27.12.2022
В
Официальный журнал Европейского Союза
Л 333/164
ДИРЕКТИВА (ЕС) 2022/2557 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА
от 14 декабря 2022 г.
об устойчивости критически важных объектов и отмене Директивы Совета 2008/114/EC
(Текст, имеющий отношение к ЕЭЗ)
ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,
Принимая во внимание Договор о функционировании Европейского Союза, и в частности его статью 114,
Принимая во внимание предложение Европейской комиссии,
После передачи проекта законодательного акта национальным парламентам,
Принимая во внимание мнение Европейского экономического и социального комитета (1),
Принимая во внимание мнение Комитета регионов (2),
Действуя в соответствии с обычной законодательной процедурой (3),
Тогда как:
(1)
Критически важные субъекты, как поставщики основных услуг, играют незаменимую роль в поддержании жизненно важных социальных функций или экономической деятельности на внутреннем рынке во все более взаимозависимой экономике Союза. Поэтому крайне важно создать структуру Союза с целью как повышения устойчивости критически важных субъектов на внутреннем рынке путем установления гармонизированных минимальных правил, так и оказания им помощи посредством последовательных и целенаправленных мер поддержки и надзора.
(2)
Директива Совета 2008/114/EC (4) предусматривает процедуру определения европейской критически важной инфраструктуры в энергетическом и транспортном секторах, нарушение или разрушение которой будет иметь значительные трансграничные последствия как минимум для двух государств-членов. Эта Директива фокусируется исключительно на защите такой инфраструктуры. Однако оценка Директивы 2008/114/EC, проведенная в 2019 году, показала, что из-за все более взаимосвязанного и трансграничного характера операций с использованием критической инфраструктуры, защитных мер, касающихся только отдельных активов, недостаточно для предотвращения всех сбоев. Следовательно, необходимо изменить подход в сторону обеспечения лучшего учета рисков, более четкого определения и последовательности роли и обязанностей критически важных субъектов как поставщиков услуг, необходимых для функционирования внутреннего рынка, а также принятия правил Союза. для повышения устойчивости критически важных объектов. Критически важные организации должны быть в состоянии усилить свою способность предотвращать, защищать, реагировать, противостоять, смягчать, поглощать, приспосабливаться и восстанавливаться после инцидентов, которые могут нарушить предоставление основных услуг.
(3)
Хотя ряд мер на уровне Союза, таких как Европейская программа по защите критической инфраструктуры, а также на национальном уровне направлены на поддержку защиты критической инфраструктуры в Союзе, необходимо сделать больше, чтобы лучше подготовить организации, эксплуатирующие такую инфраструктуру, для решения проблем риски для их деятельности, которые могут привести к нарушению предоставления основных услуг. Необходимо также сделать больше для лучшего оснащения таких организаций, поскольку существует динамичный ландшафт угроз, который включает в себя развивающиеся гибридные и террористические угрозы, а также растущую взаимозависимость между инфраструктурой и секторами. Более того, существует повышенный физический риск из-за стихийных бедствий и изменения климата, что увеличивает частоту и масштабы экстремальных погодных явлений и приводит к долгосрочным изменениям в средних климатических условиях, которые могут снизить мощность, эффективность и срок службы определенных типов инфраструктуры, если меры по адаптации к изменению климата отсутствуют. Кроме того, внутренний рынок характеризуется фрагментацией в отношении выявления критически важных предприятий, поскольку соответствующие сектора и категории предприятий не всегда признаются критически важными во всех государствах-членах ЕС. Таким образом, данная Директива должна достичь прочного уровня гармонизации с точки зрения секторов и категорий субъектов, подпадающих под ее сферу действия.
(4)
Хотя некоторые сектора экономики, такие как энергетика и транспорт, уже регулируются отраслевыми правовыми актами Союза, эти правовые акты содержат положения, которые касаются только определенных аспектов устойчивости предприятий, работающих в этих секторах. Чтобы комплексно решить проблему устойчивости тех субъектов, которые имеют решающее значение для надлежащего функционирования внутреннего рынка, настоящая Директива создает всеобъемлющую структуру, которая рассматривает устойчивость критически важных субъектов в отношении всех опасностей, как природных, так и техногенных. , случайное или намеренное.
(5)
Растущая взаимозависимость между инфраструктурой и секторами является результатом растущей трансграничной и взаимозависимой сети предоставления услуг, использующей ключевую инфраструктуру по всему Союзу в области энергетики, транспорта, банковского дела, питьевого водоснабжения, сточных вод, производства, переработки и распределения продуктов питания. здравоохранение, космос, инфраструктура финансового рынка и цифровая инфраструктура, а также в некоторых аспектах сектора государственного управления. Космический сектор подпадает под действие настоящей Директивы в отношении предоставления определенных услуг, которые зависят от наземной инфраструктуры, принадлежащей, управляемой и эксплуатируемой либо государствами-членами ЕС, либо частными сторонами; следовательно, инфраструктура, принадлежащая, управляемая или эксплуатируемая Союзом или от его имени в рамках его космической программы, не подпадает под действие настоящей Директивы.
Что касается энергетического сектора и, в частности, методов производства и передачи электроэнергии (в отношении поставок электроэнергии), подразумевается, что, где это считается целесообразным, производство электроэнергии может включать в себя передающие электростанции части атомных электростанций, но исключает конкретно ядерные электростанции. элементы, охватываемые договорами и законодательством Союза, включая соответствующие правовые акты Союза, касающиеся ядерной энергетики. Процесс выявления важнейших субъектов пищевого сектора должен адекватно отражать характер внутреннего рынка в этом секторе и обширные правила Союза, касающиеся общих принципов и требований пищевого законодательства и безопасности пищевых продуктов. Таким образом, чтобы обеспечить пропорциональный подход и адекватно отразить роль и значение этих субъектов на национальном уровне, критические субъекты должны быть идентифицированы только среди предприятий пищевой промышленности, независимо от того, являются ли они коммерческими или нет, государственными или частными, которые являются занимается исключительно логистикой и оптовой торговлей, а также крупномасштабным промышленным производством и переработкой, занимая значительную долю рынка, как это наблюдается на национальном уровне. Эти взаимозависимости означают, что любой сбой в предоставлении основных услуг, даже тот, который изначально ограничивается одной организацией или одним сектором, может иметь каскадные последствия в более широком смысле, что потенциально может привести к далеко идущим и долгосрочным негативным последствиям для предоставления услуг во всем мире. внутренний рынок. Крупные кризисы, такие как пандемия COVID-19, продемонстрировали уязвимость наших все более взаимозависимых обществ перед лицом серьезных и маловероятных рисков.
(6)
Субъекты, участвующие в предоставлении основных услуг, все чаще подвергаются различным требованиям, предъявляемым национальным законодательством. Тот факт, что некоторые государства-члены предъявляют менее строгие требования безопасности к этим объектам, не только приводит к различным уровням устойчивости, но также рискует негативно повлиять на поддержание жизненно важных социальных функций или экономической деятельности во всем Союзе и приводит к препятствиям для надлежащего функционирования внутренней системы ЕС. рынок. Инвесторы и компании могут положиться и доверять критически важным организациям, которые устойчивы, а надежность и доверие являются краеугольными камнями хорошо функционирующего внутреннего рынка. Подобные типы организаций считаются критически важными в некоторых государствах-членах ЕС, но не в других, а к тем, которые определены как критические, предъявляются различные требования в разных государствах-членах ЕС. Это приводит к дополнительному и ненужному административному бремени для компаний, работающих через границы, особенно для компаний, действующих в государствах-членах ЕС с более строгими требованиями. Таким образом, структура Союза также приведет к выравниванию правил игры для важнейших субъектов Союза.
(7)
Необходимо установить гармонизированные минимальные правила для обеспечения предоставления основных услуг на внутреннем рынке, повышения устойчивости критически важных субъектов и улучшения трансграничного сотрудничества между компетентными органами. Важно, чтобы эти правила были ориентированы на будущее с точки зрения их разработки и реализации, сохраняя при этом необходимую гибкость. Также крайне важно улучшить способность критически важных организаций предоставлять основные услуги перед лицом разнообразного набора рисков.
(8)
Чтобы достичь высокого уровня устойчивости, государства-члены должны определить критически важные организации, к которым будут применяться особые требования и надзор, и которым будет предоставлена особая поддержка и руководство перед лицом всех соответствующих рисков.
(9)
Учитывая важность кибербезопасности для устойчивости критически важных объектов и в интересах последовательности, следует обеспечить, где это возможно, последовательный подход между настоящей Директивой и Директивой (ЕС) 2022/2555 Европейского парламента и Совета (5). . Учитывая более высокую частоту и особые характеристики киберрисков, Директива (ЕС) 2022/2555 предъявляет комплексные требования к большому кругу организаций по обеспечению их кибербезопасности. Учитывая, что кибербезопасность в достаточной степени рассматривается в Директиве (ЕС) 2022/2555, вопросы, охватываемые этой Директивой, должны быть исключены из сферы действия настоящей Директивы без ущерба для конкретного режима для организаций в секторе цифровой инфраструктуры.
(10)
Если положения отраслевых правовых актов Союза требуют от критически важных субъектов принятия мер по повышению их устойчивости, и если эти требования признаются государствами-членами ЕС как, по меньшей мере, эквивалентные соответствующим обязательствам, изложенным в настоящей Директиве, соответствующие положения настоящей Директивы должны не применять, чтобы избежать дублирования и ненужного бремени. В этом случае должны применяться соответствующие положения таких правовых актов Союза. Если соответствующие положения настоящей Директивы не применяются, положения о надзоре и правоприменении, изложенные в настоящей Директиве, также не должны применяться.
(11)
Настоящая Директива не затрагивает компетенцию государств-членов и их органов власти в отношении административной автономии или их ответственности за обеспечение национальной безопасности и обороны, а также их полномочий по защите других важных функций государства, в частности, касающихся общественной безопасности, территориальной целостности и соблюдения закона. и заказать. Исключение субъектов государственного управления из сферы действия настоящей Директивы должно применяться к субъектам, деятельность которых преимущественно осуществляется в сферах национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая расследование, обнаружение и уголовное преследование уголовных преступлений. Однако субъекты государственного управления, деятельность которых лишь незначительно связана с этими сферами, должны подпадать под действие настоящей Директивы. Для целей настоящей Директивы субъекты, обладающие регулирующими полномочиями, не считаются осуществляющими деятельность в сфере правоохранительной деятельности и, следовательно, не исключаются на этом основании из сферы действия настоящей Директивы. Субъекты государственного управления, созданные совместно с третьей страной в соответствии с международным соглашением, исключаются из сферы действия настоящей Директивы. Данная Директива не применяется к дипломатическим и консульским представительствам государств-членов в третьих странах.
Некоторые критически важные организации осуществляют деятельность в сферах национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая расследование, выявление и судебное преследование уголовных преступлений, или предоставляют услуги исключительно субъектам государственного управления, которые осуществляют деятельность преимущественно в этих областях. В свете ответственности государств-членов за обеспечение национальной безопасности и обороны, государства-члены должны иметь возможность решить, что обязательства в отношении критически важных объектов, изложенные в настоящей Директиве, не применяются, полностью или частично, к этим критически важным объектам, если услуги они предоставляют или осуществляемая ими деятельность преимущественно связана с областями национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая расследование, обнаружение и судебное преследование уголовных преступлений. Критически важные организации, чьи услуги или деятельность лишь незначительно связаны с этими областями, должны подпадать под действие настоящей Директивы. Ни одно государство-член не должно быть обязано предоставлять информацию, раскрытие которой противоречило бы существенным интересам его национальной безопасности. Важную роль играют союзные или национальные правила защиты секретной информации и соглашения о неразглашении.
(12)
Чтобы не ставить под угрозу национальную безопасность или безопасность и коммерческие интересы критически важных субъектов, к конфиденциальной информации следует обращаться, обмениваться ею и обращаться с ней осмотрительно, уделяя особое внимание каналам передачи и используемым мощностям хранения.
(13)
В целях обеспечения комплексного подхода к устойчивости критически важных субъектов каждое государство-член должно иметь стратегию повышения устойчивости критически важных субъектов («стратегия»). В стратегии должны быть определены стратегические цели и политические меры, которые необходимо реализовать. В интересах согласованности и эффективности стратегия должна быть разработана так, чтобы плавно интегрировать существующую политику, опираясь, где это возможно, на соответствующие существующие национальные и отраслевые стратегии, планы или аналогичные документы. Для достижения комплексного подхода государства-члены должны обеспечить, чтобы их стратегии предусматривали политическую основу для улучшения координации между компетентными органами в соответствии с настоящей Директивой и компетентными органами в соответствии с Директивой (ЕС) 2022/2555 в контексте обмена информацией о кибербезопасности. риски, киберугрозы и киберинциденты и некиберриски, угрозы и инциденты, а также в контексте выполнения надзорных задач. При разработке своих стратегий государства-члены должны должным образом учитывать гибридный характер угроз критически важным субъектам.
(14)
Государства-члены должны сообщать Комиссии о своих стратегиях и существенных обновлениях, в частности, чтобы позволить Комиссии оценить правильное применение настоящей Директивы в отношении политических подходов к устойчивости критически важных субъектов на национальном уровне. При необходимости стратегии могут быть переданы в виде секретной информации. Комиссия должна составить краткий отчет о стратегиях, представленных государствами-членами, который послужит основой для обмена опытом и выявления передового опыта и вопросов, представляющих общий интерес в рамках Группы по обеспечению устойчивости критически важных объектов. Из-за конфиденциального характера агрегированной информации, включенной в сводный отчет, независимо от того, засекречена она или нет, Комиссия должна управлять сводным отчетом с соответствующим уровнем осведомленности в отношении безопасности критически важных организаций, государств-членов и Союза. Сводный отчет и стратегии должны быть защищены от незаконных или злонамеренных действий и должны быть доступны только уполномоченным лицам для достижения целей настоящей Директивы. Распространение стратегий и существенных обновлений к ним также должно помочь Комиссии понять изменения в подходах к устойчивости критически важных объектов и способствовать мониторингу воздействия и дополнительной ценности этой Директивы, которую Комиссия должна периодически пересматривать.
(15)
Действия государств-членов по выявлению и оказанию помощи в обеспечении устойчивости критически важных субъектов должны следовать подходу, основанному на оценке рисков, который фокусируется на субъектах, наиболее важных для выполнения жизненно важных социальных функций или экономической деятельности. Чтобы обеспечить такой целенаправленный подход, каждое государство-член должно провести в рамках гармонизированной структуры оценку соответствующих природных и техногенных рисков, в том числе межсекторального или трансграничного характера, которые могут повлиять на предоставление основных услуг, включая несчастные случаи, стихийные бедствия, чрезвычайные ситуации в области общественного здравоохранения, такие как пандемии и гибридные угрозы или другие антагонистические угрозы, включая террористические преступления, проникновение преступников и саботаж («Оценка рисков государств-членов»). При проведении оценок рисков в государствах-членах государства-члены должны принимать во внимание другие общие или отраслевые оценки рисков, проводимые в соответствии с другими правовыми актами Союза, и должны учитывать степень зависимости секторов друг от друга, в том числе от секторов в других государствах-членах. и третьих стран. Результаты оценок рисков государств-членов должны использоваться для целей выявления критически важных организаций и оказания помощи этим организациям в выполнении требований устойчивости. Данная Директива применяется только к государствам-членам и критически важным организациям, которые действуют в рамках Союза. Тем не менее, опыт и знания, полученные компетентными органами, в частности посредством оценки рисков, и Комиссией, в частности посредством различных форм поддержки и сотрудничества, могут быть использованы, где это уместно и в соответствии с применимыми правовыми инструментами, на благо третьих стран, особенно тех, которые находятся в непосредственной близости от Союза, путем усиления существующего сотрудничества в области устойчивости.
