене;
(е)
субъект является субъектом государственного управления:
(я)
центрального правительства, как это определено государством-членом в соответствии с национальным законодательством; или
(ii)
на региональном уровне, как это определено государством-членом в соответствии с национальным законодательством, которое после оценки рисков предоставляет услуги, нарушение которых может оказать существенное влияние на критически важную общественную или экономическую деятельность.
3. Независимо от их размера, настоящая Директива применяется к организациям, определенным как критически важные в соответствии с Директивой (ЕС) 2022/2557.
4. Независимо от их размера, настоящая Директива применяется к организациям, предоставляющим услуги по регистрации доменных имен.
5. Государства-члены ЕС могут предусмотреть применение настоящей Директивы к:
(а)
субъекты государственного управления на местном уровне;
(б)
образовательные учреждения, особенно там, где они проводят важнейшую исследовательскую деятельность.
6. Настоящая Директива не наносит ущерба ответственности государств-членов за обеспечение национальной безопасности и их полномочиям по защите других важных функций государства, включая обеспечение территориальной целостности государства и поддержание правопорядка.
7. Настоящая Директива не применяется к субъектам государственного управления, которые осуществляют свою деятельность в сфере национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая предотвращение, расследование, обнаружение и судебное преследование уголовных преступлений.
8. Государства-члены могут освобождать от налога отдельные организации, которые осуществляют деятельность в области национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая предотвращение, расследование, обнаружение и судебное преследование уголовных преступлений, или которые предоставляют услуги исключительно субъектам государственного управления. упомянутые в пункте 7 настоящей статьи, от обязательств, изложенных в статьях 21 или 23, в отношении такой деятельности или услуг. В таких случаях меры надзора и правоприменения, упомянутые в Главе VII, не применяются в отношении этих конкретных видов деятельности или услуг. Если организации осуществляют деятельность или предоставляют услуги исключительно того типа, который указан в настоящем параграфе, государства-члены могут принять решение также освободить эти организации от обязательств, изложенных в статьях 3 и 27.
9. Пункты 7 и 8 не применяются, если организация выступает в качестве поставщика трастовых услуг.
10. Настоящая Директива не применяется к организациям, которые государства-члены исключили из сферы действия Регламента (ЕС) 2022/2554 в соответствии со статьей 2(4) этого Регламента.
11. Обязательства, изложенные в настоящей Директиве, не должны влечь за собой предоставление информации, раскрытие которой противоречило бы существенным интересам национальной безопасности, общественной безопасности или обороны государств-членов.
12. Настоящая Директива применяется без ущерба для Регламента (ЕС) 2016/679, Директивы 2002/58/EC, Директив 2011/93/EU (27) и 2013/40/EU (28) Европейского Парламента и Совета и Директива (ЕС) 2022/2557.
13. Без ущерба для статьи 346 ДФЕС, информация, которая является конфиденциальной в соответствии с правилами Союза или национальными правилами, такими как правила деловой конфиденциальности, подлежит обмену с Комиссией и другими соответствующими органами в соответствии с настоящей Директивой только в том случае, если такой обмен необходим для применение настоящей Директивы. Обмен информацией должен ограничиваться той информацией, которая уместна и пропорциональна цели такого обмена. Обмен информацией должен сохранять конфиденциальность этой информации и защищать безопасность и коммерческие интересы заинтересованных лиц.
14. Организации, компетентные органы, единые контактные лица и CSIRT должны обрабатывать персональные данные в объеме, необходимом для целей настоящей Директивы и в соответствии с Регламентом (ЕС) 2016/679, в частности, такая обработка должна основываться на статье 6 из них.
Обработка персональных данных в соответствии с настоящей Директивой поставщиками общедоступных сетей электронных коммуникаций или поставщиками общедоступных услуг электронных коммуникаций должна осуществляться в соответствии с законом о защите данных Союза и законом о конфиденциальности Союза, в частности Директивой 2002/58/EC.
Статья 3
Основные и важные сущности
1. Для целей настоящей Директивы следующие организации считаются существенными организациями:
(а)
предприятия типа, указанного в Приложении I, которые превышают предельные значения для средних предприятий, предусмотренные в Статье 2(1) Приложения к Рекомендации 2003/361/EC;
(б)
квалифицированные поставщики доверенных услуг и реестры доменных имен верхнего уровня, а также поставщики услуг DNS, независимо от их размера;
(с)
провайдеры общедоступных сетей электронных коммуникаций или общедоступных услуг электронных коммуникаций, которые квалифицируются как средние предприятия в соответствии со статьей 2 Приложения к Рекомендации 2003/361/EC;
(г)
субъекты государственного управления, указанные в статье 2(2), пункте (f)(i);
(е)
любые другие организации типа, указанного в Приложении I или II, которые определены государством-членом ЕС как существенные организации в соответствии со Статьей 2(2), пункты (b) – (e);
(е)
субъекты, определенные как критически важные субъекты в соответствии с Директивой (ЕС) 2022/2557, упомянутой в статье 2(3) настоящей Директивы;
(г)
если это предусмотрено государством-членом ЕС, организации, которые это государство-член ЕС определило до 16 января 2023 года как операторы основных услуг в соответствии с Директивой (ЕС) 2016/1148 или национальным законодательством.
2. Для целей настоящей Директивы организации, указанные в Приложении I или II, которые не квалифицируются как существенные организации в соответствии с пунктом 1 настоящей статьи, считаются важными организациями. Сюда входят организации, определенные государствами-членами ЕС как важные организации в соответствии со статьей 2(2), пункты (b)–(e).
3. К 17 апреля 2025 года государства-члены должны составить список основных и важных организаций, а также организаций, предоставляющих услуги по регистрации доменных имен. Государства-члены должны пересматривать и, при необходимости, обновлять этот список на регулярной основе и в дальнейшем не реже одного раза в два года.
4. В целях составления списка, упомянутого в параграфе 3, государства-члены должны потребовать от организаций, упомянутых в этом параграфе, предоставить компетентным органам как минимум следующую информацию:
(а)
название сущности;
(б)
адрес и актуальные контактные данные, включая адреса электронной почты, диапазоны IP-адресов и номера телефонов;
(с)
где это применимо, соответствующий сектор и подсектор, указанные в Приложении I или II; и
(г)
где это применимо, список государств-членов, в которых они предоставляют услуги, подпадающие под действие настоящей Директивы.
Субъекты, указанные в пункте 3, должны уведомлять о любых изменениях в сведениях, представленных в соответствии с первым подпунктом настоящего пункта, без промедления и, в любом случае, в течение двух недель с даты изменения.
Комиссия при содействии Агентства Европейского Союза по кибербезопасности (ENISA) должна без неоправданной задержки предоставить руководящие принципы и шаблоны в отношении обязательств, изложенных в этом параграфе.
Государства-члены могут создавать национальные механизмы для самостоятельной регистрации организаций.
5. К 17 апреля 2025 года и в дальнейшем каждые два года компетентные органы уведомляют:
(а)
Комиссия и Группа сотрудничества — количество основных и важных организаций, перечисленных в соответствии с параграфом 3 для каждого сектора и подсектора, указанных в Приложении I или II; и
(б)
Комиссию соответствующей информации о количестве существенных и важных субъектов, определенных в соответствии со статьей 2(2), пунктами (b)–(e), секторе и подсекторе, упомянутых в Приложении I или II, к которому они принадлежат, типе услуги, которые они предоставляют, и положение из числа тех, которые изложены в статье 2(2), пункты (b)–(e), в соответствии с которыми они были идентифицированы.
6. До 17 апреля 2025 года и по запросу Комиссии государства-члены могут уведомить Комиссию названия основных и важных организаций, упомянутых в параграфе 5, пункт (b).
Статья 4
Отраслевые правовые акты Союза
1. Если отраслевые правовые акты Союза требуют от существенных или важных организаций принятия мер по управлению рисками кибербезопасности или уведомлять о значительных инцидентах, и если эти требования по меньшей мере эквивалентны по своей сути обязательствам, изложенным в настоящей Директиве, соответствующие положения настоящей Директивы применяются к соответствующим положениям настоящей Директивы. Директива, включая положения о надзоре и правоприменении, изложенные в Главе VII, не применяется к таким субъектам. Если отраслевые правовые акты Союза не распространяются на все субъекты конкретного сектора, подпадающие под действие настоящей Директивы, соответствующие положения настоящей Директивы продолжают применяться к субъектам, не подпадающим под действие этих отраслевых правовых актов Союза.
2. Требования, упомянутые в пункте 1 настоящей статьи, считаются эквивалентными по сути обязательствам, изложенным в настоящей Директиве, если:
(а)
меры по управлению рисками кибербезопасности, по меньшей мере, эквивалентны мерам, изложенным в статье 21(1) и (2); или
(б)
отраслевой правовой акт Союза предусматривает немедленный доступ, где это уместно, автоматический и прямой, к уведомлениям об инцидентах со стороны CSIRT, компетентных органов или единых контактных лиц в соответствии с настоящей Директивой, и где требования по уведомлению о значительных инцидентах, по крайней мере, эквивалентны в действие положений, изложенных в Статье 23(1)–(6) настоящей Директивы.
3. Комиссия должна к 17 июля 2023 года предоставить руководящие указания, разъясняющие применение параграфов 1 и 2. Комиссия должна регулярно пересматривать эти руководящие принципы. При подготовке этих руководящих принципов Комиссия должна принять во внимание любые замечания Группы сотрудничества и ENISA.
Статья 5
Минимальная гармонизация
Настоящая Директива не препятствует государствам-членам ЕС принимать или сохранять положения, обеспечивающие более высокий уровень кибербезопасности, при условии, что такие положения соответствуют обязательствам государств-членов, изложенным в законодательстве Союза.
Статья 6
Определения
Для целей настоящей Директивы применяются следующие определения:
(1)
«Сеть и информационная система» означает:
(а)
сеть электронных коммуникаций, как определено в пункте (1) статьи 2 Директивы (ЕС) 2018/1972;
(б)
любое устройство или группа взаимосвязанных или связанных устройств, одно или несколько из которых в соответствии с программой осуществляют автоматическую обработку цифровых данных; или
(с)
цифровые данные, хранящиеся, обрабатываемые, извлекаемые или передаваемые элементами, указанными в пунктах (a) и (b), для целей их эксплуатации, использования, защиты и обслуживания;
(2)
«Безопасность сетевых и информационных систем» означает способность сетевых и информационных систем противостоять на заданном уровне доверия любому событию, которое может поставить под угрозу доступность, подлинность, целостность или конфиденциальность хранящихся, передаваемых или обрабатываемых данных или услуг. предлагаемые или доступные через эти сети и информационные системы;
(3)
«кибербезопасность» означает кибербезопасность, как она определена в пункте (1) статьи 2 Регламента (ЕС) 2019/881;
(4)
«национальная стратегия кибербезопасности» означает последовательную структуру государства-члена, определяющую стратегические цели и приоритеты в области кибербезопасности и управления для их достижения в этом государстве-члене;
(5)
«Возможное событие» означает событие, которое могло поставить под угрозу доступность, аутентичность, целостность или конфиденциальность хранимых, передаваемых или обрабатываемых данных или услуг, предлагаемых или доступных через сети и информационные системы, но которое было успешно предотвращено от материализации или это не осуществилось;
(6)
«инцидент» означает событие, ставящее под угрозу доступность, подлинность, целостность или конфиденциальность хранимых, передаваемых или обрабатываемых данных или услуг, предлагаемых или доступных через сетевые и информационные системы;
(7)
«крупномасштабный инцидент кибербезопасности» означает инцидент, который вызывает уровень нарушения, превышающий возможности государства-члена отреагировать на него, или который оказывает существенное влияние как минимум на два государства-члена;
(8)
«обработка инцидентов» означает любые действия и процедуры, направленные на предотвращение, обнаружение, анализ, сдерживание или реагирование на инцидент и восстановление после него;
(9)
«риск» означает возможность потерь или сбоев, вызванных инцидентом, и должен выражаться как сочетание величины таких потерь или сбоев и вероятности возникновения инцидента;
(10)
«киберугроза» означает киберугрозу, определенную в пункте (8) статьи 2 Регламента (ЕС) 2019/881;
(11)
«Значительная киберугроза» означает киберугрозу, которая, исходя из ее технических характеристик, может предполагаться потенциально способной оказать серьезное воздействие на сеть и информационные системы организации или пользователей услуг организации, вызывая значительные материальные или нематериальный ущерб;
(12)
«Продукт ИКТ» означает продукт ИКТ, как он определен в пункте (12) статьи 2 Регламента (ЕС) 2019/881;
(13)
«услуга ИКТ» означает услугу ИКТ, как она определена в пункте (13) статьи 2 Регламента (ЕС) 2019/881;
(14)
«Процесс ИКТ» означает процесс ИКТ, как это определено в пункте (14) статьи 2 Регламента (ЕС) 2019/881;
(15)
«уязвимость» означает слабость, восприимчивость или недостаток продуктов ИКТ или услуг ИКТ, которые могут быть использованы киберугрозой;
(16)
«стандарт» означает стандарт, определенный в статье 2, пункт (1) Регламента (ЕС) № 1025/2012 Европейского парламента и Совета (29);
(17)
«техническая спецификация» означает техническую спецификацию, определенную в пункте (4) статьи 2 Регламента (ЕС) № 1025/2012;
(18)
«Точка обмена интернет-трафиком» означает сетевое средство, которое обеспечивает соединение более чем двух независимых сетей (автономных систем), главным образом с целью облегчения обмена интернет-трафиком, которое обеспечивает соединение только для автономных систем и которое не требует интернет-трафика. переход между любой парой участвующих автономных систем для прохождения через любую третью автономную систему, а также не изменяет и не мешает иным образом такому трафику;
(19)
«система доменных имен» или «DNS» означает иерархическую распределенную систему именования, которая позволяет идентифицировать интернет-сервисы и ресурсы, позволяя устройствам конечных пользователей использовать интернет-маршрутизацию и услуги подключения для доступа к этим сервисам и ресурсам;
(20)
«Поставщик услуг DNS» означает организацию, которая предоставляет:
(а)
общедоступные рекурсивные службы разрешения доменных имен для конечных пользователей Интернета; или
(б)
авторитетные службы разрешения доменных имен для использования третьими лицами, за исключением корневых серверов имен;
(21)
«Реестр доменных имен верхнего уровня» или «Реестр имен TLD» означает организацию, которой был делегирован определенный TLD и которая отвечает за администрирование TLD, включая регистрацию доменных имен в рамках TLD и техническую эксплуатацию TLD, включая работу своих серверов имен, обслуживание своих баз данных и распространение файлов зон TLD по серверам имен, независимо от того, выполняются ли какие-либо из этих операций самой организацией или передаются на аутсорсинг, но исключаются ситуации, когда имена TLD используются реестр только для собственного использования;
(22)
«организация, предоставляющая услуги по регистрации доменных имен» означает регистратора или агента, действующего от имени регистраторов, например, поставщика или реселлера услуг конфиденциальности или регистрации через доверенных лиц;
(23)
«цифровая услуга» означает услугу, определенную в статье 1(1), пункт (b) Директивы (ЕС) 2015/1535 Европейского парламента и Совета (30);
(24)
«доверительная услуга» означает доверенную услугу, как она определена в пункте (16) статьи 3 Регламента (ЕС) № 910/2014;
(25)
«поставщик трастовых услуг» означает поставщика трастовых услуг, как это определено в пункте (19) статьи 3 Регламента (ЕС) № 910/2014;
(26)
«квалифицированный трастовый сервис» означает квалифицированный трастовый сервис, как это определено в пункте (17) статьи 3 Регламента (ЕС) № 910/2014;
(27)
«квалифицированный поставщик трастовых услуг» означает квалифицированного поставщика трастовых услуг, как это определено в пункте (20) статьи 3 Регламента (ЕС) № 910/2014;
(28)
«онлайн-торговая площадка» означает онлайн-торговую площадку, как это определено в пункте (n) статьи 2 Директивы 2005/29/EC Европейского парламента и Совета (31);
(29)
«поисковая онлайн-система» означает поисковую онлайн-систему, определенную в статье 2, пункт (5) Регламента (ЕС) 2019/1150 Европейского парламента и Совета (32);
(30)
«служба облачных вычислений» означает цифровую услугу, которая обеспечивает администрирование по требованию и широкий удаленный доступ к масштабируемому и эластичному пулу общих вычислительных ресурсов, включая случаи, когда такие ресурсы распределены по нескольким местам;
(31)
«услуга центра обработки данных» означает услугу, охватывающую структуры или группы структур, предназначенные для централизованного размещения, взаимосвязи и эксплуатации ИТ и сетевого оборудования, обеспечивающие услуги хранения, обработки и транспортировки данных вместе со всеми объектами и инфраструктурами для распределения электроэнергии и экологический контроль;
(32)
«сеть доставки контента» означает сеть географически распределенных серверов с целью обеспечения высокой доступности, доступности или быстрой доставки цифрового контента и услуг пользователям Интернета от имени поставщиков контента и услуг;
(33)
«платформа социальных сетей» означает платформу, которая позволяет конечным пользователям подключаться, обмениваться информацией, находить информацию и общаться друг с другом на нескольких устройствах, в частности, посредством чатов, публикаций, видео и рекомендаций;
(34)
«Представитель» означает физическое или юридическое лицо, зарегистрированное в Союзе, явно назначенное действовать от имени поставщика услуг DNS, реестра имен TLD, организации, предоставляющей услуги регистрации доменных имен, поставщика услуг облачных вычислений, поставщика услуг центра обработки данных, поставщик сети доставки контента, поставщик управляемых услуг, поставщик управляемых услуг безопасности или поставщик онлайн-рынка, онлайн-поисковой системы или платформы социальных сетей, которая не создана в Союзе, к которому может обращаться компетентный орган или CSIRT вместо самой организации в отношении обязательств этой организации в соответствии с настоящей Директивой;
(35)
«орган государственного управления» означает субъект, признанный таковым в государстве-члене ЕС в соответствии с национальным законодательством, за исключением судебной власти, парламентов или центральных банков, который соответствует следующим критериям:
(а)
оно создается с целью удовлетворения потребностей в общих интересах и не носит промышленного или коммерческого характера;
(б)
оно имеет правосубъектность или по закону имеет право действовать от имени другого лица, обладающего правосубъектностью;
(с)
он финансируется большей частью государством, региональными властями или другими органами публичного права, подлежит управленческому надзору со стороны этих органов или органов или имеет административный, управленческий или наблюдательный совет, более половины состава которого члены назначаются государством, региональными властями или другими органами публичного права;
(г)
он имеет право обращаться к физическим или юридическим лицам с административными или нормативными решениями, затрагивающими их права при трансграничном перемещении людей, товаров, услуг или капитала;
(36)
«сеть электронных коммуникаций общего пользования» означает сеть электронных коммуникаций общего пользования, как это определено в пункте (8) статьи 2 Директивы (ЕС) 2018/1972;
(37)
«услуга электронной связи» означает услугу электронной связи, как она определена в пункте (4) статьи 2 Директивы (ЕС) 2018/1972;
(38)
«юридическое лицо» означает физическое или юридическое лицо, созданное и признанное таковым в соответствии с национальным законодательством места его учреждения, которое может, действуя от своего имени, осуществлять права и нести обязанности;
(39)
«Поставщик управляемых услуг» означает организацию, которая предоставляет услуги, связанные с установкой, управлением, эксплуатацией или обслуживанием продуктов ИКТ, сетей, инфраструктуры, приложений или любых других сетей и информационных систем, посредством помощи или активного администрирования, осуществляемого либо на территории клиентов. или удаленно;
(40)
«поставщик управляемых услуг безопасности» означает поставщика управляемых услуг, который осуществляет или оказывает помощь в деятельности, связанной с управлением рисками кибербезопасности;
(41)
«исследовательская организация» означает организацию, основной целью которой является проведение прикладных исследований или экспериментальных разработок с целью использования результатов этих исследований в коммерческих целях, но не включая образовательные учреждения.
