Комісія УСПП з питань науки та ІТ зробила переклад Директиви NIS2
Директива щодо забезпечення високого рівня кібербезпеки
28 листопада 2022 року Рада ЄС затвердила директиву про підтримку високого рівня кібербезпеки у всьому союзі «для подальшого підвищення стійкості та потенціалу реагування на інциденти як державного і приватного секторів, так і ЄС загалом».
Завантажити оригінал Директиви англійською мовою в форматі PDF.
Машинний переклад директиви (!)
ДИРЕКТИВА (ЄС) 2022/2555 ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ від 14 грудня 2022 року про заходи для високого загального рівня кібербезпеки в Союзі, внесення змін до Регламенту (ЄС) № 910/2014 і Директиви (ЄС) 2018/1972, а також про скасування Директиви (ЄС) 2016/1148 (NIS 2)
(Текст стосується ЄЕЗ)
ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ ТА РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,
Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,
Беручи до уваги пропозицію Європейської Комісії,
Після передачі проекту законодавчого акта національним парламентам,
Беручи до уваги висновок Європейського центрального банку (1),
Беручи до уваги висновок Європейського економічного та соціального комітету (2),
Після консультацій з Комітетом регіонів,
Діючи відповідно до звичайної законодавчої процедури (3),
Оскільки:
1) Директива (ЄС) 2016/1148 Європейського парламенту та Ради (4) спрямована на створення можливостей кібербезпеки по всьому Союзу, пом’якшувати загрози мережевим та інформаційним системам, які використовуються для надання основних послуг секторах і забезпечувати безперервність таких послуг у разі виникнення інцидентів, таким чином сприяючи безпеці Союзу і для ефективного функціонування її економіки та суспільства.
2) З моменту набуття чинності Директиви (ЄС) 2016/1148 було досягнуто значного прогресу у збільшенні рівня кіберстійкості. Перегляд цієї Директиви показав, що вона послужила каталізатором інституційного розвитку і регуляторний підхід до кібербезпеки в Союзі, прокладаючи шлях до значних змін у мисленні. Що Директива забезпечила завершення створення національних структур безпеки мережевих та інформаційних систем шляхом створення національних стратегій щодо безпеки мережевих та інформаційних систем та створення національних спроможності та впровадження регуляторних заходів, що охоплюють основні інфраструктури та суб’єкти, визначені кожна держава-член. Директива (ЄС) 2016/1148 також сприяла співпраці на рівні Союзу через створення Групи співпраці та мережі національних груп реагування на інциденти комп’ютерної безпеки.
Незважаючи на ці досягнення, перегляд Директиви (ЄС) 2016/1148 виявив внутрішні недоліки які заважають йому ефективно вирішувати поточні та нові проблеми кібербезпеки.
3) Мережеві та інформаційні системи стали центральною частиною повсякденного життя завдяки швидкому цифровому розвитку трансформація та взаємопов’язаність суспільства, у тому числі у транскордонних обмінах. Цей розвиток призвів до розширення ландшафту кіберзагроз, що породжує нові виклики, які вимагають адаптації, скоординованості та інноваційні відповіді в усіх державах-членах. Кількість, масштаб, витонченість, частота та вплив кількість інцидентів зростає та становить серйозну загрозу для функціонування мережевих та інформаційних систем. Як в результаті інциденти можуть перешкоджати веденню економічної діяльності на внутрішньому ринку, спричинити фінансові збитки, підірвати довіру користувачів і завдати значної шкоди економіці та суспільству Союзу. Кібербезпека готовність та ефективність у сфері кібербезпеки зараз є більш важливими, ніж будь-коли, для належного функціонування внутрішнього ринку. Більше того, кібербезпека є ключовим фактором, що дозволяє багатьом критично важливим секторам успішно впроваджувати цифрову трансформацію і в повній мірі використовувати економічні, соціальні та цифрових перетворень і повною мірою скористатися економічними, соціальними та сталими перевагами цифровізації.
4) Правовою основою Директиви (ЄС) 2016/1148 була стаття 114 Договору про функціонування Європейського Союзу (ДФЄС), метою якого є створення та функціонування внутрішнього ринку шляхом посилення заходів для наближення національних правил. Вимоги щодо кібербезпеки, що висуваються до суб’єктів, що надають послуги або здійснення діяльності, яка є економічно значущою, значно відрізняється між державами-членами з точки зору типу вимог, рівень їх деталізації та метод контролю. Ці розбіжності спричиняють додаткові витрати та створюють труднощі для організацій, які пропонують товари чи послуги за кордоном. Вимоги, висунуті одним членом держави, які відрізняються або навіть суперечать тим, які нав’язує інша держава-член, можуть суттєво впливають на таку транскордонну діяльність. Крім того, можливість неналежного проектування або реалізації вимоги кібербезпеки в одній державі-члені можуть мати наслідки на рівні кібербезпеки іншої держав-членів, зокрема з огляду на інтенсивність транскордонних обмінів. Перегляд Директиви (ЄС) 2016/1148 продемонструвала широкі розбіжності в його застосуванні державами-членами, в тому числі щодо сфери його застосування делімітація яких значною мірою була залишена на розсуд держав-членів. Також Директива (ЄС) 2016/1148 надав державам-членам дуже широкі повноваження щодо здійснення безпеки та інциденту зобов'язання щодо звітності, викладені в ньому. Таким чином, ці зобов’язання були реалізовані значно інакше шляхів на національному рівні. Подібні розбіжності існують у імплементації положень Директиви (ЄС) 2016/1148 щодо нагляду та виконання.
5) Усі ці розбіжності спричиняють фрагментацію внутрішнього ринку та можуть мати шкідливий вплив на його функціонування, що впливає, зокрема, на транскордонне надання послуг і рівень кібернетостійкості завдяки застосування різноманітних заходів. Зрештою, ці розбіжності можуть призвести до більшої вразливості деяких Держави-члени до кіберзагроз із потенційним ефектом поширення на весь Союз. Ця Директива спрямована на усунення такі великі розбіжності між державами-членами, зокрема, шляхом встановлення мінімальних правил щодо функціонування скоординованої нормативно-правової бази шляхом встановлення механізмів ефективної співпраці між відповідальні органи в кожній державі-члені шляхом оновлення переліку секторів і видів діяльності, що підлягають кібербезпеці зобов’язань та шляхом надання ефективних засобів правового захисту та заходів примусу, які є ключовими для ефективного забезпечення виконання цих зобов'язань. Таким чином, Директива (ЄС) 2016/1148 має бути скасована та замінена цією Директивою.
6) Зі скасуванням Директиви (ЄС) 2016/1148 сфера застосування за секторами має бути розширена на більшу частину економіки, щоб забезпечити повне охоплення секторів і послуг, які мають життєво важливе значення для ключових суспільних і господарська діяльність на внутрішньому ринку. Зокрема, ця Директива спрямована на подолання недоліків диференціація між операторами основних послуг і постачальниками цифрових послуг, що було доведено застаріла, оскільки не відображає важливості секторів або послуг для суспільної та економічної діяльності на внутрішній ринок.
7) Відповідно до Директиви (ЄС) 2016/1148, держави-члени відповідали за визначення суб’єктів, які відповідають критеріям кваліфікуватися як оператори основних послуг. Щоб усунути великі розбіжності між державами-членами в цьому враховувати та забезпечувати правову визначеність щодо заходів з управління ризиками кібербезпеки та зобов’язань щодо звітності для всіх відповідних суб’єктів має бути встановлено єдиний критерій, який визначає суб’єкти, що входять до сфера дії цієї Директиви. Цей критерій має складатися із застосування правила обмеження розміру, за яким усі суб’єкти, які кваліфікуватися як підприємства середнього розміру відповідно до статті 2 Додатку до Рекомендації Комісії 2003/361/ЄС (5), або перевищувати ліміти для середніх підприємств, передбачені параграфом 1 цієї статті, і які працюють у секторах і надають види послуг або здійснюють діяльність, охоплену цим Директива підпадає під її дію. Держави-члени також повинні забезпечити певні малі підприємства та мікропідприємства, як визначено в статті 2(2) і (3) цього Додатку, які відповідають конкретним критеріям, що вказують на ключову роль суспільства, економіки або для певних секторів чи видів послуг, які підпадають під дію цієї Директиви.
8) Виключення суб’єктів державного управління зі сфери дії цієї Директиви повинно застосовуватися до суб’єктів, чиї діяльність переважно здійснюється у сферах національної безпеки, громадської безпеки, оборони чи права правозастосування, включаючи запобігання, розслідування, виявлення та переслідування кримінальних правопорушень. Однак, не слід виключати суб’єктів державного управління, діяльність яких лише незначно пов’язана з цими сферами зі сфери застосування цієї Директиви. Для цілей цієї Директиви суб’єкти з регуляторними повноваженнями не є такими вважаються такими, що здійснюють діяльність у сфері правоохоронних органів, і тому не виключаються з цього підставі зі сфери застосування цієї Директиви. Суб’єкти державного управління, створені спільно з третіми країни відповідно до міжнародної угоди виключені зі сфери дії цієї Директиви. Ця Директива не поширюється на дипломатичні та консульські місії держав-членів у третіх країнах або на їх мережу та інформаційні системи, якщо такі системи розташовані в приміщеннях представництва або експлуатуються для користувачів третя країна.
9) Держави-члени повинні мати можливість вживати необхідних заходів для забезпечення захисту основних інтересів національної безпеки, для захисту державного порядку та громадської безпеки, а також для запобігання, розслідування, розкриття та переслідування кримінальних правопорушень. З цією метою держави-члени повинні мати можливість звільняти конкретні суб’єкти, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, включно з попередженням, розслідуванням, виявленням та переслідуванням кримінальних правопорушень, від покладених певних зобов'язань у цій Директиві стосовно цієї діяльності. Якщо організація надає послуги виключно населенню адміністративний орган, який виключений зі сфери дії цієї Директиви, держави-члени повинні мати можливість виключити це певних зобов’язань, викладених у цій Директиві щодо цих послуг. Крім того, жодного члена Держава має бути зобов’язана надавати інформацію, розголошення якої суперечило б основним інтересам її національної безпеки, громадської безпеки чи оборони. Союзні або національні правила захисту секретної інформації інформація, угоди про нерозголошення та неофіційні угоди про нерозголошення, такі як протокол світлофора слід брати до уваги в цьому контексті. Протокол світлофора слід розуміти як засіб забезпечення інформацію про будь-які обмеження щодо подальшого поширення інформації. Застосовується практично у всіх групи реагування на інциденти комп’ютерної безпеки (CSIRT) і в деяких центрах аналізу та обміну інформацією.
10) Хоча ця Директива застосовується до суб’єктів господарювання, які здійснюють діяльність з виробництва електроенергії з атомної енергії деякі з цих видів діяльності можуть бути пов’язані з національною безпекою. У цьому випадку має бути держава-член спроможний виконувати свою відповідальність за захист національної безпеки щодо такої діяльності, включаючи діяльність у ланцюжку ядерної вартості відповідно до Договорів.
11) Деякі організації здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони або правоохоронної діяльності, включаючи запобігання, розслідування, виявлення та переслідування кримінальних правопорушень, а також забезпечуючи довірчі послуги. Постачальники довірчих послуг, які підпадають під дію Регламенту (ЄС) № 910/2014 Європейського Парламент і Рада (6) мають підпадати під дію цієї Директиви, щоб забезпечити однаковий рівень вимоги щодо безпеки та нагляду, як ті, що були раніше викладені в цьому Регламенті щодо трасту постачальники послуг. Відповідно до виключення певних конкретних послуг із Регламенту (ЄС) № 910/2014, це Директива не повинна застосовуватися до надання довірчих послуг, які використовуються виключно в закритих системах з національного законодавства або з угод між визначеною групою учасників.
12) Постачальники поштових послуг, як визначено в Директиві 97/67/ЄС Європейського Парламенту та Ради (7), включаючи постачальників кур’єрських послуг, повинні підпадати під дію цієї Директиви, якщо вони забезпечують принаймні один із кроків ланцюг поштової доставки, зокрема оформлення, сортування, перевезення чи розподіл поштових відправлень, у тому числі отримання послуг, враховуючи при цьому ступінь їх залежності від мережевих та інформаційних систем. Транспорт послуги, які не здійснюються в поєднанні з одним із цих кроків, повинні бути виключені зі сфери поштових послуги.
13) Враховуючи інтенсифікацію та підвищену складність кіберзагроз, держави-члени повинні прагнути забезпечити, щоб суб’єкти, які виключені зі сфери дії цієї Директиви, досягають високого рівня кібербезпеки та підтримують впровадження еквівалентних заходів з управління ризиками кібербезпеки, які відображають чутливий характер цих заходів сутності.
14) Закон Союзу про захист даних і закон Союзу про конфіденційність застосовуються до будь-якої обробки персональних даних відповідно до цієї Директиви. Зокрема, ця Директива не порушує Регламент (ЄС) 2016/679 Європейського Парламенту та Ради (8) та Директиви 2002/58/ЄС Європейського Парламенту та Ради (9). Ця Директива повинна тому не впливати, серед іншого, на завдання та повноваження органів, уповноважених контролювати дотримання чинне законодавство Союзу про захист даних і законодавство Союзу про конфіденційність.