(16)
Чтобы гарантировать, что все соответствующие организации подчиняются требованиям устойчивости настоящей Директивы, и уменьшить расхождения в этом отношении, важно установить гармонизированные правила, позволяющие последовательно идентифицировать критически важные организации на территории Союза, а также позволяя государствам-членам ЕС адекватно отразить роль и значение этих организаций на национальном уровне. Применяя критерии, изложенные в настоящей Директиве, каждое государство-член должно идентифицировать организации, которые предоставляют одну или несколько основных услуг и которые действуют и имеют критически важную инфраструктуру, расположенную на его территории. Следует считать, что организация осуществляет свою деятельность на территории государства-члена ЕС, в котором она осуществляет деятельность, необходимую для рассматриваемой основной услуги или услуг, и в которой расположена критическая инфраструктура этой организации, которая используется для предоставления этой услуги или этих услуг. . Если ни одна организация в государстве-члене ЕС не отвечает этим критериям, это государство-член ЕС не должно быть обязано идентифицировать критически важную организацию в соответствующем секторе или подсекторе. В интересах эффективности, действенности, последовательности и правовой определенности следует установить соответствующие правила в отношении уведомления субъектов о том, что они были определены как критически важные субъекты.
(17)
Государства-члены должны представить Комиссии в порядке, соответствующем целям настоящей Директивы, список основных услуг, количество критически важных организаций, определенных для каждого из секторов и подсекторов, указанных в Приложении, а также для основных услуг или услуг. которые предоставляет каждая организация, и, если они применяются, пороговые значения. Должна быть возможность представить пороговые значения как таковые или в агрегированной форме, что означает, что информация может быть усреднена по географическому региону, по году, по сектору, по подсектору или другими способами и может включать информацию о диапазоне предоставляемых показателей.
(18)
Должны быть установлены критерии для определения значимости разрушительного эффекта, вызванного инцидентом. Эти критерии должны основываться на критериях, изложенных в Директиве (ЕС) 2016/1148 Европейского парламента и Совета (6), чтобы извлечь выгоду из усилий, предпринимаемых государствами-членами по выявлению операторов основных услуг, как это определено в этой Директиве. Директива и опыт, накопленный в этом отношении. Крупные кризисы, такие как пандемия COVID-19, продемонстрировали важность обеспечения безопасности цепочки поставок и продемонстрировали, как ее нарушение может иметь негативные экономические и социальные последствия во многих секторах и за рубежом. Таким образом, государства-члены должны также учитывать влияние на цепочку поставок, насколько это возможно, при определении степени, в которой другие сектора и подсекторы зависят от основных услуг, предоставляемых критически важным предприятием.
(19)
В соответствии с действующим законодательством Союза и национальным законодательством, включая Регламент (ЕС) 2019/452 Европейского парламента и Совета (7), который устанавливает основу для проверки прямых иностранных инвестиций в Союзе, потенциальная угроза, исходящая от иностранных Необходимо признать право собственности на критически важную инфраструктуру внутри Союза, поскольку услуги, экономика, а также свободное передвижение и безопасность граждан Союза зависят от надлежащего функционирования критической инфраструктуры.
(20)
Директива (ЕС) 2022/2555 требует от организаций, принадлежащих к сектору цифровой инфраструктуры, которые могут быть определены как критически важные организации в соответствии с настоящей Директивой, принимать соответствующие и пропорциональные технические, эксплуатационные и организационные меры для управления рисками, связанными с безопасностью сети и информации. систем и уведомлять о серьезных инцидентах и киберугрозах. Поскольку угрозы безопасности сетевых и информационных систем могут иметь различное происхождение, Директива (ЕС) 2022/2555 применяет подход, учитывающий все риски, который включает устойчивость сетевых и информационных систем, а также физических компонентов и среды этих систем.
Учитывая, что требования, изложенные в Директиве (ЕС) 2022/2555, в этом отношении, по крайней мере, эквивалентны соответствующим обязательствам, изложенным в настоящей Директиве, обязательства, изложенные в Статье 11 и Главах III, IV и VI настоящей Директивы, не должны применяться к организациям, принадлежащим к сектору цифровой инфраструктуры, во избежание дублирования и ненужного административного бремени. Однако, учитывая важность услуг, предоставляемых субъектами, принадлежащими к сектору цифровой инфраструктуры, критически важным субъектам, принадлежащим ко всем другим секторам, государства-члены ЕС должны идентифицировать, на основе критериев и с использованием процедуры, предусмотренной настоящей Директивой, субъекты, принадлежащие к цифровому сектору. инфраструктурный сектор как важнейшие субъекты. Следовательно, должны применяться стратегии, оценки рисков государств-членов и меры поддержки, изложенные в Главе II настоящей Директивы. Государства-члены должны иметь возможность принимать или сохранять положения национального законодательства для достижения более высокого уровня устойчивости этих критически важных субъектов при условии, что эти положения соответствуют применимому законодательству Союза.
(21)
Закон Союза о финансовых услугах устанавливает комплексные требования к финансовым организациям по управлению всеми рисками, с которыми они сталкиваются, включая операционные риски, и обеспечению непрерывности бизнеса. К такому закону относятся Регламенты (ЕС) № 648/2012 (8), (ЕС) № 575/2013 (9) и (ЕС) № 600/2014 (10) Европейского парламента и Совета, а также Директивы 2013/36/ ЕС (11) и 2014/65/ЕС (12) Европейского парламента и Совета. Эта правовая основа дополняется Регламентом (ЕС) 2022/2554 Европейского парламента и Совета (13), который устанавливает требования, применимые к финансовым организациям для управления рисками информационных и коммуникационных технологий (ИКТ), в том числе в отношении защиты физических ИКТ-инфраструктура. Таким образом, поскольку устойчивость этих организаций полностью охвачена, Статья 11 и Главы III, IV и VI настоящей Директивы не должны применяться к этим организациям во избежание дублирования и ненужного административного бремени.
Однако, учитывая важность услуг, предоставляемых субъектами финансового сектора критически важным субъектам, принадлежащим ко всем другим секторам, государства-члены ЕС должны идентифицировать, на основе критериев и с использованием процедуры, предусмотренной настоящей Директивой, субъекты финансового сектора как критически важные. сущности. Следовательно, должны применяться стратегии, оценки рисков государств-членов и меры поддержки, изложенные в Главе II настоящей Директивы. Государства-члены должны иметь возможность принимать или сохранять положения национального законодательства для достижения более высокого уровня устойчивости этих критически важных субъектов при условии, что эти положения соответствуют применимому законодательству Союза.
(22)
Государства-члены ЕС должны назначить или создать органы, компетентные контролировать применение и, при необходимости, обеспечивать соблюдение правил настоящей Директивы, а также гарантировать, что эти органы имеют достаточные полномочия и ресурсы. В свете различий в национальных структурах управления, чтобы защитить существующие отраслевые механизмы или надзорные и регулирующие органы Союза, а также во избежание дублирования, государства-члены должны иметь возможность назначать или учреждать более одного компетентного органа. Если государства-члены назначают или учреждают более одного компетентного органа, они должны четко определить соответствующие задачи соответствующих органов и обеспечить их бесперебойное и эффективное сотрудничество. Все компетентные органы также должны в более широком плане сотрудничать с другими соответствующими органами как на уровне Союза, так и на национальном уровне.
(23)
Чтобы облегчить трансграничное сотрудничество и коммуникацию, а также обеспечить эффективную реализацию настоящей Директивы, каждое государство-член должно, без ущерба для требований отраслевых правовых актов Союза, назначить одно контактное лицо, ответственное за координацию вопросов, связанных с устойчивость критически важных субъектов и трансграничное сотрудничество на уровне Союза («единая точка контакта»), где это уместно, в рамках компетентного органа. Каждое контактное лицо должно поддерживать связь и координировать связь, где это необходимо, с компетентными органами своего государства-члена, с едиными контактными лицами других государств-членов и с Группой по обеспечению устойчивости критически важных объектов.
(24)
Компетентные органы в соответствии с настоящей Директивой и компетентные органы в соответствии с Директивой (ЕС) 2022/2555 должны сотрудничать и обмениваться информацией в отношении рисков кибербезопасности, киберугроз и киберинцидентов, а также рисков, угроз и инцидентов, не связанных с кибербезопасностью, затрагивающих критически важные субъекты, а также в в отношении соответствующих мер, принятых компетентными органами в соответствии с настоящей Директивой и компетентными органами в соответствии с Директивой (ЕС) 2022/2555. Важно, чтобы государства-члены обеспечивали, чтобы требования, предусмотренные в настоящей Директиве и Директиве (ЕС) 2022/2555, реализовывались взаимодополняющим образом и чтобы критически важные субъекты не подвергались административному бремени сверх того, которое необходимо для достижения целей. настоящей Директивы и этой Директивы.
(25)
Государства-члены ЕС должны поддерживать критически важные субъекты, в том числе те, которые квалифицируются как малые или средние предприятия, в повышении их устойчивости в соответствии с обязательствами государств-членов, изложенными в настоящей Директиве, без ущерба для собственной юридической ответственности критически важных субъектов по обеспечению такого соответствия. и тем самым предотвратить чрезмерное административное бремя. Государства-члены могли бы, в частности, разработать инструктивные материалы и методологии, поддержать организацию учений по проверке устойчивости критически важных объектов, а также предоставить консультации и обучение персоналу критически важных объектов. Там, где это необходимо и оправдано целями общественного интереса, государства-члены могут предоставлять финансовые ресурсы и должны способствовать добровольному обмену информацией и передовым опытом между критически важными субъектами, без ущерба для применения правил конкуренции, изложенных в Договоре о функционировании Европейского Союза. Союз (ДФЕС).
(26)
С целью повышения устойчивости критически важных субъектов, определенных государствами-членами ЕС, и для снижения административной нагрузки на эти критически важные субъекты, компетентные органы должны консультироваться друг с другом, когда это необходимо, с целью обеспечения применения настоящей Директивы в последовательным образом. Эти консультации должны проводиться по запросу любого заинтересованного компетентного органа и должны быть сосредоточены на обеспечении конвергентного подхода в отношении взаимосвязанных критически важных объектов, которые используют критическую инфраструктуру, которая физически связана между двумя или более государствами-членами, принадлежащими к одним и тем же группам или корпоративным структурам. или которые были выявлены в одном государстве-члене ЕС и которые предоставляют основные услуги другим государствам-членам ЕС или в них.
(27)
Если положения законодательства Союза или национального законодательства требуют, чтобы критически важные субъекты оценивали риски, имеющие отношение к целям настоящей Директивы, и принимали меры для обеспечения собственной устойчивости, эти требования должны быть надлежащим образом рассмотрены с целью надзора за соблюдением критически важными субъектами настоящей Директивы.
(28)
Критически важные организации должны иметь полное представление о соответствующих рисках, которым они подвергаются, и обязаны анализировать эти риски. С этой целью им следует проводить оценку рисков всякий раз, когда это необходимо, с учетом их конкретных обстоятельств и развития этих рисков и, в любом случае, каждые четыре года, чтобы оценить все соответствующие риски, которые могут нарушить предоставление им основных услуг. («оценка риска критического объекта»). Если критически важные субъекты провели другие оценки рисков или подготовили документы в соответствии с обязательствами, установленными в других правовых актах, которые имеют отношение к их оценке рисков критически важных субъектов, они должны иметь возможность использовать эти оценки и документы для выполнения требований, изложенных в настоящем документе. Директива об оценке рисков критических организаций. Компетентный орган должен иметь возможность заявить, что существующая оценка риска, проведенная критически важной организацией, которая рассматривает соответствующие риски и соответствующую степень зависимости, полностью или частично соответствует обязательствам, изложенным в настоящей Директиве.
(29)
Критически важные субъекты должны принимать технические меры, меры безопасности и организационные меры, соответствующие и пропорциональные рискам, с которыми они сталкиваются, чтобы предотвратить, защитить, отреагировать, противостоять, смягчить, поглотить, приспособиться и восстановиться после инцидента. Хотя критически важные организации должны принимать эти меры в соответствии с настоящей Директивой, детали и объем таких мер должны отражать различные риски, которые каждая критически важная организация определила в рамках своей оценки рисков критической организации, а также особенности такой организации в соответствующем и пропорциональном порядке. способ. Чтобы продвигать последовательный подход Союза, Комиссия должна после консультации с Группой по устойчивости критически важных объектов принять необязательные руководящие принципы для дальнейшего уточнения этих технических, безопасности и организационных мер. Государства-члены ЕС должны обеспечить, чтобы каждый критически важный орган назначал офицера связи или его эквивалент в качестве контактного лица с компетентными органами.
(30)
В интересах эффективности и подотчетности критически важные организации должны описывать меры, которые они принимают, с уровнем детализации, достаточным для достижения целей эффективности и подотчетности, с учетом выявленных рисков, в плане обеспечения устойчивости или в документе или документах, которые эквивалентны плану устойчивости, и применять этот план на практике. Если критическая организация уже приняла технические меры, меры безопасности и организационные меры и подготовила документы в соответствии с другими правовыми актами, которые имеют отношение к мерам повышения устойчивости в соответствии с настоящей Директивой, она должна иметь возможность, во избежание дублирования, использовать эти меры и документы, отвечающие требованиям в отношении мер устойчивости согласно настоящей Директиве. Во избежание дублирования компетентный орган должен иметь возможность объявить существующие меры по обеспечению устойчивости, принятые критически важным субъектом в соответствии с его обязательством по принятию технических, безопасности и организационных мер в соответствии с настоящей Директивой, как соответствующие, полностью или частично, требованиям настоящей Директивы.
(31)
Регламенты (ЕС) № 725/2004 (14) и (ЕС) № 300/2008 (15) Европейского парламента и Совета, а также Директива 2005/65/EC Европейского парламента и Совета (16) устанавливают требования применимы к организациям в секторах авиационного и морского транспорта для предотвращения инцидентов, вызванных незаконными действиями, а также для противодействия и смягчения последствий таких инцидентов. Хотя меры, требуемые настоящей Директивой, шире с точки зрения рассматриваемых рисков и типов мер, которые необходимо принять, важнейшие организации в этих секторах должны отразить в своем плане устойчивости или эквивалентных документах меры, принятые в соответствии с этими другими правовыми актами Союза. Критически важные организации также должны принять во внимание Директиву 2008/96/EC Европейского парламента и Совета (17), которая вводит общесетевую оценку дорог для картирования риска аварий и целевую проверку безопасности дорожного движения для выявления опасных условий. , дефекты и проблемы, повышающие риск несчастных случаев и травм, по результатам посещения существующих дорог или участков дорог. Обеспечение защиты и устойчивости критически важных субъектов имеет первостепенное значение для железнодорожного сектора, и при реализации мер по обеспечению устойчивости в соответствии с настоящей Директивой критически важным субъектам рекомендуется ссылаться на необязательные руководящие принципы и документы о передовой практике, разработанные в рамках отраслевых рабочих потоков, такие как Платформа безопасности железнодорожных пассажиров ЕС, созданная Решением Комиссии 2018/C 232/03 (18).