ГЛАВА II
КООРДИНИРОВАННЫЕ РАМКИ КИБЕРБЕЗОПАСНОСТИ
Статья 7
Национальная стратегия кибербезопасности
1. Каждое государство-член должно принять национальную стратегию кибербезопасности, которая предусматривает стратегические цели, ресурсы, необходимые для достижения этих целей, а также соответствующие политические и нормативные меры с целью достижения и поддержания высокого уровня кибербезопасности. Национальная стратегия кибербезопасности должна включать:
(а)
цели и приоритеты стратегии кибербезопасности государства-члена, охватывающей, в частности, сектора, указанные в Приложениях I и II;
(б)
структуру управления для достижения целей и приоритетов, указанных в пункте (а) настоящего пункта, включая политику, указанную в пункте 2;
(с)
структура управления, разъясняющая роли и обязанности соответствующих заинтересованных сторон на национальном уровне, поддерживающая сотрудничество и координацию на национальном уровне между компетентными органами, едиными точками контакта и CSIRT в соответствии с настоящей Директивой, а также координацию и сотрудничество между ними органы и компетентные органы в соответствии с отраслевыми правовыми актами Союза;
(г)
механизм выявления соответствующих активов и оценки рисков в этом государстве-члене;
(е)
определение мер, обеспечивающих готовность к инцидентам, реагирование на них и восстановление после них, включая сотрудничество между государственным и частным секторами;
(е)
список различных органов власти и заинтересованных сторон, участвующих в реализации национальной стратегии кибербезопасности;
(г)
политическую основу для усиления координации между компетентными органами в соответствии с настоящей Директивой и компетентными органами в соответствии с Директивой (ЕС) 2022/2557 с целью обмена информацией о рисках, киберугрозах и инцидентах, а также о некиберрисках, угрозах и инциденты и выполнение надзорных задач, при необходимости;
(час)
план, включающий необходимые меры, по повышению общего уровня осведомленности граждан о кибербезопасности.
2. В рамках национальной стратегии кибербезопасности государства-члены должны, в частности, принять политику:
(а)
решение проблемы кибербезопасности в цепочке поставок продуктов ИКТ и услуг ИКТ, используемых организациями для предоставления своих услуг;
(б)
о включении и уточнении требований, связанных с кибербезопасностью, к продуктам ИКТ и услугам ИКТ в государственных закупках, в том числе в отношении сертификации кибербезопасности, шифрования и использования продуктов кибербезопасности с открытым исходным кодом;
(с)
управление уязвимостями, включая продвижение и содействие скоординированному раскрытию уязвимостей в соответствии со статьей 12(1);
(г)
связанные с обеспечением общей доступности, целостности и конфиденциальности публичного ядра открытого Интернета, включая, где это уместно, кибербезопасность подводных кабелей связи;
(е)
содействие развитию и интеграции соответствующих передовых технологий с целью реализации самых современных мер по управлению рисками в области кибербезопасности;
(е)
продвижение и развитие образования и обучения в области кибербезопасности, навыков кибербезопасности, повышения осведомленности и инициатив в области исследований и разработок, а также рекомендаций по передовой практике и контролю кибергигиены, предназначенных для граждан, заинтересованных сторон и организаций;
(г)
поддержка академических и исследовательских учреждений в разработке, совершенствовании и содействии внедрению инструментов кибербезопасности и защищенной сетевой инфраструктуры;
(час)
включая соответствующие процедуры и соответствующие инструменты обмена информацией для поддержки добровольного обмена информацией о кибербезопасности между организациями в соответствии с законодательством Союза;
(я)
укрепление киберустойчивости и базового уровня кибергигиены малых и средних предприятий, в частности тех, которые исключены из сферы действия настоящей Директивы, путем предоставления легкодоступных рекомендаций и помощи для их конкретных потребностей;
(к)
содействие активной киберзащите.
3. Государства-члены должны уведомить Комиссию о своих национальных стратегиях кибербезопасности в течение трех месяцев с момента их принятия. Государства-члены ЕС могут исключить из таких уведомлений информацию, касающуюся их национальной безопасности.
4. Государства-члены должны оценивать свои национальные стратегии кибербезопасности на регулярной основе, не реже одного раза в пять лет, на основе ключевых показателей эффективности и, при необходимости, обновлять их. ENISA должна помогать государствам-членам, по их запросу, в разработке или обновлении национальной стратегии кибербезопасности и ключевых показателей эффективности для оценки этой стратегии, чтобы привести ее в соответствие с требованиями и обязательствами, изложенными в настоящей Директиве.
Статья 8
Компетентные органы и единые контактные лица
1. Каждое государство-член ЕС должно назначить или учредить один или несколько компетентных органов, ответственных за кибербезопасность и задачи надзора, упомянутые в Главе VII (компетентные органы).
2. Компетентные органы, упомянутые в параграфе 1, должны контролировать выполнение настоящей Директивы на национальном уровне.
3. Каждое государство-член должно назначить или создать единое контактное лицо. Если государство-член назначает или учреждает только один компетентный орган в соответствии с параграфом 1, этот компетентный орган также должен быть единым контактным лицом для этого государства-члена.
4. Каждое контактное лицо должно выполнять функцию связи для обеспечения трансграничного сотрудничества органов своего государства-члена с соответствующими органами других государств-членов и, при необходимости, с Комиссией и ENISA, а также для обеспечения трансграничного сотрудничества. секторальное сотрудничество с другими компетентными органами своего государства-члена.
5. Государства-члены должны обеспечить, чтобы их компетентные органы и единые контактные лица имели адекватные ресурсы для эффективного и результативного выполнения возложенных на них задач и тем самым для достижения целей настоящей Директивы.
6. Каждое государство-член должно без неоправданной задержки уведомить Комиссию о личности компетентного органа, указанного в параграфе 1, и о едином контактном пункте, упомянутом в параграфе 3, о задачах этих органов и о любых последующих изменениях в них. . Каждое государство-член должно обнародовать информацию о своем компетентном органе. Комиссия должна сделать список единых контактных лиц общедоступным.
Статья 9
Национальные механизмы управления киберкризисами
1. Каждое государство-член должно назначить или создать один или несколько компетентных органов, ответственных за управление крупномасштабными инцидентами и кризисами в области кибербезопасности (органы управления киберкризисами). Государства-члены ЕС должны гарантировать, что эти органы имеют достаточные ресурсы для эффективного и результативного выполнения возложенных на них задач. Государства-члены должны обеспечить согласованность с существующими механизмами общего национального кризисного управления.
2. Если государство-член назначает или учреждает более одного органа по управлению киберкризисами в соответствии с параграфом 1, оно должно четко указать, какой из этих органов должен выполнять функции координатора по управлению крупномасштабными инцидентами и кризисами в области кибербезопасности.
3. Каждое государство-член должно определить возможности, активы и процедуры, которые могут быть задействованы в случае кризиса для целей настоящей Директивы.
4. Каждое государство-член должно принять национальный план реагирования на крупномасштабные инциденты кибербезопасности и кризисы, в котором излагаются цели и механизмы управления крупномасштабными инцидентами и кризисами кибербезопасности. Этот план должен, в частности, предусматривать:
(а)
цели национальных мер и мероприятий по обеспечению готовности;
(б)
задачи и обязанности органов управления киберкризисами;
(с)
процедуры управления киберкризисами, включая их интеграцию в общую национальную систему управления кризисами и каналы обмена информацией;
(г)
национальные меры по обеспечению готовности, включая учения и учебные мероприятия;
(е)
соответствующие государственные и частные заинтересованные стороны и задействованная инфраструктура;
(е)
национальные процедуры и договоренности между соответствующими национальными органами власти и органами для обеспечения эффективного участия государства-члена и поддержки скоординированного управления крупномасштабными инцидентами и кризисами кибербезопасности на уровне Союза.
5. В течение трех месяцев с момента назначения или создания органа по управлению кибер-кризисом, упомянутого в параграфе 1, каждое государство-член должно уведомить Комиссию о названии своего органа и о любых последующих его изменениях. Государства-члены должны предоставить Комиссии и Европейской сети организаций по связи в киберкризисах (EU-CyCLONe) соответствующую информацию, касающуюся требований параграфа 4, о своих национальных крупномасштабных планах реагирования на инциденты кибербезопасности и кризисы в течение трех месяцев с момента их принятия. планы. Государства-члены ЕС могут исключать информацию там, где и в той степени, в которой такое исключение необходимо для их национальной безопасности.
Статья 10
Группы реагирования на инциденты компьютерной безопасности (CSIRT)
1. Каждое государство-член должно назначить или учредить одну или несколько CSIRT. CSIRT могут быть назначены или созданы в рамках компетентного органа. CSIRT должны соответствовать требованиям, изложенным в Статье 11(1), охватывать как минимум отрасли, подсекторы и типы организаций, указанные в Приложениях I и II, и нести ответственность за обработку инцидентов в соответствии с четко определенным планом. процесс.
2. Государства-члены должны обеспечить, чтобы каждая CSIRT имела достаточные ресурсы для эффективного выполнения своих задач, изложенных в Статье 11(3).
3. Государства-члены должны обеспечить, чтобы каждая CSIRT имела в своем распоряжении соответствующую, безопасную и отказоустойчивую коммуникационную и информационную инфраструктуру, посредством которой можно обмениваться информацией с важными и важными организациями и другими соответствующими заинтересованными сторонами. С этой целью государства-члены должны обеспечить, чтобы каждая CSIRT вносила свой вклад в развертывание безопасных инструментов обмена информацией.
4. CSIRT должны сотрудничать и, при необходимости, обмениваться соответствующей информацией в соответствии со Статьей 29 с отраслевыми или межсекторальными сообществами основных и важных организаций.
5. CSIRT должны участвовать в коллегиальных проверках, организованных в соответствии со Статьей 19.
6. Государства-члены должны обеспечить эффективное, действенное и безопасное сотрудничество своих CSIRT в сети CSIRT.
7. CSIRT могут устанавливать отношения сотрудничества с национальными группами реагирования на инциденты компьютерной безопасности третьих стран. В рамках таких отношений сотрудничества государства-члены должны способствовать эффективному, действенному и безопасному обмену информацией с национальными группами реагирования на инциденты компьютерной безопасности этих третьих стран, используя соответствующие протоколы обмена информацией, включая протокол светофора. CSIRT могут обмениваться соответствующей информацией с национальными группами реагирования на инциденты компьютерной безопасности третьих стран, включая персональные данные, в соответствии с законодательством Союза о защите данных.
8. CSIRT могут сотрудничать с национальными группами реагирования на инциденты компьютерной безопасности третьих стран или эквивалентными органами третьих стран, в частности, с целью предоставления им помощи в области кибербезопасности.
9. Каждое государство-член должно без неоправданной задержки уведомить Комиссию о личности CSIRT, указанной в пункте 1 настоящей статьи, и CSIRT, назначенной координатором в соответствии со статьей 12(1), об их соответствующих задачах в отношении существенных и важных юридических лиц и любых последующих изменений в них.
10. Государства-члены могут запросить помощь ENISA в разработке своих CSIRT.
Статья 11
Требования, технические возможности и задачи CSIRT
1. CSIRT должны соответствовать следующим требованиям:
(а)
CSIRT должны обеспечивать высокий уровень доступности своих каналов связи, избегая единых точек отказа, и должны иметь несколько средств для связи и связи с другими в любое время; они должны четко определить каналы связи и довести их до сведения избирателей и партнеров по сотрудничеству;
(б)
помещения CSIRT и вспомогательные информационные системы должны располагаться в безопасных местах;
(с)
CSIRT должны быть оснащены соответствующей системой управления и маршрутизации запросов, в частности, для облегчения эффективной и действенной передачи обслуживания;
(г)
CSIRT должны обеспечивать конфиденциальность и надежность своей деятельности;
(е)
CSIRT должны быть укомплектованы соответствующим образом, чтобы обеспечить постоянную доступность своих услуг, и обеспечить соответствующую подготовку своего персонала;
(е)
CSIRT должны быть оборудованы резервными системами и резервным рабочим пространством для обеспечения непрерывности своих услуг.
CSIRT могут участвовать в сетях международного сотрудничества.
2. Государства-члены должны обеспечить, чтобы их CSIRT совместно обладали техническими возможностями, необходимыми для выполнения задач, упомянутых в параграфе 3. Государства-члены должны обеспечить, чтобы их CSIRT были выделены достаточные ресурсы для обеспечения адекватного уровня укомплектования персоналом для целей обеспечения работы CSIRT. развивать свои технические возможности.
3. CSIRT должны иметь следующие задачи:
(а)
мониторинг и анализ киберугроз, уязвимостей и инцидентов на национальном уровне и, по запросу, предоставление помощи важным и важным заинтересованным организациям в отношении мониторинга их сетей и информационных систем в режиме реального времени или почти в реальном времени;
(б)
предоставление ранних предупреждений, оповещений, объявлений и распространение информации основным и важным заинтересованным сторонам, а также компетентным органам и другим соответствующим заинтересованным сторонам о киберугрозах, уязвимостях и инцидентах, если это возможно, в режиме, близком к реальному времени;
(с)
реагирование на инциденты и оказание помощи основным и важным заинтересованным организациям, где это применимо;
(г)
сбор и анализ данных судебно-медицинской экспертизы, а также обеспечение динамического анализа рисков и инцидентов, а также ситуационной осведомленности в отношении кибербезопасности;
(е)
обеспечение по запросу существенного или важного субъекта упреждающего сканирования сети и информационных систем заинтересованного субъекта для обнаружения уязвимостей с потенциально значительным воздействием;
(е)
участие в сети CSIRT и оказание взаимной помощи в соответствии со своими возможностями и компетенциями другим членам сети CSIRT по их запросу;
(г)
где это применимо, выполнение функций координатора в целях скоординированного раскрытия уязвимостей в соответствии со статьей 12(1);
(час)
содействие внедрению безопасных инструментов обмена информацией в соответствии со статьей 10(3).
CSIRT могут осуществлять упреждающее неинтрузивное сканирование общедоступных сетей и информационных систем важнейших и важных объектов. Такое сканирование должно выполняться для обнаружения уязвимых или небезопасно настроенных сетевых и информационных систем и информирования соответствующих субъектов. Такое сканирование не должно оказывать негативного влияния на функционирование сервисов субъектов.
При выполнении задач, упомянутых в первом подпараграфе, CSIRT могут определять приоритетность конкретных задач на основе подхода, основанного на оценке риска.
4. CSIRT должны установить отношения сотрудничества с соответствующими заинтересованными сторонами в частном секторе с целью достижения целей настоящей Директивы.
5. В целях содействия сотрудничеству, упомянутому в параграфе 4, CSIRT должны способствовать принятию и использованию общих или стандартизированных практик, классификационных схем и таксономий в отношении:
(а)
процедуры обработки инцидентов;
(б)
антикризисное управление; и
(с)
скоординированное раскрытие уязвимостей в соответствии со статьей 12(1).
Статья 12
Скоординированное раскрытие уязвимостей и европейская база данных уязвимостей
1. Каждое государство-член должно назначить одну из своих CSIRT координатором в целях скоординированного раскрытия уязвимостей. CSIRT, назначенная координатором, должна действовать как доверенный посредник, содействуя, при необходимости, взаимодействию между физическим или юридическим лицом, сообщающим об уязвимости, и производителем или поставщиком потенциально уязвимых продуктов ИКТ или услуг ИКТ по запросу любой из сторон. В задачи CSIRT, назначенного координатором, входит:
(а)
выявление заинтересованных лиц и установление связи с ними;
(б)
оказание помощи физическим или юридическим лицам, сообщающим об уязвимости; и
(с)
согласование сроков раскрытия информации и управление уязвимостями, которые затрагивают несколько организаций.