15) Суб’єкти, які підпадають під дію цієї Директиви з метою дотримання вимог управління ризиками кібербезпеки заходи та зобов'язання щодо звітності слід класифікувати на дві категорії: основні суб'єкти та важливі суб'єкти, відображаючи ступінь їх критичності щодо свого сектора або типу послуг, які вони надають, а також їх розмір. У цьому відношенні слід належним чином враховувати будь-які відповідні галузеві оцінки ризиків або вказівки компетентні органи, де це можливо. Режими нагляду та примусового виконання для цих двох категорій організації повинні бути диференційовані, щоб забезпечити справедливий баланс між вимогами, що ґрунтуються на оцінці ризику, та зобов’язаннями з іншого боку, а адміністративний тягар, пов’язаний із наглядом за відповідністю.
16) Щоб уникнути того, що суб’єкти, які мають підприємства-партнери або пов’язані підприємства, вважаються важливими або для важливих організацій, де це було б непропорційно, держави-члени можуть взяти до уваги ступінь незалежності, якою суб'єкт господарювання користується по відношенню до свого партнера або пов'язаних підприємств при застосуванні статті 6(2) Додаток до Рекомендації 2003/361/ЄС. Зокрема, держави-члени можуть брати до уваги той факт, що організація є незалежною від свого партнера або пов’язаних підприємств з точки зору мережі та інформаційних систем, які використовує цей суб’єкт під час надання своїх послуг і щодо послуг, які суб’єкт надає. На цій підставі якщо доцільно, держави-члени можуть вважати, що така організація не кваліфікується як середнє підприємство згідно зі статтею 2 Додатку до Рекомендації 2003/361/ЄС, або не перевищує граничних значень для середнього підприємства, передбаченого пунктом 1 цієї статті, якщо після врахування ступеня незалежності цієї організації, ця організація не вважалася б кваліфікованою як підприємство середнього розміру або перевищувати ці межі у випадку, якщо враховувалися лише власні дані. Це не впливає на зобов’язання, викладені в цій Директиві партнерів і пов’язаних підприємств, які підпадають під дію цієї Директиви.
17) Держави-члени повинні мати можливість вирішити, що суб’єкти, визначені до набрання чинності цією Директивою, є оператори основних послуг відповідно до Директиви (ЄС) 2016/1148 вважаються основними сутності.
18) Для забезпечення чіткого огляду суб’єктів, які підпадають під дію цієї Директиви, держави-члени повинні скласти перелік основних і важливих суб’єктів, а також організацій, що надають послуги з реєстрації доменних імен. З цією метою держави-члени повинні вимагати від організацій подавати принаймні таку інформацію до компетентних органів, а саме ім’я, адресу та актуальні контактні дані, включаючи адреси електронної пошти, діапазони IP та номери телефонів суб’єкта, і, якщо це застосовано, відповідний сектор і під-сектор, зазначений у додатках, а також, де це застосовано, перелік держав-членів, де вони надають послуги, що підпадають під дію цієї Директиви. З цією метою Комісія за сприяння Агентства Європейського Союзу з кібербезпеки (ENISA) повинна без зайвої затримки надати вказівки та шаблони щодо обов’язку подавати інформацію. Сприяти створенню та оновленню списку істотних і важливих суб'єктів, а також суб’єктам, які надають послуги з реєстрації доменних імен, держави-члени повинні мати можливість установити національні механізми для само-реєстрації суб’єктів. Якщо реєстри існують на національному рівні, держави-члени можуть прийняти рішення щодо відповідних механізмів, які дозволяють ідентифікувати суб’єкти, що підпадають під дію цієї Директиви.
19) Держави-члени повинні нести відповідальність за подання до Комісії принаймні кількості суттєвих і важливих суб’єктів для кожного сектора та підсектору, згаданих у додатках, а також відповідної інформації про кількість ідентифікованих суб’єктів та надання, з-поміж ті, що викладені в цій Директиві, на основі яких вони були ідентифіковані, і тип послуг, які вони надають. Держави-члени заохочуються обмінюватися з Комісією інформацією про істотні та важливі суб’єкти, а у випадку великомасштабного інциденту з кібербезпекою — відповідною інформацією, такою як назва відповідної організації.
20) Комісія повинна, у співпраці з Групою співробітництва та після консультації з відповідними зацікавленими сторонами, надати вказівки щодо впровадження критеріїв, які застосовуються до мікропідприємств і малих підприємств для оцінки того, чи підпадають вони під дію цієї Директиви. Комісія також повинна забезпечити надання відповідних вказівок мікропідприємствам і малим підприємствам, які підпадають під дію цієї Директиви. Комісія повинна, за сприяння держав-членів, надати інформацію для мікропідприємств і малих підприємств у цьому відношенні.
21) Комісія могла б надати вказівки для надання допомоги державам-членам у впровадженні положень цієї Директиви щодо сфери застосування та оцінки пропорційності заходів, які мають бути вжиті відповідно до цієї Директиви, зокрема щодо суб’єктів господарювання зі складними бізнес-моделями або операційним середовищем, згідно з якими суб'єкт може одночасно відповідати критеріям, призначеним як основним, так і важливим суб'єктам, або може одночасно здійснювати діяльність, деякі з яких підпадають під сферу дії цієї Директиви, а деякі з них виключені.
22) Ця Директива встановлює базову лінію для заходів з управління ризиками кібербезпеки та зобов’язань щодо звітності в усіх секторах, які входять до сфери її дії. Щоб уникнути фрагментації положень правових актів Союзу щодо кібербезпеки, де подальші галузеві правові акти Союзу, що стосуються заходів з управління ризиками кібербезпеки та зобов’язань щодо звітності, вважаються необхідними для забезпечення високого рівня кібербезпеки в Союзі, Комісія має оцінити, чи такі додаткові положення можуть бути передбачені в імплементаційному акті відповідно до цієї Директиви. Якщо такий імплементаційний акт не підходить для цієї мети, галузеві правові акти Союзу можуть сприяти забезпеченню високого рівня кібербезпеки в Союзі, повністю враховуючи особливості та складність відповідних секторів. З цією метою ця Директива не перешкоджає ухваленню подальших галузевих правових актів Союзу, що стосуються заходів щодо управління ризиками кібербезпеки та зобов’язань щодо звітності, які належним чином враховують потребу у комплексній та послідовній структурі кібербезпеки. Ця Директива не завдає шкоди існуючим імплементаційним повноваженням, які були надані Комісії в ряді секторів, включаючи транспорт і енергетику.
23) Якщо галузевий нормативно-правовий акт Союзу містить положення, що вимагають від важливих або надважливих суб’єктів вживати заходів з управління ризиками кібербезпеки або повідомляти про значні інциденти, і якщо ці вимоги за дією принаймні еквівалентні зобов’язанням, викладеним у цій Директиві, ці положення, в тому числі щодо нагляду і правозастосування, повинні застосовуватися до таких організацій. Якщо галузевий нормативно-правовий акт Союзу не охоплює всіх суб’єктів певного сектору, які підпадають під дію цієї Директиви, відповідні положення цієї Директиви мають продовжувати застосовуватися до суб’єктів, на яких не поширюється дія цього акта.
24) Якщо положення галузевого правового акту Союзу вимагають від важливих або важливих суб’єктів дотримання зобов’язань щодо звітності, які за своєю дією є принаймні еквівалентними зобов’язанням щодо звітності, викладеним у цій Директиві, узгодженість та ефективність обробки повідомлень про інциденти має бути забезпечено. З цією метою положення, що стосуються повідомлень про інциденти галузевого нормативно-правового акту Союзу, повинні надавати групам CSIRT, компетентним органам або єдиним контактним особам з питань кібербезпеки (єдиним контактним особам) відповідно до цієї Директиви негайний доступ до інциденту, повідомлення, подані відповідно до галузевого правового акту Союзу. Зокрема, такий негайний доступ може бути забезпечений, якщо повідомлення про інциденти без зайвої затримки надсилаються до CSIRT, компетентного органу чи єдиного контактного пункту відповідно до цієї Директиви. У відповідних випадках держави-члени повинні запровадити механізм автоматичного та прямого звітування, який забезпечує систематичне та негайний обмін інформацією з групами CSIRT, компетентними органами або єдиними контактними особами щодо обробки таких повідомлень про інциденти. З метою спрощення звітності та впровадження автоматичного та прямого механізму звітності, держави-члени можуть, відповідно до галузевого правового акту Союзу, використовувати єдину точку входу.
25) Секторальні правові акти Союзу, які передбачають заходи з управління ризиками кібербезпеки або зобов’язання щодо звітності, щонайменше еквівалентні тим, що викладені в цій Директиві, можуть передбачати, що компетентні органи відповідно до таких актів здійснюють свої наглядові та правозастосовчі повноваження в щодо таких заходів або зобов’язань за допомогою компетентних органів відповідно до цієї Директиви. Відповідні компетентні органи могли б встановити з цією метою домовленості про співпрацю. Такі домовленості про співпрацю можуть визначати, серед іншого, процедури, що стосуються координації наглядової діяльності, включаючи процедури розслідувань та перевірок на місцях відповідно до національного законодавства, а також механізм обміну відповідною інформацією щодо нагляду та правозастосування між компетентними органами влади, включаючи доступ до пов’язаної з кібернетичною інформацією інформації, яку запитують компетентні органи відповідно до цієї Директиви.
26) Якщо галузеві правові акти Союзу вимагають або передбачають стимули для суб’єктів повідомляти про значні кіберзагрози, держави-члени також повинні заохочувати обмін інформацією про значні кіберзагрози з CSIRT, компетентними органами або єдиними контактними особами відповідно до цієї Директиви, щоб забезпечити підвищений рівень цих органів обізнаності про ландшафт кіберзагроз і надання їм можливості ефективно та своєчасно реагувати, якщо матеріалізуються значні кіберзагрози.
27) У майбутніх галузевих правових актах Союзу слід належним чином враховувати визначення та рамки нагляду та правозастосування, викладені в цій Директиві.
28) Регламент (ЄС) 2022/2554 Європейського Парламенту та Ради (10) слід розглядати як галузевий правовий акт Союзу стосовно цієї Директиви щодо фінансових установ. Положення Регламенту (ЄС) 2022/2554 щодо управління ризиками інформаційно-комунікаційних технологій (ІКТ), управління Інциденти, пов’язані з ІКТ, і, зокрема, повідомлення про серйозні інциденти, пов’язані з ІКТ, а також тестування цифрової операційної стійкості, домовленості про обмін інформацією та ризики для третіх сторін у сфері ІКТ повинні застосовуватися замість тих, що передбачені цією Директивою. Таким чином, держави-члени не повинні застосовувати положення цієї Директиви щодо управління ризиками кібербезпеки та зобов’язань щодо звітності, а також нагляду та правозастосування до фінансових установ, на яких поширюється дія Регламенту (ЄС) 2022/2554. У той же час, важливо підтримувати тісні відносини та обмін інформацією з фінансовим сектором відповідно до цієї Директиви. З цією метою Регламент (ЄС) 2022/2554 дозволяє європейським наглядовим органам (ESA) і компетентним органам відповідно до цього Регламенту брати участь у діяльності Групи співпраці та обмінюватися інформацією та співпрацювати з єдиними контактними пунктами, а також як і з CSIRT та компетентними органами відповідно до цієї Директиви. Компетентні органи відповідно до Регламенту (ЄС) 2022/2554 також повинні передавати деталі великих інцидентів, пов’язаних з ІКТ, і, у відповідних випадках, значні кіберзагрози групам CSIRT, компетентним органам або єдиним контактним особам відповідно до цієї Директиви. Це досягається шляхом надання негайного доступу до повідомлень про інциденти та їх пересилання безпосередньо або через одну точку входу. Крім того, держави-члени повинні продовжувати включати фінансовий сектор у свої стратегії кібербезпеки, а CSIRT можуть охоплювати фінансовий сектор у своїй діяльності.
29) Щоб уникнути розривів між або дублювання зобов’язань щодо кібербезпеки, покладених на організації в авіаційному секторі, національні органи влади відповідно до Регламентів (ЄС) № 300/2008 (11) та (ЄС) 2018/1139 (12) Європейського Парламенту і Ради та компетентні органи відповідно до цієї Директиви повинні співпрацювати щодо впровадження заходів з управління ризиками кібербезпеки та нагляду за дотриманням цих заходів на національному рівні. Відповідність суб’єкта вимогам безпеки, викладеним у Регламентах (ЄС) № 300/2008 та (ЄС) 2018/1139, а також у відповідних делегованих і імплементаційних актах, ухвалених відповідно до них. Відповідно до цієї Директиви компетентні органи можуть розглядати нормативні акти як такі, що відповідають відповідним вимогам, викладеним у цій Директиві.