(32)
Риск того, что сотрудники критически важных организаций или их подрядчики злоупотребляют, например, своими правами доступа в организации критической организации, чтобы нанести вред и причинить ущерб, вызывает растущую обеспокоенность. Поэтому государства-члены ЕС должны определить условия, при которых важнейшим организациям разрешается, в должным образом обоснованных случаях и с учетом оценок рисков государств-членов, подавать запросы на проверку анкетных данных лиц, подпадающих под определенные категории их персонала. Должно быть обеспечено, чтобы соответствующие органы оценивали такие запросы в разумные сроки и обрабатывали их в соответствии с национальным законодательством и процедурами, а также соответствующим и применимым законодательством Союза, в том числе о защите персональных данных. Для подтверждения личности лица, в отношении которого проводится проверка биографических данных, государствам-членам ЕС уместно требовать документ, удостоверяющий личность, например паспорт, национальное удостоверение личности или цифровую форму идентификации, в соответствии с применимыми требованиями. закон.
Проверка анкетных данных должна включать проверку судимости соответствующего лица. Государства-члены должны использовать Европейскую информационную систему судимостей в соответствии с процедурами, изложенными в Рамочном решении Совета 2009/315/JHA (19) и, где это уместно и применимо, Регламенте (ЕС) 2019/816 Европейского парламента и Совет (20) с целью получения информации о судимости, имеющейся в других государствах-членах. Государства-члены могут также, где это уместно и применимо, использовать Шенгенскую информационную систему второго поколения (SIS II), установленную Регламентом (ЕС) 2018/1862 Европейского парламента и Совета (21), разведданные и любую другую доступную объективную информацию. это может быть необходимо для определения пригодности заинтересованного лица для работы на должности, в отношении которой критически важная организация запросила проверку биографических данных.
(33)
Должен быть создан механизм уведомления об определенных инцидентах, чтобы позволить компетентным органам быстро и адекватно реагировать на инциденты и иметь всесторонний обзор воздействия, характера, причин и возможных последствий инцидентов, которыми занимаются критически важные организации. Критически важные организации должны без неоправданной задержки уведомлять компетентные органы об инцидентах, которые существенно нарушают или могут существенно нарушить предоставление основных услуг. За исключением случаев, когда оперативные возможности сделать это невозможны, критически важные организации должны подать первоначальное уведомление не позднее, чем через 24 часа после того, как им стало известно об инциденте. Первоначальное уведомление должно включать только ту информацию, которая строго необходима для того, чтобы компетентный орган узнал об инциденте и позволил критически важному субъекту обратиться за помощью, если потребуется. В таком уведомлении должна быть указана, где это возможно, предполагаемая причина инцидента. Государства-члены ЕС должны обеспечить, чтобы требование о подаче такого первоначального уведомления не отвлекало ресурсы критической организации от деятельности, связанной с обработкой инцидентов, которая должна быть приоритетной. За первоначальным уведомлением, где это уместно, должен последовать подробный отчет не позднее, чем через месяц после инцидента. Подробный отчет должен дополнять первоначальное уведомление и предоставлять более полный обзор инцидента.
(34)
Стандартизация должна оставаться преимущественно рыночным процессом. Однако все же могут возникнуть ситуации, в которых уместно требовать соблюдения конкретных стандартов. Государства-члены ЕС должны там, где это полезно, поощрять использование европейских и международных стандартов и технических спецификаций, касающихся мер безопасности и устойчивости, применимых к критически важным объектам.
(35)
Хотя критически важные организации обычно действуют как часть все более взаимосвязанной сети предоставления услуг и инфраструктуры и часто предоставляют основные услуги более чем в одном государстве-члене, некоторые из этих критически важных организаций имеют особое значение для Союза и его внутреннего рынка, поскольку они предоставляют основные услуги. в шести или более государствах-членах ЕС и, следовательно, может получить выгоду от конкретной поддержки на уровне Союза. Поэтому следует установить правила проведения консультативных миссий в отношении таких важнейших образований, имеющих особое европейское значение. Эти правила не наносят ущерба правилам надзора и правоприменения, изложенным в настоящей Директиве.
(36)
По мотивированному запросу Комиссии или одного или нескольких государств-членов ЕС, которым или в которых предоставляется основная услуга, если необходима дополнительная информация, чтобы иметь возможность консультировать критически важную организацию при выполнении ее обязательств по настоящей Директиве или оценивать соответствие важнейший субъект особого европейского значения с такими обязательствами, государство-член, которое определило критически важный субъект особого европейского значения в качестве критического субъекта, должно предоставить Комиссии определенную информацию, как изложено в настоящей Директиве. По соглашению с государством-членом, которое определило важнейшую организацию, имеющую особое европейское значение, как важнейшую организацию, Комиссия должна иметь возможность организовать консультативную миссию для оценки мер, принятых этой организацией. Чтобы гарантировать, что такие консультативные миссии проводятся должным образом, должны быть установлены дополнительные правила, в частности, в отношении организации и проведения консультативных миссий, последующих действий, которые необходимо предпринять, и обязательств для критически важных субъектов, имеющих особое европейское значение. обеспокоенный. Консультативная миссия должна, без ущерба для необходимости соблюдения государством-членом ЕС, в котором проводится консультативная миссия, и соответствующим критически важным субъектом правил, изложенных в настоящей Директиве, в соответствии с подробными нормами законодательства этого члена. Укажите, например, точные условия, которые необходимо выполнить для получения доступа к соответствующим помещениям или документам, а также о судебной защите. Конкретные экспертные знания, необходимые для таких консультативных миссий, могут, при необходимости, быть запрошены через Координационный центр реагирования на чрезвычайные ситуации, созданный Решением № 1313/2013/EU Европейского парламента и Совета (22).
(37)
В целях поддержки Комиссии и облегчения сотрудничества между государствами-членами ЕС и обмена информацией, включая передовой опыт, по вопросам, связанным с настоящей Директивой, должна быть создана Группа по обеспечению устойчивости критически важных объектов в качестве экспертной группы Комиссии. Государства-члены должны стремиться обеспечить, чтобы назначенные представители их компетентных органов в Группе по обеспечению устойчивости критически важных объектов эффективно и результативно сотрудничали, в том числе путем назначения представителей, имеющих допуск к секретной информации, где это необходимо. Группа по обеспечению устойчивости критически важных объектов должна приступить к выполнению своих задач как можно скорее, чтобы обеспечить дополнительные средства для надлежащего сотрудничества в период переноса настоящей Директивы. Группа по обеспечению устойчивости критически важных объектов должна взаимодействовать с другими соответствующими отраслевыми экспертными рабочими группами.
(38)
Группа по обеспечению устойчивости критически важных объектов должна сотрудничать с Группой сотрудничества, созданной в соответствии с Директивой (ЕС) 2022/2555, с целью поддержки комплексной структуры кибер- и некиберустойчивости критически важных объектов. Группа по обеспечению устойчивости критически важных объектов и Группа сотрудничества, созданная в соответствии с Директивой (ЕС) 2022/2555, должны участвовать в регулярном диалоге для содействия сотрудничеству между компетентными органами в соответствии с настоящей Директивой и компетентными органами в соответствии с Директивой (ЕС) 2022/2555, а также для содействия обмен информацией, в частности по темам, актуальным для обеих групп.
(39)
Для достижения целей настоящей Директивы и без ущерба для юридической ответственности государств-членов ЕС и критически важных организаций за обеспечение соблюдения их соответствующих обязательств, изложенных в ней, Комиссия должна, где она считает это целесообразным, поддерживать компетентные органы и критически важные организации с помощью с целью содействия соблюдению ими своих соответствующих обязательств. При оказании поддержки государствам-членам ЕС и критически важным организациям в выполнении обязательств по настоящей Директиве Комиссия должна опираться на существующие структуры и инструменты, например, в рамках Механизма гражданской защиты Союза, созданного Решением № 1313/2013/ЕС, и Европейская справочная сеть по защите критической инфраструктуры. Кроме того, он должен информировать государства-члены о ресурсах, доступных на уровне Союза, например, в рамках Фонда внутренней безопасности, созданного Регламентом (ЕС) 2021/1149 Европейского парламента и Совета (23), Horizon Europe, созданного Регламентом. (ЕС) 2021/695 Европейского парламента и Совета (24) или другие документы, имеющие отношение к устойчивости критически важных организаций.
(40)
Государства-члены ЕС должны гарантировать, что их компетентные органы обладают определенными конкретными полномочиями для надлежащего применения и обеспечения соблюдения настоящей Директивы в отношении критически важных организаций, если эти организации подпадают под их юрисдикцию, как указано в настоящей Директиве. Эти полномочия должны включать, в частности, право проводить инспекции и аудиты, право осуществлять надзор, право требовать от критически важных организаций предоставления информации и доказательств, касающихся мер, которые они приняли для выполнения своих обязательств, и, при необходимости, полномочия издавать предписания об устранении выявленных нарушений. При издании таких распоряжений государства-члены не должны требовать принятия мер, выходящих за рамки того, что необходимо и соразмерно для обеспечения соблюдения требований заинтересованным критически важным субъектом, принимая во внимание, в частности, серьезность нарушения и экономический потенциал заинтересованного критического субъекта. . В более общем плане эти полномочия должны сопровождаться соответствующими и эффективными гарантиями, которые должны быть указаны в национальном законодательстве в соответствии с Хартией основных прав Европейского Союза. При оценке соблюдения критически важной организацией своих обязательств, изложенных в настоящей Директиве, компетентные органы в соответствии с настоящей Директивой должны иметь возможность запросить компетентные органы в соответствии с Директивой (ЕС) 2022/2555 о реализации своих надзорных и правоприменительных полномочий в отношении субъект в соответствии с этой Директивой, который был определен как критически важный субъект в соответствии с настоящей Директивой. Компетентные органы в соответствии с настоящей Директивой и компетентные органы в соответствии с Директивой (ЕС) 2022/2555 должны сотрудничать и обмениваться информацией для этой цели.
(41)
Чтобы применять настоящую Директиву эффективным и последовательным образом, полномочия по принятию актов в соответствии со статьей 290 TFEU должны быть делегированы Комиссии для дополнения настоящей Директивы путем составления списка основных услуг. Этот список должен использоваться компетентными органами с целью проведения оценки рисков государств-членов и выявления критически важных субъектов в соответствии с настоящей Директивой. В свете подхода к минимальной гармонизации, предусмотренного настоящей Директивой, этот список не является исчерпывающим, и государства-члены могли бы дополнить его дополнительными основными услугами на национальном уровне, чтобы принять во внимание национальную специфику в предоставлении основных услуг. Особенно важно, чтобы Комиссия проводила соответствующие консультации в ходе своей подготовительной работы, в том числе на экспертном уровне, и чтобы эти консультации проводились в соответствии с принципами, изложенными в Межведомственном соглашении от 13 апреля 2016 года о совершенствовании законотворчества (25 ). В частности, для обеспечения равного участия в подготовке делегированных актов Европейский парламент и Совет получают все документы одновременно с экспертами государств-членов, а их эксперты систематически имеют доступ к заседаниям экспертных групп Комиссии, занимающихся подготовкой делегированные акты.
(42)
Чтобы обеспечить единые условия для реализации настоящей Директивы, полномочия по реализации должны быть переданы Комиссии. Эти полномочия должны осуществляться в соответствии с Регламентом (ЕС) № 182/2011 Европейского парламента и Совета (26).
(43)
Поскольку цели настоящей Директивы, а именно обеспечить беспрепятственное предоставление услуг, необходимых для поддержания жизненно важных общественных функций или экономической деятельности на внутреннем рынке, и повысить устойчивость критически важных субъектов, предоставляющих такие услуги, не могут быть в достаточной степени достигнуты путем государств-членов, но, скорее, в силу последствий действия, которое может быть лучше достигнуто на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, изложенным в Статье 5 Договора о Европейском Союзе. . В соответствии с принципом пропорциональности, изложенным в статье 5, настоящая Директива не выходит за рамки того, что необходимо для достижения этих целей.
(44)
С Европейским инспектором по защите данных были проведены консультации в соответствии со статьей 42(1) Регламента (ЕС) 2018/1725 Европейского парламента и Совета (27), и он вынес заключение 11 августа 2021 года.
(45)
Поэтому Директиву 2008/114/EC следует отменить.
ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:
ГЛАВА I
ОСНОВНЫЕ ПОЛОЖЕНИЯ
Статья 1
Предмет и объем
1. Настоящая Директива:
(а)
устанавливает обязательства государств-членов ЕС принимать конкретные меры, направленные на обеспечение беспрепятственного предоставления услуг, которые необходимы для поддержания жизненно важных общественных функций или экономической деятельности в рамках статьи 114 ДФЕС, на внутреннем рынке, в частности обязательства по выявлять критически важные субъекты и оказывать поддержку критически важным субъектам в выполнении возложенных на них обязательств;
(б)
устанавливает обязательства для важнейших организаций, направленные на повышение их устойчивости и способности предоставлять услуги, указанные в пункте (а), на внутреннем рынке;
(с)
устанавливает правила:
(я)
о надзоре за критически важными объектами;
(ii)
по обеспечению исполнения;
(iii)
для выявления критически важных организаций, имеющих особое европейское значение, и для проведения консультативных миссий для оценки мер, которые такие организации приняли для выполнения своих обязательств в соответствии с Главой III;
(г)
устанавливает общие процедуры сотрудничества и отчетности о применении настоящей Директивы;
(е)
устанавливает меры с целью достижения высокого уровня устойчивости критически важных субъектов, чтобы обеспечить предоставление основных услуг внутри Союза и улучшить функционирование внутреннего рынка.
2. Настоящая Директива не применяется к вопросам, регулируемым Директивой (ЕС) 2022/2555, без ущерба для Статьи 8 настоящей Директивы. Учитывая взаимосвязь между физической безопасностью и кибербезопасностью критически важных объектов, государства-члены должны обеспечить скоординированную реализацию настоящей Директивы и Директивы (ЕС) 2022/2555.
3. Если положения отраслевых правовых актов Союза требуют от важнейших организаций принятия мер по повышению их устойчивости и если эти требования признаются государствами-членами как, по крайней мере, эквивалентные соответствующим обязательствам, изложенным в настоящей Директиве, соответствующие положения настоящей Директивы , включая положения о надзоре и правоприменении, изложенные в Главе VI, не применяются.
4. Без ущерба для статьи 346 ДФЕС, информация, которая является конфиденциальной в соответствии с правилами Союза или национальными правилами, такими как правила деловой конфиденциальности, должна обмениваться с Комиссией и другими соответствующими органами в соответствии с настоящей Директивой только в том случае, если такой обмен необходим для применение настоящей Директивы. Обмен информацией должен ограничиваться той информацией, которая уместна и пропорциональна цели такого обмена. Обмен информацией должен сохранять конфиденциальность этой информации, а также безопасность и коммерческие интересы критически важных субъектов, соблюдая при этом безопасность государств-членов.
5. Настоящая Директива не наносит ущерба ответственности государств-членов за обеспечение национальной безопасности и обороны, а также их полномочиям по защите других важных функций государства, включая обеспечение территориальной целостности государства и поддержание правопорядка.