Государства-члены должны обеспечить, чтобы физические или юридические лица могли анонимно сообщать об уязвимостях CSIRT, назначенному координатором. CSIRT, назначенная координатором, должна обеспечить тщательное принятие последующих мер в отношении заявленной уязвимости и обеспечить анонимность физического или юридического лица, сообщившего об уязвимости. Если сообщенная уязвимость может оказать существенное влияние на организации в более чем одном государстве-члене, CSIRT, назначенная координатором каждого заинтересованного государства-члена, должна, при необходимости, сотрудничать с другими CSIRT, назначенными координаторами в сети CSIRT.
2. ENISA должна разработать и поддерживать, после консультации с Группой сотрудничества, европейскую базу данных уязвимостей. С этой целью ENISA должна создать и поддерживать соответствующие информационные системы, политику и процедуры, а также принять необходимые технические и организационные меры для обеспечения безопасности и целостности европейской базы данных уязвимостей, в частности, с целью предоставления возможности организациям, независимо от подпадают ли они под действие настоящей Директивы, а также их поставщики сетевых и информационных систем раскрывать и регистрировать на добровольной основе общеизвестные уязвимости в продуктах ИКТ или услугах ИКТ. Всем заинтересованным сторонам должен быть предоставлен доступ к информации об уязвимостях, содержащейся в европейской базе данных уязвимостей. Эта база данных должна включать:
(а)
информация, описывающая уязвимость;
(б)
затронутые продукты ИКТ или услуги ИКТ и серьезность уязвимости с точки зрения обстоятельств, при которых она может быть использована;
(с)
наличие соответствующих исправлений и, в случае отсутствия доступных исправлений, рекомендации компетентных органов или CSIRT, адресованные пользователям уязвимых продуктов ИКТ и услуг ИКТ, относительно того, как можно снизить риски, возникающие в результате раскрытых уязвимостей.
Статья 13
Сотрудничество на национальном уровне
1. Если они разделены, компетентные органы, единое контактное лицо и CSIRT одного и того же государства-члена должны сотрудничать друг с другом в отношении выполнения обязательств, изложенных в настоящей Директиве.
2. Государства-члены должны обеспечить, чтобы их CSIRT или, где это применимо, их компетентные органы получали уведомления о значительных инцидентах в соответствии со статьей 23, а также инцидентах, киберугрозах и опасных ситуациях в соответствии со статьей 30.
3. Государства-члены должны обеспечить, чтобы их CSIRT или, где это применимо, их компетентные органы информировали свои единые контактные лица об уведомлениях об инцидентах, киберугрозах и потенциальных авариях, представленных в соответствии с настоящей Директивой.
4. Чтобы обеспечить эффективное выполнение задач и обязательств компетентных органов, единых точек контакта и CSIRT, государства-члены должны, насколько это возможно, обеспечить соответствующее сотрудничество между этими органами и правоохранительными органами, данными органы защиты, национальные органы в соответствии с Регламентом (ЕС) № 300/2008 и (ЕС) 2018/1139, надзорные органы в соответствии с Регламентом (ЕС) № 910/2014, компетентные органы в соответствии с Регламентом (ЕС) 2022/2554, национальный регулирующие органы в соответствии с Директивой (ЕС) 2018/1972, компетентные органы в соответствии с Директивой (ЕС) 2022/2557, а также компетентные органы в соответствии с другими отраслевыми правовыми актами Союза в этом государстве-члене.
5. Государства-члены должны обеспечить, чтобы их компетентные органы в соответствии с настоящей Директивой и их компетентные органы в соответствии с Директивой (ЕС) 2022/2557 сотрудничали и обменивались информацией на регулярной основе в отношении идентификации критически важных объектов, рисков, киберугроз и инцидентов. а также о некиберрисках, угрозах и инцидентах, затрагивающих организации, определенные как критически важные в соответствии с Директивой (ЕС) 2022/2557, и мерах, принятых в ответ на такие риски, угрозы и инциденты. Государства-члены также должны гарантировать, что их компетентные органы в соответствии с настоящей Директивой и их компетентные органы в соответствии с Регламентом (ЕС) № 910/2014, Регламентом (ЕС) 2022/2554 и Директивой (ЕС) 2018/1972 на регулярной основе обмениваются соответствующей информацией, включая в отношении соответствующих инцидентов и киберугроз.
6. Государства-члены должны упростить отчетность с помощью технических средств для уведомлений, упомянутых в Статьях 23 и 30.
ГЛАВА III
СОТРУДНИЧЕСТВО НА СОЮЗНОМ И МЕЖДУНАРОДНОМ УРОВНЕ
Статья 14
Группа сотрудничества
1. В целях поддержки и облегчения стратегического сотрудничества и обмена информацией между государствами-членами, а также для укрепления доверия и доверия создается Группа сотрудничества.
2. Группа сотрудничества выполняет свои задачи на основе двухгодичных программ работы, упомянутых в пункте 7.
3. Группа сотрудничества состоит из представителей государств-членов, Комиссии и ENISA. Европейская служба внешних связей будет участвовать в деятельности Группы сотрудничества в качестве наблюдателя. Европейские надзорные органы (ESA) и компетентные органы в соответствии с Регламентом (ЕС) 2022/2554 могут участвовать в деятельности Группы сотрудничества в соответствии со статьей 47(1) этого Регламента.
При необходимости Группа сотрудничества может пригласить Европейский парламент и представителей соответствующих заинтересованных сторон принять участие в ее работе.
Комиссия обеспечивает секретариат.
4. Группа сотрудничества ставит перед собой следующие задачи:
(а)
предоставлять рекомендации компетентным органам в отношении транспонирования и реализации настоящей Директивы;
(б)
предоставлять рекомендации компетентным органам в отношении разработки и реализации политики скоординированного раскрытия уязвимостей, как указано в статье 7(2), пункт (c);
(с)
обмениваться передовым опытом и информацией в отношении реализации настоящей Директивы, в том числе в отношении киберугроз, инцидентов, уязвимостей, потенциальных происшествий, инициатив по повышению осведомленности, обучения, учений и навыков, наращивания потенциала, стандартов и технических спецификаций, а также идентификация существенных и важных субъектов в соответствии со статьей 2(2), пункты (b)–(e);
(г)
обмениваться советами и сотрудничать с Комиссией в отношении новых инициатив в области политики кибербезопасности и общей последовательности требований к кибербезопасности для конкретных секторов;
(е)
обмениваться советами и сотрудничать с Комиссией по проектам делегированных или имплементационных актов, принятых в соответствии с настоящей Директивой;
(е)
обмениваться передовым опытом и информацией с соответствующими институтами, органами, офисами и агентствами Союза;
(г)
обмениваться мнениями о реализации отраслевых правовых актов Союза, содержащих положения о кибербезопасности;
(час)
при необходимости обсуждать отчеты о коллегиальной проверке, упомянутой в статье 19(9), и формулировать выводы и рекомендации;
(я)
проводить скоординированные оценки рисков безопасности критически важных цепочек поставок в соответствии со статьей 22(1);
(к)
обсуждать случаи взаимной помощи, включая опыт и результаты совместных трансграничных надзорных действий, как указано в Статье 37;
(к)
по запросу одного или нескольких заинтересованных государств-членов ЕС обсуждать конкретные запросы о взаимной помощи, как указано в Статье 37;
(л)
предоставлять стратегическое руководство сети CSIRT и EU-CyCLONe по конкретным возникающим вопросам;
(м)
обменяться мнениями о политике последующих действий после крупномасштабных инцидентов и кризисов в области кибербезопасности на основе уроков, извлеченных из сети CSIRT и EU-CyCLONe;
(н)
способствовать укреплению потенциала кибербезопасности во всем Союзе путем содействия обмену национальными должностными лицами посредством программы наращивания потенциала с участием сотрудников компетентных органов или CSIRT;
(о)
организовывать регулярные совместные встречи с соответствующими частными заинтересованными сторонами со всего Союза для обсуждения деятельности, проводимой Группой сотрудничества, и сбора информации о возникающих политических задачах;
(п)
обсудить работу, проделанную в рамках учений по кибербезопасности, включая работу, проделанную ENISA;
(к)
установить методологию и организационные аспекты экспертных проверок, упомянутых в статье 19(1), а также установить методологию самооценки для государств-членов в соответствии со статьей 19(5), при содействии Комиссии и ENISA и в сотрудничестве с Комиссией и ENISA разработать кодексы поведения, лежащие в основе методов работы назначенных экспертов по кибербезопасности в соответствии со статьей 19(6);
(р)
готовить отчеты для целей проверки, упомянутой в статье 40, об опыте, полученном на стратегическом уровне и в результате экспертных проверок;
(с)
обсуждать и проводить на регулярной основе оценку состояния киберугроз или инцидентов, таких как программы-вымогатели.
Группа сотрудничества представляет отчеты, упомянутые в первом подпараграфе пункта (r), Комиссии, Европейскому парламенту и Совету.
5. Государства-члены обеспечивают эффективное, действенное и безопасное сотрудничество своих представителей в Группе сотрудничества.
6. Группа сотрудничества может запросить у сети CSIRT технический отчет по выбранным темам.
7. К 1 февраля 2024 года и в дальнейшем каждые два года Группа сотрудничества должна разработать программу работы в отношении действий, которые необходимо предпринять для реализации ее целей и задач.
8. Комиссия может принимать исполнительные акты, устанавливающие процедурные механизмы, необходимые для функционирования Группы сотрудничества.
Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в Статье 39(2).
Комиссия обменивается рекомендациями и сотрудничает с Группой сотрудничества по проектам исполнительных актов, упомянутых в первом подпараграфе настоящего параграфа, в соответствии с параграфом (4), пункт (e).
9. Группа сотрудничества должна встречаться на регулярной основе и в любом случае не реже одного раза в год с Группой по обеспечению устойчивости критически важных объектов, созданной в соответствии с Директивой (ЕС) 2022/2557, для продвижения и содействия стратегическому сотрудничеству и обмену информацией.
Статья 15
Сеть CSIRT
1. В целях содействия развитию доверия и содействия быстрому и эффективному оперативному сотрудничеству между государствами-членами создается сеть национальных CSIRT.
2. Сеть CSIRT должна состоять из представителей CSIRT, назначенных или созданных в соответствии со Статьей 10, и группы реагирования на компьютерные чрезвычайные ситуации для учреждений, органов и агентств Союза (CERT-EU). Комиссия участвует в сети CSIRT в качестве наблюдателя. ENISA обеспечит секретариат и будет активно оказывать помощь в сотрудничестве между CSIRT.
3. Сеть CSIRT должна решать следующие задачи:
(а)
обмениваться информацией о возможностях CSIRT;
(б)
содействовать совместному использованию, передаче и обмену технологиями и соответствующими мерами, политиками, инструментами, процессами, передовым опытом и структурами между CSIRT;
(с)
обмениваться актуальной информацией об инцидентах, опасностях, киберугрозах, рисках и уязвимостях;
(г)
обмениваться информацией о публикациях и рекомендациях по кибербезопасности;
(е)
обеспечить функциональную совместимость в отношении спецификаций и протоколов обмена информацией;
(е)
по запросу члена сети CSIRT, потенциально затронутого инцидентом, обмениваться и обсуждать информацию, касающуюся этого инцидента и связанных с ним киберугроз, рисков и уязвимостей;
(г)
по запросу члена сети CSIRT обсудить и, по возможности, реализовать скоординированное реагирование на инцидент, который был выявлен в пределах юрисдикции этого государства-члена;
(час)
предоставлять государствам-членам помощь в решении трансграничных инцидентов в соответствии с настоящей Директивой;
(я)
сотрудничать, обмениваться передовым опытом и оказывать помощь CSIRT, назначенным координаторами в соответствии со статьей 12(1), в отношении управления скоординированным раскрытием уязвимостей, которые могут оказать существенное влияние на организации в более чем одном государстве-члене;
(к)
обсудить и определить дальнейшие формы оперативного сотрудничества, в том числе в отношении:
(я)
категории киберугроз и инцидентов;
(ii)
ранние предупреждения;
(iii)
взаимопомощь;
(iv)
принципы и механизмы координации реагирования на трансграничные риски и инциденты;
(в)
вклад в национальный крупномасштабный план реагирования на инциденты и кризисы кибербезопасности, упомянутый в статье 9 (4), по запросу государства-члена;
(к)
информировать Группу сотрудничества о своей деятельности и о дальнейших формах оперативного сотрудничества, обсуждаемых в соответствии с пунктом (j), и, при необходимости, запрашивать указания в этом отношении;
(л)
подвести итоги учений по кибербезопасности, в том числе организованных ENISA;
(м)
по запросу отдельной CSIRT обсудить возможности и готовность этой CSIRT;
(н)
сотрудничать и обмениваться информацией с региональными и союзными центрами безопасности (SOC) в целях улучшения общей ситуационной осведомленности об инцидентах и киберугрозах по всему Союзу;
(о)
при необходимости, для обсуждения отчетов рецензирования, упомянутых в статье 19(9);
(п)
предоставить руководящие указания в целях содействия сближению оперативной практики в отношении применения положений настоящей статьи, касающихся оперативного сотрудничества.
4. К 17 января 2025 года и каждые два года после этого сеть CSIRT должна в целях проверки, упомянутой в Статье 40, оценить прогресс, достигнутый в отношении оперативного сотрудничества, и утвердить отчет. В отчете, в частности, должны быть сформулированы выводы и рекомендации на основе результатов экспертных проверок, упомянутых в Статье 19, которые проводятся в отношении национальных CSIRT. Этот отчет представляется Группе сотрудничества.
5. Сеть CSIRT должна принять свои правила процедуры.
6. Сеть CSIRT и EU-CyCLONe должны согласовать процедурные механизмы и сотрудничать на их основе.
Статья 16
Европейская сеть организаций по связям с киберкризисами (EU-CyCLONe)
1. EU-CyCLONe создан для поддержки скоординированного управления крупномасштабными инцидентами и кризисами кибербезопасности на оперативном уровне, а также для обеспечения регулярного обмена соответствующей информацией между государствами-членами и учреждениями, органами, офисами и агентствами Союза.
2. EU-CyCLONe должен состоять из представителей органов управления киберкризисами государств-членов, а также, в случаях, когда потенциальный или продолжающийся крупномасштабный инцидент кибербезопасности оказывает или может оказать существенное влияние на услуги и деятельность, подпадающие под действие сферу действия настоящей Директивы, Комиссия. В других случаях Комиссия участвует в деятельности EU-CyCLONe в качестве наблюдателя.
ENISA обеспечивает секретариат EU-CyCLONe и поддерживает безопасный обмен информацией, а также предоставляет необходимые инструменты для поддержки сотрудничества между государствами-членами, обеспечивая безопасный обмен информацией.
При необходимости EU-CyCLONe может пригласить представителей соответствующих заинтересованных сторон принять участие в его работе в качестве наблюдателей.
3. EU-CyCLONe будет иметь следующие задачи:
(а)
повысить уровень готовности управления к масштабным инцидентам и кризисам кибербезопасности;
(б)
развивать общую ситуационную осведомленность о крупномасштабных инцидентах и кризисах в области кибербезопасности;
(с)
оценить последствия и влияние соответствующих крупномасштабных инцидентов и кризисов в области кибербезопасности и предложить возможные меры по смягчению последствий;
(г)
координировать управление крупномасштабными инцидентами и кризисами в области кибербезопасности и поддерживать принятие решений на политическом уровне в отношении таких инцидентов и кризисов;
(е)
обсуждать, по запросу заинтересованного государства-члена, национальные крупномасштабные планы реагирования на инциденты кибербезопасности и кризисы, упомянутые в статье 9(4).
4. EU-CyCLONe должен принять свои правила процедуры.
5. EU-CyCLONe должен регулярно отчитываться перед Группой сотрудничества об управлении крупномасштабными инцидентами и кризисами в области кибербезопасности, а также о тенденциях, уделяя особое внимание их влиянию на основные и важные субъекты.
6. EU-CyCLONe должен сотрудничать с сетью CSIRT на основе согласованных процедурных мер, предусмотренных в статье 15(6).
7. К 17 июля 2024 года и каждые 18 месяцев после этого EU-CyCLONe должен представить Европейскому парламенту и Совету отчет с оценкой своей работы.
Статья 17
Международное сотрудничество
Союз может, при необходимости, заключать международные соглашения в соответствии со статьей 218 TFEU с третьими странами или международными организациями, разрешая и организуя их участие в конкретных мероприятиях Группы сотрудничества, сети CSIRT и EU-CyCLONe. Такие соглашения должны соответствовать законодательству Союза о защите данных.
Статья 18
Отчет о состоянии кибербезопасности в Союзе
1. ENISA в сотрудничестве с Комиссией и Группой сотрудничества принимает двухгодичный отчет о состоянии кибербезопасности в Союзе и представляет этот отчет Европейскому парламенту. Отчет, среди прочего, должен быть доступен в виде машиночитаемых данных и включать следующее:
(а)
оценка рисков кибербезопасности на уровне Союза с учетом ландшафта киберугроз;
(б)
оценка развития возможностей кибербезопасности в государственном и частном секторах по всему Союзу;
(с)
оценка общего уровня осведомленности о кибербезопасности и кибергигиены среди граждан и организаций, включая малые и средние предприятия;
(г)
совокупная оценка результатов экспертных проверок, упомянутых в Статье 19;
(е)
совокупная оценка уровня зрелости возможностей и ресурсов кибербезопасности во всем Союзе, в том числе на уровне секторов, а также степени согласованности национальных стратегий кибербезопасности государств-членов.
2. Отчет должен включать конкретные политические рекомендации с целью устранения недостатков и повышения уровня кибербезопасности на территории Союза, а также краткое изложение выводов за определенный период из отчетов ЕС о технической ситуации в области кибербезопасности об инцидентах и киберугрозах, подготовленных ENISA в соответствии со статьей 7(6) Регламента (ЕС) 2019/881.