30) З огляду на взаємозв’язки між кібербезпекою та фізичною безпекою суб’єктів, слід забезпечити узгоджений підхід між Директивою (ЄС) 2022/2557 Європейського Парламенту та Ради (13) та цією Директивою. Щоб досягти цього, суб’єкти, визначені як критичні суб’єкти відповідно до Директиви (ЄС) 2022/2557, слід вважати основними суб’єктами відповідно до цієї Директиви. Крім того, кожна держава-член повинна забезпечити, щоб її національна стратегія кібербезпеки передбачала політичну основу для покращеної координації в цій державі-члені між її компетентними органами згідно з цією Директивою та органами згідно з Директивою (ЄС) 2022/2557 у контексті обміну інформацією про ризики, кіберзагрози та інциденти, а також не-кібернетичні ризики, загрози та інциденти, а також виконання наглядових завдань. Компетентні органи згідно з цією Директивою та згідно з Директивою (ЄС) 2022/2557 повинні співпрацювати та обмінюватися інформацією без невиправданої затримки, зокрема щодо ідентифікації критичних об’єктів, ризиків, кіберзагроз та інцидентів, а також стосовно не — кіберризики, загрози та інциденти, що впливають на критичні суб’єкти, включаючи кібербезпеку та фізичні заходи, вжиті критично важливими суб’єктами, а також результати наглядової діяльності, що здійснюється щодо таких суб’єктів. Крім того, з метою впорядкування наглядової діяльності між компетентними органами згідно з цією Директивою та органами згідно з Директивою (ЄС) 2022/2557 та з метою мінімізації адміністративного тягаря для відповідних суб’єктів, ці компетентні органи повинні докладати зусиль для гармонізації шаблонів повідомлень про інциденти та наглядових процеси. У відповідних випадках повинні бути компетентні органи згідно з Директивою (ЄС) 2022/2557 може вимагати від компетентних органів згідно з цією Директивою здійснювати свої наглядові та примусові повноваження щодо суб’єкта, який визначено як критичний суб’єкт відповідно до Директиви (ЄС) 2022/2557. Компетентні органи згідно з цією Директивою та згідно з Директивою (ЄС) 2022/2557 повинні, де це можливо, у режимі реального часу співпрацювати та обмінюватися інформацією з цією метою.
31) Суб’єкти, що належать до сектору цифрової інфраструктури, по суті, базуються на мережевих та інформаційних системах, і тому зобов’язання, покладені на ці суб’єкти згідно з цією Директивою, мають комплексно розглядати фізичну безпеку таких систем як частину їхнього ризику кібербезпеки — заходи управління та звітні зобов'язання. Оскільки ці питання регулюються цією Директивою, зобов’язання, викладені в розділах III, IV та VI Директиви (ЄС) 2022/2557, не застосовуються до таких організацій.
32) Підтримка та збереження надійної, стійкої та захищеної системи доменних імен (DNS) є ключовими факторами підтримки цілісності Інтернету та мають важливе значення для його безперервної та стабільної роботи, від якої залежить цифрова економіка та суспільство. Таким чином, ця Директива повинна застосовуватися до реєстрів імен доменів верхнього рівня (TLD) і DNS постачальники послуг, які слід розуміти як організації, що надають загальнодоступні послуги рекурсивного визначення доменних імен для кінцевих користувачів Інтернету або офіційні послуги визначення доменних імен для використання третіми сторонами. Ця Директива не повинна застосовуватися до кореневих серверів імен.
33) Послуги хмарних обчислень повинні охоплювати цифрові послуги, які забезпечують адміністрування за вимогою та широкий віддалений доступ до масштабованого та еластичного пулу обчислювальних ресурсів, які можна спільно використовувати, у тому числі там, де такі ресурси розподілені між кількома місцями. Комп’ютерні ресурси включають такі ресурси, як мережі, сервери або інша інфраструктура, операційні системи, програмне забезпечення, сховище, програми та служби. Сервісні моделі хмарних обчислень включають, зокрема, інфраструктуру як послугу (IaaS), платформу як послугу (PaaS), програмне забезпечення як послугу (SaaS) і мережу як послугу (NaaS). Моделі розгортання хмарних обчислень повинні включати приватні, спільнота, публічна та гібридна хмара. Послуга хмарних обчислень і моделі розгортання мають те саме значення, що й умови надання послуг і моделі розгортання, визначені стандартом ISO/IEC 17788:2014. Здатність користувача хмарних обчислень в односторонньому порядку самостійно надавати обчислювальні можливості, такі як серверний час або мережеве сховище, без будь-якої взаємодії з боку постачальника послуг хмарних обчислень можна описати як адміністрування за вимогою. Термін «широкий віддалений доступ» використовується для опису того, що хмарні можливості надаються через мережу та доступ до них здійснюється через механізми, які сприяють використанню різнорідних тонких або товстих клієнтських платформ, включаючи мобільні телефони, планшети, ноутбуки та робочі станції. Термін «масштабований» стосується обчислювальних ресурсів, які гнучко розподіляються постачальником хмарних послуг, незалежно від географічного розташування ресурсів, щоб впоратися з коливаннями попиту. Термін «еластичний пул» використовується для опису обчислювальних ресурсів, які надаються та вивільняються відповідно до попиту з метою швидкого збільшення та зменшення доступних ресурсів залежно від робочого навантаження. Термін «сумісні» використовується для опису обчислювальних ресурсів, які надаються кільком користувачам, які мають загальний доступ до послуги, але де обробка здійснюється окремо для кожного користувача, хоча послуга надається з того самого електронного обладнання. Термін «розподілений» використовується для опису обчислювальних ресурсів, розташованих на різних мережевих комп’ютерах або пристроях, які обмінюються даними та координуються між собою за допомогою передачі повідомлень.
34) Враховуючи появу інноваційних технологій і нових бізнес-моделей, очікується, що на внутрішньому ринку з’являться нові хмарні обчислювальні послуги та моделі розгортання у відповідь на зміну потреб клієнтів. У цьому контексті послуги хмарних обчислень можуть надаватися у сильно розподіленій формі, навіть ближче до місця, де генеруються або збираються дані, таким чином переходячи від традиційної моделі до високо розподіленої (граничні обчислення).
35) Послуги, що пропонуються постачальниками послуг центрів обробки даних, не завжди можуть надаватися у формі послуги хмарних обчислень. Відповідно, центри обробки даних не завжди можуть бути частиною інфраструктури хмарних обчислень. З метою управління всіма ризиками, пов’язаними з безпекою мережевих та інформаційних систем, ця Директива повинна охоплювати постачальників послуг центру обробки даних, які не є службами хмарних обчислень. Для цілей цієї Директиви термін «послуги центру обробки даних» повинен охоплювати надання послуг, які охоплюють структури або групи структур, призначені для централізованого розміщення, взаємозв’язку та експлуатації інформаційних технологій (ІТ) і мережевого обладнання, що забезпечує зберігання даних., обробка та транспортні послуги разом з усіма зручностями та інфраструктури розподілу електроенергії та контролю навколишнього середовища. Термін «послуги центру обробки даних» не повинен застосовуватися до внутрішніх корпоративних центрів обробки даних, якими володіє та керує відповідна організація для її власних цілей.
36) Дослідницька діяльність відіграє ключову роль у розробці нових продуктів і процесів. Багато з цих видів діяльності здійснюються організаціями, які діляться, поширюють або використовують результати своїх досліджень у комерційних цілях. Таким чином, ці суб’єкти можуть бути важливими гравцями в ланцюжках створення вартості, що підвищує безпеку їхньої мережі та інформаційні системи є невід’ємною частиною загальної кібербезпеки внутрішнього ринку. Слід розуміти, що дослідницькі організації охоплюють організації, які зосереджують суттєву частину своєї діяльності на проведенні прикладної діяльності дослідження або експериментальні розробки, у значенні Керівництва Фраскаті Організації економічного співробітництва та розвитку 2015: Керівні принципи збору та звітування даних про дослідження та експериментальні розробки, з метою використання їх результатів у комерційних цілях, таких як виробництво або розробка продукт або процес, надання послуги або її маркетинг.
37) Зростаюча взаємозалежність є результатом дедалі більш транскордонної та взаємозалежної мережі надання послуг з використанням ключових інфраструктур у всьому Союзі в таких секторах, як енергетика, транспорт, цифрова інфраструктура, питна вода та стічні води, охорона здоров’я, певні аспекти громадського адміністрування, а також простір, оскільки надання певних послуг залежить від наземної інфраструктури, якою володіють, керують та експлуатують або державами-членами, або приватними сторонами, отже, не охоплюючи інфраструктури, якими володіє, керує чи експлуатує Союз або від імені Союзу в рамках його космічної програми. Ці взаємозалежності означають, що будь-який збій, навіть той, який спочатку обмежувався однією організацією або одним сектором, може мати каскадні наслідки в більш широкому плані, потенційно призведе до далекосяжних і тривалих негативних впливів на надання послуг на внутрішньому ринку. Інтенсифікація кібератак під час пандемії COVID-19 показала вразливість все більш взаємозалежних суспільств перед лицем ризиків з низькою ймовірністю.
38) З огляду на відмінності в національних структурах управління та з метою захисту вже існуючих галузевих домовленостей або наглядових і регулюючих органів Союзу, держави-члени повинні мати можливість призначати або створювати один або більше компетентних органів, відповідальних за кібербезпеку та наглядові завдання відповідно до цієї Директиви.
39) Для сприяння транскордонному співробітництву та комунікації між органами влади та для ефективного впровадження цієї Директиви необхідно, щоб кожна держава-член призначила єдину контактну точку, відповідальну за координацію питань, пов’язаних із безпекою мережі та інформаційні системи та транскордонне співробітництво на рівні Союзу.
40) Єдині контактні пункти повинні забезпечувати ефективне транскордонне співробітництво з відповідними органами інших держав-членів і, у відповідних випадках, з Комісією та ENISA. Таким чином, єдиним контактним пунктам слід доручити пересилання повідомлень про значні інциденти з транскордонним впливом до єдиних контактних пунктів інших постраждалих держав-членів на запит CSIRT або компетентного органу. На національному рівні єдині контактні пункти повинні забезпечувати плавну міжгалузеву співпрацю з іншими компетентними органами. Єдині контактні особи також можуть бути адресатами відповідної інформації про інциденти, що стосуються фінансових установ, від компетентних органів згідно з Регламентом (ЄС) 2022/2554, яку вони повинні мати можливість пересилати, за необхідності, до CSIRT або компетентним органам відповідно до цього Директива.
41) Держави-члени повинні бути належним чином оснащені як технічними, так і організаційними можливостями для запобігання, виявлення, реагування та пом’якшення інцидентів і ризиків. Таким чином, держави-члени повинні створити або призначити один або більше CSIRT відповідно до цієї Директиви та забезпечити, щоб вони мали адекватні ресурси та технічні можливості. CSIRT повинні відповідати вимогам, викладеним у цій Директиві, щоб гарантувати ефективні та сумісні можливості для боротьби з інцидентами та ризиками та забезпечити ефективну співпрацю на рівні Союзу. Держави-члени повинні мати можливість призначити існуючі групи реагування на комп’ютерні надзвичайні ситуації (CERT) як CSIRT. Щоб зміцнити довірчі відносини між суб’єктами та CSIRT, якщо CSIRT є частиною компетентного органу, держави-члени повинні мати можливість розглянути функціональний поділ між оперативними завданнями, які виконуються CSIRT, зокрема щодо обміну інформацією та допомоги, що надається суб’єктів господарювання та нагляд діяльності компетентних органів.
42) Завданням CSIRT є врегулювання інцидентів. Це включає обробку великих обсягів іноді конфіденційних даних. Держави-члени повинні забезпечити, щоб CSIRT мали інфраструктуру для обміну та обробки інформації, а також добре оснащений персонал, який забезпечує конфіденційність і достовірність їхніх операцій. CSIRT також можуть прийняти кодекси поведінки з цього приводу.
43) Що стосується персональних даних, CSIRT повинні мати можливість надавати, відповідно до Регламенту (ЄС) 2016/679, на запит істотної чи важливої організації проактивне сканування мережі та інформаційних систем, що використовуються для надання послуг суб'єкта. У відповідних випадках держави-члени повинні прагнути забезпечити однаковий рівень технічних можливостей для всіх галузевих CSIRT. Держави-члени повинні мати можливість звертатися за допомогою до ENISA у розробці своїх CSIRT.
44) CSIRT повинні мати можливість, на суттєвий або важливий запит суб’єкта, здійснювати моніторинг активів суб’єкта, що підключаються до Інтернету, як у приміщеннях, так і поза ними, щоб ідентифікувати, розуміти та керувати загальними організаційними ризиками суб’єкта щодо нововиявлених порушення ланцюга поставок або критичні вразливості. Організацію слід заохочувати повідомляти CSIRT, чи використовує вона привілейований інтерфейс керування, оскільки це може вплинути на швидкість виконання заходів пом’якшення.
45) Враховуючи важливість міжнародного співробітництва з питань кібербезпеки, групи CSIRT повинні мати можливість брати участь у мережах міжнародного співробітництва на додаток до мережі CSIRT, створеної цією Директивою. Таким чином, з метою виконання своїх завдань CSIRT та компетентні органи повинні мати можливість обмінюватися інформацію, включаючи персональні дані, з національними групами реагування на інциденти комп’ютерної безпеки або компетентними органами третіх країн за умови, що умови відповідно до закону Союзу про захист даних для передачі персональних даних до третіх країн, серед іншого, умови статті 49 Регламенту (ЄС) 2016 /679, виконуються.