6. Настоящая Директива не применяется к субъектам государственного управления, которые осуществляют свою деятельность в сфере национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая расследование, выявление и уголовное преследование уголовных преступлений.
7. Государства-члены могут решить, что статья 11 и главы III, IV и VI, полностью или частично, не применяются к конкретным критически важным организациям, которые осуществляют деятельность в области национальной безопасности, общественной безопасности, обороны или правоохранительной деятельности, включая расследование, выявление и судебное преследование уголовных преступлений или которые предоставляют услуги исключительно субъектам государственного управления, указанным в пункте 6 настоящей статьи.
8. Обязательства, изложенные в настоящей Директиве, не должны влечь за собой предоставление информации, раскрытие которой противоречило бы существенным интересам национальной безопасности, общественной безопасности или обороны государств-членов.
9. Настоящая Директива не наносит ущерба законодательству Союза о защите персональных данных, в частности Регламенту (ЕС) 2016/679 Европейского Парламента и Совета (28) и Директиве 2002/58/EC Европейского Парламента и Совета ЕС. Совет (29).
Статья 2
Определения
Для целей настоящей Директивы применяются следующие определения:
(1)
«критически важная организация» означает государственную или частную организацию, которая была определена государством-членом в соответствии со статьей 6 как принадлежащая к одной из категорий, указанных в третьем столбце таблицы в Приложении;
(2)
«устойчивость» означает способность критически важного субъекта предотвращать, защищать, реагировать, сопротивляться, смягчать, поглощать, приспосабливаться и восстанавливаться после инцидента;
(3)
«инцидент» означает событие, которое потенциально может существенно нарушить или нарушает предоставление основных услуг, в том числе когда оно затрагивает национальные системы, обеспечивающие верховенство закона;
(4)
«критическая инфраструктура» означает актив, объект, оборудование, сеть или систему или часть актива, объект, оборудование, сеть или систему, которые необходимы для предоставления основных услуг;
(5)
«основная услуга» означает услугу, которая имеет решающее значение для поддержания жизненно важных функций общества, экономической деятельности, здоровья и безопасности населения или окружающей среды;
(6)
«риск» означает возможность потерь или сбоев, вызванных инцидентом, и должен выражаться как сочетание величины таких потерь или сбоев и вероятности возникновения инцидента;
(7)
«оценка риска» означает общий процесс определения характера и степени риска путем выявления и анализа потенциальных соответствующих угроз, уязвимостей и опасностей, которые могут привести к инциденту, а также путем оценки потенциальных потерь или сбоев в предоставлении основных услуг, вызванных этим инцидентом;
(8)
«стандарт» означает стандарт, определенный в статье 2, пункт (1) Регламента (ЕС) № 1025/2012 Европейского парламента и Совета (30);
(9)
«техническая спецификация» означает техническую спецификацию, определенную в пункте (4) статьи 2 Регламента (ЕС) № 1025/2012;
(10)
«орган государственного управления» означает субъект, признанный таковым в государстве-члене ЕС в соответствии с национальным законодательством, за исключением судебной власти, парламентов или центральных банков, который соответствует следующим критериям:
(а)
оно создается с целью удовлетворения потребностей в общих интересах и не носит промышленного или коммерческого характера;
(б)
оно имеет правосубъектность или по закону имеет право действовать от имени другого лица, обладающего правосубъектностью;
(с)
финансируется большей частью государственными органами или другими органами центрального уровня, регулируемыми публичным правом, подлежит управленческому надзору со стороны этих органов или органов или имеет административный, управленческий или наблюдательный совет, более половины члены которых назначаются государственными органами или другими органами центрального уровня, регулируемыми публичным правом;
(г)
он имеет право обращаться к физическим или юридическим лицам с административными или нормативными решениями, затрагивающими их права при трансграничном перемещении людей, товаров, услуг или капитала.
Статья 3
Минимальная гармонизация
Настоящая Директива не препятствует государствам-членам ЕС принимать или сохранять положения национального законодательства с целью достижения более высокого уровня устойчивости критически важных объектов, при условии, что такие положения соответствуют обязательствам государств-членов, изложенным в законодательстве Союза.
ГЛАВА II
НАЦИОНАЛЬНЫЕ РАМКИ УСТОЙЧИВОСТИ КРИТИЧЕСКИХ ОБЪЕКТОВ
Статья 4
Стратегия устойчивости критически важных объектов
1. После консультаций, которые, насколько это практически возможно, открыты для соответствующих заинтересованных сторон, каждое государство-член должно принять к 17 января 2026 года стратегию повышения устойчивости критически важных субъектов («стратегия»). В стратегии должны быть определены стратегические цели и политические меры, основанные на соответствующих существующих национальных и отраслевых стратегиях, планах или аналогичных документах, с целью достижения и поддержания высокого уровня устойчивости со стороны критически важных субъектов и охватывающие, по крайней мере, установленные сектора. в Приложении.
2. Каждая стратегия должна содержать как минимум следующие элементы:
(а)
стратегические цели и приоритеты в целях повышения общей устойчивости критически важных субъектов с учетом трансграничных и межсекторальных зависимостей и взаимозависимостей;
(б)
структура управления для достижения стратегических целей и приоритетов, включая описание ролей и обязанностей различных органов власти, важнейших организаций и других сторон, участвующих в реализации стратегии;
(с)
описание мер, необходимых для повышения общей устойчивости критически важных объектов, включая описание оценки рисков, упомянутой в статье 5;
(г)
описание процесса идентификации критически важных объектов;
(е)
описание процесса поддержки важнейших субъектов в соответствии с настоящей главой, включая меры по расширению сотрудничества между государственным сектором, с одной стороны, и частным сектором и государственными и частными субъектами, с другой стороны;
(е)
список основных органов власти и соответствующих заинтересованных сторон, за исключением критически важных организаций, участвующих в реализации стратегии;
(г)
политическая основа для координации между компетентными органами в соответствии с настоящей Директивой («компетентные органы») и компетентными органами в соответствии с Директивой (ЕС) 2022/2555 в целях обмена информацией о рисках кибербезопасности, киберугрозах, киберинцидентах и некиберрисках. , угрозы и инциденты, а также выполнение надзорных задач;
(час)
описание уже действующих мер, направленных на содействие выполнению обязательств согласно Главе III настоящей Директивы малыми и средними предприятиями в значении Приложения к Рекомендации Комиссии 2003/361/EC (31), которую государство-член в вопрос был определен как критический объект.
После консультаций, которые, насколько это практически возможно, открыты для соответствующих заинтересованных сторон, государства-члены должны обновлять свои стратегии не реже одного раза в четыре года.
3. Государства-члены должны сообщить Комиссии о своих стратегиях и существенных обновлениях в течение трех месяцев с момента их принятия.
Статья 5
Оценка риска государствами-членами
1. Комиссия уполномочена принять делегированный акт в соответствии со статьей 23 до 17 ноября 2023 года в дополнение к настоящей Директиве путем установления неисчерпывающего списка основных услуг в секторах и подсекторах, указанных в Приложении. Компетентные органы должны использовать этот список основных услуг для целей проведения оценки риска («Оценка риска государства-члена») до 17 января 2026 года, когда это необходимо в дальнейшем, и не реже одного раза в четыре года. Компетентные органы должны использовать оценки рисков государств-членов с целью выявления критически важных субъектов в соответствии со статьей 6 и оказания помощи этим критически важным субъектам в принятии мер в соответствии со статьей 13.
Оценки рисков государств-членов должны учитывать соответствующие природные и техногенные риски, в том числе риски межсекторального или трансграничного характера, аварии, стихийные бедствия, чрезвычайные ситуации в области общественного здравоохранения и гибридные угрозы или другие антагонистические угрозы, включая террористические преступления, как это предусмотрено. в соответствии с Директивой (ЕС) 2017/541 Европейского парламента и Совета (32).
2. При проведении оценок рисков государств-членов ЕС, государства-члены должны учитывать, по крайней мере, следующее:
(а)
общая оценка риска, проведенная в соответствии со статьей 6(1) Решения № 1313/2013/ЕС;
(б)
другие соответствующие оценки рисков, выполняемые в соответствии с требованиями соответствующих отраслевых правовых актов Союза, включая Регламенты (ЕС) 2017/1938 (33) и (ЕС) 2019/941 (34) Европейского парламента и Совет и Директивы 2007/60/EC (35) и 2012/18/EU (36) Европейского парламента и Совета;
(с)
соответствующие риски, возникающие из-за того, насколько отрасли, указанные в Приложении, зависят друг от друга, в том числе от степени, в которой они зависят от предприятий, расположенных в других государствах-членах ЕС и третьих странах, а также влияние, которое может оказать значительный сбой в одном секторе могут иметь на другие отрасли, включая любые существенные риски для граждан и внутреннего рынка;
(г)
любую информацию об инцидентах, о которых было сообщено в соответствии со статьей 15.
Для целей первого подпараграфа пункта (c) государства-члены должны сотрудничать с компетентными органами других государств-членов и компетентными органами третьих стран, в зависимости от обстоятельств.
3. Государства-члены должны предоставить соответствующие элементы оценок рисков государств-членов, где это уместно, через свои единые контактные лица, критически важным организациям, которые они определили в соответствии со статьей 6. Государства-члены должны гарантировать, что информация, предоставляемая критически важным организациям, помогает им проводить оценку рисков в соответствии со статьей 12 и принимать меры для обеспечения их устойчивости в соответствии со статьей 13.
4. В течение трех месяцев после проведения оценки риска государства-члена, государство-член должно предоставить Комиссии соответствующую информацию о типах рисков, выявленных после этого, и результатах этой оценки риска государства-члена, по секторам и подсекторам, изложенным в приложение.
5. Комиссия должна в сотрудничестве с государствами-членами разработать добровольный общий шаблон отчетности с целью соблюдения параграфа 4.
Статья 6
Идентификация критических объектов
1. К 17 июля 2026 года каждое государство-член должно определить важнейшие организации для секторов и подсекторов, указанных в Приложении.
2. Когда государство-член идентифицирует критически важные субъекты в соответствии с параграфом 1, оно должно учитывать результаты оценки рисков своего государства-члена и свою стратегию и применять все следующие критерии:
(а)
организация предоставляет одну или несколько основных услуг;
(б)
организация осуществляет свою деятельность, и ее критически важная инфраструктура расположена на территории этого государства-члена ЕС; и
(с)
инцидент будет иметь значительные разрушительные последствия, как это определено в соответствии со статьей 7(1), на предоставление организацией одной или нескольких основных услуг или на предоставление других основных услуг в секторах, указанных в Приложении, которые зависят от те или иные основные услуги.
3. Каждое государство-член ЕС должно составить список критически важных организаций, определенных в соответствии с параграфом 2, и обеспечить, чтобы эти критически важные организации были уведомлены о том, что они были идентифицированы как критически важные организации, в течение одного месяца с момента такой идентификации. Государства-члены должны информировать эти критически важные субъекты об их обязательствах в соответствии с Главами III и IV и дате, с которой эти обязательства применяются к ним, без ущерба для статьи 8. Государства-члены должны информировать критически важные субъекты в секторах, указанных в пунктах 3, 4 и 8. таблицы в Приложении, что у них нет обязательств по главам III и IV, если только национальные меры не предусматривают иное.
Для соответствующих критически важных субъектов Глава III применяется по истечении 10 месяцев после даты уведомления, упомянутого в первом подпункте настоящего пункта.
4. Государства-члены должны обеспечить, чтобы их компетентные органы в соответствии с настоящей Директивой уведомляли компетентные органы в соответствии с Директивой (ЕС) 2022/2555 о личности критически важных субъектов, которые они идентифицировали в соответствии с настоящей статьей, в течение одного месяца с момента такой идентификации. В этом уведомлении должно быть указано, где это применимо, что заинтересованными критически важными организациями являются предприятия в секторах, указанных в пунктах 3, 4 и 8 таблицы в Приложении к настоящей Директиве, и они не несут никаких обязательств по ее Главам III и IV.
5. Государства-члены должны, при необходимости и в любом случае не реже одного раза в четыре года, пересматривать и, при необходимости, обновлять список выявленных критически важных объектов, упомянутых в параграфе 3. Если эти обновления приводят к выявлению дополнительных критически важных объектов, пункты 3 и 4 применяются к этим дополнительным критическим объектам. Кроме того, государства-члены ЕС должны обеспечить, чтобы организации, которые больше не идентифицируются как критически важные организации после любого такого обновления, были своевременно уведомлены об этом факте и о том, что они больше не подлежат обязательствам в соответствии с Главой III с даты получения это уведомление.
6. Комиссия должна в сотрудничестве с государствами-членами разрабатывать рекомендации и необязательные руководящие принципы для поддержки государств-членов в выявлении критически важных объектов.
Статья 7
Значительный разрушительный эффект
1. При определении значимости разрушительного воздействия, как указано в статье 6(2), пункт (c), государства-члены должны учитывать следующие критерии:
(а)
количество пользователей, пользующихся основной услугой, предоставляемой заинтересованной организацией;
(б)
степень, в которой другие сектора и подсекторы, указанные в Приложении, зависят от рассматриваемой жизненно важной услуги;
(с)
влияние, которое инциденты могут оказать, с точки зрения степени и продолжительности, на экономическую и общественную деятельность, окружающую среду, общественную безопасность и безопасность или здоровье населения;
(г)
рыночная доля организации на рынке соответствующих основных услуг или основных услуг;
(е)
географическая территория, на которую может повлиять инцидент, включая любое трансграничное воздействие, принимая во внимание уязвимость, связанную со степенью изоляции определенных типов географических территорий, таких как островные регионы, отдаленные регионы или горные районы;
(е)
важность организации в поддержании достаточного уровня основных услуг, принимая во внимание наличие альтернативных средств для предоставления этой основной услуги.
2. После идентификации критически важных субъектов в соответствии со статьей 6(1) каждое государство-член должно без неоправданной задержки представить в Комиссию следующую информацию:
(а)
список основных услуг в том государстве-члене ЕС, где имеются какие-либо дополнительные основные услуги по сравнению со списком основных услуг, указанных в Статье 5(1);
(б)
количество критически важных организаций, определенных для каждого сектора и подсектора, указанных в Приложении, и для каждой основной услуги;
(с)
любые пороговые значения, применяемые для указания одного или нескольких критериев, указанных в пункте 1.
Пороговые значения, упомянутые в первом подпараграфе, пункт (c), могут быть представлены как таковые или в агрегированной форме.
Государства-члены должны впоследствии предоставлять информацию, указанную в первом подпараграфе, когда это необходимо, но не реже одного раза в четыре года.
3. После консультации с Группой по обеспечению устойчивости критически важных объектов, упомянутой в статье 19, Комиссия должна принять необязательные руководящие принципы, облегчающие применение критериев, указанных в пункте 1 настоящей статьи, принимая во внимание информацию, указанную в пункте 2. настоящей статьи.
Статья 8
Критически важные субъекты в секторах банковского дела, инфраструктуры финансового рынка и цифровой инфраструктуры
Государства-члены должны обеспечить, чтобы Статья 11 и Главы III, IV и VI не применялись к критически важным организациям, которые они определили в секторах, указанных в пунктах 3, 4 и 8 таблицы в Приложении. Государства-члены могут принимать или сохранять положения национального законодательства для достижения более высокого уровня устойчивости этих критически важных организаций при условии, что эти положения соответствуют применимому законодательству Союза.