3. ENISA в сотрудничестве с Комиссией, Группой сотрудничества и сетью CSIRT должна разработать методологию, включая соответствующие переменные, такие как количественные и качественные показатели, агрегированной оценки, указанной в параграфе 1, пункт (e).
Статья 19
Отзывы коллег
1. Группа сотрудничества должна 17 января 2025 года разработать, при содействии Комиссии и ENISA и, при необходимости, сети CSIRT, методологию и организационные аспекты экспертных оценок с целью изучения общего опыта, укрепления взаимного доверия, достижения высокого общего уровня кибербезопасности, а также расширения возможностей и политики государств-членов в области кибербезопасности, необходимых для реализации настоящей Директивы. Участие в экспертных оценках является добровольным. Экспертные оценки должны проводиться экспертами по кибербезопасности. Эксперты по кибербезопасности должны быть назначены как минимум двумя государствами-членами, отличными от государства-члена, в отношении которого проводится проверка.
Экспертные оценки должны охватывать как минимум одно из следующего:
(а)
уровень реализации мер по управлению рисками кибербезопасности и обязательств по отчетности, изложенных в статьях 21 и 23;
(б)
уровень возможностей, включая имеющиеся финансовые, технические и человеческие ресурсы, а также эффективность выполнения задач компетентных органов;
(с)
оперативные возможности CSIRT;
(г)
уровень реализации взаимной помощи, указанной в статье 37;
(е)
уровень реализации механизмов обмена информацией о кибербезопасности, упомянутых в статье 29;
(е)
конкретные вопросы трансграничного или межсекторального характера.
2. Методология, указанная в параграфе 1, должна включать объективные, недискриминационные, справедливые и прозрачные критерии, на основании которых государства-члены назначают экспертов по кибербезопасности, имеющих право проводить экспертные оценки. Комиссия и ENISA должны участвовать в экспертных проверках в качестве наблюдателей.
3. Государства-члены могут выявить конкретные проблемы, указанные в параграфе 1, пункт (f), для целей экспертной оценки.
4. Прежде чем начать экспертную оценку, как указано в параграфе 1, государства-члены должны уведомить участвующие государства-члены о ее масштабах, включая конкретные проблемы, выявленные в соответствии с параграфом 3.
5. До начала коллегиальной проверки государства-члены могут провести самооценку рассмотренных аспектов и предоставить эту самооценку назначенным экспертам по кибербезопасности. Группа сотрудничества должна, при содействии Комиссии и ENISA, разработать методологию самооценки государств-членов.
6. Паритетные проверки предполагают физические или виртуальные визиты на места и обмен информацией за пределами предприятия. В соответствии с принципом хорошего сотрудничества, государство-член, подлежащее экспертной проверке, должно предоставить назначенным экспертам по кибербезопасности информацию, необходимую для оценки, без ущерба для законодательства Союза или национального законодательства, касающегося защиты конфиденциальной или секретной информации, а также защиты важнейших государственных функций, таких как национальная безопасность. Группа сотрудничества в сотрудничестве с Комиссией и ENISA должна разработать соответствующие кодексы поведения, лежащие в основе методов работы назначенных экспертов по кибербезопасности. Любая информация, полученная в ходе экспертной оценки, будет использоваться исключительно для этой цели. Эксперты по кибербезопасности, участвующие в экспертной проверке, не должны раскрывать конфиденциальную информацию, полученную в ходе экспертной проверки, третьим лицам.
7. После прохождения экспертной оценки те же аспекты, рассмотренные в государстве-члене ЕС, не подлежат дальнейшему экспертному рассмотрению в этом государстве-члене в течение двух лет после завершения экспертной оценки, если иное не запрошено государством-членом или не согласовано. по предложению Группы сотрудничества.
8. Государства-члены должны обеспечить, чтобы любой риск конфликта интересов в отношении назначенных экспертов по кибербезопасности был раскрыт другим Государствам-членам, Группе сотрудничества, Комиссии и ENISA до начала экспертной проверки. Государство-член, подлежащее экспертной оценке, может возражать против назначения конкретных экспертов по кибербезопасности на должным образом обоснованных основаниях, сообщенных назначающему государству-члену.
9. Эксперты по кибербезопасности, участвующие в экспертных проверках, должны подготовить отчеты о выводах и заключениях экспертных проверок. Государства-члены, подлежащие экспертной оценке, могут предоставлять комментарии к касающимся их проектам отчетов, и такие комментарии прилагаются к отчетам. Отчеты должны включать рекомендации, позволяющие улучшить аспекты, охватываемые экспертной оценкой. Отчеты должны быть представлены в Группу сотрудничества и сеть CSIRT, где это необходимо. Государство-член, подлежащее экспертной оценке, может принять решение сделать свой отчет или его отредактированную версию общедоступным.
ГЛАВА IV
МЕРЫ УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ И ОБЯЗАТЕЛЬСТВА ПО ОТЧЕТНОСТИ
Статья 20
Управление
1. Госу .
Применение настоящего параграфа не должно наносить ущерба национальному законодательству в отношении правил ответственности, применимых к государственным учреждениям, а также ответственности государственных служащих и выборных или назначенных должностных лиц.
2. Государства-члены должны гарантировать, что члены органов управления существенных и важных организаций должны проходить обучение, и должны поощрять существенные и важные организации предлагать подобное обучение своим сотрудникам на регулярной основе, чтобы они получили достаточные знания и навыки, позволяющие им выявлять риски и оценивать методы управления рисками кибербезопасности и их влияние на услуги, предоставляемые организацией.
Статья 21
Меры по управлению рисками кибербезопасности
1. Государства-члены должны обеспечить, чтобы основные и важные организации принимали соответствующие и пропорциональные технические, эксплуатационные и организационные меры для управления рисками, связанными с безопасностью сетевых и информационных систем, которые эти организации используют для своей деятельности или для предоставления своих услуг, и предотвратить или минимизировать влияние инцидентов на получателей своих услуг и на другие услуги.
Принимая во внимание современное состояние и, где это применимо, соответствующие европейские и международные стандарты, а также стоимость внедрения, меры, упомянутые в первом подпараграфе, должны обеспечивать соответствующий уровень безопасности сетевых и информационных систем. к возникающим рискам. При оценке пропорциональности таких мер должным образом учитываются степень подверженности субъекта рискам, размер субъекта, а также вероятность возникновения инцидентов и их тяжесть, включая их социальное и экономическое воздействие.
2. Меры, упомянутые в параграфе 1, должны основываться на подходе, учитывающем все опасности, который направлен на защиту сетевых и информационных систем, а также физической среды этих систем от инцидентов, и должны включать как минимум следующее:
(а)
политика в области анализа рисков и безопасности информационных систем;
(б)
обработка инцидентов;
(с)
непрерывность бизнеса, например управление резервным копированием и аварийное восстановление, а также антикризисное управление;
(г)
безопасность цепочки поставок, включая аспекты безопасности, касающиеся отношений между каждой организацией и ее прямыми поставщиками или поставщиками услуг;
(е)
безопасность при приобретении, разработке и обслуживании сетей и информационных систем, включая обработку и раскрытие уязвимостей;
(е)
политики и процедуры для оценки эффективности мер по управлению рисками кибербезопасности;
(г)
базовые практики кибергигиены и обучение кибербезопасности;
(час)
политика и процедуры, касающиеся использования криптографии и, при необходимости, шифрования;
(я)
безопасность человеческих ресурсов, политика контроля доступа и управление активами;
(к)
использование решений многофакторной аутентификации или непрерывной аутентификации, защищенной голосовой, видео- и текстовой связи и защищенных систем экстренной связи внутри организации, где это необходимо.
3. Государства-члены должны обеспечить, чтобы при рассмотрении того, какие меры, указанные в пункте 2 пункта (d) настоящей статьи, являются целесообразными, организации принимали во внимание уязвимости, характерные для каждого прямого поставщика и поставщика услуг, а также общее качество продукции и практики кибербезопасности своих поставщиков и поставщиков услуг, включая процедуры безопасной разработки. Государства-члены также должны гарантировать, что при рассмотрении того, какие меры, упомянутые в этом пункте, являются целесообразными, организации должны учитывать результаты скоординированных оценок рисков безопасности критически важных цепочек поставок, проведенных в соответствии со Статьей 22(1).
4. Государства-члены ЕС должны обеспечить, чтобы организация, обнаружившая, что она не соблюдает меры, предусмотренные в параграфе 2, без неоправданной задержки приняла все необходимые, соответствующие и пропорциональные корректирующие меры.
5. К 17 октября 2024 года Комиссия должна принять исполнительные акты, устанавливающие технические и методологические требования к мерам, указанным в параграфе 2, в отношении поставщиков услуг DNS, реестров имен TLD, поставщиков услуг облачных вычислений, поставщиков услуг центров обработки данных, поставщики сетей доставки контента, поставщики управляемых услуг, поставщики управляемых услуг безопасности, поставщики онлайн-рынков, онлайн-поисковых систем и платформ социальных сетей, а также поставщики трастовых услуг.
Комиссия может принимать исполнительные акты, устанавливающие технические и методологические требования, а также, при необходимости, отраслевые требования к мерам, указанным в параграфе 2, в отношении существенных и важных субъектов, кроме тех, которые упомянуты в первом подпараграфе настоящего документа. параграф.
При подготовке исполнительных актов, упомянутых в первом и втором подпунктах настоящего параграфа, Комиссия должна, насколько это возможно, следовать европейским и международным стандартам, а также соответствующим техническим спецификациям. Комиссия обменивается рекомендациями и сотрудничает с Группой сотрудничества и ENISA по проектам исполнительных актов в соответствии со статьей 14(4), пункт (e).
Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в Статье 39(2).
Статья 22
Скоординированные оценки рисков безопасности критических цепочек поставок на уровне Союза
1. Группа сотрудничества в сотрудничестве с Комиссией и ENISA может проводить скоординированные оценки рисков безопасности конкретных критически важных услуг ИКТ, систем ИКТ или цепочек поставок продуктов ИКТ, принимая во внимание технические и, где это уместно, нетехнические факторы риска.
2. Комиссия, после консультации с Группой сотрудничества и ENISA, а также, при необходимости, с соответствующими заинтересованными сторонами, должна определить конкретные критически важные услуги ИКТ, системы ИКТ или продукты ИКТ, которые могут подлежать скоординированной оценке рисков безопасности, упомянутой в параграфе 1.
Статья 23
Обязательства по отчетности
1. Каждое государство-член должно обеспечить, чтобы основные и важные организации уведомляли без неоправданной задержки свою CSIRT или, где это применимо, свой компетентный орган в соответствии с параграфом 4 о любом инциденте, который оказывает существенное влияние на предоставление их услуг, как указано в пункте 4. в пункте 3 (существенное происшествие). В соответствующих случаях заинтересованные организации должны без неоправданной задержки уведомлять получателей их услуг о существенных инцидентах, которые могут отрицательно повлиять на предоставление этих услуг. Каждое государство-член должно гарантировать, что эти организации сообщают, среди прочего, любую информацию, позволяющую CSIRT или, где это применимо, компетентному органу определить любое трансграничное воздействие инцидента. Сам по себе акт уведомления не приводит к увеличению ответственности уведомляющего субъекта.
Если заинтересованные организации уведомляют компетентный орган о значительном инциденте в соответствии с первым подпараграфом, государство-член должно обеспечить, чтобы этот компетентный орган пересылал уведомление CSIRT по получении.
В случае значительного трансграничного или межсекторального инцидента государства-члены должны обеспечить, чтобы их единым точкам контакта была своевременно предоставлена соответствующая информация, уведомленная в соответствии с параграфом 4.
2. Когда это применимо, государства-члены ЕС должны обеспечить, чтобы основные и важные организации без неоправданной задержки сообщали получателям своих услуг, которые потенциально могут подвергнуться серьезной киберугрозе, о любых мерах или средствах правовой защиты, которые эти получатели могут предпринять в ответ на это. угроза. При необходимости организации также должны информировать получателей о самой значительной киберугрозе.
3. Инцидент считается значительным, если:
(а)
оно вызвало или способно вызвать серьезное нарушение работы услуг или финансовые потери для заинтересованной организации;
(б)
оно затронуло или способно затронуть других физических или юридических лиц, причинив значительный материальный или нематериальный ущерб.
4. Государства-члены должны обеспечить, чтобы в целях уведомления в соответствии с параграфом 1 заинтересованные организации предоставляли CSIRT или, если применимо, компетентному органу:
(а)
без неоправданной задержки и в любом случае в течение 24 часов после того, как стало известно о значительном инциденте, раннее предупреждение, которое, где это применимо, должно указывать, подозревается ли, что значительный инцидент вызван незаконными или злонамеренными действиями или может иметь трансграничное значение. влияние;
(б)
без неоправданной задержки и в любом случае в течение 72 часов после того, как стало известно о значительном инциденте, уведомление об инциденте, которое, если применимо, должно обновлять информацию, указанную в пункте (а), и указывать первоначальную оценку значительного инцидента, включая его тяжесть и воздействие, а также, если таковые имеются, индикаторы компрометации;
(с)
по запросу CSIRT или, если применимо, компетентного органа, промежуточный отчет о соответствующих обновлениях статуса;
(г)
окончательный отчет не позднее одного месяца после подачи уведомления о происшествии в соответствии с пунктом (b), включая следующее:
(я)
подробное описание инцидента, включая его серьезность и последствия;
(ii)
тип угрозы или первопричина, которая могла спровоцировать инцидент;
(iii)
применяемые и текущие меры по смягчению последствий;
(iv)
где это применимо, трансграничное воздействие инцидента;
(е)
В случае продолжающегося инцидента на момент подачи окончательного отчета, упомянутого в пункте (d), государства-члены должны обеспечить, чтобы заинтересованные организации представили отчет о ходе работы в это время, а окончательный отчет - в течение одного месяца после обработки ими Инцидент.
В отступление от первого подпараграфа пункта (b) поставщик трастовых услуг должен в случае существенных инцидентов, влияющих на предоставление его трастовых услуг, уведомить CSIRT или, если применимо, компетентный орган без неоправданной задержки и в любом случае в течение 24 часов после того, как стало известно о существенном инциденте.
5. CSIRT или компетентный орган должны предоставить без неоправданной задержки и, если возможно, в течение 24 часов с момента получения раннего предупреждения, упомянутого в параграфе 4, пункт (a), ответ уведомляющему органу, включая первоначальный отзыв о существенном инциденте. и, по запросу организации, рекомендации или оперативные рекомендации по реализации возможных мер по смягчению последствий. Если CSIRT не является первоначальным получателем уведомления, упомянутого в параграфе 1, руководство должно быть предоставлено компетентным органом в сотрудничестве с CSIRT. CSIRT должна предоставить дополнительную техническую поддержку, если заинтересованная организация об этом попросит. Если есть подозрение, что значительный инцидент имеет криминальный характер, CSIRT или компетентный орган также должны предоставить рекомендации по информированию правоохранительных органов о значительном инциденте.
6. При необходимости, и в частности, если значительный инцидент касается двух или более государств-членов, CSIRT, компетентный орган или единое контактное лицо должны без неоправданной задержки проинформировать другие затронутые государства-члены и ENISA о значительном инциденте. Такая информация должна включать тип информации, полученной в соответствии с параграфом 4. При этом CSIRT, компетентный орган или единое контактное лицо должны, в соответствии с законодательством Союза или национальным законодательством, также защищать безопасность и коммерческие интересы организации. как конфиденциальность предоставленной информации.
7. Если осведомленность общественности необходима для предотвращения значительного инцидента или реагирования на продолжающийся значительный инцидент, или если раскрытие значительного инцидента иным образом отвечает общественным интересам, CSIRT государства-члена или, если применимо, его компетентный орган, и, при необходимости CSIRT или компетентные органы других заинтересованных государств-членов могут после консультации с заинтересованной организацией проинформировать общественность о существенном инциденте или потребовать от организации сделать это.
8. По запросу CSIRT или компетентного органа единое контактное лицо должно направлять уведомления, полученные в соответствии с параграфом 1, единым контактным лицам других затронутых государств-членов.
9. Единое контактное лицо каждые три месяца представляет в ENISA сводный отчет, включающий анонимизированные и агрегированные данные о значительных инцидентах, инцидентах, киберугрозах и потенциальных происшествиях, о которых было сообщено в соответствии с пунктом 1 настоящей статьи и статьей 30. В целях Чтобы способствовать предоставлению сопоставимой информации, ENISA может принять техническое руководство по параметрам информации, которая будет включена в сводный отчет. ENISA должна информировать Группу сотрудничества и сеть CSIRT о своих выводах по полученным уведомлениям каждые шесть месяцев.
10. CSIRT или, где это применимо, компетентные органы должны предоставлять компетентным органам в соответствии с Директивой (ЕС) 2022/2557 информацию о значительных инцидентах, инцидентах, киберугрозах и возможных происшествиях, о которых сообщается в соответствии с пунктом 1 настоящей статьи и статьей 30 организациями, признанными критически важными организациями в соответствии с Директивой (ЕС) 2022/2557.
11. Комиссия может принимать исполнительные акты, дополнительно определяющие тип информации, формат и процедуру уведомления, подаваемого в соответствии с пунктом 1 настоящей статьи и статьи 30, а также сообщения, подаваемого в соответствии с пунктом 2 настоящей статьи.
К 17 октября 2024 года Комиссия должна в отношении поставщиков услуг DNS, реестров имен TLD, поставщиков услуг облачных вычислений, поставщиков услуг центров обработки данных, поставщиков сетей доставки контента, поставщиков управляемых услуг, поставщиков управляемых услуг безопасности, а также поставщиков онлайн-услуг. торговых площадок, онлайн-поисковых систем и платформ социальных сетей принимать имплементационные акты, дополнительно уточняющие случаи, в которых инцидент считается значительным, как указано в параграфе 3. Комиссия может принимать такие имплементационные акты в отношении других существенных и важные сущности.