46) Забезпечення достатніх ресурсів для досягнення цілей цієї Директиви та надання можливості компетентним органам і CSIRT мають важливе значення для виконання завдань, викладених у цьому документі. Держави-члени можуть запровадити на національному рівні механізм фінансування для покриття необхідних витрат у зв’язку з виконанням завдань державних установ, відповідальних за кібербезпеку в державі-члені відповідно до цієї Директиви. Такий механізм повинен відповідати Законодавство Союзу має бути пропорційним і недискримінаційним, а також враховувати різні підходи до надання безпечних послуг.
47) Мережа CSIRT повинна продовжувати сприяти зміцненню впевненості та довіри та сприяти швидкому та ефективне оперативне співробітництво між державами-членами. Щоб посилити оперативну співпрацю на рівні Союзу, мережа CSIRTs повинна розглянути можливість запрошення органів і агенцій Союзу, які беруть участь у політиці кібербезпеки, таких як Європол, до участі в її роботі.
48) З метою досягнення та підтримки високого рівня кібербезпеки, національні стратегії кібербезпеки, які вимагаються відповідно до цієї Директиви, повинні складатися з узгоджених структур, що забезпечують стратегічні цілі та пріоритети у сфері кібербезпеки та управління для їх досягнення. Ці стратегії можуть складатися з одного або кількох законодавчих чи не-законодавчих інструментів.
49) Політика кібергігієни забезпечує основу для захисту мережевої та інформаційної системної інфраструктури, апаратного забезпечення, програмного забезпечення та безпеки онлайн-додатків, а також бізнес-даних або даних кінцевих користувачів, на які покладаються організації. Політики кібергігієни, що містять загальний базовий набір практик, включаючи оновлення програмного та апаратного забезпечення, зміна паролів, керування новими інсталяціями, обмеження облікових записів на рівні адміністратора та резервне копіювання даних забезпечують проактивну структуру готовності та загальної безпеки та захисту у разі інцидентів або кіберзагроз. ENISA повинна відстежувати та аналізувати політику кібергігієни держав-членів.
50) Поінформованість про кібербезпеку та кібергігієна є важливими для підвищення рівня кібербезпеки в межах Союзу, зокрема у світлі зростаючої кількості підключених пристроїв, які все частіше використовуються в кібератаках. Слід докласти зусиль для підвищення загальної обізнаності про ризики, пов’язані з такими пристроями, тоді як оцінки на рівні Союзу можуть допомогти забезпечити загальне розуміння таких ризиків на внутрішньому ринку.
51) Держави-члени повинні заохочувати використання будь-яких інноваційних технологій, у тому числі штучного інтелекту, використання яких могло б покращити виявлення та запобігання кібератакам, забезпечуючи більш ефективне перенаправлення ресурсів на кібератаки. Тому держави-члени повинні заохочувати у своїх національних стратегіях кібербезпеки діяльність у сфері досліджень і розробок, щоб сприяти використанню таких технологій, зокрема тих, що стосуються автоматизовані або напівавтоматичні інструменти кібербезпеки та, де це доречно, обмін даними, необхідними для навчання користувачів такої технології та для її вдосконалення. Використання будь-якої інноваційної технології, включаючи штучний інтелект, має відповідати законодавству Союзу про захист даних, включаючи принципи захисту даних щодо точності даних, мінімізації даних, чесності та прозорості, а також безпеки даних, наприклад найсучаснішого шифрування. Вимоги захист даних за проектом і за замовчуванням, викладений у Регламенті (ЄС) 2016/679, повинен використовуватися в повній мірі.
52) Інструменти та програми кібербезпеки з відкритим вихідним кодом можуть сприяти підвищенню відкритості та можуть мати позитивний вплив на ефективність промислових інновацій. Відкриті стандарти полегшують взаємодію між інструментами безпеки, сприяючи безпеці промислових зацікавлених сторін. Інструменти та програми кібербезпеки з відкритим вихідним кодом можуть залучити ширшу спільноту розробників, забезпечуючи диверсифікацію постачальників. Відкритий код може призвести до більшого прозорий процес перевірки інструментів, пов’язаних з кібербезпекою, і керований спільнотою процес виявлення вразливостей. Таким чином, держави-члени повинні мати можливість сприяти використанню програмного забезпечення з відкритим кодом і відкритих стандартів, дотримуючись політики щодо використання відкритих даних і відкритого коду як частини безпеки через прозорість. Політики, що сприяють запровадженню та сталому використанню інструментів кібербезпеки з відкритим вихідним кодом, мають особливе значення для малих і середніх підприємств, які стикаються зі значними витратами на впровадження, які можна мінімізувати, зменшивши потребу в конкретних програмах або інструментах.
53) Комунальні служби все більше підключаються до цифрових мереж у містах з метою покращення міських транспортних мереж, модернізації водопостачання та утилізації відходів та підвищення ефективності освітлення та опалення будівель. Ці оцифровані комунальні послуги вразливі до кібератак і ризикують, у разі успішної кібератаки, завдати шкоди громадянам у великих масштабах через їх взаємозв’язок. Держави-члени повинні розробити політику, спрямовану на розвиток таких пов’язаних або розумних міст і їх потенційний вплив на суспільство, як частину національної стратегії кібербезпеки.
54) В останні роки Союз зіткнувся з експоненційним зростанням атак програм-вимагачів, під час яких зловмисне програмне забезпечення шифрує дані та системи та вимагає викупу за звільнення. Збільшення частоти та серйозності атак програм-вимагачів може бути викликано декількома факторами, такими як різні моделі атак, злочинні бізнес-моделі навколо «програмне забезпечення-вимагач як послуга» та криптовалюти, вимоги викупу та зростання кількості атак на ланцюги поставок. Держави-члени повинні розробити політику щодо зростання кількості атак програм-вимагачів як частину національної стратегії кібербезпеки.
55) Державно-приватні партнерства (ДПП) у сфері кібербезпеки можуть забезпечити належну основу для обміну знаннями, передовим досвідом та досягнення спільного рівня розуміння між зацікавленими сторонами. Держави-члени повинні просувати політику, що лежить в основі створення ДПП у сфері кібербезпеки. Ця політика повинна роз'яснювати, серед іншого, сферу застосування та залучені зацікавлені сторони, модель управління, доступні варіанти фінансування та взаємодію між зацікавленими сторонами, що беруть участь у ДПП. ДПП можуть використовувати досвід суб'єктів приватного сектору для надання допомоги компетентним органам у розробці найсучасніших послуг та процесів, включаючи обмін інформацією, раннє попередження, навчання з протидії кіберзагрозам та інцидентам, управління кризовими ситуаціями та планування стійкості.
56) Держави-члени повинні у своїх національних стратегіях кібербезпеки враховувати специфічні потреби малих і середніх підприємств у сфері кібербезпеки, середніх підприємств. Малі та середні підприємства становлять значну частку промислового та бізнес-ринку в усьому Союзі, і часто стикаються з труднощами в промислового та бізнес-ринку і часто намагаються адаптуватися до нових бізнес-практик у більш взаємопов'язаному світі та цифровому середовищі, а їхні працівники працюють до цифрового середовища, коли працівники працюють з дому, а бізнес все частіше ведеться онлайн. Деякі малі та середні підприємства стикаються зі специфічними проблемами кібербезпеки, такими як низький рівень обізнаності у сфері кібербезпеки, відсутність віддаленої ІТ-безпеки, висока вартість рішень з кібербезпеки та підвищений рівень загроз, таких як програми-вимагачі, щодо яких вони повинні отримувати рекомендації та допомогу. Малі та середні підприємства все частіше стають об'єктами атак на ланцюги поставок через менш суворі заходи з управління ризиками кібербезпеки та управління атаками, а також через те, що вони управління атаками, а також через те, що вони мають обмежені ресурси для забезпечення безпеки. Такі атаки на ланцюги поставок мають не лише вплив на малі та середні підприємства та їхні операції ізольовано, але й можуть мати каскадний каскадний вплив на більш масштабні атаки на організації, яким вони здійснювали постачання. Держави-члени повинні через свої національні стратегії кібербезпеки, допомагають малим і середнім підприємствам вирішувати проблеми, з якими стикаються їхні ланцюги поставок. Держави-члени повинні мати контактний пункт для малих і середніх підприємств на національному або регіональному рівні, який або надає вказівки та допомогу малим і середнім підприємствам, або направляє їх до відповідних органів для отримання вказівок і допомоги щодо кібербезпеки. питань. Держави-члени також заохочуються пропонувати такі послуги, як конфігурація веб-сайту та ведення журналів, для мікропідприємств і малих підприємств, які не мають таких можливостей.
57) У рамках своїх національних стратегій кібербезпеки держави-члени повинні прийняти політику сприяння активному кіберзахисту як частини більш широкої оборонної стратегії. Замість того, щоб реагувати реактивно, активний кіберзахист полягає в активному запобіганні, виявленні, моніторингу, аналізі та пом’якшенні порушень безпеки мережі в поєднанні з використанням можливостей, розгорнутих у мережі жертви та поза нею. Це може включати надання державами-членами безкоштовних послуг або інструментів певним суб’єктам, включаючи перевірки самообслуговування, інструменти виявлення та послуги видалення. Здатність швидко й автоматично обмінюватися та розуміти інформацію про загрози та аналіз, попередження про кіберактивність і відповідні дії має вирішальне значення для забезпечення єдності зусиль для успішного запобігання, виявлення, адресації та блокування атак на мережеві та інформаційні системи. Активний кіберзахист базується на оборонній стратегії, яка виключає наступальні заходи.
58) Оскільки використання вразливостей у мережевих та інформаційних системах може спричинити значні збої та шкоду, швидке виявлення та усунення таких вразливостей є важливим фактором у зниженні ризику. Тому організації, які розробляють або адмініструють мережеві та інформаційні системи, повинні встановити відповідні процедури для обробки вразливостей у разі їх виявлення. Оскільки вразливі місця часто виявляють і розголошують треті сторони, виробник або постачальник ІКТ-продуктів або послуг ІКТ також повинен запровадити необхідні процедури для отримання інформації про вразливі місця від третіх сторін. У цьому відношенні міжнародні стандарти ISO/IEC 30111 та ISO/IEC 29147 містять вказівки щодо обробки вразливостей та розкриття вразливостей. Посилення координації між фізичними та юридичними особами, які подають звітність, і виробниками чи постачальниками продуктів ІКТ чи послуг ІКТ є особливо важливим для сприяння добровільній системі розкриття вразливостей. Скоординоване розкриття вразливостей визначає структурований процес, за допомогою якого про вразливості повідомляється виробнику або постачальнику потенційно вразливих продуктів або послуг ІКТ таким чином, щоб він міг діагностувати та усунути вразливість до того, як докладна інформація про вразливість буде розкрита третім сторонам або громадськості. Скоординоване розкриття вразливостей також має включати координацію між фізичною чи юридичною особою, яка подає звіт, і виробником або постачальником потенційно вразливих продуктів ІКТ або послуг ІКТ щодо термінів усунення та публікації вразливостей.
59) Комісія, ENISA та держави-члени повинні продовжувати сприяти узгодженню з міжнародними стандартами та існуючими найкращими галузевими практиками у сфері управління ризиками кібербезпеки, наприклад, у сферах оцінки безпеки ланцюга постачання, обміну інформацією та розкриття вразливостей.
60) Держави-члени у співпраці з ENISA повинні вжити заходів для сприяння скоординованому розкриттю вразливостей шляхом встановлення відповідної національної політики. У рамках своєї національної політики держави-члени повинні прагнути, наскільки це можливо, вирішити проблеми, з якими стикаються дослідники вразливості, включно з потенційним ризиком кримінальної відповідальності, відповідно до національного законодавства. З огляду на те, що фізичні та юридичні особи, які досліджують вразливі місця, у деяких державах-членах можуть бути притягнуті до кримінальної та цивільної відповідальності, державам-членам пропонується прийняти вказівки щодо відмови від переслідування дослідників інформаційної безпеки та звільнення від цивільної відповідальності за їхню діяльність.
61) Держави-члени повинні призначити одну зі своїх груп CSIRT координатором, який діє як довірений посередник між фізичними або юридичними особами, що звітують, і виробниками або постачальниками продуктів ІКТ або послуг ІКТ, які, ймовірно, постраждають від уразливості, якщо необхідно. Завдання CSIRT, призначеного координатором, повинні включати виявлення та встановлення зв’язку з відповідними організаціями, допомогу фізичним або юридичним особам, які повідомляють про вразливість, узгодження термінів розкриття інформації та керування вразливими місцями, які впливають на декілька організацій (багатосторонні скоординоване розкриття вразливостей). Якщо повідомлена вразливість може мати значний вплив на організації в кількох державах-членах, групи CSIRT, призначені координаторами, повинні співпрацювати в межах мережі CSIRT, якщо це доречно.