Статья 9
Компетентные органы и единое контактное лицо
1. Каждое государство-член ЕС должно назначить или создать один или несколько компетентных органов, ответственных за правильное применение и, при необходимости, соблюдение правил, изложенных в настоящей Директиве, на национальном уровне.
Что касается критически важных организаций в секторах, указанных в пунктах 3 и 4 таблицы в Приложении к настоящей Директиве, компетентными органами, в принципе, являются компетентные органы, указанные в Статье 46 Регламента (ЕС) 2022/2554. . Что касается важнейших организаций в секторе, указанных в пункте 8 таблицы в Приложении к настоящей Директиве, компетентными органами, в принципе, являются компетентные органы в соответствии с Директивой (ЕС) 2022/2555. Государства-члены могут назначить другой компетентный орган для секторов, указанных в пунктах 3, 4 и 8 таблицы в Приложении к настоящей Директиве, в соответствии с существующими национальными нормами.
Если государства-члены назначают или учреждают более одного компетентного органа, они должны четко определить задачи каждого из заинтересованных органов и гарантировать, что они эффективно сотрудничают для выполнения своих задач в соответствии с настоящей Директивой, в том числе в отношении назначения и деятельности единого компетентного органа. контактное лицо, указанное в пункте 2.
2. Каждое государство-член должно назначить или создать одно контактное лицо для выполнения функций связи с целью обеспечения трансграничного сотрудничества с едиными контактными лицами других государств-членов и Группой по обеспечению устойчивости критически важных субъектов, упомянутой в Статье 19 ( «единая точка контакта»). В соответствующих случаях государство-член должно назначить свое единственное контактное лицо в рамках компетентного органа. В соответствующих случаях государство-член может предусмотреть, чтобы его единственное контактное лицо также осуществляло функцию связи с Комиссией и обеспечивало сотрудничество с третьими странами.
3. К 17 июля 2028 года и каждые два года после этого единые контактные лица должны представить Комиссии и Группе по обеспечению устойчивости критически важных объектов, указанной в Статье 19, сводный отчет о полученных ими уведомлениях, включая количество уведомлений. , характер заявленных инцидентов и действия, предпринятые в соответствии со статьей 15(3).
Комиссия в сотрудничестве с Группой по обеспечению устойчивости критически важных объектов разработает общий шаблон отчетности. Компетентные органы могут на добровольной основе использовать этот общий шаблон отчетности для целей представления кратких отчетов, как указано в первом подпункте.
4. Каждое государство-член должно обеспечить, чтобы его компетентный орган и единое контактное лицо имели полномочия и достаточные финансовые, человеческие и технические ресурсы для эффективного и действенного выполнения возложенных на них задач.
5. Каждое государство-член ЕС должно обеспечить, чтобы его компетентный орган, когда это необходимо, и в соответствии с законодательством Союза и национальным законодательством консультировался и сотрудничал с другими соответствующими национальными органами, включая органы, отвечающие за гражданскую защиту, правоохранительную деятельность и защиту персональных данных, а также с критически важными субъектами и соответствующими заинтересованными сторонами.
6. Каждое государство-член должно обеспечить, чтобы его компетентный орган в соответствии с настоящей Директивой сотрудничал и обменивался информацией с компетентными органами в соответствии с Директивой (ЕС) 2022/2555 о рисках кибербезопасности, киберугрозах и киберинцидентах, а также некиберрисках, угрозах и инцидентах, затрагивающих критически важные субъекты. , в том числе в отношении соответствующих мер, принятых его компетентным органом и компетентными органами в соответствии с Директивой (ЕС) 2022/2555.
7. В течение трех месяцев с момента назначения или учреждения компетентного органа и единого контактного лица каждое государство-член должно уведомить Комиссию о своей личности, своих задачах и обязанностях в соответствии с настоящей Директивой, своих контактных данных и любых последующих их изменениях. Государства-члены должны информировать Комиссию, если они решают назначить орган, отличный от компетентных органов, упомянутых во втором подпараграфе параграфа 1, в качестве компетентных органов в отношении важнейших организаций в секторах, указанных в пунктах 3, 4 и 8 таблица в приложении. Каждое государство-член должно обнародовать информацию о своем компетентном органе и едином контактном лице.
8. Комиссия должна сделать список единых контактных лиц общедоступным.
Статья 10
Поддержка государств-членов критически важных организаций
1. Государства-члены должны поддерживать важнейшие организации в повышении их устойчивости. Эта поддержка может включать разработку руководящих материалов и методологий, поддержку организации учений по проверке их устойчивости, а также предоставление консультаций и обучение персонала критически важных организаций. Без ущерба для применимых правил государственной помощи государства-члены ЕС могут предоставлять финансовые ресурсы критически важным организациям, когда это необходимо и оправдано целями общественного интереса.
2. Каждое государство-член должно гарантировать, что его компетентный орган сотрудничает и обменивается информацией и передовой практикой с важнейшими субъектами секторов, указанных в Приложении.
3. Государства-члены должны способствовать добровольному обмену информацией между критически важными организациями по вопросам, охватываемым настоящей Директивой, в соответствии с законодательством Союза и национальным законодательством, в частности, о секретной и конфиденциальной информации, конкуренции и защите персональных данных.
Статья 11
Сотрудничество между государствами-членами
1. Когда это необходимо, государства-члены ЕС должны консультироваться друг с другом относительно важнейших объектов с целью обеспечения последовательного применения настоящей Директивы. Такие консультации должны проводиться, в частности, в отношении важнейших организаций, которые:
(а)
использовать критическую инфраструктуру, которая физически связана между двумя или более государствами-членами;
(б)
являются частью корпоративных структур, которые связаны или связаны с критически важными организациями в других государствах-членах ЕС;
(с)
были идентифицированы как критически важные организации в одном государстве-члене ЕС и предоставляют основные услуги другим государствам-членам ЕС или в них.
2. Консультации, упомянутые в параграфе 1, должны быть направлены на повышение устойчивости критически важных субъектов и, где это возможно, снижение административной нагрузки на них.
ГЛАВА III
УСТОЙЧИВОСТЬ КРИТИЧЕСКИХ ОБЪЕКТОВ
Статья 12
Оценка рисков критически важными организациями
1. Несмотря на крайний срок, установленный во втором подпараграфе статьи 6(3), государства-члены ЕС должны обеспечить, чтобы критически важные организации провели оценку рисков в течение девяти месяцев с момента получения уведомления, указанного в статье 6(3), при необходимости в дальнейшем, и не реже одного раза в четыре года, на основе оценок рисков государств-членов и других соответствующих источников информации, чтобы оценить все соответствующие риски, которые могут нарушить предоставление их основных услуг («оценка рисков критически важных организаций»).
2. Оценки рисков критически важных организаций должны учитывать все соответствующие природные и техногенные риски, которые могут привести к инциденту, включая риски межсекторального или трансграничного характера, аварии, стихийные бедствия, чрезвычайные ситуации в области общественного здравоохранения и гибридные угрозы, а также другие антагонистические угрозы, включая террористические преступления, как это предусмотрено Директивой (ЕС) 2017/541. Оценка риска критического объекта должна учитывать степень, в которой другие сектора, как указано в Приложении, зависят от основных услуг, предоставляемых критическим объектом, и степень, в которой этот критический объект зависит от основных услуг, предоставляемых другими объектами в таких других организациях. секторах, в том числе, где это уместно, в соседних государствах-членах и третьих странах.
Если критическая организация провела другие оценки риска или подготовила документы в соответствии с обязательствами, установленными в других правовых актах, которые имеют значение для ее оценки риска критической организации, она может использовать эти оценки и документы для выполнения требований, установленных настоящей статьей. При осуществлении своих надзорных функций компетентный орган может объявить существующую оценку рисков, проведенную критически важной организацией, которая учитывает риски и степень зависимости, указанные в первом подпункте настоящего пункта, как соответствующую, полностью или частично, обязательствам. согласно этой статье.
Статья 13
Меры устойчивости критически важных объектов
1. Государства-члены ЕС должны гарантировать, что критически важные субъекты принимают соответствующие и пропорциональные технические, меры безопасности и организационные меры для обеспечения своей устойчивости на основе соответствующей информации, предоставленной государствами-членами об оценке рисков государств-членов и на результатах оценки рисков критически важных субъектов, включая меры, необходимые для:
(а)
предотвращать возникновение инцидентов, должным образом учитывая меры по снижению риска бедствий и адаптации к изменению климата;
(б)
обеспечить адекватную физическую защиту своих помещений и критически важной инфраструктуры, должным образом учитывая, например, ограждения, барьеры, инструменты и процедуры мониторинга периметра, оборудование обнаружения и контроль доступа;
(с)
реагировать, противостоять и смягчать последствия инцидентов, должным образом учитывая внедрение процедур и протоколов управления рисками и кризисами, а также процедур оповещения;
(г)
восстанавливаться после инцидентов, должным образом учитывая меры по обеспечению непрерывности бизнеса и выявляя альтернативные цепочки поставок, чтобы возобновить предоставление основных услуг;
(е)
обеспечить адекватное управление безопасностью сотрудников, должным образом продумав такие меры, как определение категорий персонала, выполняющего критически важные функции, установление прав доступа к помещениям, критической инфраструктуре и конфиденциальной информации, установление процедур проверки анкетных данных в соответствии со статьей 14 и определение категорий лиц кто обязан проходить такую проверку биографических данных, и устанавливая соответствующие требования к обучению и квалификации;
(е)
повышать осведомленность о мерах, упомянутых в пунктах (a) – (e), среди соответствующего персонала, должным образом учитывая учебные курсы, информационные материалы и упражнения.
Для целей первого подабзаца пункта (e) государства-члены ЕС должны обеспечить, чтобы критически важные организации учитывали персонал внешних поставщиков услуг при определении категорий персонала, выполняющего критически важные функции.
2. Государства-члены должны гарантировать, что критически важные субъекты имеют и применяют план обеспечения устойчивости или эквивалентный документ или документы, описывающие меры, принятые в соответствии с параграфом 1. Если критически важные субъекты подготовили документы или приняли меры в соответствии с обязательствами, изложенными в других правовых действия, которые имеют отношение к мерам, указанным в пункте 1, они могут использовать эти документы и меры для удовлетворения требований, изложенных в настоящей статье. При выполнении своих надзорных функций компетентный орган может объявить существующие меры по повышению устойчивости, принятые критически важным субъектом, которые надлежащим и пропорциональным образом направлены на технические меры, меры безопасности и организационные меры, упомянутые в параграфе 1, как соответствующие, полностью или частично. часть с обязательствами, предусмотренными настоящей статьей.
3. Государства-члены должны обеспечить, чтобы каждая критически важная организация назначила офицера связи или эквивалентного ему представителя в качестве контактного лица с компетентными органами.
4. По запросу государства-члена, определившего критически важную организацию, и с согласия заинтересованной важной организации Комиссия организует консультативные миссии в соответствии с механизмами, изложенными в Статье 18(6), (8) и (9) для предоставления консультаций заинтересованному важнейшему субъекту при выполнении его обязательств согласно Главе III. Консультативная миссия должна сообщить о своих выводах Комиссии, этому государству-члену и заинтересованному важнейшему органу.
5. После консультации с Группой по обеспечению устойчивости критически важных объектов, упомянутой в статье 19, Комиссия должна принять необязательные руководящие принципы для дальнейшего определения технических, мер безопасности и организационных мер, которые могут быть приняты в соответствии с пунктом 1 настоящей статьи.
6. Комиссия принимает исполнительные акты с целью установления необходимых технических и методологических спецификаций, касающихся применения мер, указанных в пункте 1 настоящей статьи. Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в статье 24(2).
Статья 14
Проверка анкетных данных
1. Государства-члены должны определить условия, при которых критически важному субъекту разрешается, в должным образом обоснованных случаях и с учетом оценки рисков государства-члена, подавать запросы на проверку анкетных данных лиц, которые:
(а)
выполнять важные роли в критически важной организации или в ее интересах, в частности, в отношении устойчивости критической организации;
(б)
имеют право прямого или удаленного доступа к своим помещениям, информации или системам управления, в том числе в связи с безопасностью критического объекта;
(с)
рассматриваются для набора на должности, подпадающие под критерии, изложенные в пункте (a) или (b).
2. Запросы, указанные в пункте 1 настоящей статьи, должны быть рассмотрены в разумные сроки и обработаны в соответствии с национальным законодательством и процедурами, а также соответствующим и применимым законодательством Союза, включая Регламент (ЕС) 2016/679 и Директиву (ЕС) 2016/. 680 Европейского парламента и Совета (37). Проверка анкетных данных должна быть соразмерной и строго ограничиваться необходимым. Они должны проводиться с единственной целью – оценить потенциальный риск безопасности для соответствующего критического объекта.
3. Проверка анкетных данных, упомянутая в параграфе 1, должна, как минимум:
(а)
подтвердить личность лица, в отношении которого проводится проверка;
(б)
проверить судимость этого лица на предмет правонарушений, которые будут иметь отношение к конкретной должности.
При проведении проверок биографических данных государства-члены должны использовать Европейскую информационную систему судимости в соответствии с процедурами, изложенными в Рамочном решении 2009/315/JHA и, где это уместно и применимо, Регламенте (ЕС) 2019/816, с целью получения информация из судимостей, хранящихся в других государствах-членах. Центральные органы, указанные в статье 3(1) Рамочного решения 2009/315/JHA и в статье 3, пункт (5) Регламента (ЕС) 2019/816, должны предоставлять ответы на запросы о предоставлении такой информации в течение 10 рабочих дней с момента дата получения запроса в соответствии со статьей 8(1) Рамочного решения 2009/315/JHA.
Статья 15
Уведомление об инциденте
1. Государства-члены должны обеспечить, чтобы критически важные организации уведомляли компетентный орган без неоправданной задержки об инцидентах, которые существенно нарушают или могут существенно нарушить предоставление основных услуг. Государства-члены ЕС должны обеспечить, чтобы критически важные субъекты, если они не в состоянии это сделать с оперативной точки зрения, представляли первоначальное уведомление не позднее, чем через 24 часа после того, как стало известно об инциденте, с последующим, при необходимости, подробным отчетом не позднее, чем через месяц после этого. Для определения значимости нарушения необходимо, в частности, учитывать следующие параметры:
(а)
количество и доля пользователей, затронутых сбоем;
(б)
продолжительность сбоя;
(с)
географическая зона, затронутая сбоем, с учетом того, является ли эта территория географически изолированной.
Если инцидент оказывает или может оказать существенное влияние на непрерывность предоставления основных услуг в шести или более государствах-членах ЕС, компетентные органы государств-членов, затронутых инцидентом, должны уведомить Комиссию об этом инциденте.
2. Уведомления, упомянутые в первом подпараграфе параграфа 1, должны включать любую имеющуюся информацию, необходимую для того, чтобы компетентный орган мог понять характер, причину и возможные последствия инцидента, включая любую доступную информацию, необходимую для определения любого трансграничного воздействия Инцидент. Такие уведомления не влекут за собой повышенную ответственность критически важных субъектов.