Комиссия должна обмениваться рекомендациями и сотрудничать с Группой сотрудничества по проектам исполнительных актов, упомянутых в первом и втором подпараграфах настоящего параграфа, в соответствии со статьей 14(4), пункт (e).
Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в Статье 39(2).
Статья 24
Использование европейских схем сертификации кибербезопасности
1. Чтобы продемонстрировать соответствие конкретным требованиям статьи 21, государства-члены могут потребовать от основных и важных организаций использовать определенные продукты ИКТ, услуги ИКТ и процессы ИКТ, разработанные основной или важной организацией или приобретенные у третьих сторон, которые сертифицированы. в соответствии с европейскими схемами сертификации кибербезопасности, принятыми в соответствии со статьей 49 Регламента (ЕС) 2019/881. Кроме того, государства-члены ЕС должны поощрять основные и важные организации использовать квалифицированные трастовые услуги.
2. Комиссия уполномочена принимать делегированные акты в соответствии со статьей 38, чтобы дополнить настоящую Директиву, определяя, какие категории основных и важных субъектов должны быть обязаны использовать определенные сертифицированные продукты ИКТ, услуги ИКТ и процессы ИКТ или получать сертификат. в соответствии с европейской схемой сертификации кибербезопасности, принятой в соответствии со статьей 49 Регламента (ЕС) 2019/881. Эти делегированные акты должны быть приняты, если выявлен недостаточный уровень кибербезопасности, и должны включать период реализации.
Прежде чем принять такие делегированные акты, Комиссия должна провести оценку воздействия и провести консультации в соответствии со статьей 56 Регламента (ЕС) 2019/881.
3. Если соответствующая европейская схема сертификации кибербезопасности для целей пункта 2 настоящей статьи недоступна, Комиссия может, после консультации с Группой сотрудничества и Европейской группой сертификации кибербезопасности, запросить ENISA подготовить кандидатскую схему в соответствии со статьей 48(2). ) Регламента (ЕС) 2019/881.
Статья 25
Стандартизация
1. В целях содействия конвергентному осуществлению статьи 21(1) и (2) государства-члены должны, не навязывая и не дискриминируя использование определенного типа технологии, поощрять использование европейских и международных стандартов и технических спецификации, относящиеся к безопасности сетей и информационных систем.
2. ENISA в сотрудничестве с государствами-членами и, при необходимости, после консультаций с соответствующими заинтересованными сторонами, должна разработать рекомендации и рекомендации относительно технических областей, которые следует учитывать в связи с параграфом 1, а также относительно уже существующих стандартов, включая национальные стандарты, что позволит охватить эти области.
ГЛАВА V
ЮРИСДИКЦИЯ И РЕГИСТРАЦИЯ
Статья 26
Юрисдикция и территориальность
1. Субъекты, подпадающие под действие настоящей Директивы, считаются подпадающими под юрисдикцию Государства-члена ЕС, в котором они учреждены, за исключением случаев:
(а)
провайдеры общедоступных сетей электронных коммуникаций или провайдеры общедоступных услуг электронных коммуникаций, которые считаются подпадающими под юрисдикцию государства-члена, в котором они предоставляют свои услуги;
(б)
Поставщики услуг DNS, реестры имен TLD, организации, предоставляющие услуги регистрации доменных имен, поставщики услуг облачных вычислений, поставщики услуг центров обработки данных, поставщики сетей доставки контента, поставщики управляемых услуг, поставщики управляемых услуг безопасности, а также поставщики онлайн-торговых площадок, онлайн-поиска механизмы или платформы социальных сетей, которые считаются подпадающими под юрисдикцию государства-члена, в котором они имеют свое основное представительство в Союзе в соответствии с параграфом 2;
(с)
субъекты государственного управления, которые считаются подпадающими под юрисдикцию государства-члена, которое их учредило.
2. Для целей настоящей Директивы организация, указанная в параграфе 1, пункт (b), считается имеющей свое основное представительство в Союзе в государстве-члене, где принимаются решения, связанные с мерами по управлению рисками кибербезопасности. преимущественно взято. Если такое государство-член не может быть определено или если такие решения не принимаются в Союзе, основное учреждение считается находящимся в государстве-члене, где осуществляются операции по кибербезопасности. Если такое государство-член не может быть определено, основное предприятие считается находящимся в государстве-члене, где соответствующая организация имеет предприятие с наибольшим количеством сотрудников в Союзе.
3. Если организация, указанная в параграфе 1, пункт (b), не учреждена в Союзе, но предлагает услуги внутри Союза, она должна назначить представителя в Союзе. Представитель должен быть учрежден в одном из тех государств-членов ЕС, где предлагаются услуги. Считается, что такое юридическое лицо подпадает под юрисдикцию государства-члена ЕС, в котором учрежден представитель. В отсутствие представителя в Союзе, назначенного в соответствии с настоящим параграфом, любое государство-член ЕС, в котором организация предоставляет услуги, может подать в суд против организации за нарушение настоящей Директивы.
4. Назначение представителя юридическим лицом, как указано в пункте (b) параграфа 1, не должно наносить ущерба юридическим искам, которые могут быть инициированы против самого юридического лица.
5. Государства-члены, получившие запрос о взаимной помощи в отношении субъекта, указанного в параграфе 1, пункт (b), могут, в пределах этого запроса, принять соответствующие меры надзора и правоприменения в отношении заинтересованного субъекта. предоставляющее услуги или имеющее на своей территории сеть и информационную систему.
Статья 27
Реестр юридических лиц
1. ENISA должна создать и поддерживать реестр поставщиков услуг DNS, реестров имен TLD, организаций, предоставляющих услуги регистрации доменных имен, поставщиков услуг облачных вычислений, поставщиков услуг центров обработки данных, поставщиков сетей доставки контента, поставщиков управляемых услуг, поставщиков управляемых услуг безопасности, как а также поставщикам онлайн-торговых площадок, онлайн-поисковых систем и платформ социальных сетей на основе информации, полученной от единых контактных лиц в соответствии с параграфом 4. По запросу ENISA должна предоставить компетентным органам доступ к этому реестру. , обеспечивая при этом защиту конфиденциальности информации, где это применимо.
2. Государства-члены должны потребовать от организаций, упомянутых в параграфе 1, предоставить компетентным органам следующую информацию до 17 января 2025 года:
(а)
название сущности;
(б)
соответствующий сектор, подсектор и тип предприятия, указанные в Приложении I или II, где это применимо;
(с)
адрес основного учреждения организации и других ее юридических учреждений в Союзе или, если она не учреждена в Союзе, ее представителя, назначенного в соответствии со статьей 26(3);
(г)
актуальные контактные данные, включая адреса электронной почты и номера телефонов организации и, если применимо, ее представителя, назначенного в соответствии со статьей 26(3);
(е)
государства-члены ЕС, где организация предоставляет услуги; и
(е)
диапазоны IP-адресов объекта.
3. Государства-члены должны обеспечить, чтобы субъекты, упомянутые в параграфе 1, уведомляли компетентный орган о любых изменениях в информации, которую они предоставили в соответствии с параграфом 2, без промедления и в любом случае в течение трех месяцев с даты изменения.
4. После получения информации, указанной в параграфах 2 и 3, за исключением информации, указанной в параграфе 2, пункт (f), единственное контактное лицо соответствующего государства-члена должно без неоправданной задержки направить ее в ENISA.
5. Когда это применимо, информация, указанная в пунктах 2 и 3 настоящей статьи, должна быть представлена через национальный механизм, указанный в четвертом подпараграфе статьи 3(4).
Статья 28
База данных регистрации доменных имен
1. В целях обеспечения безопасности, стабильности и отказоустойчивости DNS государства-члены должны требовать от реестров имен TLD и организаций, предоставляющих услуги по регистрации доменных имен, сбора и хранения точных и полных регистрационных данных доменных имен в специальной базе данных с должной осмотрительностью. в соответствии с законодательством Союза о защите данных в отношении данных, которые являются персональными данными.
2. Для целей параграфа 1 государства-члены должны требовать, чтобы база данных регистрационных данных доменных имен содержала необходимую информацию для идентификации и связи с владельцами доменных имен и контактными лицами, управляющими доменными именами в рамках ДВУ. Такая информация должна включать:
(а)
доменное имя;
(б)
дата регистрации;
(с)
имя регистранта, контактный адрес электронной почты и номер телефона;
(г)
контактный адрес электронной почты и номер телефона контактного лица, администрирующего доменное имя, в случае, если они отличаются от адресов регистранта.
3. Государства-члены должны требовать от реестров имен TLD и организаций, предоставляющих услуги по регистрации доменных имен, наличия политик и процедур, включая процедуры проверки, для обеспечения того, чтобы базы данных, упомянутые в параграфе 1, содержали точную и полную информацию. Государства-члены ЕС должны требовать, чтобы такая политика и процедуры были общедоступными.
4. Государства-члены должны требовать от реестров доменных имен и организаций, предоставляющих услуги по регистрации доменных имен, публиковать без неоправданной задержки после регистрации доменного имени регистрационные данные доменного имени, которые не являются персональными данными.
5. Государства-члены должны требовать от реестров доменных имен и организаций, предоставляющих услуги по регистрации доменных имен, предоставления доступа к конкретным регистрационным данным доменных имен по законным и должным образом обоснованным запросам законных лиц, ищущих доступ, в соответствии с законом о защите данных Союза. Государства-члены должны требовать от реестров имен TLD и организаций, предоставляющих услуги по регистрации доменных имен, ответа без неоправданной задержки и в любом случае в течение 72 часов с момента получения любых запросов на доступ. Государства-члены ЕС должны требовать, чтобы политика и процедуры раскрытия таких данных были общедоступными.
6. Соблюдение обязательств, предусмотренных пунктами 1–5, не влечет за собой дублирование сбора данных о регистрации доменного имени. С этой целью государства-члены должны потребовать от реестров имен TLD и организаций, предоставляющих услуги по регистрации доменных имен, сотрудничать друг с другом.
ГЛАВА VI
ОБМЕН ИНФОРМАЦИЕЙ
Статья 29
Механизмы обмена информацией о кибербезопасности
1. Государства-члены должны обеспечить, чтобы субъекты, подпадающие под действие настоящей Директивы, и, в соответствующих случаях, другие субъекты, не подпадающие под действие настоящей Директивы, могли обмениваться на добровольной основе соответствующей информацией о кибербезопасности между собой, включая информацию, касающуюся киберугроз. , потенциальные опасности, уязвимости, методы и процедуры, индикаторы компрометации, состязательная тактика, информация, специфичная для субъектов угроз, предупреждения кибербезопасности и рекомендации относительно настройки инструментов кибербезопасности для обнаружения кибератак, если такой обмен информацией:
(а)
направлена на предотвращение, обнаружение, реагирование на инциденты или восстановление после них, а также на смягчение их последствий;
(б)
повышает уровень кибербезопасности, в частности, путем повышения осведомленности о киберугрозах, ограничения или препятствования возможности распространения таких угроз, поддержки ряда защитных возможностей, устранения и раскрытия уязвимостей, обнаружения угроз, методов сдерживания и предотвращения, стратегий смягчения последствий или этапы реагирования и восстановления, или содействие совместным исследованиям киберугроз между государственными и частными организациями.
2. Государства-члены должны обеспечить, чтобы обмен информацией происходил внутри сообществ важных и важных организаций и, где это уместно, их поставщиков или поставщиков услуг. Такой обмен должен осуществляться посредством механизмов обмена информацией о кибербезопасности с учетом потенциально конфиденциального характера передаваемой информации.
3. Государства-члены должны способствовать созданию механизмов обмена информацией о кибербезопасности, упомянутых в пункте 2 настоящей статьи. В таких договоренностях могут определяться оперативные элементы, включая использование специализированных платформ ИКТ и средств автоматизации, содержание и условия механизмов обмена информацией. Устанавливая детали участия государственных органов в таких мероприятиях, государства-члены могут налагать условия на информацию, предоставляемую компетентными органами или CSIRT. Государства-члены должны предлагать помощь в применении таких механизмов в соответствии со своей политикой, указанной в статье 7(2), пункт (h).
4. Государства-члены должны обеспечить, чтобы основные и важные организации уведомляли компетентные органы об их участии в соглашениях по обмену информацией о кибербезопасности, упомянутых в параграфе 2, при заключении таких соглашений или, если применимо, о выходе из таких соглашений, как только отзыв вступает в силу.
5. ENISA должна оказать помощь в создании механизмов обмена информацией о кибербезопасности, упомянутых в параграфе 2, путем обмена передовым опытом и предоставления рекомендаций.
Статья 30
Добровольное уведомление соответствующей информации
1. Государства-члены должны обеспечить, чтобы в дополнение к обязательству по уведомлению, предусмотренному в Статье 23, уведомления могли подаваться в CSIRT или, где это применимо, компетентные органы на добровольной основе путем:
(а)
основные и важные субъекты в отношении инцидентов, киберугроз и опасных ситуаций;
(б)
организациям, кроме упомянутых в пункте (а), независимо от того, подпадают ли они под действие настоящей Директивы, в отношении значительных инцидентов, киберугроз и опасных ситуаций.
2. Государства-члены обрабатывают уведомления, указанные в пункте 1 настоящей статьи, в соответствии с процедурой, установленной в статье 23. Государства-члены могут отдавать приоритет обработке обязательных уведомлений по сравнению с добровольными уведомлениями.
При необходимости CSIRT и, если применимо, компетентные органы должны предоставить единые точки контакта с информацией об уведомлениях, полученных в соответствии с настоящей статьей, обеспечивая при этом конфиденциальность и соответствующую защиту информации, предоставленной уведомляющим органом. Без ущерба для предотвращения, расследования, обнаружения и преследования уголовных преступлений добровольное сообщение не должно приводить к наложению каких-либо дополнительных обязательств на уведомляющее лицо, которым оно не подвергалось бы, если бы оно не представило уведомление.
ГЛАВА VII
НАДЗОР И ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ
Статья 31
Общие аспекты, касающиеся надзора и правоприменения
1. Государства-члены ЕС должны обеспечить, чтобы их компетентные органы эффективно контролировали и принимали меры, необходимые для обеспечения соблюдения настоящей Директивы.
2. Государства-члены могут разрешить своим компетентным органам определять приоритетность надзорных задач. Такая приоритезация должна основываться на подходе, основанном на оценке риска. С этой целью при выполнении своих надзорных задач, предусмотренных статьями 32 и 33, компетентные органы могут устанавливать надзорные методологии, позволяющие определять приоритетность таких задач, следуя подходу, основанному на риске.
3. Компетентные органы должны работать в тесном сотрудничестве с надзорными органами в соответствии с Регламентом (ЕС) 2016/679 при рассмотрении инцидентов, приводящих к утечке персональных данных, без ущерба для компетенции и задач надзорных органов в соответствии с этим Регламентом.
4. Без ущерба для национальных законодательных и институциональных рамок, государства-члены должны обеспечить, чтобы при надзоре за соблюдением органами государственного управления настоящей Директивы и введении принудительных мер в отношении нарушений настоящей Директивы компетентные органы имели соответствующие полномочия для выполнять такие задачи, сохраняя оперативную независимость по отношению к поднадзорным органам государственного управления. Государства-члены ЕС могут принимать решения о введении соответствующих, пропорциональных и эффективных мер надзора и правоприменения в отношении этих организаций в соответствии с национальными законодательными и институциональными рамками.
Статья 32
Контрольно-принудительные меры в отношении существенных субъектов
1. Государства-члены ЕС должны обеспечить, чтобы меры надзора или принуждения, налагаемые на основные субъекты в отношении обязательств, изложенных в настоящей Директиве, были эффективными, соразмерными и оказывающими сдерживающее воздействие, принимая во внимание обстоятельства каждого отдельного случая.
2. Государства-члены ЕС должны обеспечить, чтобы компетентные органы при выполнении своих надзорных задач в отношении важнейших организаций имели право подвергать эти организации как минимум:
(а)
инспекции на местах и дистанционный надзор, включая выборочные проверки, проводимые обученными специалистами;
(б)
регулярные и целевые проверки безопасности, проводимые независимым органом или компетентным органом;
(с)
специальные проверки, в том числе там, где это оправдано существенным инцидентом или нарушением настоящей Директивы существенным субъектом;
(г)
проверки безопасности на основе объективных, недискриминационных, справедливых и прозрачных критериев оценки рисков, при необходимости в сотрудничестве с заинтересованной организацией;
(е)
запросы на информацию, необходимую для оценки мер по управлению рисками кибербезопасности, принятых заинтересованной организацией, включая документированную политику кибербезопасности, а также соблюдение обязательства предоставлять информацию компетентным органам в соответствии со статьей 27;
(е)
запросы на доступ к данным, документам и информации, необходимым для выполнения своих надзорных задач;
(г)
запросы на подтверждение реализации политики кибербезопасности, например, результаты аудита безопасности, проведенного квалифицированным аудитором, и соответствующие лежащие в его основе доказательства.
Целевые проверки безопасности, упомянутые в первом подпункте пункта (b), должны основываться на оценках рисков, проводимых компетентным органом или проверяемым лицом, или на другой доступной информации, связанной с рисками.
Результаты любого целевого аудита безопасности должны быть доступны компетентному органу. Расходы на такой целевой аудит безопасности, проводимый независимым органом, оплачивает проверяемый субъект, за исключением надлежащим образом обоснованных случаев, когда компетентный орган принимает иное решение.
3. При осуществлении своих полномочий в соответствии с пунктом (e), (f) или (g) параграфа 2 компетентные органы должны указать цель запроса и указать запрашиваемую информацию.