62) Доступ до правильної та своєчасної інформації про вразливі місця, що впливають на продукти та послуги ІКТ, сприяє покращеному управлінню ризиками кібербезпеки. Джерела загальнодоступної інформації про вразливості є важливим інструментом для організацій і користувачів їхніх послуг, а також для компетентних органів і CSIRT. З цієї причини ENISA має створити європейську базу даних уразливостей, де організації, незалежно від того, чи підпадають вони під дію цієї Директиви, та їхні постачальники мережевих та інформаційних систем, а також компетентні органи та CSIRT, можуть розкривати та реєструвати, на добровільній основі загальновідомі вразливості з метою надання користувачам можливості вжити відповідних заходів для пом’якшення. Метою цієї бази даних є вирішення унікальних проблем, пов’язаних із ризиками для організацій Союзу. Крім того, ENISA має встановити відповідну процедуру щодо процесу публікації, щоб дати організаціям час вжити заходів щодо пом’якшення їх вразливості та застосувати найсучасніші засоби управління ризиками кібербезпеки, а також машинозчитувані набори даних і відповідні інтерфейси. Щоб заохочувати культуру розкриття вразливостей, розголошення не повинно мати шкідливих наслідків для фізичної чи юридичної особи, яка повідомляє.
63) Хоча подібні реєстри вразливостей або бази даних існують, вони розміщуються та підтримуються організаціями, які не зареєстровані в Союзі. Європейська база даних уразливостей, яку підтримує ENISA, забезпечить покращену прозорість щодо процесу публікації до того, як уразливість буде оприлюднено публічно, і стійкість у разі збою або припинення надання подібних послуг. Для того, щоб, наскільки це можливо, уникнути дублювання зусиль і шукати взаємодоповнюваності, ENISA повинна вивчити можливість укладення структурованих угод про співпрацю з подібними реєстрами або базами даних, які підпадають під юрисдикцію третіх країн. Зокрема, ENISA має вивчити можливість тісної співпраці з операторами системи Common Vulnerabilities and Exposures (CVE).
64) Група співпраці повинна підтримувати та сприяти стратегічній співпраці та обміну інформацією, а також зміцнювати довіру та впевненість між державами-членами. Кожні два роки Група співробітництва повинна складати програму роботи. Робоча програма повинна включати дії, які має здійснити Група співпраці для реалізації своїх цілей і завдань. Часові рамки для створення першої робочої програми згідно з цією Директивою повинні бути узгоджені з часовими рамками останньої робочої програми, встановленої згідно з Директивою (ЄС) 2016/1148, щоб уникнути потенційних перебоїв у роботі Групи співпраці.
65) При розробці керівних документів Група співробітництва повинна послідовно відображати національні рішення та досвід, оцінювати вплив результатів Групи співробітництва на національні підходи, обговорювати проблеми впровадження та формулювати конкретні рекомендації, зокрема щодо сприяння узгодженню транспозиції цього Директива між державами-членами, яка має бути розглянута шляхом кращого впровадження існуючих правил. Група співробітництва також може скласти карту національних рішень, щоб сприяти сумісності рішень з кібербезпеки, застосованих до кожного конкретного сектора в Союзі. Це особливо актуально для секторів, які мають міжнародний або транскордонний характер.
66) Група співробітництва повинна залишатися гнучким форумом і мати можливість реагувати на зміни та нові політичні пріоритети та виклики, беручи до уваги наявність ресурсів. Він міг би організовувати регулярні спільні зустрічі з відповідними приватними зацікавленими сторонами з усього Союзу для обговорення діяльності, що виконується Групою співпраці, а також збору даних і інформації щодо нових політичних викликів. Крім того, Група співпраці повинна проводити регулярну оцінку поточного стану кіберзагроз або інцидентів, таких як програми-вимагачі. Щоб посилити співпрацю на рівні Союзу, Група співпраці повинна розглянути можливість запрошення відповідних інституцій, органів, офісів та агенцій Союзу, які беруть участь у політиці кібербезпеки, таких як Європейський парламент, Європол, Європейська служба даних Рада захисту, Агентство Європейського Союзу з авіаційної безпеки, створене Регламентом (ЄС) 2018/1139, та Агентство Європейського Союзу з космічної програми, засноване Регламентом (ЄС) 2021/696 Європейського Парламенту та Ради (14), щоб брати участь у його роботі.
67) Компетентні органи та CSIRT повинні мати можливість брати участь у схемах обміну для посадових осіб з інших держав-членів у межах певних рамок і, де це застосовно, за умови необхідного доступу до службових осіб, які беруть участь у таких схемах обміну, з метою покращити співпрацю та зміцнити довіру між державами-членами. Компетентні органи повинні вжити необхідних заходів, щоб дати можливість офіційним особам з інших держав-членів відігравати ефективну роль у діяльності компетентного органу або CSIRT приймаючої сторони.
68) Держави-члени повинні сприяти створенню Рамкової системи реагування на кризи в сфері кібербезпеки ЄС, як зазначено в Рекомендації Комісії (ЄС) 2017/1584 (15) через існуючі мережі співпраці, зокрема через мережу європейських організацій зв’язку з кібербезпекою (ЄС- CyCLONe), мережа CSIRTs і Група співпраці. EU-CyCLONe та мережа CSIRTs повинні співпрацювати на основі процедурних домовленостей, які визначають деталі такої співпраці та уникають будь-якого дублювання завдань. Правила процедури EU-CyCLONe повинні додатково визначати механізми, за допомогою яких ця мережа повинна функціонувати, включаючи ролі мережі, засоби співпраці, взаємодію з іншими відповідними учасниками та шаблони для обміну інформацією, а також засоби зв’язку. Для управління кризою на рівні Союзу відповідні сторони повинні покладатися на механізми інтегрованого реагування на політичні кризи ЄС згідно з Імплементаційним рішенням Ради (ЄС) 2018/1993 (16) (механізм IPCR). Для цієї мети Комісія повинна використовувати міжгалузевий процес координації криз на високому рівні ARGUS. Якщо криза передбачає важливий зовнішній вимір або вимір Спільної політики безпеки та оборони, слід активувати Механізм реагування на кризи Європейської служби зовнішніх дій.
69) Відповідно до Додатку до Рекомендації (ЄС) 2017/1584, широкомасштабний інцидент кібербезпеки повинен означати інцидент, який спричиняє рівень порушення, що перевищує можливості держави-члена реагувати на нього, або який має значний вплив на щонайменше дві держави-члени. Залежно від причини та наслідків великомасштабні інциденти кібербезпеки можуть перерости та перетворитися на повномасштабні кризи, що перешкоджають належному функціонуванню внутрішнього ринку або створюють серйозні ризики громадській безпеці та безпеці для організацій чи громадян у кількох державах-членах чи Союзі, як ціле. Враховуючи широкий спектр і, у більшості випадків, транскордонний характер таких інцидентів, держави-члени та відповідні інституції, органи, офіси та агентства Союзу повинні співпрацювати на технічному, оперативному та політичному рівнях для належної координації реагування в межах Союз.
70) Масштабні інциденти кібербезпеки та кризи на рівні Союзу вимагають скоординованих дій для забезпечення швидкого та ефективного реагування через високий ступінь взаємозалежності між секторами та державами-членами. Наявність кіберстійкої мережі та інформаційних систем, доступність, конфіденційність і цілісність даних є життєво важливими для безпеки Союзу та для захисту його громадян, підприємств та установ від інцидентів і кіберзагроз, а також для посилення довіра окремих осіб та організацій до здатності Союзу сприяти та захищати глобальний, відкритий, вільний, стабільний та безпечний кіберпростір, заснований на правах людини, основних свободах, демократії та верховенстві права.
71) EU-CyCLONe має працювати як посередник між технічним і політичним рівнем під час широкомасштабних інцидентів і криз у сфері кібербезпеки та має посилювати співпрацю на оперативному рівні та підтримувати прийняття рішень на політичному рівні. У співпраці з Комісією, враховуючи компетенцію Комісії у сфері управління кризами, EU-CyCLONe має спиратися на висновки мережі CSIRT і використовувати свої власні можливості для аналізу впливу великомасштабних інцидентів і криз у сфері кібербезпеки.
72) Кібератаки мають транскордонний характер, і значний інцидент може порушити та пошкодити критичну інформаційну інфраструктуру, від якої залежить безперебійне функціонування внутрішнього ринку. Рекомендація (ЄС) 2017/1584 стосується ролі всіх відповідних учасників. Крім того, Комісія відповідає в рамках Механізму цивільного захисту Союзу, створеного Рішенням № 1313/2013/ЄС Європейського Парламенту та Ради (17), за загальні дії щодо готовності, включаючи управління Координаційним центром реагування на надзвичайні ситуації та Спільна система зв’язку та інформації в надзвичайних ситуаціях, підтримка та подальший розвиток обізнаності та аналізу ситуації, а також створення та управління можливостями для мобілізації та відправлення груп експертів у разі запиту про допомогу від держави-члена або третьої країни. Комісія також відповідає за надання аналітичних звітів для механізмів IPCR відповідно до Імплементаційного рішення (ЄС) 2018/1993, у тому числі щодо ситуаційної обізнаності та готовності до кібербезпеки, а також за ситуаційну обізнаність та реагування на кризи у сферах сільського господарства, несприятливих погодних умов. умови, картування та прогнози конфліктів, системи раннього попередження про стихійні лиха, надзвичайні ситуації в галузі охорони здоров’я, спостереження за інфекційними хворобами, здоров’я рослин, хімічні інциденти, безпека харчових продуктів і кормів, здоров’я тварин, міграція, митниця, ядерні та радіологічні надзвичайні ситуації та енергетика.
73) Союз може, у відповідних випадках, укладати міжнародні угоди, відповідно до статті 218 TFEU, з третіми країнами або міжнародними організаціями, дозволяючи та організовуючи їхню участь у певних заходах Групи співпраці, мережі CSIRTs та EU-CyCLONe. Такі угоди мають забезпечувати інтереси Союзу та належний захист даних. Це не повинно перешкоджати праву держав-членів співпрацювати з третіми країнами щодо управління вразливими місцями та управління ризиками кібербезпеки, полегшення звітності та загального обміну інформацією відповідно до законодавства Союзу.
74) З метою сприяння ефективній імплементації цієї Директиви щодо, серед іншого, управління вразливими місцями, заходів з управління ризиками кібербезпеки, зобов’язань щодо звітності та домовленостей щодо обміну інформацією про кібербезпеку, держави-члени можуть співпрацювати з третіми країнами та здійснювати заходи які вважаються доцільними для цієї мети, включаючи обмін інформацією про кіберзагрози, інциденти, вразливості, інструменти та методи, тактику, техніку та процедури, підготовку та навчання з управління кризою кібербезпеки, навчання, розбудову довіри та структуровані домовленості про обмін інформацією.
75) Слід запровадити експертні перевірки, щоб допомогти вивчити спільний досвід, зміцнити взаємну довіру та досягти високого загального рівня кібербезпеки. Експертні перевірки можуть призвести до цінних ідей і рекомендацій, посилюючи загальні можливості кібербезпеки, створюючи ще один функціональний шлях для обміну передовим досвідом між державами-членами та сприяючи підвищенню рівня зрілості держав-членів у сфері кібербезпеки. Крім того, експертні перевірки повинні враховувати результати подібних механізмів, таких як система експертної оцінки мережі CSIRTs, і повинні додавати цінності та уникати дублювання. Реалізація експертних перевірок не повинна порушувати законодавство Союзу чи національне законодавство щодо захисту конфіденційної чи секретної інформації.
76) Група співробітництва повинна розробити методологію самооцінки для держав-членів, спрямовану на охоплення таких факторів, як рівень впровадження заходів з управління ризиками кібербезпеки та зобов’язань щодо звітності, рівень спроможності та ефективність виконання завдання компетентних органів, оперативні можливості CSIRT, рівень впровадження взаємної допомоги, рівень впровадження домовленостей щодо обміну інформацією з кібербезпеки або конкретні питання транскордонного чи міжгалузевого характеру. Слід заохочувати держави-члени проводити самооцінку на регулярній основі, а також представляти та обговорювати результати своєї самооцінки в Групі співпраці.
77) Відповідальність за забезпечення безпеки мережі та інформаційної системи значною мірою лежить на істотних і важливих суб’єктах. Необхідно заохочувати та розвивати культуру управління ризиками, що включає оцінку ризиків та впровадження заходів з управління ризиками кібербезпеки, що відповідають ризикам, з якими стикаються.
78) Заходи з управління ризиками кібербезпеки повинні враховувати ступінь залежності основного або важливого суб’єкта від мережевих та інформаційних систем і включати заходи для виявлення будь-яких ризиків інцидентів, запобігання, виявлення, реагування на інциденти та відновлення після них, а також пом'якшити їх вплив. Безпека мережевих та інформаційних систем повинна включати безпеку збережених, переданих і оброблених даних. Заходи з управління ризиками кібербезпеки повинні передбачати системний аналіз з урахуванням людського фактору, щоб мати повну картину безпеки мережі та інформаційної системи.