3. На основе информации, предоставленной критически важной организацией в уведомлении, указанном в параграфе 1, соответствующий компетентный орган через единое контактное лицо должен информировать единое контактное лицо других затронутых государств-членов, где произошел инцидент. оказывает или может оказать существенное влияние на критически важные организации и непрерывность предоставления основных услуг в одном или нескольких других государствах-членах ЕС.
Единые точки контакта, отправляющие и получающие информацию в соответствии с первым подпараграфом, должны в соответствии с законодательством Союза или национальным законодательством обращаться с этой информацией таким образом, чтобы соблюдать ее конфиденциальность и защищать безопасность и коммерческие интересы заинтересованной важной организации.
4. Как можно скорее после уведомления, упомянутого в параграфе 1, соответствующий компетентный орган должен предоставить заинтересованному важнейшему субъекту соответствующую информацию о последующих мерах, включая информацию, которая могла бы поддержать эффективное реагирование этого важнейшего субъекта на рассматриваемый инцидент. Государства-члены должны информировать общественность, если они считают, что это будет в общественных интересах.
Статья 16
Стандарты
Чтобы способствовать конвергентному осуществлению настоящей Директивы, государства-члены должны, где это полезно, без навязывания или дискриминации в пользу использования определенного типа технологии, поощрять использование европейских и международных стандартов и технических спецификаций, касающихся безопасности и безопасности. меры устойчивости, применимые к критически важным объектам.
ГЛАВА IV
КРИТИЧЕСКИЕ ОБЪЕКТЫ, ИМЕЮЩИЕ ОСОБОЕ ЕВРОПЕЙСКОЕ ЗНАЧЕНИЕ
Статья 17
Выявление критически важных объектов особого европейского значения
1. Субъект считается критически важным субъектом особого европейского значения, если он:
(а)
был идентифицирован как критически важная организация в соответствии со статьей 6(1);
(б)
предоставляет одинаковые или аналогичные основные услуги шести или более государствам-членам ЕС или в них; и
(с)
было уведомлено в соответствии с пунктом 3 настоящей статьи.
2. Государства-члены ЕС должны обеспечить, чтобы критически важная организация после уведомления, упомянутого в Статье 6(3), информировала свой компетентный орган о том, где она предоставляет основные услуги шести или более государствам-членам ЕС. В таком случае государства-члены ЕС должны гарантировать, что критически важная организация информирует свой компетентный орган о важнейших услугах, которые она предоставляет или в тех государствах-членах ЕС, а также о государствах-членах ЕС, которым или в которых она предоставляет такие основные услуги. Государства-члены должны уведомить Комиссию без неоправданной задержки о личности таких критически важных организаций и информации, которую они предоставляют в соответствии с настоящим параграфом.
Комиссия должна проконсультироваться с компетентным органом государства-члена, который определил критически важный объект, как указано в первом подпараграфе, компетентным органом других заинтересованных государств-членов и рассматриваемым критическим объектом. В ходе этих консультаций каждое государство-член должно информировать Комиссию, если оно считает, что услуги, предоставляемые этому государству-члену критически важным субъектом, являются важными услугами.
3. Если Комиссия на основе консультаций, упомянутых в пункте 2 настоящей статьи, устанавливает, что важнейшая организация, о которой идет речь, предоставляет основные услуги шести или более государствам-членам ЕС, Комиссия должна уведомить эту важнейшую организацию через свою компетентную организацию. орган, что он считается важнейшим субъектом особого европейского значения, и информировать этот важнейший субъект о его обязательствах по настоящей Главе и дате, с которой эти обязательства применяются к нему. Как только Комиссия информирует компетентный орган о своем решении рассматривать критически важный объект в качестве критического объекта особого европейского значения, компетентный орган должен направить это уведомление этому критическому объекту без неоправданной задержки.
4. Настоящая Глава применяется к соответствующему важнейшему субъекту особого европейского значения с даты получения уведомления, упомянутого в пункте 3 настоящей статьи.
Статья 18
Консультативные миссии
1. По запросу государства-члена, которое определило важнейшую организацию, имеющую особое европейское значение, в качестве критической организации в соответствии со статьей 6(1), Комиссия должна организовать консультативную миссию для оценки мер, которые приняла эта важнейшая организация. для выполнения своих обязательств по Главе III.
2. По собственной инициативе или по запросу одного или нескольких государств-членов ЕС, которым или в которых предоставляется основная услуга, и при условии, что государство-член ЕС, которое определило критически важную организацию, имеющую особое европейское значение, в качестве критической организации в соответствии со Статьей 6 (1) примет такое согласие, Комиссия организует консультативную миссию, как указано в пункте 1 настоящей статьи.
3. По мотивированному запросу Комиссии или одного или нескольких государств-членов, которым или в которых предоставляется основная услуга, государство-член, которое определило критически важную организацию, имеющую особое европейское значение, в качестве критической организации в соответствии со Статьей 6(1) предоставляет Комиссии следующее:
(а)
соответствующие части оценки риска критического объекта;
(б)
перечень соответствующих мер, принятых в соответствии со статьей 13;
(с)
надзорные или принудительные действия, включая оценку соблюдения или изданные приказы, которые его компетентный орган предпринял в соответствии со статьями 21 и 22 в отношении этого критического субъекта.
4. Консультационная миссия должна сообщить о своих выводах Комиссии, государству-члену, которое определило важнейшую организацию, имеющую особое европейское значение, в качестве критической организации в соответствии со Статьей 6(1), государствам-членам, которым или в которых предоставляются основные услуги. предоставляется и соответствующему важнейшему субъекту в течение трех месяцев после завершения консультативной миссии.
Государства-члены ЕС, которым или в которых предоставляются основные услуги, должны проанализировать отчет, упомянутый в первом подпараграфе, и, при необходимости, сообщить Комиссии о том, соблюдает ли соответствующая критическая организация особого европейского значения свои обязательства в соответствии с Главой III и , где это уместно, о мерах, которые можно было бы принять для повышения устойчивости этого критического объекта.
Комиссия должна, основываясь на рекомендации, указанной во втором подпараграфе настоящего параграфа, сообщить свое мнение государству-члену, которое определило важнейшую организацию, имеющую особое европейское значение, в качестве критической организации в соответствии со статьей 6(1), члену ЕС. Государства, которым или в которых предоставляется основная услуга, и этому важнейшему субъекту относительно того, соблюдает ли этот важнейший субъект свои обязательства по Главе III, и, при необходимости, относительно мер, которые можно было бы принять для повышения устойчивости этого важнейшего субъекта.
Государство-член, которое определило важнейшую организацию, имеющую особое европейское значение, в качестве критической организации в соответствии со статьей 6(1), должно обеспечить, чтобы ее компетентный орган и соответствующая важнейшая организация учитывали мнение, указанное в третьем подпараграфе настоящего параграфа, и предоставлять информацию Комиссии и государствам-членам ЕС, которым или в которых предоставляются основные услуги, о мерах, которые они приняли в соответствии с этим заключением.
5. Каждая консультативная миссия должна состоять из экспертов из государства-члена, в котором находится важнейшая организация особого европейского значения, экспертов из государств-членов, которым или в которых предоставляются основные услуги, и представителей Комиссии. Эти государства-члены могут предлагать кандидатов для участия в консультативной миссии. Комиссия после консультации с государством-членом, которое определило важнейшую организацию, имеющую особое европейское значение, как важнейшую организацию в соответствии со статьей 6(1), отбирает и назначает членов каждой консультативной миссии в соответствии с их профессиональным потенциалом и обеспечением , где это возможно, географически сбалансированное представительство всех этих государств-членов. При необходимости члены консультативной миссии должны иметь действительный и соответствующий допуск к секретной информации. Комиссия несет расходы, связанные с участием в консультативных миссиях.
Комиссия должна организовать программу каждой консультативной миссии по согласованию с членами соответствующей консультативной миссии и по согласованию с государством-членом, которое определило важнейшую организацию, имеющую особое европейское значение, в качестве критической организации в соответствии со статьей 6(1). .
6. Комиссия принимает имплементационный акт, устанавливающий правила процедурных механизмов для запросов на организацию консультативных миссий, для обработки таких запросов, для проведения и отчетов консультативных миссий, а также для обработки сообщения заключения Комиссии, упомянутого в параграфе 4. абзаца третьего настоящей статьи и принятых мер с должным учетом конфиденциальности и коммерческой тайны соответствующей информации. Этот имплементационный акт должен быть принят в соответствии с процедурой проверки, указанной в статье 24(2).
7. Государства-члены должны обеспечить, чтобы важнейшие организации, имеющие особое европейское значение, предоставляли консультативным миссиям доступ к информации, системам и средствам, связанным с предоставлением их основных услуг, необходимых для выполнения соответствующей консультативной миссии.
8. Консультативные миссии осуществляются в соответствии с применимым национальным законодательством государства-члена, в котором они проводятся, с учетом ответственности этого государства-члена за национальную безопасность и защиту его интересов безопасности.
9. При организации консультативных миссий Комиссия должна учитывать отчеты о любых инспекциях, проведенных Комиссией в соответствии с Регламентами (ЕС) № 725/2004 и (ЕС) № 300/2008, а также отчеты о любом мониторинге, проведенном Комиссией. Комиссии в соответствии с Директивой 2005/65/EC в отношении соответствующего критического объекта.
10. Комиссия должна информировать Группу по обеспечению устойчивости критически важных объектов, упомянутую в Статье 19, о каждой организации консультативной миссии. Государство-член, в которое была проведена консультативная миссия, и Комиссия также должны проинформировать Группу по обеспечению устойчивости критически важных объектов об основных выводах консультативной миссии и извлеченных уроках с целью содействия взаимному обучению.
ГЛАВА V
СОТРУДНИЧЕСТВО И ОТЧЕТНОСТЬ
Статья 19
Группа устойчивости критически важных объектов
1. Настоящим создается Группа по обеспечению устойчивости критически важных объектов. Группа по обеспечению устойчивости критически важных объектов должна поддерживать Комиссию и способствовать сотрудничеству между государствами-членами и обмену информацией по вопросам, связанным с настоящей Директивой.
2. Группа по обеспечению устойчивости критически важных объектов должна состоять из представителей государств-членов и Комиссии, имеющих допуск к секретной информации, где это необходимо. Если это необходимо для выполнения своих задач, Группа по обеспечению устойчивости критически важных объектов может пригласить соответствующие заинтересованные стороны принять участие в ее работе. По запросу Европейского парламента Комиссия может пригласить экспертов Европейского парламента для участия в заседаниях Группы по обеспечению устойчивости критически важных объектов.
Представитель Комиссии возглавит Группу по обеспечению устойчивости критически важных объектов.
3. Группа обеспечения устойчивости критически важных объектов должна иметь следующие задачи:
(а)
поддержка Комиссии в оказании помощи государствам-членам в укреплении их потенциала по содействию обеспечению устойчивости критически важных объектов в соответствии с настоящей Директивой;
(б)
анализ стратегий с целью выявления передовой практики в отношении стратегий;
(с)
содействие обмену передовым опытом в отношении выявления критически важных субъектов государствами-членами в соответствии со статьей 6(1), в том числе в отношении трансграничных и межсекторальных зависимостей, а также рисков и инцидентов;
(г)
при необходимости, внесение вклада по вопросам, касающимся настоящей Директивы, в документы, касающиеся устойчивости на уровне Союза;
(е)
участие в подготовке руководящих принципов, упомянутых в статье 7(3) и статье 13(5), а также, по запросу, любых делегированных или имплементационных актов, принятых в соответствии с настоящей Директивой;
(е)
анализ кратких отчетов, упомянутых в статье 9(3), с целью содействия обмену передовым опытом действий, предпринятых в соответствии со статьей 15(3);
(г)
обмен передовым опытом, связанным с уведомлением об инцидентах, упомянутых в Статье 15;
(час)
обсуждение кратких отчетов консультативных миссий и извлеченных уроков в соответствии со статьей 18(10);
(я)
обмен информацией и передовым опытом в области инноваций, исследований и разработок, касающихся устойчивости критически важных объектов в соответствии с настоящей Директивой;
(к)
при необходимости, обмен информацией по вопросам, касающимся устойчивости критически важных объектов, с соответствующими институтами, органами, офисами и агентствами Союза.
4. К 17 января 2025 года и каждые два года в последующий период Группа по обеспечению устойчивости критически важных объектов должна разработать программу работы в отношении действий, которые необходимо предпринять для реализации ее целей и задач. Эта рабочая программа должна соответствовать требованиям и целям настоящей Директивы.
5. Группа по обеспечению устойчивости критически важных объектов должна встречаться на регулярной основе и в любом случае не реже одного раза в год с Группой сотрудничества, созданной в соответствии с Директивой (ЕС) 2022/2555, для продвижения и облегчения сотрудничества и обмена информацией.
6. Комиссия может принимать исполнительные акты, устанавливающие процедурные механизмы, необходимые для функционирования Группы по обеспечению устойчивости критически важных объектов, с соблюдением статьи 1(4). Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в статье 24(2).
7. Комиссия должна предоставить Группе по обеспечению устойчивости критически важных объектов сводный отчет с информацией, предоставленной государствами-членами в соответствии со статьей 4(3) и статье 5(4) к 17 января 2027 года, при необходимости в дальнейшем, и не реже одного раза в четыре года. годы.
Статья 20
Комиссионная поддержка компетентных органов и критически важных организаций
1. Комиссия должна, где это возможно, оказывать поддержку государствам-членам ЕС и критически важным организациям в выполнении их обязательств по настоящей Директиве. Комиссия должна подготовить на уровне Союза обзор трансграничных и межсекторальных рисков для предоставления основных услуг, организовать консультативные миссии, как указано в Статье 13(4) и Статье 18, и способствовать обмену информацией между государствами-членами и экспертами по всему миру. Союз.
2. Комиссия дополняет деятельность государств-членов, указанную в Статье 10, путем разработки передового опыта, руководящих материалов и методологий, а также трансграничных учебных мероприятий и учений для проверки устойчивости критически важных субъектов.
3. Комиссия должна информировать государства-члены о финансовых ресурсах на уровне Союза, доступных государствам-членам для повышения устойчивости критически важных организаций.
ГЛАВА VI
НАДЗОР И ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ
Статья 21
Надзор и правоприменение
1. Для оценки соответствия организаций, определенных государствами-членами ЕС в качестве критически важных организаций в соответствии со статьей 6(1), обязательствам, изложенным в настоящей Директиве, государства-члены должны обеспечить, чтобы компетентные органы имели полномочия и средства для:
(а)
проводить выездные проверки критически важной инфраструктуры и помещений, которые критически важный объект использует для предоставления своих основных услуг, а также дистанционный надзор за мерами, принимаемыми критически важными объектами в соответствии со статьей 13;
(б)
проводить или заказывать аудиты в отношении критически важных объектов.
2. Государства-члены должны обеспечить, чтобы компетентные органы имели полномочия и средства требовать, когда это необходимо для выполнения их задач в соответствии с настоящей Директивой, чтобы организации, предусмотренные Директивой (ЕС) 2022/2555, которые Государства-члены определили как критически важные организации в соответствии с настоящая Директива предусматривает в течение разумного срока, установленного этими органами:
(а)
информация, необходимая для оценки того, соответствуют ли меры, принятые этими организациями для обеспечения их устойчивости, требованиям, изложенным в статье 13;
(б)
доказательства эффективной реализации этих мер, включая результаты проверки, проведенной независимым и квалифицированным аудитором, выбранным этим субъектом и проведенным за его счет.