4. Государства-члены должны обеспечить, чтобы их компетентные органы при осуществлении своих правоприменительных полномочий в отношении существенных субъектов имели полномочия, по крайней мере:
(а)
выдавать предупреждения о нарушениях настоящей Директивы заинтересованными лицами;
(б)
принять обязательные инструкции, в том числе в отношении мер, необходимых для предотвращения или устранения инцидента, а также сроков реализации таких мер и отчетности об их реализации, или приказ, обязывающий заинтересованные лица устранить выявленные недостатки или нарушения настоящей Директивы;
(с)
приказать заинтересованным организациям прекратить поведение, нарушающее настоящую Директиву, и воздерживаться от повторения такого поведения;
(г)
поручить заинтересованным организациям обеспечить соответствие их мер по управлению рисками кибербезопасности статье 21 или выполнить обязательства по отчетности, изложенные в статье 23, в определенном порядке и в течение определенного периода;
(е)
предписать заинтересованным организациям информировать физических или юридических лиц, которым они предоставляют услуги или осуществляют деятельность, на которую потенциально может повлиять значительная киберугроза, о характере угрозы, а также о любых возможных защитных или корректирующих мерах, которые могут быть предприняты этими физическими или юридическими лицами в ответ на эту угрозу;
(е)
поручить заинтересованным лицам выполнить в разумные сроки рекомендации, предоставленные по результатам проверки безопасности;
(г)
назначить ответственного за мониторинг с четко определенными задачами на определенный период времени для надзора за соблюдением соответствующими организациями статей 21 и 23;
(час)
предписать заинтересованным организациям обнародовать аспекты нарушений настоящей Директивы в установленном порядке;
(я)
налагать или требовать наложения соответствующими органами, судами или трибуналами в соответствии с национальным законодательством административного штрафа в соответствии со статьей 34 в дополнение к любой из мер, указанных в пунктах (а) – (h) настоящего пункта. .
5. Если принудительные меры, принятые в соответствии с параграфом 4, пункты (a) - (d) и (f), неэффективны, государства-члены ЕС должны обеспечить, чтобы их компетентные органы имели право устанавливать крайний срок, к которому от существенного субъекта требуется предпринять необходимые действия для устранения недостатков или для выполнения требований этих органов. Если запрошенное действие не предпринято в установленный срок, государства-члены должны обеспечить, чтобы их компетентные органы имели право:
(а)
временно приостановить или попросить орган по сертификации или авторизации, или суд или трибунал, в соответствии с национальным законодательством, временно приостановить сертификацию или разрешение в отношении части или всех соответствующих услуг, предоставляемых или деятельности, осуществляемой основной организацией;
(б)
просить соответствующие органы, суды или трибуналы в соответствии с национальным законодательством временно запретить любому физическому лицу, ответственному за выполнение управленческих обязанностей на уровне главного исполнительного директора или законного представителя в существенном субъекте, осуществлять управленческие функции в этом субъекте.
Временное приостановление или запреты, налагаемые в соответствии с настоящим пунктом, применяются только до тех пор, пока заинтересованное лицо не предпримет необходимые действия для устранения недостатков или не выполнит требования компетентного органа, в отношении которого были применены такие меры принуждения. Наложение таких временных приостановлений или запретов должно осуществляться с соблюдением соответствующих процессуальных гарантий в соответствии с общими принципами права Союза и Хартии, включая право на эффективное средство правовой защиты и на справедливое судебное разбирательство, презумпцию невиновности и права защита.
Принудительные меры, предусмотренные настоящим параграфом, не применяются к субъектам государственного управления, на которые распространяется действие настоящей Директивы.
6. Государства-члены ЕС должны обеспечить, чтобы любое физическое лицо, ответственное за или действующее в качестве законного представителя существенного субъекта на основании полномочий представлять его, полномочий принимать решения от его имени или полномочий осуществлять контроль над ним, имело полномочия гарантировать его соответствие настоящей Директиве. Государства-члены ЕС должны обеспечить возможность привлечения таких физических лиц к ответственности за нарушение их обязанностей по обеспечению соблюдения настоящей Директивы.
Что касается органов государственного управления, настоящий параграф не наносит ущерба национальному законодательству в отношении ответственности государственных служащих и выборных или назначаемых должностных лиц.
7. При принятии любых мер принудительного исполнения, упомянутых в параграфе 4 или 5, компетентные органы должны соблюдать права на защиту и учитывать обстоятельства каждого отдельного дела и, как минимум, должным образом учитывать:
(а)
серьезность нарушения и важность нарушенных положений, включая, среди прочего, в любом случае серьезное нарушение:
(я)
неоднократные нарушения;
(ii)
неспособность уведомить или устранить серьезные инциденты;
(iii)
неустранение недостатков в соответствии с обязательными инструкциями компетентных органов;
(iv)
воспрепятствование проведению проверок или мероприятий по мониторингу, назначенных компетентным органом после обнаружения нарушения;
(в)
предоставление ложной или крайне неточной информации в отношении мер по управлению рисками кибербезопасности или обязательств по отчетности, изложенных в статьях 21 и 23;
(б)
продолжительность нарушения;
(с)
любые соответствующие предыдущие нарушения со стороны заинтересованной организации;
(г)
любой причиненный материальный или нематериальный ущерб, включая любые финансовые или экономические потери, влияние на другие услуги и количество затронутых пользователей;
(е)
любое намерение или халатность со стороны лица, совершившего нарушение;
(е)
любые меры, принятые субъектом для предотвращения или уменьшения материального или нематериального ущерба;
(г)
любое соблюдение утвержденных кодексов поведения или утвержденных механизмов сертификации;
(час)
уровень сотрудничества физических или юридических лиц, привлеченных к ответственности, с компетентными органами.
8. Компетентные органы должны изложить подробное обоснование своих мер принудительного исполнения. Прежде чем принять такие меры, компетентные органы должны уведомить заинтересованные организации о своих предварительных выводах. Они также должны предоставлять этим организациям разумное время для представления замечаний, за исключением должным образом обоснованных случаев, когда в противном случае немедленные действия по предотвращению инцидентов или реагированию на них были бы затруднены.
9. Государства-члены должны обеспечить, чтобы их компетентные органы в соответствии с настоящей Директивой информировали соответствующие компетентные органы в том же государстве-члене в соответствии с Директивой (ЕС) 2022/2557 при осуществлении своих надзорных и правоприменительных полномочий с целью обеспечения соблюдения требований субъектом, определенным как критически важный субъект. согласно Директиве (ЕС) 2022/2557 с настоящей Директивой. В соответствующих случаях компетентные органы в соответствии с Директивой (ЕС) 2022/2557 могут потребовать от компетентных органов в соответствии с настоящей Директивой осуществить свои надзорные и правоприменительные полномочия в отношении субъекта, который определен как критически важный субъект в соответствии с Директивой (ЕС) 2022/2557.
10. Государства-члены должны гарантировать, что их компетентные органы в соответствии с настоящей Директивой сотрудничают с соответствующими компетентными органами соответствующего государства-члена в соответствии с Регламентом (ЕС) 2022/2554. В частности, государства-члены должны обеспечить, чтобы их компетентные органы в соответствии с настоящей Директивой информировали Надзорный форум, созданный в соответствии со статьей 32(1) Регламента (ЕС) 2022/2554, при осуществлении своих надзорных и правоприменительных полномочий, направленных на обеспечение соответствия существенного субъекта, который признан сторонним поставщиком важнейших ИКТ-услуг в соответствии со статьей 31 Регламента (ЕС) 2022/2554. настоящей Директивой.
Статья 33
Меры надзора и правоприменения в отношении важных субъектов
1. При наличии доказательств, указаний или информации о том, что важная организация предположительно не соблюдает настоящую Директиву, в частности ее статьи 21 и 23, государства-члены должны гарантировать, что компетентные органы при необходимости предпримут действия посредством мер надзора ex post. Государства-члены ЕС должны обеспечить, чтобы эти меры были эффективными, пропорциональными и оказывающими сдерживающее воздействие, принимая во внимание обстоятельства каждого отдельного случая.
2. Государства-члены ЕС должны обеспечить, чтобы компетентные органы при выполнении своих надзорных задач в отношении важных организаций имели право подвергать эти организации как минимум:
(а)
инспекции на местах и дистанционный постфактум надзор, проводимые обученными специалистами;
(б)
целевые проверки безопасности, проводимые независимым органом или компетентным органом;
(с)
проверки безопасности на основе объективных, недискриминационных, справедливых и прозрачных критериев оценки рисков, при необходимости в сотрудничестве с заинтересованной организацией;
(г)
запросы на информацию, необходимую для оценки ex post мер по управлению рисками кибербезопасности, принятых заинтересованной организацией, включая документированную политику кибербезопасности, а также соблюдения обязательства предоставлять информацию компетентным органам в соответствии со статьей 27;
(е)
запросы на доступ к данным, документам и информации, необходимым для выполнения своих надзорных задач;
(е)
запросы на подтверждение реализации политики кибербезопасности, например, результаты аудита безопасности, проведенного квалифицированным аудитором, и соответствующие лежащие в его основе доказательства.
Целевые проверки безопасности, упомянутые в первом подпункте пункта (b), должны основываться на оценках рисков, проводимых компетентным органом или проверяемым лицом, или на другой доступной информации, связанной с рисками.
Результаты любого целевого аудита безопасности должны быть доступны компетентному органу. Расходы на такой целевой аудит безопасности, проводимый независимым органом, оплачивает проверяемый субъект, за исключением надлежащим образом обоснованных случаев, когда компетентный орган принимает иное решение.
3. При осуществлении своих полномочий в соответствии с пунктом (d), (e) или (f) параграфа 2 компетентные органы должны указать цель запроса и указать запрашиваемую информацию.
4. Государства-члены должны обеспечить, чтобы компетентные органы при осуществлении своих правоприменительных полномочий в отношении важных субъектов имели полномочия, по крайней мере:
(а)
выдавать предупреждения о нарушениях настоящей Директивы заинтересованными лицами;
(б)
принять обязательные инструкции или приказ, требующий от соответствующих организаций устранить выявленные недостатки или нарушения настоящей Директивы;
(с)
приказать заинтересованным организациям прекратить поведение, нарушающее настоящую Директиву, и воздерживаться от повторения такого поведения;
(г)
поручить заинтересованным организациям обеспечить соответствие их мер по управлению рисками кибербезопасности статье 21 или выполнить обязательства по отчетности, изложенные в статье 23, в определенном порядке и в течение определенного периода;
(е)
предписать заинтересованным организациям информировать физических или юридических лиц, которым они предоставляют услуги или осуществляют деятельность, на которую потенциально может повлиять значительная киберугроза, о характере угрозы, а также о любых возможных защитных или корректирующих мерах, которые могут быть предприняты этими физическими или юридическими лицами в ответ на эту угрозу;
(е)
поручить заинтересованным лицам выполнить в разумные сроки рекомендации, предоставленные по результатам проверки безопасности;
(г)
предписать заинтересованным организациям обнародовать аспекты нарушений настоящей Директивы в установленном порядке;
(час)
наложить или потребовать наложения соответствующими органами, судами или трибуналами в соответствии с национальным законодательством административного штрафа в соответствии со статьей 34 в дополнение к любой из мер, указанных в пунктах (а)-(g) настоящего пункта. .
5. Статья 32(6), (7) и (8) применяются с соответствующими изменениями к мерам надзора и правоприменения, предусмотренным в настоящей статье для важных организаций.
6. Государства-члены должны обеспечить, чтобы их компетентные органы в соответствии с настоящей Директивой сотрудничали с соответствующими компетентными органами соответствующего государства-члена в соответствии с Регламентом (ЕС) 2022/2554. В частности, государства-члены должны обеспечить, чтобы их компетентные органы в соответствии с настоящей Директивой информировали Надзорный форум, созданный в соответствии со статьей 32(1) Регламента (ЕС) 2022/2554, при осуществлении своих надзорных и правоприменительных полномочий, направленных на обеспечение соответствия важной организации, которая признан сторонним поставщиком важнейших ИКТ-услуг в соответствии со статьей 31 Регламента (ЕС) 2022/2554. настоящей Директивой.
Статья 34
Общие условия наложения административных штрафов на существенные и важные субъекты
1. Государства-члены ЕС должны обеспечить, чтобы административные штрафы, налагаемые на существенные и важные субъекты в соответствии с настоящей статьей в отношении нарушений настоящей Директивы, были эффективными, соразмерными и оказывающими сдерживающее воздействие, принимая во внимание обстоятельства каждого отдельного случая.
2. Административные штрафы налагаются в дополнение к любой из мер, указанных в Статье 32(4), пункты (a) - (h), Статье 32(5) и Статье 33(4), пункты (a) - ( г).
3. При принятии решения о наложении административного штрафа и определении его размера в каждом отдельном случае должное внимание должно быть уделено, как минимум, элементам, предусмотренным статьей 32(7).
4. Государства-члены должны обеспечить, чтобы в случае нарушения статей 21 или 23 существенные субъекты подвергались в соответствии с пунктами 2 и 3 настоящей статьи административным штрафам в размере не менее 10 000 000 евро или не более 10 000 000 евро или не более не менее 2 % от общего мирового годового оборота за предыдущий финансовый год предприятия, которому принадлежит существенное юридическое лицо, в зависимости от того, что больше.
5. Государства-члены должны обеспечить, чтобы в случае нарушения статей 21 или 23 важные субъекты подвергались в соответствии с пунктами 2 и 3 настоящей статьи административным штрафам в размере не менее 7 000 000 евро или не более 7 000 000 евро. не менее 1,4 % от общего мирового годового оборота за предыдущий финансовый год предприятия, которому принадлежит важное предприятие, в зависимости от того, что больше.
6. Государства-члены ЕС могут предусмотреть право налагать периодические штрафы, чтобы заставить существенную или важную организацию прекратить нарушение настоящей Директивы в соответствии с предварительным решением компетентного органа.
7. Без ущерба для полномочий компетентных органов в соответствии со статьями 32 и 33, каждое государство-член может устанавливать правила относительно того, могут ли и в какой степени налагаться административные штрафы на субъекты государственного управления.
8. Если правовая система государства-члена не предусматривает административных штрафов, это государство-член должно обеспечить применение настоящей статьи таким образом, чтобы штраф инициировался компетентным органом и налагался компетентными национальными судами или трибуналами, в то время как обеспечение того, чтобы эти средства правовой защиты были эффективными и имели эффект, эквивалентный административным штрафам, налагаемым компетентными органами. В любом случае налагаемые штрафы должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие. Государство-член должно уведомить Комиссию о положениях законов, которые оно принимает в соответствии с настоящим параграфом, до 17 октября 2024 года и, без промедления, о любых последующих законах о поправках или поправках, затрагивающих их.
Статья 35
Нарушения, повлекшие за собой утечку персональных данных
1. Если компетентным органам в ходе надзора или правоприменения становится известно, что нарушение существенным или важным субъектом обязательств, изложенных в статьях 21 и 23 настоящей Директивы, может повлечь за собой нарушение персональных данных, как это определено в статье 4, пункте (12) Регламента (ЕС) 2016/679, о котором необходимо уведомить в соответствии со статьей 33 этого Регламента, они должны без неоправданной задержки проинформировать надзорные органы, как указано в статье 55 или 56 этого Регламента.
2. Если надзорные органы, указанные в статье 55 или 56 Регламента (ЕС) 2016/679, налагают административный штраф в соответствии со статьей 58(2), пункт (i) этого Регламента, компетентные органы не должны налагать штраф. административный штраф в соответствии со статьей 34 настоящей Директивы за нарушение, указанное в пункте 1 настоящей статьи, возникшее в результате того же поведения, которое было предметом административного штрафа в соответствии со статьей 58(2), пункт (i) Регламента ( ЕС) 2016/679. Однако компетентные органы могут наложить принудительные меры, предусмотренные статьей 32(4), пункты (a)–(h), статьей 32(5) и статьей 33(4), пунктами (a)–(g), настоящей Директивы.
3. Если надзорный орган, компетентный в соответствии с Регламентом (ЕС) 2016/679, учрежден в другом государстве-члене, чем компетентный орган, компетентный орган должен проинформировать надзорный орган, созданный в его собственном государстве-члене, о потенциальном нарушении данных, указанном в параграфе. 1.
Статья 36
Штрафы
Государства-члены ЕС должны установить правила в отношении санкций, применимых к нарушениям национальных мер, принятых в соответствии с настоящей Директивой, и принять все меры, необходимые для обеспечения их реализации. Предусмотренные наказания должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие. Государства-члены должны до 17 января 2025 года уведомить Комиссию об этих правилах и этих мерах, а также незамедлительно уведомить ее о любых последующих поправках, затрагивающих их.
Статья 37
Взаимопомощь
1. Если организация предоставляет услуги более чем в одном государстве-члене ЕС или предоставляет услуги в одном или нескольких государствах-членах ЕС, а ее сеть и информационные системы расположены в одном или нескольких других государствах-членах ЕС, компетентные органы соответствующих государств-членов ЕС должны сотрудничать с и помогать друг другу по мере необходимости. Такое сотрудничество должно влечь за собой, по крайней мере, следующее:
(а)
компетентные органы, применяющие меры надзора или правоприменения в государстве-члене ЕС, должны через единое контактное лицо информировать и консультироваться с компетентными органами других заинтересованных государств-членов ЕС о принятых мерах надзора и правоприменения;
(б)
компетентный орган может потребовать от другого компетентного органа принять меры надзора или принуждения;
(с)
Компетентный орган обязан по получении обоснованного запроса от другого компетентного органа предоставить другому компетентному органу взаимную помощь, пропорциональную его собственным ресурсам, чтобы меры надзора или принуждения могли быть реализованы эффективным, действенным и последовательным образом.
Взаимная помощь, упомянутая в первом подпункте пункта (с), может охватывать информационные запросы и меры надзора, включая запросы на проведение инспекций на местах или дистанционного надзора или целевых проверок безопасности. Компетентный орган, которому адресован запрос о помощи, не должен отклонять этот запрос, за исключением случаев, когда установлено, что он не обладает компетенцией для предоставления запрошенной помощи, запрошенная помощь не соразмерна надзорным задачам компетентного органа или запрос касается информации или влечет за собой действия, которые в случае раскрытия или осуществления противоречат существенным интересам национальной безопасности, общественной безопасности или обороны государства-члена. Прежде чем отклонить такой запрос, компетентный орган должен проконсультироваться с другими заинтересованными компетентными органами, а также, по запросу одного из заинтересованных государств-членов, с Комиссией и ENISA.