79) Оскільки загрози безпеці мережевих та інформаційних систем можуть мати різне походження, заходи з управління ризиками кібербезпеки повинні ґрунтуватися на підході до всіх небезпек, спрямованому на захист мережевих та інформаційних систем і фізичного середовища цих систем від подій. як-от крадіжка, пожежа, повінь, збої в телекомунікаціях або електроживленні, або несанкціонований фізичний доступ і пошкодження, а також втручання в важливу або важливу інформацію суб’єкта та засоби обробки інформації, що може поставити під загрозу доступність, автентичність, цілісність або конфіденційність збережених, передані або оброблені дані або послуги, які пропонуються або доступні через мережеві та інформаційні системи. Таким чином, заходи з управління ризиками кібербезпеки повинні також стосуватися фізичної та екологічної безпеки мережевих та інформаційних систем шляхом включення заходів для захисту таких систем від системних збоїв, помилок людини, зловмисних дій або природних явищ відповідно до європейських і міжнародних стандартів, таких як включені до серії ISO/IEC 27000. У зв’язку з цим основні та важливі суб’єкти мають, як частину своїх заходів з управління ризиками кібербезпеки, також звернути увагу на безпеку людських ресурсів і мати відповідні політики контролю доступу. Ці заходи мають узгоджуватися з Директивою (ЄС) 2022/2557.
80) З метою демонстрації відповідності заходам з управління ризиками кібербезпеки та за відсутності відповідних європейських схем сертифікації кібербезпеки, прийнятих відповідно до Регламенту (ЄС) 2019/881 Європейського Парламенту та Ради (18), держави-члени повинні, консультуючись із Групою співробітництва та Європейською групою з сертифікації кібербезпеки, сприяти використанню відповідних європейських і міжнародних стандартів основними та важливими організаціями або можуть вимагати від організацій використання сертифікованих продуктів ІКТ, послуг ІКТ та процесів ІКТ.
81) Щоб уникнути накладення непропорційного фінансового та адміністративного тягаря на істотні та важливі суб’єкти, заходи з управління ризиками кібербезпеки повинні бути пропорційними ризикам, які виникають для відповідної мережі та інформаційної системи, беручи до уваги стан — артикул таких заходів і, якщо це застосовно, відповідні європейські та міжнародні стандарти, а також вартість їх впровадження. (82) Заходи з управління ризиками кібербезпеки мають бути пропорційними до ступеня вразливості основного або важливого суб’єкта ризиків, а також до соціального та економічного впливу, який може мати інцидент. Встановлюючи заходи з управління ризиками кібербезпеки, адаптовані до важливих і важливих суб’єктів, слід належним чином враховувати різні ризики суттєвих і важливих суб’єктів, такі як критичність суб’єкта, ризики, включно з суспільними ризиками, яким він піддається, розмір суб’єкта господарювання та ймовірність виникнення інцидентів та їх серйозність, включаючи їхній суспільний та економічний вплив.
83) Основні та важливі організації повинні забезпечувати безпеку мережі та інформаційних систем, які вони використовують у своїй діяльності. Ці системи є переважно приватними мережевими та інформаційними системами, якими керує внутрішній ІТ-персонал основних і важливих організацій або безпека яких передана аутсорсингу. Заходи з управління ризиками кібербезпеки та зобов’язання щодо звітності, викладені в цій Директиві, повинні застосовуватися до відповідних суттєвих і важливих суб’єктів незалежно від того, чи обслуговують ці суб’єкти свою мережу та інформаційні системи всередині чи доручають їх обслуговування зовнішнім підрядникам.
84) Беручи до уваги їх транскордонний характер, постачальники послуг DNS, реєстри імен TLD, постачальники послуг хмарних обчислень, постачальники послуг центрів обробки даних, постачальники мереж доставки контенту, постачальники керованих послуг, постачальники керованих послуг безпеки, постачальники онлайн-ринків, онлайн-пошукові системи та платформи соціальних мереж, а також постачальники довірчих послуг повинні бути предметом високого рівня гармонізації на рівні Союзу. Таким чином, імплементаційний акт має сприяти впровадженню заходів з управління ризиками кібербезпеки стосовно цих суб’єктів. (85) Розв’язання ризиків, пов’язаних із ланцюгом постачання суб’єкта господарювання та його відносинами з його постачальниками, такими як постачальники послуг зберігання та обробки даних або постачальники керованих послуг безпеки та редактори програмного забезпечення, є особливо важливим з огляду на поширеність інцидентів, жертвами яких є суб’єкти господарювання. кібератак і випадків, коли зловмисники змогли порушити безпеку мережі та інформаційних систем організації, використовуючи вразливі місця, що впливають на сторонні продукти та послуги. Таким чином, основні та важливі суб’єкти повинні оцінювати та брати до уваги загальну якість і стійкість продуктів і послуг, закладені в них заходи з управління ризиками кібербезпеки, а також практики кібербезпеки своїх постачальників і постачальників послуг, включаючи їхні процедури безпечної розробки. Основні та важливі суб’єкти, зокрема, слід заохочувати включати заходи з управління ризиками кібербезпеки в договірні угоди з їхніми прямими постачальниками та постачальниками послуг. Ці суб’єкти можуть розглянути ризики, що випливають з інших рівнів постачальників і постачальників послуг.
86) Серед постачальників послуг постачальники керованих послуг безпеки в таких сферах, як реагування на інциденти, тестування на проникнення, аудити безпеки та консультації, відіграють особливо важливу роль у допомозі організаціям у їхніх зусиллях запобігати, виявляти, реагувати на інциденти або відновлюватися після них. Проте постачальники послуг керованої безпеки також самі були об’єктами кібератак і через свою тісну інтеграцію в діяльність організацій становлять особливий ризик. Таким чином, основні та важливі суб’єкти повинні проявляти підвищену ретельність у виборі постачальника послуг керованої безпеки.
87) Компетентні органи в контексті своїх наглядових завдань також можуть отримати вигоду від послуг кібербезпеки, таких як аудит безпеки, тестування на проникнення або реагування на інциденти.
88) Основні та важливі суб’єкти також повинні звертати увагу на ризики, що виникають через їхню взаємодію та відносини з іншими зацікавленими сторонами в ширшій екосистемі, включно з протидією промисловому шпигунству та захисту комерційної таємниці. Зокрема, ці організації повинні вжити належних заходів для забезпечення того, щоб їхня співпраця з академічними та дослідницькими установами відбувалася відповідно до їхньої політики кібербезпеки та передового досвіду щодо безпечного доступу та розповсюдження інформації в цілому та захисту інтелектуальної власності зокрема. Подібним чином, враховуючи важливість і цінність даних для діяльності важливих і важливих організацій, покладаючись на послуги перетворення даних і аналітики даних від третіх сторін, ці організації повинні вживати всіх відповідних заходів щодо управління ризиками кібербезпеки.
89) Основні та важливі суб’єкти господарювання повинні прийняти широкий спектр основних практик кібергігієни, таких як принципи нульової довіри, оновлення програмного забезпечення, конфігурація пристроїв, сегментація мережі, ідентифікація та керування доступом або обізнаність користувачів, організувати навчання для свого персоналу та підвищити обізнаність щодо кіберзагроз, фішингу або методів соціальної інженерії. Крім того, ці суб’єкти мають оцінити власні можливості кібербезпеки та, якщо це доречно, прагнути до інтеграції технологій підвищення кібербезпеки, таких як штучний інтелект або системи машинного навчання, щоб покращити свої можливості та захист мережевих та інформаційних систем.
90) Для подальшого вирішення ключових ризиків ланцюга постачання та надання допомоги основним і важливим суб’єктам, що працюють у секторах, на які поширюється дія цієї Директиви, у належному управлінні ризиками, пов’язаними з ланцюгом постачання та постачальником, Група співпраці у співпраці з Комісією та ENISA та, у відповідних випадках, після консультацій відповідні зацікавлені сторони, включно з промисловістю, повинні проводити скоординовану оцінку ризиків безпеки критичних ланцюгів постачання, як це було зроблено для мереж 5G відповідно до Рекомендації Комісії (ЄС) 2019/534 (19), з метою визначення критичних ІКТ для кожного сектора. послуги, системи ІКТ або продукти ІКТ, відповідні загрози та вразливості. Такі скоординовані оцінки ризиків безпеки повинні визначати заходи, плани пом’якшення та найкращі практики для протидії критичним залежностям, потенційним одиничним точкам відмови, загрозам, вразливостям та іншим ризикам, пов’язаним із ланцюгом постачання, а також досліджувати шляхи подальшого заохочення їх ширшого впровадження основними та важливими сутності. Потенційні нетехнічні фактори ризику, такі як неправомірний вплив третьої країни на постачальників і постачальників послуг, зокрема у випадку альтернативних моделей управління, включають приховану вразливість або бекдори та потенційні системні збої в постачанні, зокрема у випадку технологічних блокування або залежність від постачальника.
91) Скоординована оцінка ризиків безпеки критичних ланцюгів постачання, у світлі особливостей відповідного сектору, повинна враховувати як технічні, так і, де це доречно, нетехнічні фактори, включаючи ті, що визначені в Рекомендації (ЄС) 2019/534, у скоординованій ЄС оцінці ризиків кібербезпеки мереж 5G та в інструментарії ЄС щодо кібербезпеки 5G, погодженому Групою співпраці. Для визначення ланцюгів постачання, які повинні підлягати скоординованій оцінці ризиків безпеки, слід брати до уваги наступні критерії: (i) ступінь, в якому основні та важливі суб’єкти використовують і покладаються на конкретні критичні послуги ІКТ, системи ІКТ або продукти ІКТ; (ii) відповідність конкретних критично важливих послуг ІКТ, систем ІКТ або продуктів ІКТ для виконання критичних або чутливих функцій, включаючи обробку персональних даних; (iii) доступність альтернативних послуг ІКТ, систем ІКТ або продуктів ІКТ; (iv) стійкість загального ланцюга постачання послуг ІКТ, систем ІКТ або продуктів ІКТ протягом усього їхнього життєвого циклу проти руйнівних подій; та (v) для нових послуг ІКТ, систем ІКТ або продуктів ІКТ, їхнє потенційне майбутнє значення для діяльності суб’єктів господарювання. Крім того, особливу увагу слід приділити ІКТ-послугам, ІКТ-системам або ІКТ-продуктам, які підпадають під особливі вимоги третіх країн.
92) З метою впорядкування зобов’язань, покладених на постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, і постачальників довірчих послуг, пов’язаних із безпекою їхніх мережевих та інформаційних систем, а також для того, щоб дати можливість цим організаціям та компетентні органи відповідно до Директиви (ЄС) 2018/1972 Європейського Парламенту та Ради (20) та Регламенту (ЄС) № 910/2014, відповідно, використовувати правові рамки, встановлені цією Директивою, включаючи призначення CSIRT, відповідального за врегулювання інцидентів, участь відповідних компетентних органів у діяльності Групи співпраці та мережі CSIRT, ці організації повинні підпадати під дію цієї Директиви. Таким чином, відповідні положення, викладені в Регламенті (ЄС) № 910/2014 і Директиві (ЄС) 2018/1972, пов’язані з вимогами щодо безпеки та сповіщення для таких типів суб’єктів господарювання, слід видалити. Правила щодо зобов’язань щодо звітності, викладені в цій Директиві, не повинні порушувати Регламент (ЄС) 2016/679 та Директиву 2002/58/ЄС.
93) Зобов’язання щодо кібербезпеки, викладені в цій Директиві, слід розглядати як доповнення до вимог, що пред’являються до постачальників довірчих послуг згідно з Регламентом (ЄС) № 910/2014. Постачальники довірчих послуг повинні вживати всіх належних і пропорційних заходів для управління ризиками, пов’язаними з їхніми послугами, у тому числі щодо клієнтів і третіх сторін, які покладаються, а також повідомляти про інциденти відповідно до цієї Директиви. Такі зобов’язання щодо кібербезпеки та звітності також мають стосуватися фізичного захисту наданих послуг. Вимоги до постачальників кваліфікованих довірчих послуг, викладені в статті 24 Регламенту (ЄС) № 910/2014, продовжують застосовуватися.
94) Держави-члени можуть призначити роль компетентних органів для довірчих послуг наглядовим органам відповідно до Регламенту (ЄС) № 910/2014, щоб забезпечити продовження поточної практики та спиратися на знання та досвід, отриманий у застосуванні цього Регламенту. У такому випадку компетентні органи відповідно до цієї Директиви повинні тісно та своєчасно співпрацювати з цими наглядовими органами шляхом обміну відповідною інформацією з метою забезпечення ефективного нагляду та відповідності постачальників довірчих послуг вимогам, викладеним у цій Директиві та Регламенті. (ЄС) № 910/2014. У відповідних випадках CSIRT або компетентний орган відповідно до цієї Директиви повинні негайно повідомити наглядовий орган відповідно до Регламенту (ЄС) № 910/2014 про будь-яку повідомлену значну кіберзагрозу чи інцидент, що впливає на довірчі послуги, а також про будь-які порушення постачальником довірчих послуг цієї Директиви. З метою звітування держави-члени можуть, якщо це можливо, використовувати єдину точку входу, створену для досягнення загального та автоматичного звітування про інциденти як до наглядового органу відповідно до Регламенту (ЄС) № 910/2014, так і до CSIRT або компетентного органу відповідно до цього Директива.