При запросе такой информации компетентные органы должны указать цель требования и указать требуемую информацию.
3. Без ущерба для возможности налагать штрафы в соответствии со статьей 22, компетентные органы могут после надзорных действий, указанных в пункте 1 настоящей статьи, или оценки информации, указанной в пункте 2 настоящей статьи, распорядиться о критически важные заинтересованные организации принять необходимые и пропорциональные меры для устранения любого выявленного нарушения настоящей Директивы в течение разумного срока, установленного этими органами, и предоставить этим органам информацию о принятых мерах. Эти приказы должны учитывать, в частности, серьезность нарушения.
4. Государство-член должно гарантировать, что полномочия, предусмотренные в параграфах 1, 2 и 3, могут осуществляться только при условии соблюдения соответствующих гарантий. Эти гарантии должны, в частности, гарантировать, что такое осуществление осуществляется объективным, прозрачным и пропорциональным образом и что права и законные интересы критически важных субъектов, таких как защита коммерческой и коммерческой тайны, должным образом защищаются, в том числе право быть заслушанным, право на защиту и право на эффективное средство правовой защиты в независимом суде.
5. Государства-члены ЕС должны гарантировать, что, если компетентный орган в соответствии с настоящей Директивой оценивает соответствие критически важного субъекта в соответствии с настоящей Статьей, этот компетентный орган информирует компетентные органы соответствующих государств-членов в соответствии с Директивой (ЕС) 2022/2555. С этой целью государства-члены должны гарантировать, что компетентные органы в соответствии с настоящей Директивой могут потребовать от компетентных органов в соответствии с Директивой (ЕС) 2022/2555 осуществить свои надзорные и правоприменительные полномочия в отношении субъекта в соответствии с этой Директивой, который был идентифицирован как критически важный субъект. согласно настоящей Директиве. С этой целью государства-члены должны обеспечить, чтобы компетентные органы в соответствии с настоящей Директивой сотрудничали и обменивались информацией с компетентными органами в соответствии с Директивой (ЕС) 2022/2555.
Статья 22
Штрафы
Государства-члены ЕС должны установить правила о штрафах, применимых к нарушениям национальных мер, принятых в соответствии с настоящей Директивой, и принять все меры, необходимые для обеспечения их реализации. Предусмотренные наказания должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие. Государства-члены должны до 17 октября 2024 года уведомить Комиссию об этих правилах и этих мерах, а также незамедлительно уведомить ее о любых последующих поправках, затрагивающих их.
ГЛАВА VII
ДЕЛЕГИРОВАННЫЕ И ОСУЩЕСТВЛЯЮЩИЕ АКТЫ
Статья 23
Упражнение делегации
1. Право принимать делегированные акты предоставляется Комиссии при соблюдении условий, изложенных в настоящей статье.
2. Полномочия по принятию делегированных актов, упомянутых в статье 5(1), предоставляются Комиссии сроком на пять лет, начиная с 16 января 2023 года.
3. Делегирование полномочий, упомянутое в статье 5(1), может быть отозвано в любое время Европейским парламентом или Советом. Решение об отзыве прекращает делегирование полномочий, указанных в этом решении. Оно вступает в силу на следующий день после публикации решения в Официальном журнале Европейского Союза или в более поздний срок, указанный в нем. Это не влияет на действительность любых делегированных актов, уже вступивших в силу.
4. Перед принятием делегированного акта Комиссия должна проконсультироваться с экспертами, назначенными каждым государством-членом в соответствии с принципами, изложенными в Межинституциональном соглашении от 13 апреля 2016 года о совершенствовании законотворчества.
5. Как только она примет делегированный акт, Комиссия уведомляет об этом одновременно Европейский Парламент и Совет.
6. Делегированный акт, принятый в соответствии со статьей 5(1), вступает в силу только в том случае, если ни Европейский парламент, ни Совет не высказали возражений в течение двух месяцев с момента уведомления об этом акте Европейского парламента и или если до истечения этого периода Европейский парламент и Совет проинформируют Комиссию о том, что они не будут возражать. Этот период продлевается на два месяца по инициативе Европейского парламента или Совета.
Статья 24
Процедура комитета
1. Комиссии помогает комитет. Этот комитет должен быть комитетом в значении Регламента (ЕС) № 182/2011.
2. При ссылке на настоящий параграф применяется Статья 5 Регламента (ЕС) № 182/2011.
ГЛАВА VIII
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 25
Отчетность и обзор
К 17 июля 2027 года Комиссия должна представить Европейскому парламенту и Совету отчет с оценкой степени, в которой каждое государство-член приняло необходимые меры для соблюдения настоящей Директивы.
Комиссия должна периодически проверять действие настоящей Директивы и отчитываться перед Европейским Парламентом и Советом. Этот отчет, в частности, должен оценить добавленную ценность настоящей Директивы, ее влияние на обеспечение устойчивости критически важных объектов и необходимость изменения Приложения к настоящей Директиве. Комиссия должна представить первый такой отчет к 17 июня 2029 года. Для целей отчетности в соответствии с настоящей статьей Комиссия должна принять во внимание соответствующие документы Группы по обеспечению устойчивости критически важных объектов.
Статья 26
Транспонирование
1. К 17 октября 2024 г. государства-члены должны принять и опубликовать меры, необходимые для соблюдения настоящей Директивы. Они должны немедленно проинформировать об этом Комиссию.
Они должны применить эти меры с 18 октября 2024 года.
2. Когда государства-члены принимают меры, указанные в параграфе 1, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.
Статья 27
Отмена Директивы 2008/114/EC
Директива 2008/114/EC отменена с 18 октября 2024 г.
Ссылки на отмененную Директиву должны рассматриваться как ссылки на настоящую Директиву.
Статья 28
Вступление в силу
Настоящая Директива вступает в силу на двадцатый день после ее публикации в Официальном журнале Европейского Союза.
Статья 29
Адресаты
Данная Директива адресована государствам-членам.
Совершено в Страсбурге 14 декабря 2022 г.
За Европейский Парламент
Президент
Р. МЕТСОЛА
Для Совета
Президент
М. БЕК
(1) OJ C 286, 16 июля 2021 г., стр. 170.
(2) OJ C 440, 29.10.2021, с. 99.
(3) Позиция Европейского парламента от 22 ноября 2022 г. (еще не опубликована в Официальном журнале) и решение Совета от 8 декабря 2022 г.
(4) Директива Совета 2008/114/EC от 8 декабря 2008 г. об идентификации и назначении европейских критически важных инфраструктур и оценке необходимости улучшения их защиты (OJ L 345, 23.12.2008, стр. 75).
(5) Директива (ЕС) 2022/2555 Европейского парламента и Совета от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, вносящая поправки в Регламент (ЕС) № 910/2014 и Директиву (ЕС) 2018. /1972 и об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2) (см. стр. 80 настоящего Официального журнала).
(6) Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 г. о мерах по обеспечению высокого общего уровня безопасности сетей и информационных систем на территории Союза (OJ L 194, 19.7.2016, стр. 1).
(7) Регламент (ЕС) 2019/452 Европейского парламента и Совета от 19 марта 2019 года, устанавливающий основу для проверки прямых иностранных инвестиций в Союз (OJ L 79 I, 21.3.2019, стр. 1).
(8) Регламент (ЕС) № 648/2012 Европейского парламента и Совета от 4 июля 2012 г. о внебиржевых деривативах, центральных контрагентах и торговых репозиториях (ОЖ L 201, 27.7.2012, стр. 1).
(9) Регламент (ЕС) № 575/2013 Европейского парламента и Совета от 26 июня 2013 года о пруденциальных требованиях к кредитным учреждениям и внесении изменений в Регламент (ЕС) № 648/2012 (ОЖ L 176, 27.6.2013, стр. 1).
(10) Регламент (ЕС) № 600/2014 Европейского парламента и Совета от 15 мая 2014 г. о рынках финансовых инструментов и внесение изменений в Регламент (ЕС) № 648/2012 (ОЖ L 173, 12.6.2014, стр. 84) ).
(11) Директива 2013/36/ЕС Европейского парламента и Совета от 26 июня 2013 г. о доступе к деятельности кредитных учреждений и пруденциальном надзоре за кредитными учреждениями и инвестиционными фирмами, вносящая поправки в Директиву 2002/87/EC и отменяющая Директивы 2006/48/EC и 2006/49/EC (ОЖ L 176, 27 июня 2013 г., стр. 338).
(12) Директива 2014/65/ЕС Европейского парламента и Совета от 15 мая 2014 г. о рынках финансовых инструментов и внесение поправок в Директиву 2002/92/EC и Директиву 2011/61/EU (OJ L 173, 12.6.2014, стр. 349).
(13) Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 года о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламенты (ЕС) № 1060/2009, (ЕС) № 648/2012, ( ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (см. стр. 1 настоящего Официального журнала).
(14) Регламент (ЕС) № 725/2004 Европейского парламента и Совета от 31 марта 2004 г. о повышении безопасности судов и портовых средств (ОЖ L 129, 29 апреля 2004 г., стр. 6).
(15) Регламент (ЕС) № 300/2008 Европейского парламента и Совета от 11 марта 2008 года об общих правилах в области безопасности гражданской авиации и отмене Регламента (ЕС) № 2320/2002 (ОЖ L 97, 9.4. 2008, стр. 72).
(16) Директива 2005/65/EC Европейского парламента и Совета от 26 октября 2005 г. о повышении безопасности портов (OJ L 310, 25.11.2005, стр. 28).
(17) Директива 2008/96/EC Европейского парламента и Совета от 19 ноября 2008 г. об управлении безопасностью дорожной инфраструктуры (OJ L 319, 29.11.2008, стр. 59).
(18) Решение Комиссии от 29 июня 2018 года о создании Платформы безопасности железнодорожных пассажиров ЕС 2018/C 232/03 (OJ C 232, 3 июля 2018 года, стр. 10).
(19) Рамочное решение Совета 2009/315/JHA от 26 февраля 2009 г. об организации и содержании обмена информацией, полученной из судимостей, между государствами-членами (OJ L 93, 7 апреля 2009 г., стр. 23).
(20) Регламент (ЕС) 2019/816 Европейского парламента и Совета от 17 апреля 2019 г., устанавливающий централизованную систему для идентификации государств-членов, владеющих информацией об осуждении граждан третьих стран и лиц без гражданства (ECRIS-TCN) в качестве дополнения Европейская информационная система судимости и Регламент о внесении изменений (ЕС) 2018/1726 (OJ L 135, 22 мая 2019 г., стр. 1).
(21) Регламент (ЕС) 2018/1862 Европейского парламента и Совета от 28 ноября 2018 г. о создании, функционировании и использовании Шенгенской информационной системы (SIS) в сфере сотрудничества полиции и судебных органов по уголовным делам, внесение изменений и отмена Решения Совета 2007/533/JHA, а также отмена Регламента (EC) № 1986/2006 Европейского парламента и Решения Совета и Комиссии 2010/261/EU (OJ L 312, 7 декабря 2018 г., стр. 56) .
(22) Решение № 1313/2013/EU Европейского парламента и Совета от 17 декабря 2013 г. о механизме гражданской защиты Союза (OJ L 347, 20.12.2013, стр. 924).
(23) Регламент (ЕС) 2021/1149 Европейского парламента и Совета от 7 июля 2021 года о создании Фонда внутренней безопасности (ОЖ L 251, 15 июля 2021 г., стр. 94).
(24) Регламент (ЕС) 2021/695 Европейского парламента и Совета от 28 апреля 2021 года, учреждающий Horizon Europe – Рамочную программу исследований и инноваций, устанавливающий ее правила участия и распространения и отменяющий Регламент (ЕС) Нет 1290/2013 и (ЕС) № 1291/2013 (ОЖ L 170, 12 мая 2021 г., стр. 1).
(25) ОЖ L 123, 12 мая 2016 г., с. 1.
(26) Регламент (ЕС) № 182/2011 Европейского парламента и Совета от 16 февраля 2011 г., устанавливающий правила и общие принципы, касающиеся механизмов контроля со стороны государств-членов за осуществлением Комиссией имплементационных полномочий (OJ L 55, 28.2.2011, стр. 13).
(27) Регламент (ЕС) 2018/1725 Европейского парламента и Совета от 23 октября 2018 г. о защите физических лиц в отношении обработки персональных данных институтами, органами, ведомствами и агентствами Союза, а также о бесплатном перемещение таких данных и отмену Регламента (ЕС) № 45/2001 и Решения № 1247/2002/EC (OJ L 295, 21.11.2018, стр. 39).
(28) Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/ 46/EC (Общий регламент по защите данных) (OJ L 119, 04.05.2016, стр. 1).
(29) Директива 2002/58/EC Европейского парламента и Совета от 12 июля 2002 г. об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций (Директива о конфиденциальности и электронных коммуникациях) (OJ L 201, 31.7.2002, стр. 37).
(30) Регламент (ЕС) № 1025/2012 Европейского парламента и Совета от 25 октября 2012 г. о европейской стандартизации, вносящий поправки в Директивы Совета 89/686/EEC и 93/15/EEC и Директивы 94/9/EC, 94 /25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC и 2009/105/EC Европейского парламента и Совета и отменяет Решение Совета 87/95/EEC и Решение № 1673/2006/EC Европейского Парламента и Совета (ОЖ L 316, 14.11.2012, стр. 12).
(31) Рекомендация Комиссии 2003/361/EC от 6 мая 2003 г. относительно определения микро-, малых и средних предприятий (OJ L 124, 20 мая 2003 г., стр. 36).
(32) Директива (ЕС) 2017/541 Европейского парламента и Совета от 15 марта 2017 г. о борьбе с терроризмом и замене Рамочного решения Совета 2002/475/JHA и внесении изменений в Решение Совета 2005/671/JHA (OJ L 88, 31.3) .2017, стр. 6).
(33) Регламент (ЕС) 2017/1938 Европейского парламента и Совета от 25 октября 2017 г. о мерах по обеспечению безопасности поставок газа и отмене Регламента (ЕС) № 994/2010 (OJ L 280, 28.10.2017, п. 1).
(34) Регламент (ЕС) 2019/941 Европейского парламента и Совета от 5 июня 2019 г. о готовности к рискам в электроэнергетическом секторе и отмене Директивы 2005/89/EC (ОЖ L 158, 14.6.2019, стр. 1 ).
(35) Директива 2007/60/EC Европейского парламента и Совета от 23 октября 2007 г. об оценке и управлении рисками наводнений (ОЖ L 288, 6 ноября 2007 г., стр. 27).
(36) Директива 2012/18/ЕС Европейского парламента и Совета от 4 июля 2012 г. о контроле за рисками крупных аварий, связанных с опасными веществами, вносящая поправки и впоследствии отменяющая Директиву Совета 96/82/EC (OJ L 197, 24.7) .2012, стр. 1).
(37) Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебное преследование за уголовные преступления или исполнение уголовных наказаний, а также о свободном перемещении таких данных, а также об отмене Рамочного решения Совета 2008/977/JHA (OJ L 119, 4 мая 2016 г., стр. 89).
ПРИЛОЖЕНИЕ
ОТРАСЛИ, ПОДСЕКТОРЫ И КАТЕГОРИИ СУБЪЕКТОВ
Секторы
Подотрасли
Категории субъектов
1.