2. При необходимости и по общему согласию компетентные органы различных государств-членов могут осуществлять совместные надзорные действия.
ГЛАВА VIII
ДЕЛЕГИРОВАННЫЕ И ОСУЩЕСТВЛЯЮЩИЕ АКТЫ
Статья 38
Упражнение делегации
1. Право принимать делегированные акты предоставляется Комиссии при соблюдении условий, изложенных в настоящей статье.
2. Полномочия по принятию делегированных актов, упомянутых в статье 24(2), предоставляются Комиссии сроком на пять лет, начиная с 16 января 2023 года.
3. Делегирование полномочий, упомянутое в статье 24(2), может быть отозвано в любое время Европейским парламентом или Советом. Решение об отзыве прекращает делегирование полномочий, указанных в этом решении. Оно вступает в силу на следующий день после публикации решения в Официальном журнале Европейского Союза или в более поздний срок, указанный в нем. Это не влияет на действительность любых делегированных актов, уже вступивших в силу.
4. Перед принятием делегированного акта Комиссия должна проконсультироваться с экспертами, назначенными каждым государством-членом в соответствии с принципами, изложенными в Межинституциональном соглашении от 13 апреля 2016 года о совершенствовании законотворчества.
5. Как только она примет делегированный акт, Комиссия уведомляет об этом одновременно Европейский Парламент и Совет.
6. Делегированный акт, принятый в соответствии со статьей 24(2), вступает в силу только в том случае, если ни Европейский парламент, ни Совет не высказали возражений в течение двухмесячного периода с момента уведомления об этом акте Европейского парламента и Совету или если до истечения этого периода Европейский парламент и Совет проинформировали Комиссию о том, что они не будут возражать. Этот период продлевается на два месяца по инициативе Европейского парламента или Совета.
Статья 39
Процедура комитета
1. Комиссии помогает комитет. Этот комитет должен быть комитетом в значении Регламента (ЕС) № 182/2011.
2. При ссылке на настоящий параграф применяется Статья 5 Регламента (ЕС) № 182/2011.
3. Если заключение комитета должно быть получено посредством письменной процедуры, эта процедура должна быть прекращена безрезультатно, если в течение срока для вынесения заключения председатель комитета примет такое решение или член комитета потребует этого.
ГЛАВА IX
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 40
Обзор
К 17 октября 2027 года и каждые 36 месяцев после этого Комиссия должна проверять функционирование настоящей Директивы и отчитываться перед Европейским парламентом и Советом. В отчете, в частности, должна оцениваться значимость размера соответствующих организаций, а также секторов, подсекторов и типов организаций, упомянутых в Приложениях I и II, для функционирования экономики и общества в отношении кибербезопасности. С этой целью и с целью дальнейшего развития стратегического и оперативного сотрудничества Комиссия должна принять во внимание отчеты Группы сотрудничества и сети CSIRT об опыте, полученном на стратегическом и оперативном уровне. Отчет должен сопровождаться, при необходимости, законодательным предложением.
Статья 41
Транспонирование
1. К 17 октября 2024 г. государства-члены должны принять и опубликовать меры, необходимые для соблюдения настоящей Директивы. Они должны немедленно проинформировать об этом Комиссию.
Они должны применить эти меры с 18 октября 2024 года.
2. Когда государства-члены ЕС принимают меры, указанные в параграфе 1, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.
Статья 42
Поправка к Регламенту (ЕС) № 910/2014
В Регламенте (ЕС) № 910/2014 статья 19 удалена с 18 октября 2024 г.
Статья 43
Поправка к Директиве (ЕС) 2018/1972
В Директиве (ЕС) 2018/1972 статьи 40 и 41 удалены с 18 октября 2024 г.
Статья 44
Отменить
Директива (ЕС) 2016/1148 отменена с 18 октября 2024 г.
Ссылки на отмененную Директиву должны рассматриваться как ссылки на настоящую Директиву и читаться в соответствии с корреляционной таблицей, изложенной в Приложении III.
Статья 45
Вступление в силу
Настоящая Директива вступает в силу на двадцатый день после ее публикации в Официальном журнале Европейского Союза.
Статья 46
Адресаты
Данная Директива адресована государствам-членам.
Совершено в Страсбурге 14 декабря 2022 г.
За Европейский Парламент
Президент
Р. МЕТСОЛА
Для Совета
Президент
М. БЕК
(1) OJ C 233, 16.06.2022, стр. 22.
(2) OJ C 286, 16 июля 2021 г., стр. 170.
(3) Позиция Европейского парламента от 10 ноября 2022 г. (ещё не опубликованная в Официальном журнале) и решение Совета от 28 ноября 2022 г.
(4) Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 г. о мерах по обеспечению высокого общего уровня безопасности сетей и информационных систем на территории Союза (OJ L 194, 19.7.2016, стр. 1).
(5) Рекомендация Комиссии 2003/361/EC от 6 мая 2003 г. относительно определения микро-, малых и средних предприятий (OJ L 124, 20 мая 2003 г., стр. 36).
(6) Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC (OJ L 257, 28.8) .2014, стр. 73).
(7) Директива 97/67/EC Европейского парламента и Совета от 15 декабря 1997 г. об общих правилах развития внутреннего рынка почтовых услуг Сообщества и улучшения качества обслуживания (ОЖ L 15, 21 января 1998 г.) , стр. 14).
(8) Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/ 46/EC (Общий регламент по защите данных) (OJ L 119, 04.05.2016, стр. 1).
(9) Директива 2002/58/EC Европейского парламента и Совета от 12 июля 2002 г. относительно обработки персональных данных и защиты конфиденциальности в секторе электронных коммуникаций (Директива о конфиденциальности и электронных коммуникациях) (OJ L 201, 31.7.2002, стр. 37).
(10) Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 года о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламент (ЕС) № 1060/2009, (ЕС) № 648/2012, ( ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (см. стр. 1 настоящего Официального журнала).
(11) Регламент (ЕС) № 300/2008 Европейского парламента и Совета от 11 марта 2008 г. об общих правилах в области безопасности гражданской авиации и отмене Регламента (ЕС) № 2320/2002 (OJ L 97, 9.4. 2008, стр. 72).
(12) Регламент (ЕС) 2018/1139 Европейского парламента и Совета от 4 июля 2018 года об общих правилах в области гражданской авиации и создании Агентства авиационной безопасности Европейского Союза, а также о внесении изменений в Регламент (ЕС) № 2111/2005. , (EC) № 1008/2008, (ЕС) № 996/2010, (ЕС) № 376/2014 и Директивы 2014/30/EU и 2014/53/EU Европейского парламента и Совета, а также отменяющие Регламенты ( EC) № 552/2004 и (EC) № 216/2008 Европейского Парламента и Совета и Регламент Совета (ЕЭС) № 3922/91 (ОЖ L 212, 22 августа 2018 г., стр. 1).
(13) Директива (ЕС) 2022/2557 Европейского парламента и Совета от 14 декабря 2022 года об устойчивости критически важных объектов и отмене Директивы Совета 2008/114/EC (см. стр. 164 настоящего Официального журнала).
(14) Регламент (ЕС) 2021/696 Европейского парламента и Совета от 28 апреля 2021 года, учреждающий Космическую программу Союза и Агентство Европейского Союза по космической программе и отменяющий Регламент (ЕС) № 912/2010 (ЕС) № 1285/2013 и (ЕС) № 377/2014 и Решение № 541/2014/ЕС (ОЖ L 170, 12 мая 2021 г., стр. 69).
(15) Рекомендация Комиссии (ЕС) 2017/1584 от 13 сентября 2017 г. о скоординированном реагировании на крупномасштабные инциденты и кризисы в области кибербезопасности (OJ L 239, 19 сентября 2017 г., стр. 36).
(16) Решение Совета по реализации (ЕС) 2018/1993 от 11 декабря 2018 года о комплексных мерах ЕС по реагированию на политический кризис (OJ L 320, 17.12.2018, стр. 28).
(17) Решение № 1313/2013/EU Европейского парламента и Совета от 17 декабря 2013 г. о механизме гражданской защиты Союза (OJ L 347, 20 декабря 2013 г., стр. 924).
(18) Регламент (ЕС) 2019/881 Европейского парламента и Совета от 17 апреля 2019 г. об ENISA (Агентстве Европейского Союза по кибербезопасности), а также о сертификации и отмене кибербезопасности информационных и коммуникационных технологий и отмене Регламента (ЕС) № 526/2013. (Закон о кибербезопасности) (OJ L 151, 7 июня 2019 г., стр. 15).
(19) Рекомендация Комиссии (ЕС) 2019/534 от 26 марта 2019 г. – Кибербезопасность сетей 5G (OJ L 88, 29 марта 2019 г., стр. 42).
(20) Директива (ЕС) 2018/1972 Европейского парламента и Совета от 11 декабря 2018 года о создании Европейского кодекса электронных коммуникаций (OJ L 321, 17.12.2018, стр. 36).
(21) Регламент (ЕС) 2021/694 Европейского парламента и Совета от 29 апреля 2021 года, устанавливающий Программу «Цифровая Европа» и отменяющий Решение (ЕС) 2015/2240 (ОЖ L 166, 11.5.2021, стр. 1).
(22) ОЖ L 123, 12 мая 2016 г., с. 1.
(23) Регламент (ЕС) № 182/2011 Европейского парламента и Совета от 16 февраля 2011 г., устанавливающий правила и общие принципы, касающиеся механизмов контроля со стороны государств-членов за осуществлением Комиссией исполнительных полномочий (OJ L 55, 28.2.2011, стр. 13).
(24) Регламент (ЕС) 2022/2065 Европейского парламента и Совета от 19 октября 2022 г. о едином рынке цифровых услуг и внесение поправок в Директиву 2000/31/EC (Закон о цифровых услугах) (OJ L 277, 27.10.2022) , стр. 1).
(25) Регламент (ЕС) 2018/1725 Европейского парламента и Совета от 23 октября 2018 г. о защите физических лиц в отношении обработки персональных данных институтами, органами, ведомствами и агентствами Союза, а также о бесплатном перемещение таких данных и отмену Регламента (ЕС) № 45/2001 и Решения № 1247/2002/EC (OJ L 295, 21.11.2018, стр. 39).
(26) OJ C 183, 11 мая 2021 г., стр. 3.
(27) Директива 2011/93/EU Европейского парламента и Совета от 13 декабря 2011 г. о борьбе с сексуальным насилием и сексуальной эксплуатацией детей и детской порнографией, заменяющая Рамочное решение Совета 2004/68/JHA (OJ L 335, 17.12.2011, п. 1).
(28) Директива 2013/40/EU Европейского парламента и Совета от 12 августа 2013 г. об атаках на информационные системы и замене рамочного решения Совета 2005/222/JHA (OJ L 218, 14 августа 2013 г., стр. 8).
(29) Регламент (ЕС) № 1025/2012 Европейского парламента и Совета от 25 октября 2012 г. о европейской стандартизации, вносящий поправки в Директивы Совета 89/686/EEC и 93/15/EEC и Директивы 94/9/EC, 94 /25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC и 2009/105/EC Европейского парламента и Совета и об отмене решения Совета 87/95/EEC и решения № 1673/2006/EC Европейского парламента и Совета (ОЖ L 316, 14.11.2012, стр. 12).
(30) Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 г., устанавливающая процедуру предоставления информации в области технических регламентов и правил об услугах информационного общества (OJ L 241, 17.9) .2015, стр. 1).
(31) Директива 2005/29/EC Европейского парламента и Совета от 11 мая 2005 г. о недобросовестной коммерческой практике между предприятиями и потребителями на внутреннем рынке и внесение поправок в Директиву Совета 84/450/EEC, Директивы 97/7/EC , 98/27/EC и 2002/65/EC Европейского парламента и Совета, а также Регламент (EC) № 2006/2004 Европейского парламента и Совета («Директива о недобросовестной коммерческой практике») (OJ L 149, 11.6.2005, стр. 22).
(32) Регламент (ЕС) 2019/1150 Европейского парламента и Совета от 20 июня 2019 года о содействии справедливости и прозрачности для бизнес-пользователей онлайн-посреднических услуг (OJ L 186, 11.7.2019, стр. 57).
ПРИЛОЖЕНИЕ I
СЕКТОРЫ ВЫСОКОЙ КРИТИЧЕСТВА
Сектор
Подсектор
Тип объекта
1.
Энергия
(а)
Электричество
—
Электроэнергетические предприятия, как это определено в статье 2, пункт (57), Директивы (ЕС) 2019/944 Европейского парламента и Совета (1), которые выполняют функцию «поставки», как определено в статье 2, пункт ( 12) этой Директивы
—
Операторы распределительных систем, как определено в пункте (29) статьи 2 Директивы (ЕС) 2019/944.
—
Операторы систем передачи, как определено в пункте (35) статьи 2 Директивы (ЕС) 2019/944.
—
Производители, как определено в пункте (38) статьи 2 Директивы (ЕС) 2019/944.
—
Назначенные операторы рынка электроэнергии, как это определено в пункте (8) статьи 2 Регламента (ЕС) 2019/943 Европейского парламента и Совета (2)
—
Участники рынка, как это определено в пункте (25) статьи 2 Регламента (ЕС) 2019/943, предоставляющие услуги агрегации, реагирования на спрос или услуги по хранению энергии, как определено в пунктах (18), (20) и (59) статьи 2 Директива (ЕС) 2019/944
—
Операторы пункта подзарядки, отвечающие за управление и эксплуатацию пункта подзарядки, который предоставляет услугу пополнения счета конечным пользователям, в том числе от имени и по поручению поставщика услуг мобильности.
(б)
Централизованное отопление и охлаждение
—
Операторы централизованного теплоснабжения или централизованного холодоснабжения, как это определено в пункте (19) статьи 2 Директивы (ЕС) 2018/2001 Европейского парламента и Совета (3)
(с)
Масло
—
Операторы нефтепроводов
—
Операторы объектов добычи, переработки и подготовки нефти, ее хранения и транспортировки
—
Центральные акционерные общества, как это определено в пункте (f) статьи 2 Директивы Совета 2009/119/EC (4)
(г)
Газ
—
Предприятия-поставщики, как это определено в пункте (8) статьи 2 Директивы 2009/73/EC Европейского парламента и Совета (5)
—
Операторы распределительных систем, как определено в пункте (6) статьи 2 Директивы 2009/73/EC.
—
Операторы систем передачи, как определено в пункте (4) статьи 2 Директивы 2009/73/EC.
—
Операторы систем хранения, как определено в пункте (10) статьи 2 Директивы 2009/73/EC.
—
Операторы системы СПГ, как определено в пункте (12) статьи 2 Директивы 2009/73/EC.
—
Предприятия природного газа, как это определено в пункте (1) статьи 2 Директивы 2009/73/EC.
—
Операторы объектов по переработке и очистке природного газа
(е)
Водород
—
Операторы по производству, хранению и передаче водорода
2.
Транспорт
(а)
Воздух
—
Авиаперевозчики, как определено в пункте (4) статьи 3 Регламента (ЕС) № 300/2008, используемые в коммерческих целях.
—
Органы управления аэропортами, определенные в статье 2, пункт (2) Директивы 2009/12/EC Европейского парламента и Совета (6), аэропорты, определенные в статье 2, пункт (1) этой Директивы, включая основные аэропорты, перечисленные в Разделе 2 Приложения II к Регламенту (ЕС) № 1315/2013 Европейского Парламента и Совета (7), а также организации, эксплуатирующие вспомогательные сооружения, находящиеся на территории аэропортов.
—
Операторы по управлению движением, предоставляющие услуги по управлению воздушным движением (УВД), как определено в пункте (1) статьи 2 Регламента (ЕС) № 549/2004 Европейского парламента и Совета (8)
(б)
Железнодорожный
—
Менеджеры инфраструктуры, как это определено в пункте (2) статьи 3 Директивы 2012/34/EU Европейского парламента и Совета (9)
—
Железнодорожные предприятия, как определено в пункте (1) статьи 3 Директивы 2012/34/ЕС, включая операторов объектов обслуживания, как определено в пункте (12) статьи 3 этой Директивы.
(с)
Вода
—
Компании внутреннего, морского и прибрежного пассажирского и грузового водного транспорта, как это определено для морского транспорта в Приложении I к Регламенту (ЕС) № 725/2004 Европейского Парламента и Совета (10), не включая отдельные суда, эксплуатируемые этими компаниями.
—
Органы управления портами, как определено в статье 3, пункт (1), Директивы 2005/65/EC Европейского парламента и Совета (11), включая их портовые сооружения, как определено в статье 2, пункт (11), Регламент (ЕС) № 725/2004, а также организации, эксплуатирующие работы и оборудование, находящиеся в портах.
—
Операторы служб движения судов (VTS), как определено в пункте (o) статьи 3 Директивы 2002/59/EC Европейского парламента и Совета (12)
(г)
Дорога
—
Дорожные органы, как это определено в статье 2, пункт (12), Делегированного регламента Комиссии (ЕС) 2015/962 (13), ответственные за контроль управления дорожным движением, за исключением государственных организаций, для которых управление дорожным движением или эксплуатация интеллектуальных транспортных систем не являются обязанностью. существенная часть их общей деятельности
—
Операторы интеллектуальных транспортных систем, как это определено в пункте (1) статьи 4 Директивы 2010/40/EU Европейского парламента и Совета (14)
3.
Банковское дело
Кредитные организации, как это определено в статье 4, пункт (1) Регламента (ЕС) № 575/2013 Европейского парламента и Совета (15)
4.