95) За необхідності та з метою уникнення непотрібних збоїв, існуючі національні керівні принципи, прийняті для транспонування правил, пов’язаних із заходами безпеки, викладених у статтях 40 та 41 Директиви (ЄС) 2018/1972, слід враховувати під час транспонування цієї Директиви, таким чином спираючись на знання та навички, уже набуті відповідно до Директиви (ЄС) 2018/1972 щодо заходів безпеки та повідомлень про інциденти. ENISA також може розробити інструкції щодо вимог безпеки та зобов’язань щодо звітності для постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, щоб полегшити гармонізацію та перехід, а також мінімізувати збої. Держави-члени можуть призначити роль компетентних органів у сфері електронних комунікацій національним регулятивним органам відповідно до Директиви (ЄС) 2018/1972, щоб забезпечити продовження поточної практики та спиратися на знання та досвід, отримані в результаті впровадження цієї Директиви.
96) Враховуючи зростаючу важливість незалежних від номера послуг міжособистісного зв’язку, як визначено в Директиві (ЄС) 2018/1972, необхідно забезпечити, щоб такі послуги також підпорядковувалися відповідним вимогам безпеки з огляду на їх особливий характер та економічну важливість. Оскільки поверхня атак продовжує розширюватися, служби міжособистісного зв’язку, незалежні від номера, такі як служби обміну повідомленнями, стають широко поширеними векторами атак. Зловмисники використовують платформи для спілкування та залучення жертв до відкриття скомпрометованих веб-сторінок, таким чином збільшуючи ймовірність інцидентів, пов’язаних із використанням особистих даних, і, як наслідок, безпеку мережевих та інформаційних систем. Постачальники послуг міжособистісного зв’язку, які не залежать від номера, повинні забезпечувати рівень безпеки мережевих та інформаційних систем, що відповідає наявним ризикам. З огляду на те, що постачальники послуг міжособистісного зв’язку, які не залежать від номера, зазвичай не здійснюють фактичного контролю над передачею сигналів через мережі, ступінь ризику для таких послуг можна вважати в деяких аспектах нижчим, ніж для традиційних електронних комунікаційних послуг. Те саме стосується послуг міжособистісного зв’язку, як визначено в Директиві (ЄС) 2018/1972, які використовують номери та не здійснюють фактичного контролю над передачею сигналу.
97) Внутрішній ринок більше, ніж будь-коли, залежить від функціонування Інтернету. Послуги майже всіх основних і важливих організацій залежать від послуг, що надаються через Інтернет. Для того, щоб забезпечити безперебійне надання послуг, що надаються основними та важливими суб’єктами, важливо, щоб усі постачальники публічних електронних комунікаційних мереж мали відповідні заходи з управління ризиками кібербезпеки та повідомляли про значні інциденти, пов’язані з ними. Держави-члени повинні забезпечити підтримку безпеки публічних електронних комунікаційних мереж і захист життєво важливих інтересів безпеки від саботажу та шпигунства. Оскільки міжнародне підключення покращує та прискорює конкурентоспроможну цифровізацію Союзу та його економіки, про інциденти, що стосуються підводних кабелів зв’язку, слід повідомляти CSIRT або, якщо це можливо, компетентному органу. Національна стратегія кібербезпеки повинна, де це доречно, враховувати кібербезпеку підводних кабелів зв’язку та включати відображення потенційних ризиків кібербезпеки та заходи пом’якшення для забезпечення найвищого рівня їх захисту.
98) З метою забезпечення безпеки публічних електронних комунікаційних мереж і загальнодоступних електронних комунікаційних послуг, використання технологій шифрування, зокрема наскрізного шифрування, а також концепцій безпеки, орієнтованих на дані, таких як картографія, сегментація, тегування, політики доступу та управління доступом, а також автоматизовані рішення щодо доступу. У разі необхідності використання шифрування, зокрема наскрізного шифрування, має бути обов’язковим для постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг відповідно до принципів безпеки та конфіденційності за замовчуванням та розроблено для цілей цієї Директиви. Використання наскрізного шифрування має бути узгоджено з повноваженнями держав-членів щодо забезпечення захисту їхніх основних інтересів безпеки та громадської безпеки, а також для запобігання, розслідування, виявлення та судового переслідування кримінальних правопорушень відповідно до Союзу закон. Однак це не повинно послабити наскрізне шифрування, яке є критично важливою технологією для ефективного захисту даних, конфіденційності та безпеки зв’язку.
99) Щоб гарантувати безпеку та запобігати зловживанням і маніпуляціям публічними електронними комунікаційними мережами та загальнодоступними електронними комунікаційними службами, слід сприяти використанню безпечних стандартів маршрутизації для забезпечення цілісності та надійності функцій маршрутизації в межах екосистема провайдерів послуг доступу до Інтернету.
100) З метою захисту функціональності та цілісності Інтернету та сприяння безпеці та стійкості DNS, відповідні зацікавлені сторони, включаючи організації приватного сектору Союзу, постачальників загальнодоступних електронних комунікаційних послуг, зокрема постачальників послуг доступу до Інтернету, та постачальників онлайн-пошукових систем слід заохочувати прийняти стратегію диверсифікації роздільної здатності DNS. Крім того, держави-члени повинні заохочувати розробку та використання загальнодоступної та безпечної європейської служби розпізнавання DNS.
101) Ця Директива встановлює багатоетапний підхід до звітування про значні інциденти, щоб досягти правильного балансу між, з одного боку, швидким звітуванням, яке допомагає пом’якшити потенційне поширення значних інцидентів і дозволяє основним і важливим суб’єктам звернення за допомогою, а з іншого — детальне звітування, яке витягує цінні уроки з окремих інцидентів і з часом покращує кіберстійкість окремих організацій і цілих секторів. У зв’язку з цим ця Директива повинна включати звітування про інциденти, які, виходячи з початкової оцінки, проведеної відповідним суб’єктом, можуть спричинити серйозні збої в роботі послуг або фінансові втрати для цього суб’єкта або вплинути на інших фізичних чи юридичних осіб, спричинивши значні збитки. матеріальної або нематеріальної шкоди. Така початкова оцінка повинна брати до уваги, серед іншого, уражену мережу та інформаційні системи, зокрема їх важливість у наданні послуг суб’єкта господарювання, серйозність і технічні характеристики кіберзагрози та будь-які базові вразливості, які використовуються, а також досвід організації з подібними інцидентами. Такі показники, як ступінь впливу на функціонування послуги, тривалість інциденту або кількість постраждалих одержувачів послуг, можуть відігравати важливу роль у визначенні того, чи є серйозним збій у роботі послуги.
102) Якщо суттєві або важливі суб’єкти дізнаються про значний інцидент, від них слід вимагати подати раннє попередження без невиправданої затримки та в будь-якому випадку протягом 24 годин. Це раннє попередження має супроводжуватися повідомленням про інцидент. Відповідні організації повинні подати повідомлення про інцидент без невиправданої затримки та в будь-якому випадку протягом 72 годин після того, як їм стало відомо про значний інцидент, з метою, зокрема, оновлення інформації, наданої через раннє попередження, та вказівки на початкову оцінку значного інциденту., включаючи його серйозність і вплив, а також показники компромісу, якщо такі є. Остаточний звіт повинен бути поданий не пізніше ніж через місяць після повідомлення про інцидент. Раннє попередження має містити лише інформацію, необхідну для того, щоб CSIRT або, якщо це можливо, компетентний орган дізнався про значний інцидент і дозволив відповідній організації звернутися за допомогою, якщо це необхідно. Таке завчасне попередження, де це застосовно, має вказувати, чи підозрюється, що значний інцидент спричинений незаконними чи зловмисними діями, і чи ймовірно, що він матиме транскордонний вплив. Держави-члени повинні переконатися, що зобов’язання подавати це раннє попередження або наступне повідомлення про інцидент не відволікає ресурси нотифікуючої організації від діяльності, пов’язаної з обробкою інцидентів, які мають бути пріоритетними, щоб запобігти зобов’язанням щодо звітування про інциденти від відволікання ресурсів від значних реагування на інциденти або іншим чином скомпрометувати зусилля суб’єкта у цьому відношенні. У разі інциденту, який триває на момент подання остаточного звіту, держави-члени повинні забезпечити, щоб відповідні організації надали звіт про хід виконання в цей час, а остаточний звіт — протягом одного місяця після розгляду ними значного інциденту.
103) Якщо це застосовно, важливі та важливі суб’єкти повинні без зайвої затримки повідомити своїх одержувачів послуг про будь-які заходи чи засоби правового захисту, які вони можуть вжити для пом’якшення ризиків, пов’язаних із значною кіберзагрозою. Ці суб’єкти повинні, у відповідних випадках і, зокрема, якщо велика ймовірність реалізації значної кіберзагрози, також інформувати своїх одержувачів послуг про саму загрозу. Вимога щодо інформування цих одержувачів про значні кіберзагрози має виконуватися на основі всіх зусиль, але не звільняє ці організації від зобов’язання вжити за власний рахунок відповідних і негайних заходів для запобігання або усунення будь-яких таких загроз і відновлення нормального рівень безпеки послуги. Надання такої інформації про суттєві кіберзагрози отримувачам послуг має бути безкоштовним і викладеним доступною для розуміння мовою.
104) Постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг повинні запроваджувати безпеку за проектом і за замовчуванням, а також інформувати одержувачів своїх послуг про значні кіберзагрози та заходи, які вони можуть вжити для захисту своїх пристроїв і комунікацій, наприклад, за допомогою певних типів програмного забезпечення або технологій шифрування.
105) Проактивний підхід до кіберзагроз є життєво важливим компонентом управління ризиками кібербезпеки, який повинен дозволити компетентним органам ефективно запобігати матеріалізації кіберзагроз в інциденти, які можуть завдати значної матеріальної чи нематеріальної шкоди. Для цього сповіщення про кіберзагрози має ключове значення. З цією метою організаціям пропонується добровільно повідомляти про кіберзагрози.
106) Щоб спростити звітність щодо інформації, яка вимагається відповідно до цієї Директиви, а також зменшити адміністративний тягар для організацій, держави-члени повинні забезпечити такі технічні засоби, як єдина точка входу, автоматизовані системи, онлайн-форми, зручні інтерфейси, шаблони, спеціалізовані платформи для використання суб’єктами, незалежно від того, чи підпадають вони під дію цієї Директиви, для подання відповідної інформації для звітування. Фінансування Союзу на підтримку реалізації цієї Директиви, зокрема в рамках програми Цифрова Європа, створеної Регламентом (ЄС) 2021/694 Європейського Парламенту та Ради (21), може включати підтримку єдиних точок входу. Крім того, організації часто опиняються в ситуації, коли про конкретний інцидент через його особливості необхідно повідомляти різні органи влади в результаті зобов’язань щодо сповіщення, включених у різні правові документи. Такі випадки створюють додаткове адміністративне навантаження, а також можуть призвести до невизначеності щодо формату та процедур таких повідомлень. Якщо встановлено єдину точку входу, державам-членам також пропонується використовувати цю єдину точку входу для повідомлень про інциденти безпеки, які вимагаються згідно з іншим законодавством Союзу, таким як Регламент (ЄС) 2016/679 і Директива 2002/58/ЄС. Використання такої єдиної точки входу для звітування про інциденти безпеки відповідно до Регламенту (ЄС) 2016/679 і Директиви 2002/58/ЄС не повинно впливати на застосування положень Регламенту (ЄС) 2016/679 і Директиви 2002/58/ЄС., зокрема ті, що стосуються незалежності органів влади, згаданих у ньому. ENISA у співпраці з Групою співробітництва має розробити загальні шаблони сповіщень за допомогою інструкцій для спрощення та оптимізації інформації, яка має бути надана відповідно до законодавства Союзу, і зменшити адміністративний тягар для нотифікуючих організацій.
107) Якщо є підозра, що інцидент пов’язаний із серйозною злочинною діяльністю відповідно до законодавства Союзу або національного законодавства, держави-члени повинні заохочувати важливі та важливі суб’єкти на основі застосовних правил кримінального провадження відповідно до законодавства Союзу повідомляти про інциденти за підозрою у тяжкому злочині до відповідних правоохоронних органів. За необхідності та без шкоди правилам захисту персональних даних, які застосовуються до Європолу, бажано, щоб координація між компетентними органами та правоохоронними органами різних держав-членів сприяла Європейському центру боротьби з кіберзлочинністю (EC3) та ENISA.
108) Особисті дані у багатьох випадках скомпрометовані в результаті інцидентів. У цьому контексті компетентні органи повинні співпрацювати та обмінюватися інформацією з усіх відповідних питань з органами, зазначеними в Регламенті (ЄС) 2016/679 та Директиві 2002/58/ЄС.