Энергия
(а)
Электричество
—
Электроэнергетические предприятия, как это определено в статье 2, пункт (57), Директивы (ЕС) 2019/944 Европейского парламента и Совета (1), которые выполняют функцию «поставки», как определено в статье 2, пункт ( 12) этой Директивы
—
Операторы распределительных систем, как определено в пункте (29) статьи 2 Директивы (ЕС) 2019/944.
—
Операторы систем передачи, как определено в пункте (35) статьи 2 Директивы (ЕС) 2019/944.
—
Производители, как определено в пункте (38) статьи 2 Директивы (ЕС) 2019/944.
—
Назначенные операторы рынка электроэнергии, как это определено в пункте (8) статьи 2 Регламента (ЕС) 2019/943 Европейского парламента и Совета (2)
—
Участники рынка, как это определено в пункте (25) статьи 2 Регламента (ЕС) 2019/943, предоставляющие услуги агрегации, реагирования на спрос или услуги по хранению энергии, как определено в пунктах (18), (20) и (59) статьи 2 Директива (ЕС) 2019/944
(б)
Централизованное отопление и охлаждение
—
Операторы централизованного теплоснабжения или централизованного холодоснабжения, как это определено в пункте (19) статьи 2 Директивы (ЕС) 2018/2001 Европейского парламента и Совета (3)
(с)
Масло
—
Операторы нефтепроводов
—
Операторы объектов добычи, переработки и подготовки нефти, ее хранения и транспортировки
—
Центральные акционерные общества, как это определено в пункте (f) статьи 2 Директивы Совета 2009/119/EC (4)
(г)
Газ
—
Предприятия-поставщики, как это определено в пункте (8) статьи 2 Директивы 2009/73/EC Европейского парламента и Совета (5)
—
Операторы распределительных систем, как определено в пункте (6) статьи 2 Директивы 2009/73/EC.
—
Операторы систем передачи, как определено в пункте (4) статьи 2 Директивы 2009/73/EC.
—
Операторы систем хранения, как определено в пункте (10) статьи 2 Директивы 2009/73/EC.
—
Операторы системы СПГ, как определено в пункте (12) статьи 2 Директивы 2009/73/EC.
—
Предприятия природного газа, как это определено в пункте (1) статьи 2 Директивы 2009/73/EC.
—
Операторы объектов по переработке и очистке природного газа
(е)
Водород
—
Операторы по производству, хранению и передаче водорода
2.
Транспорт
(а)
Воздух
—
Авиаперевозчики, как определено в пункте (4) статьи 3 Регламента (ЕС) № 300/2008, используемые в коммерческих целях.
—
Органы управления аэропортами, определенные в статье 2, пункт (2) Директивы 2009/12/EC Европейского парламента и Совета (6), аэропорты, определенные в статье 2, пункт (1) этой Директивы, включая основные аэропорты, перечисленные в Разделе 2 Приложения II к Регламенту (ЕС) № 1315/2013 Европейского Парламента и Совета (7), а также организации, эксплуатирующие вспомогательные сооружения, находящиеся на территории аэропортов.
—
Операторы по управлению движением, предоставляющие услуги по управлению воздушным движением (УВД), как определено в пункте (1) статьи 2 Регламента (ЕС) № 549/2004 Европейского парламента и Совета (8)
(б)
Железнодорожный
—
Менеджеры инфраструктуры, как это определено в пункте (2) статьи 3 Директивы 2012/34/EU Европейского парламента и Совета (9)
—
Железнодорожные предприятия, как определено в пункте (1) статьи 3 Директивы 2012/34/ЕС, и операторы объектов обслуживания, как определено в пункте (12) статьи 3 этой Директивы.
(с)
Вода
—
Компании внутреннего, морского и прибрежного пассажирского и грузового водного транспорта, как это определено для морского транспорта в Приложении I к Регламенту (ЕС) № 725/2004, не включая отдельные суда, эксплуатируемые этими компаниями.
—
Органы управления портами, как определено в статье 3, пункт (1), Директивы 2005/65/ЕС, включая их портовые сооружения, как определено в статье 2, пункт (11) Регламента (ЕС) № 725/2004, и организации эксплуатационные работы и оборудование, находящееся в портах
—
Операторы служб движения судов (СДС), как определено в пункте (о) статьи 3 Директивы 2002/59/EC Европейского парламента и Совета (10)
(г)
Дорога
—
Дорожные органы, как это определено в статье 2, пункт (12), Делегированного регламента Комиссии (ЕС) 2015/962 (11), ответственные за контроль управления дорожным движением, за исключением государственных организаций, для которых управление дорожным движением или эксплуатация интеллектуальных транспортных систем не являются -необходимая часть их общей деятельности
—
Операторы интеллектуальных транспортных систем, как это определено в пункте (1) статьи 4 Директивы 2010/40/EU Европейского парламента и Совета (12)
(е)
общественный транспорт
—
Операторы общественных услуг, как это определено в пункте (d) статьи 2 Регламента (ЕС) № 1370/2007 Европейского парламента и Совета (13)
3.
Банковское дело
—
Кредитные организации, как это определено в пункте (1) статьи 4 Регламента (ЕС) № 575/2013.
4.
Инфраструктура финансового рынка
—
Операторы торговых площадок, как определено в пункте (24) статьи 4 Директивы 2014/65/ЕС.
—
Центральные контрагенты (ЦК), как они определены в статье 2, пункт (1) Регламента (ЕС) № 648/2012.
5.
Здоровье
—
Поставщики медицинских услуг, как это определено в пункте (g) статьи 3 Директивы 2011/24/ЕС Европейского парламента и Совета (14)
—
Справочные лаборатории ЕС, указанные в статье 15 Регламента (ЕС) 2022/2371 Европейского парламента и Совета (15)
—
Организации, осуществляющие исследования и разработки лекарственных средств, как это определено в пункте (2) статьи 1 Директивы 2001/83/EC Европейского парламента и Совета (16)
—
Предприятия, производящие основные фармацевтические продукты и фармацевтические препараты, указанные в разделе C, раздел 21 NACE Rev. 2.
—
Предприятия, производящие медицинские устройства, считающиеся критически важными во время чрезвычайной ситуации в области общественного здравоохранения («список критически важных устройств для чрезвычайной ситуации в области общественного здравоохранения») в значении статьи 22 Регламента (ЕС) 2022/123 Европейского парламента и Совета (17)
—
Организации, имеющие разрешение на распространение, указанное в статье 79 Директивы 2001/83/EC.
6.
Питьевая вода
—
Поставщики и дистрибьюторы воды, предназначенной для потребления человеком, как определено в статье 2, пункт (1)(a) Директивы (ЕС) 2020/2184 Европейского парламента и Совета (18), за исключением дистрибьюторов, для которых распределение воды для человеческого потребления является несущественной частью их общей деятельности по распределению других товаров и товаров.
7.
Сточные Воды
—
Предприятия по сбору, удалению или очистке городских сточных вод, бытовых сточных вод или промышленных сточных вод, как это определено в статье 2, пункты (1), (2) и (3), Директивы Совета 91/271/EEC (19), за исключением предприятия, для которых сбор, удаление или очистка городских сточных вод, бытовых сточных вод или промышленных сточных вод не является существенной частью их общей деятельности
8.
Цифровая инфраструктура
—
Поставщики точек обмена интернет-трафиком, как это определено в пункте (18) статьи 6 Директивы (ЕС) 2022/2555.
—
Поставщики услуг DNS, как определено в пункте (20) статьи 6 Директивы (ЕС) 2022/2555, за исключением операторов корневых серверов имен.
—
реестры доменных имен верхнего уровня, как это определено в пункте (21) статьи 6 Директивы (ЕС) 2022/2555.
—
Поставщики услуг облачных вычислений, как определено в пункте (30) статьи 6 Директивы (ЕС) 2022/2555.
—
Поставщики услуг центров обработки данных, как определено в пункте (31) статьи 6 Директивы (ЕС) 2022/2555.
—
Поставщики сетей доставки контента, как определено в пункте (32) статьи 6 Директивы (ЕС) 2022/2555.
—
Поставщики трастовых услуг, как это определено в пункте (19) статьи 3 Регламента (ЕС) № 910/2014 Европейского парламента и Совета (20)
—
Поставщики сетей электронных коммуникаций общего пользования, как определено в пункте (8) статьи 2 Директивы (ЕС) 2018/1972 Европейского парламента и Совета (21)
—
Поставщики услуг электронной связи, как определено в пункте (4) статьи 2 Директивы (ЕС) 2018/1972, при условии, что их услуги общедоступны.
9.
Государственное управление
—
Органы государственного управления центральных правительств, определенные государствами-членами в соответствии с национальным законодательством
10.
Космос
—
Операторы наземной инфраструктуры, принадлежащей, управляемой и эксплуатируемой государствами-членами ЕС или частными сторонами, которые поддерживают предоставление космических услуг, за исключением поставщиков сетей электронных коммуникаций общего пользования, как это определено в пункте (8) статьи 2 Директивы. (ЕС) 2018/1972
11.
Производство, переработка и распространение продуктов питания
—
Предприятия пищевой промышленности, как это определено в статье 3, пункт (2), Регламента (ЕС) № 178/2002 Европейского парламента и Совета (22), которые занимаются исключительно логистикой и оптовой торговлей, а также крупномасштабным промышленным производством и переработкой.
(1) Директива (ЕС) 2019/944 Европейского парламента и Совета от 5 июня 2019 года об общих правилах внутреннего рынка электроэнергии и внесении изменений в Директиву 2012/27/EU (OJ L 158, 14.6.2019, стр. 125).
(2) Регламент (ЕС) 2019/943 Европейского парламента и Совета от 5 июня 2019 г. о внутреннем рынке электроэнергии (ОЖ L 158, 14.6.2019, стр. 54).
(3) Директива (ЕС) 2018/2001 Европейского парламента и Совета от 11 декабря 2018 г. о содействии использованию энергии из возобновляемых источников (OJ L 328, 21 декабря 2018 г., стр. 82).
(4) Директива Совета 2009/119/EC от 14 сентября 2009 г., налагающая на государства-члены обязательства поддерживать минимальные запасы сырой нефти и/или нефтепродуктов (OJ L 265, 9.10.2009, стр. 9).
(5) Директива 2009/73/EC Европейского парламента и Совета от 13 июля 2009 г. об общих правилах для внутреннего рынка природного газа и отменяющая Директиву 2003/55/EC (OJ L 211, 14.8.2009, стр. 94).
(6) Директива 2009/12/EC Европейского парламента и Совета от 11 марта 2009 г. об аэропортовых сборах (OJ L 70, 14 марта 2009 г., стр. 11).
(7) Регламент (ЕС) № 1315/2013 Европейского парламента и Совета от 11 декабря 2013 г. о руководящих принципах Союза по развитию трансъевропейской транспортной сети и отмене Решения № 661/2010/ЕС (OJ L 348, 20.12.2013, п. 1).
(8) Регламент (ЕС) № 549/2004 Европейского парламента и Совета от 10 марта 2004 г., устанавливающий основу для создания единого европейского неба (рамочный Регламент) (OJ L 96, 31.3.2004, стр. . 1).
(9) Директива 2012/34/EU Европейского парламента и Совета от 21 ноября 2012 г. о создании единой европейской железнодорожной зоны (OJ L 343, 14.12.2012, стр. 32).
(10) Директива 2002/59/EC Европейского парламента и Совета от 27 июня 2002 года о создании системы мониторинга и информации о движении судов Сообщества и отменяющая Директиву Совета 93/75/EEC (OJ L 208, 5.8.2002, стр. 10).
(11) Делегированный регламент Комиссии (ЕС) 2015/962 от 18 декабря 2014 г., дополняющий Директиву 2010/40/ЕС Европейского парламента и Совета в отношении предоставления услуг по предоставлению информации о дорожном движении в масштабе всего ЕС в режиме реального времени (OJ L 157) , 23.6.2015, стр. 21).
(12) Директива 2010/40/EU Европейского парламента и Совета от 7 июля 2010 г. о рамках развертывания интеллектуальных транспортных систем в области автомобильного транспорта и взаимодействия с другими видами транспорта (OJ L 207, 6.8.2010, п. 1).
(13) Регламент (ЕС) № 1370/2007 Европейского парламента и Совета от 23 октября 2007 г. об услугах общественного пассажирского транспорта железнодорожным и автомобильным транспортом, отменяющий Регламент Совета (ЕЭС) № 1191/69 и 1107/70 (OJ). Л 315, 3.12.2007, стр. 1).
(14) Директива 2011/24/EU Европейского парламента и Совета от 9 марта 2011 г. о применении прав пациентов в трансграничном здравоохранении (ОЖ L 88, 4 апреля 2011 г., стр. 45).
(15) Регламент (ЕС) 2022/2371 Европейского парламента и Совета от 23 ноября 2022 г. о серьезных трансграничных угрозах здоровью и отмене Решения № 1082/2013/ЕС (OJ L 314, 6.12.2022, стр. 26).
(16) Директива 2001/83/EC Европейского парламента и Совета от 6 ноября 2001 г. о Кодексе Сообщества, касающемся лекарственных средств для применения человеком (OJ L 311, 28.11.2001, стр. 67).
(17) Регламент (ЕС) 2022/123 Европейского парламента и Совета от 25 января 2022 г. об усилении роли Европейского агентства по лекарственным средствам в обеспечении готовности к кризисам и управлении лекарственными средствами и медицинскими изделиями (ОЖ L 20, 31 января 2022 г.) , стр. 1).
(18) Директива (ЕС) 2020/2184 Европейского парламента и Совета от 16 декабря 2020 г. о качестве воды, предназначенной для потребления человеком (OJ L 435, 23.12.2020, стр. 1).
(19) Директива Совета 91/271/EEC от 21 мая 1991 г. об очистке городских сточных вод (OJ L 135, 30 мая 1991 г., стр. 40).
(20) Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC (OJ L 257, 28.8) .2014, стр. 73).
(21) Директива (ЕС) 2018/1972 Европейского парламента и Совета от 11 декабря 2018 года, устанавливающая Европейский кодекс электронных коммуникаций (OJ L 321, 17.12.2018, стр. 36).
(22) Регламент (ЕС) № 178/2002 Европейского парламента и Совета от 28 января 2002 года, устанавливающий общие принципы и требования пищевого законодательства, учреждающий Европейское управление по безопасности пищевых продуктов и устанавливающий процедуры в вопросах безопасности пищевых продуктов ( ОЖ L 31, 01.02.2002, стр. 1).
Вершина
Директивы по годам
- 2024
- 2023
- 2022
- 2021
- 2020
- 2019
- 2018
- 2017
- 2016
- 2015
- 2014
- 2013
- 2012
- 2011
- 2010
- 2009
- 2008
- 2007
- 2006
- 2005
- 2004
- 2003
- 2002
- 2001
- 2000
- 1999
- 1998
- 1997
- 1996
- 1995
- 1994
- 1993
- 1992
- 1991
- 1990
- 1989
- 1988
- 1987
- 1986
- 1985
- 1984
- 1983
- 1982
- 1981
- 1980
- 1979
- 1978
- 1977
- 1976
- 1975
- 1974
- 1973
- 1972
- 1971
- 1970
- 1969
- 1968
- 1967
- 1966
- 1965
- 1964
- 1963
- 1962
- 1961
- 1960
- 1959