Инфраструктура финансового рынка
—
Операторы торговых площадок, как это определено в пункте (24) статьи 4 Директивы 2014/65/EU Европейского парламента и Совета (16)
—
Центральные контрагенты (ЦКА), как они определены в статье 2, пункт (1) Регламента (ЕС) № 648/2012 Европейского парламента и Совета (17)
5.
Здоровье
—
Поставщики медицинских услуг, как это определено в пункте (g) статьи 3 Директивы 2011/24/ЕС Европейского парламента и Совета (18)
—
Справочные лаборатории ЕС, указанные в статье 15 Регламента (ЕС) 2022/2371 Европейского парламента и Совета (19)
—
Организации, осуществляющие исследования и разработки лекарственных средств, как это определено в пункте (2) статьи 1 Директивы 2001/83/EC Европейского парламента и Совета (20)
—
Предприятия, производящие основные фармацевтические продукты и фармацевтические препараты, указанные в разделе C, раздел 21 NACE Rev. 2.
—
Предприятия, производящие медицинские устройства, считающиеся критически важными во время чрезвычайной ситуации в области общественного здравоохранения (список критически важных устройств для чрезвычайной ситуации в области общественного здравоохранения) в значении статьи 22 Регламента (ЕС) 2022/123 Европейского Парламента и Совета (21)
6.
Питьевая вода
Поставщики и дистрибьюторы воды, предназначенной для потребления человеком, как определено в статье 2, пункт (1)(a) Директивы (ЕС) 2020/2184 Европейского парламента и Совета (22), за исключением дистрибьюторов, для которых распределение воды для человеческого потребления является несущественной частью их общей деятельности по распределению других товаров и товаров.
7.
Сточные Воды
Предприятия по сбору, удалению или очистке городских сточных вод, бытовых сточных вод или промышленных сточных вод, как это определено в статье 2, пункты (1), (2) и (3), Директивы Совета 91/271/EEC (23), за исключением предприятия, для которых сбор, удаление или очистка городских сточных вод, бытовых сточных вод или промышленных сточных вод не является существенной частью их общей деятельности
8.
Цифровая инфраструктура
—
Поставщики точек обмена Интернетом
—
Поставщики услуг DNS, за исключением операторов корневых серверов имен
—
Реестры имен TLD
—
Поставщики услуг облачных вычислений
—
Поставщики услуг центров обработки данных
—
Поставщики сетей доставки контента
—
Доверительные поставщики услуг
—
Провайдеры сетей электронных коммуникаций общего пользования
—
Поставщики общедоступных услуг электронных коммуникаций
9.
Управление услугами ИКТ (бизнес для бизнеса)
—
Поставщики управляемых услуг
—
Управляемые поставщики услуг безопасности
10.
Государственное управление
—
Органы государственного управления центральных правительств, определенные государством-членом в соответствии с национальным законодательством.
—
Органы государственного управления на региональном уровне, как это определено государством-членом в соответствии с национальным законодательством.
11.
Космос
Операторы наземной инфраструктуры, принадлежащей, управляемой и эксплуатируемой государствами-членами или частными сторонами, которые поддерживают предоставление космических услуг, за исключением поставщиков сетей электронных коммуникаций общего пользования
(1) Директива (ЕС) 2019/944 Европейского парламента и Совета от 5 июня 2019 года об общих правилах внутреннего рынка электроэнергии и внесении изменений в Директиву 2012/27/EU (OJ L 158, 14.6.2019, стр. 125).
(2) Регламент (ЕС) 2019/943 Европейского парламента и Совета от 5 июня 2019 г. о внутреннем рынке электроэнергии (ОЖ L 158, 14.6.2019, стр. 54).
(3) Директива (ЕС) 2018/2001 Европейского парламента и Совета от 11 декабря 2018 г. о содействии использованию энергии из возобновляемых источников (ОЖ L 328, 21 декабря 2018 г., стр. 82).
(4) Директива Совета 2009/119/EC от 14 сентября 2009 г., налагающая на государства-члены обязательства поддерживать минимальные запасы сырой нефти и/или нефтепродуктов (OJ L 265, 9.10.2009, стр. 9).
(5) Директива 2009/73/EC Европейского парламента и Совета от 13 июля 2009 года, касающаяся общих правил для внутреннего рынка природного газа и отменяющая Директиву 2003/55/EC (OJ L 211, 14.8.2009, стр. 94).
(6) Директива 2009/12/EC Европейского парламента и Совета от 11 марта 2009 г. об аэропортовых сборах (OJ L 70, 14 марта 2009 г., стр. 11).
(7) Регламент (ЕС) № 1315/2013 Европейского парламента и Совета от 11 декабря 2013 г. о руководящих принципах Союза по развитию трансъевропейской транспортной сети и отмене Решения № 661/2010/ЕС (OJ L 348, 20.12.2013, п. 1).
(8) Регламент (ЕС) № 549/2004 Европейского парламента и Совета от 10 марта 2004 г., устанавливающий основу для создания единого европейского неба (рамочный Регламент) (ОЖ L 96, 31.3.2004, стр. . 1).
(9) Директива 2012/34/EU Европейского парламента и Совета от 21 ноября 2012 г. о создании единой европейской железнодорожной зоны (OJ L 343, 14.12.2012, стр. 32).
(10) Регламент (ЕС) № 725/2004 Европейского парламента и Совета от 31 марта 2004 г. о повышении безопасности судов и портовых средств (ОЖ L 129, 29 апреля 2004 г., стр. 6).
(11) Директива 2005/65/EC Европейского парламента и Совета от 26 октября 2005 г. о повышении безопасности портов (OJ L 310, 25.11.2005, стр. 28).
(12) Директива 2002/59/EC Европейского парламента и Совета от 27 июня 2002 года о создании системы мониторинга и информации о движении судов Сообщества и отменяющая Директиву Совета 93/75/EEC (OJ L 208, 5.8.2002, стр. 10).
(13) Делегированный регламент Комиссии (ЕС) 2015/962 от 18 декабря 2014 г., дополняющий Директиву 2010/40/EU Европейского парламента и Совета в отношении предоставления услуг по предоставлению информации о дорожном движении в реальном времени на территории ЕС (OJ L 157) , 23.6.2015, стр. 21).
(14) Директива 2010/40/EU Европейского парламента и Совета от 7 июля 2010 г. о рамках развертывания интеллектуальных транспортных систем в области автомобильного транспорта и взаимодействия с другими видами транспорта (OJ L 207, 6.8.2010, п. 1).
(15) Регламент (ЕС) № 575/2013 Европейского парламента и Совета от 26 июня 2013 г. о пруденциальных требованиях к кредитным учреждениям и внесении изменений в Регламент (ЕС) № 648/2012 (ОЖ L 176, 27.6.2013, стр. 1).
(16) Директива 2014/65/EU Европейского парламента и Совета от 15 мая 2014 г. о рынках финансовых инструментов и внесение поправок в Директиву 2002/92/EC и Директиву 2011/61/EU (OJ L 173, 12.6.2014, стр. 349).
(17) Регламент (ЕС) № 648/2012 Европейского парламента и Совета от 4 июля 2012 г. о внебиржевых деривативах, центральных контрагентах и торговых репозиториях (ОЖ L 201, 27.7.2012, стр. 1).
(18) Директива 2011/24/EU Европейского парламента и Совета от 9 марта 2011 г. о применении прав пациентов в трансграничном здравоохранении (ОЖ L 88, 4 апреля 2011 г., стр. 45).
(19) Регламент (ЕС) 2022/2371 Европейского парламента и Совета от 23 ноября 2022 г. о серьезных трансграничных угрозах здоровью и отмене Решения № 1082/2013/EU (OJ L 314, 6.12.2022, стр. 26).
(20) Директива 2001/83/EC Европейского парламента и Совета от 6 ноября 2001 г. о Кодексе Сообщества, касающемся лекарственных средств для применения человеком (OJ L 311, 28.11.2001, стр. 67).
(21) Регламент (ЕС) 2022/123 Европейского парламента и Совета от 25 января 2022 г. об усилении роли Европейского агентства по лекарственным средствам в обеспечении готовности к кризисам и управлении лекарственными средствами и медицинскими изделиями (ОЖ L 20, 31 января 2022 г.) , стр. 1).
(22) Директива (ЕС) 2020/2184 Европейского парламента и Совета от 16 декабря 2020 г. о качестве воды, предназначенной для потребления человеком (ОЖ L 435, 23.12.2020, стр. 1).
(23) Директива Совета 91/271/EEC от 21 мая 1991 г. об очистке городских сточных вод (OJ L 135, 30 мая 1991 г., стр. 40).
ПРИЛОЖЕНИЕ II
ДРУГИЕ ВАЖНЫЕ СЕКТОРЫ
Сектор
Подсектор
Тип объекта
1.
Почтовые и курьерские услуги
Поставщики почтовых услуг, как определено в пункте (1a) статьи 2 Директивы 97/67/EC, включая поставщиков курьерских услуг.
2.
Управление отходами
Предприятия, осуществляющие управление отходами, как это определено в пункте (9) статьи 3 Директивы 2008/98/EC Европейского парламента и Совета (1), за исключением предприятий, для которых управление отходами не является их основной экономической деятельностью.
3.
Производство, производство и дистрибуция химикатов
Предприятия, осуществляющие производство веществ и распространение веществ или смесей, как указано в статье 3, пункты (9) и (14), Регламента (ЕС) № 1907/2006 Европейского парламента и Совета (2 ) и предприятия, осуществляющие производство изделий, как определено в пункте (3) статьи 3 настоящего Регламента, из веществ или смесей
4.
Производство, переработка и распространение продуктов питания
Предприятия пищевой промышленности, определенные в статье 3, пункт (2) Регламента (ЕС) № 178/2002 Европейского парламента и Совета (3), которые занимаются оптовой торговлей, а также промышленным производством и переработкой.
5.
Производство
(а)
Производство медицинских изделий и медицинских изделий для диагностики in vitro.
Организации, производящие медицинские устройства, как определено в статье 2, пункт (1), Регламента (ЕС) 2017/745 Европейского Парламента и Совета (4), а также организации, производящие медицинские устройства для диагностики in vitro, как определено в статье 2, пункт (2) Регламента (ЕС) 2017/746 Европейского Парламента и Совета (5) за исключением предприятий, производящих медицинские устройства, указанные в Приложении I, пункт 5, пятый абзац настоящей Директивы.
(б)
Производство компьютерной, электронной и оптической продукции
Предприятия, осуществляющие любую экономическую деятельность, указанную в разделе C раздела 26 NACE Rev. 2.
(с)
Производство электрооборудования
Предприятия, осуществляющие любую экономическую деятельность, указанную в разделе C раздела 27 NACE Rev. 2.
(г)
Производство машин и оборудования, не включенных в другие группировки
Предприятия, осуществляющие любую экономическую деятельность, указанную в разделе C раздела 28 NACE Rev. 2.
(е)
Производство автомобилей, прицепов и полуприцепов.
Предприятия, осуществляющие любую экономическую деятельность, указанную в разделе C, раздел 29 NACE Rev. 2.
(е)
Производство прочего транспортного оборудования
Предприятия, осуществляющие любую экономическую деятельность, указанную в разделе C раздела 30 NACE Rev. 2.
6.
Цифровые провайдеры
—
Провайдеры онлайн-торговых площадок
—
Поставщики онлайн-поисковых систем
—
Поставщики платформ социальных сетей
7.
Исследовать
Исследовательские организации
(1) Директива 2008/98/EC Европейского Парламента и Совета от 19 ноября 2008 г. об отходах и отмене некоторых Директив (OJ L 312, 22.11.2008, стр. 3).
(2) Регламент (ЕС) № 1907/2006 Европейского парламента и Совета от 18 декабря 2006 г. о регистрации, оценке, разрешении и ограничении химических веществ (REACH), учреждающий Европейское химическое агентство и вносящий поправки в Директиву 1999/45/EC. и отмена Регламента Совета (ЕЭС) № 793/93 и Регламента Комиссии (ЕС) № 1488/94, а также Директивы Совета 76/769/ЕЕС и Директив Комиссии 91/155/ЕЕС, 93/67/ЕЕС, 93/105/ EC и 2000/21/EC (OJ L 396, 30.12.2006, стр. 1).
(3) Регламент (ЕС) № 178/2002 Европейского парламента и Совета от 28 января 2002 г., устанавливающий общие принципы и требования пищевого законодательства, учреждающий Европейское управление по безопасности пищевых продуктов и устанавливающий процедуры в вопросах безопасности пищевых продуктов ( ОЖ L 31, 01.02.2002, стр. 1).
(4) Регламент (ЕС) 2017/745 Европейского парламента и Совета от 5 апреля 2017 г. о медицинских устройствах, вносящий поправки в Директиву 2001/83/EC, Регламент (ЕС) № 178/2002 и Регламент (ЕС) № 1223/ 2009 г. и отмену Директив Совета 90/385/EEC и 93/42/EEC (OJ L 117, 5 мая 2017 г., стр. 1).
(5) Регламент (ЕС) 2017/746 Европейского парламента и Совета от 5 апреля 2017 г. о медицинских устройствах для диагностики in vitro и отмене Директивы 98/79/EC и Решения Комиссии 2010/227/EU (OJ L 117, 5.5) .2017, стр. 176).
ПРИЛОЖЕНИЕ III
КОРРЕЛЯЦИОННАЯ ТАБЛИЦА
Директива (ЕС) 2016/1148
Эта директива
Статья 1(1)
Статья 1(1)
Статья 1(2)
Статья 1(2)
Статья 1(3)
-
Статья 1(4)
Статья 2(12)
Статья 1(5)
Статья 2(13)
Статья 1(6)
Статья 2(6) и (11)
Статья 1(7)
Статья 4
Статья 2
Статья 2(14)
Статья 3
Статья 5
Статья 4
Статья 6
Статья 5
–
Статья 6
–
Статья 7(1)
Статья 7(1) и (2)
Статья 7(2)
Статья 7(4)
Статья 7(3)
Статья 7(3)
Статья 8(1)–(5)
Статья 8(1)–(5)
Статья 8(6)
Статья 13(4)
Статья 8(7)
Статья 8(6)
Статья 9(1), (2) и (3)
Статья 10(1), (2) и (3)
Статья 9(4)
Статья 10(9)
Статья 9(5)
Статья 10(10)
Статья 10(1), (2) и (3), первый абзац
Статья 13(1), (2) и (3)
Статья 10(3), второй абзац
Статья 23(9)
Статья 11(1)
Статья 14(1) и (2)
Статья 11(2)
Статья 14(3)
Статья 11(3)
Статья 14(4), первый абзац, пункты от (a) до (q) и (s), а также параграф (7)
Статья 11(4)
Статья 14(4), первый абзац, пункт (r) и второй абзац
Статья 11(5)
Статья 14(8)
Статья 12(1)–(5)
Статья 15(1)–(5)
Статья 13
Статья 17
Статья 14(1) и (2)
Статья 21(1)–(4)
Статья 14(3)
Статья 23(1)
Статья 14(4)
Статья 23(3)
Статья 14(5)
Статья 23(5), (6) и (8)
Статья 14(6)
Статья 23(7)
Статья 14(7)
Статья 23(11)
Статья 15(1)
Статья 31(1)
Статья 15(2), первый абзац, пункт (а)
Статья 32(2), пункт (e)
Статья 15(2), первый абзац, пункт (b)
Статья 32(2), пункт (g)
Статья 15(2), второй абзац
Статья 32(3)
Статья 15(3)
Статья 32(4), пункт (b)
Статья 15(4)
Статья 31(3)
Статья 16(1) и (2)
Статья 21(1)–(4)
Статья 16(3)
Статья 23(1)
Статья 16(4)
Статья 23(3)
Статья 16(5)
–
Статья 16(6)
Статья 23(6)
Статья 16(7)
Статья 23(7)
Статья 16(8) и (9)
Статья 21(5) и Статья 23(11)
Статья 16(10)
–
Статья 16(11)
Статья 2(1), (2) и (3)
Статья 17(1)
Статья 33(1)
Статья 17(2), пункт (а)
Статья 32(2), пункт (e)
Статья 17(2), пункт (b)
Статья 32(4), пункт (b)
Статья 17(3)
Статья 37(1), пункты (a) и (b)
Статья 18(1)
Статья 26(1), пункт (b) и параграф (2)
Статья 18(2)
Статья 26(3)
Статья 18(3)
Статья 26(4)
Статья 19
Статья 25
Статья 20
Статья 30
Статья 21
Статья 36
Статья 22
Статья 39
Статья 23
Статья 40
Статья 24
–
Статья 25
Статья 41
Статья 26
Статья 45
Статья 27
Статья 46
Приложение I, пункт (1)
Статья 11(1)
Приложение I, пункты (2)(a)(i) – (iv)
Статья 11(2), пункты от (a) до (d)
Приложение I, пункт (2)(a)(v)
Статья 11(2), пункт (f)
Приложение I, пункт (2)(b)
Статья 11(4)
Приложение I, пункты (2)(c)(i) и (ii)
Статья 11(5), пункт (а)
Приложение II
Приложение I
Приложение III, пункты (1) и (2)
Приложение II, пункт (6)
Приложение III, пункт (3)
Приложение I, пункт (8)
Вершина
Директивы по годам
- 2024
- 2023
- 2022
- 2021
- 2020
- 2019
- 2018
- 2017
- 2016
- 2015
- 2014
- 2013
- 2012
- 2011
- 2010
- 2009
- 2008
- 2007
- 2006
- 2005
- 2004
- 2003
- 2002
- 2001
- 2000
- 1999
- 1998
- 1997
- 1996
- 1995
- 1994
- 1993
- 1992
- 1991
- 1990
- 1989
- 1988
- 1987
- 1986
- 1985
- 1984
- 1983
- 1982
- 1981
- 1980
- 1979
- 1978
- 1977
- 1976
- 1975
- 1974
- 1973
- 1972
- 1971
- 1970
- 1969
- 1968
- 1967
- 1966
- 1965
- 1964
- 1963
- 1962
- 1961
- 1960
- 1959