109) Підтримка точних і повних баз даних реєстрації доменних імен (дані WHOIS) і надання законного доступу до таких даних є важливими для забезпечення безпеки, стабільності та стійкості DNS, що, у свою чергу, сприяє високому загальному рівню кібербезпеки в усіх країнах. Союзу. З цією конкретною метою реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, мають обробляти певні дані, необхідні для досягнення цієї мети. Така обробка повинна становити юридичне зобов’язання у значенні пункту c) частини 1 статті 6 Регламенту (ЄС) 2016/679. Таке зобов’язання не обмежує можливості збирати реєстраційні дані доменного імені для інших цілей, наприклад, на основі договірних угод або юридичних вимог, встановлених іншим законодавством Союзу чи національним законодавством. Це зобов’язання спрямоване на отримання повного та точного набору реєстраційних даних і не повинно призводити до збору одних і тих же даних кілька разів. Реєстри імен верхнього рівня та організації, що надають послуги реєстрації доменних імен, повинні співпрацювати один з одним, щоб уникнути дублювання цього завдання.
110) Наявність і своєчасний доступ до даних реєстрації доменних імен для законних шукачів доступу має важливе значення для запобігання та боротьби з зловживанням DNS, а також для запобігання та виявлення і реагування на інциденти. Законні шукачі доступу слід розуміти як будь-яку фізичну або юридичну особу, яка робить запит відповідно до законодавства Союзу або національного законодавства. Вони можуть включати органи, які є компетентними згідно з цією Директивою та ті, які є компетентними відповідно до законодавства Союзу або національного законодавства для запобігання, розслідування, виявлення або судового переслідування кримінальних правопорушень, а також CERT або CSIRT. Реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, мають бути зобов’язані надавати правомірний доступ до конкретних реєстраційних даних доменних імен, які є необхідними для цілей запиту на доступ, для законних шукачів доступу відповідно до законодавства Союзу та національного законодавства. Запит законних шукачів доступу повинен супроводжуватися викладом причин, які дозволяють оцінити необхідність доступу до даних.
111) Щоб забезпечити доступність точних і повних даних про реєстрацію доменних імен, реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, повинні збирати та гарантувати цілісність і доступність даних про реєстрацію доменних імен. Зокрема, реєстри імен верхнього рівня та організації, що надають послуги реєстрації доменних імен, повинні встановити політику та процедури для збору та підтримки точних і повних даних про реєстрацію доменних імен, а також для запобігання та виправлення неточних реєстраційних даних відповідно до законодавства Союзу про захист даних. Ці політики та процедури повинні враховувати, наскільки це можливо, стандарти, розроблені багатосторонніми структурами управління на міжнародному рівні. Реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, повинні прийняти та впроваджувати пропорційні процедури перевірки даних реєстрації доменних імен. Ці процедури повинні відображати найкращі практики, що використовуються в галузі, і, наскільки це можливо, прогрес, досягнутий у сфері електронної ідентифікації. Приклади процедур перевірки можуть включати попередній контроль, який здійснюється під час реєстрації, та попередній контроль, який здійснюється після реєстрації. Реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, повинні, зокрема, перевірити принаймні один спосіб контакту з реєстрантом.
112) Реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, мають бути зобов’язані робити загальнодоступними дані про реєстрацію доменних імен, які виходять за межі законодавства Союзу про захист даних, наприклад дані, що стосуються юридичних осіб, відповідно до преамбули Регламенту. (ЄС) 2016/679. Для юридичних осіб реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, повинні оприлюднити принаймні ім’я реєстранта та контактний номер телефону. Контактна адреса електронної пошти також має бути опублікована за умови, що вона не містить жодних особистих даних, як, наприклад, у випадку псевдонімів електронної пошти або функціональних облікових записів. Реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, також повинні надавати законним особам, які шукають доступ, законний доступ до конкретних даних реєстрації доменних імен, що стосуються фізичних осіб, відповідно до законодавства Союзу про захист даних. Держави-члени повинні вимагати від реєстрів імен верхнього рівня та організацій, що надають послуги з реєстрації доменних імен, відповідати без зайвої затримки на запити щодо розкриття даних реєстрації доменних імен від законних шукачів доступу. Реєстри імен верхнього рівня та організації, що надають послуги з реєстрації доменних імен, повинні встановити політику та процедури для публікації та розкриття реєстраційних даних, включаючи угоди про рівень обслуговування для обробки запитів на доступ від законних шукачів доступу. Ці політики та процедури повинні враховувати, наскільки це можливо, будь-які вказівки та стандарти, розроблені багатосторонніми структурами управління на міжнародному рівні. Процедура доступу може включати використання інтерфейсу, порталу чи іншого технічного засобу для забезпечення ефективної системи запиту та доступу до реєстраційних даних. З метою просування узгоджених практик на внутрішньому ринку Комісія може, без шкоди для компетенції Європейської ради із захисту даних, надати вказівки щодо таких процедур, які враховують, наскільки це можливо, стандарти, розроблені багатосторонні структури управління на міжнародному рівні. Держави-члени повинні забезпечити, щоб усі види доступу до особистих і неособистих даних реєстрації доменних імен були безкоштовними.
113) Суб’єкти, які підпадають під дію цієї Директиви, слід вважати такими, що підпадають під юрисдикцію держави-члена, в якій вони засновані. Проте постачальники публічних електронних комунікаційних мереж або постачальники загальнодоступних електронних комунікаційних послуг повинні вважатися такими, що підпадають під юрисдикцію держави-члена, в якій вони надають свої послуги. Постачальники послуг DNS, реєстри імен верхнього рівня, організації, що надають послуги реєстрації доменних імен, постачальники послуг хмарних обчислень, постачальники послуг центрів обробки даних, постачальники мереж доставки контенту, постачальники керованих послуг, постачальники керованих послуг безпеки, а також постачальники онлайн-ринків, онлайн-пошуку механізми та платформи соціальних мереж слід вважати такими, що підпадають під юрисдикцію держави-члена, в якій вони розташовані в Союзі. Органи державного управління повинні підпадати під юрисдикцію держави-члена, яка їх заснувала. Якщо організація надає послуги або зареєстрована в більш ніж одній державі-члені, вона повинна підпадати під окрему та одночасну юрисдикцію кожної з цих держав-членів. Компетентні органи цих держав-членів повинні співпрацювати, надавати взаємну допомогу один одному та, за необхідності, здійснювати спільні наглядові дії. Якщо держави-члени здійснюють юрисдикцію, вони не повинні застосовувати примусові заходи чи покарання більше одного разу за ту саму поведінку відповідно до принципу ne bis in idem.
114) З метою врахування транскордонного характеру послуг і операцій постачальників послуг DNS, реєстрів імен TLD, організацій, що надають послуги реєстрації доменних імен, постачальників послуг хмарних обчислень, постачальників послуг центрів обробки даних, постачальників мереж доставки контенту, постачальників керованих послуг, постачальників керованих послуг безпеки, а також постачальників онлайн-ринків, онлайн-пошукових систем і платформ соціальних мереж, лише одна держава-член повинна мати юрисдикцію над цими організаціями. Юрисдикція повинна бути приписана державі-члену, в якій відповідна організація має свій головний офіс у Союзі. Критерій заснування для цілей цієї Директиви передбачає ефективне здійснення діяльності через стабільні домовленості. Юридична форма таких угод, чи то через філію, чи дочірню компанію з статусом юридичної особи, не є визначальним фактором у цьому відношенні. Виконання цього критерію не повинно залежати від того, чи мережа та інформаційні системи фізично розташовані в даному місці; наявність і використання таких систем самі по собі не є таким основним установою і тому не є вирішальними критеріями для визначення основної установи. Головним установою слід вважати державу-член, де в Союзі переважно приймаються рішення, пов’язані із заходами з управління ризиками кібербезпеки. Зазвичай це відповідатиме місцю центральної адміністрації суб’єктів у Союзі. Якщо таку державу-члена не можна визначити або якщо такі рішення не приймаються в Союзі, слід вважати, що основна установа знаходиться в державі-члені, де здійснюються операції з кібербезпеки. Якщо таку державу-члена визначити неможливо, слід вважати, що основний офіс знаходиться в державі-члені, де суб’єкт має найбільшу кількість працівників у Союзі. Якщо послуги надаються групою підприємств, основне представництво контролюючого підприємства слід вважати головним представництвом групи підприємств.
115) Якщо загальнодоступна рекурсивна послуга DNS надається постачальником публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг лише як частина послуги доступу до Інтернету, слід вважати, що суб’єкт підпадає під юрисдикцію всіх Держави-члени, де надаються його послуги.
116) Якщо постачальник послуг DNS, реєстр імен верхнього рівня, організація, що надає послуги реєстрації доменних імен, постачальник послуг хмарних обчислень, постачальник послуг центру обробки даних, постачальник мережі доставки контенту, постачальник керованих послуг, постачальник керованих послуг безпеки або постачальник онлайн-ринку, онлайн-пошукової системи або платформи соціальних мереж, який не заснований у Союзі, пропонує послуги в межах Союзу, він повинен призначити представника в Союзі. Щоб визначити, чи така організація пропонує послуги в межах Союзу, слід з’ясувати, чи планує ця організація пропонувати послуги особам в одній або кількох державах-членах. Простий доступ у Союзі до веб-сайту суб’єкта чи посередника, адреси електронної пошти чи інших контактних даних, або використання мови, яка зазвичай використовується в третій країні, де засновано суб’єкт, слід вважати недостатнім для встановлення такого намір. Однак такі фактори, як використання мови чи валюти, які зазвичай використовуються в одній чи кількох державах-членах із можливістю замовлення послуг цією мовою, або згадка клієнтів чи користувачів, які перебувають у Союзі, можуть зробити очевидним, що організація планує пропонувати послуги в межах Союзу. Представник повинен діяти від імені організації, і компетентні органи або CSIRT повинні мати можливість звернутися до представника. Представник повинен бути чітко призначений письмовим дорученням організації діяти від імені останньої щодо зобов’язань останньої, викладених у цій Директиві, включаючи звітування про інциденти.
117) Щоб забезпечити чіткий огляд постачальників послуг DNS, реєстрів імен верхнього рівня, організацій, що надають послуги реєстрації доменних імен, постачальників послуг хмарних обчислень, постачальників послуг центрів обробки даних, постачальників мереж доставки контенту, постачальників керованих послуг, постачальників керованих послуг безпеки, а також постачальників онлайн-ринків, онлайн-пошукових систем і платформ соціальних мереж, які надають послуги в Союзі, які підпадають під дію цієї Директиви, ENISA повинна створити та підтримувати реєстр таких організацій на основі отриманої інформації. державами-членами, у відповідних випадках через національні механізми, створені для реєстрації суб’єктів. Єдині контактні пункти повинні передавати до ENISA інформацію та будь-які зміни до неї. З метою забезпечення точності та повноти інформації, яка має бути включена до цього реєстру, держави-члени можуть подавати до ENISA інформацію, наявну в будь-яких національних реєстрах щодо цих організацій. ENISA та держави-члени повинні вжити заходів для сприяння взаємодії таких реєстрів, одночасно забезпечуючи захист конфіденційної або секретної інформації. ENISA повинна встановити відповідну класифікацію інформації та протоколи управління для забезпечення безпеки та конфіденційності розкритої інформації та обмежити доступ, зберігання та передачу такої інформації призначеним користувачам.
118) Якщо інформація, яка є засекреченою відповідно до законодавства Союзу або національного законодавства, обмінюється, повідомляється або іншим чином надається згідно з цією Директивою, слід застосовувати відповідні правила поводження з секретною інформацією. Крім того, ENISA повинна мати інфраструктуру, процедури та правила для обробки конфіденційної та секретної інформації відповідно до застосовних правил безпеки для захисту секретної інформації ЄС.
119) З огляду на те, що кіберзагрози стають все більш складними та витонченими, ефективне виявлення таких загроз і заходи щодо їх запобігання значною мірою залежать від регулярного обміну інформацією про загрози та вразливості між суб’єктами. Обмін інформацією сприяє підвищенню обізнаності про кіберзагрози, що, у свою чергу, підвищує здатність суб’єктів запобігати матеріалізації таких загроз в інциденти та дозволяє суб’єктам краще стримувати наслідки інцидентів і ефективніше відновлюватися. За відсутності вказівок на рівні Союзу різні фактори, здається, перешкоджають такому обміну розвідувальною інформацією, зокрема невизначеність щодо сумісності з правилами конкуренції та відповідальності.
120) Держави-члени повинні заохочувати та допомагати суб’єктам колективно використовувати свої індивідуальні знання та практичний досвід на стратегічному, тактичному та оперативному рівнях з метою посилення своїх можливостей для належного запобігання, виявлення, реагування на інциденти або відновлення після них або пом’якшення наслідків. їх вплив. Таким чином, необхідно створити умови для добровільного обміну інформацією про кібербезпеку на рівні Союзу. З цією метою держави-члени повинні активно допомагати та заохочувати суб’єкти, такі як ті, що надають послуги з кібербезпеки та дослідження, а також відповідні суб’єкти, які не підпадають під сферу дії цієї Директиви, брати участь у таких механізмах обміну інформацією з кібербезпеки. Ці заходи мають бути встановлені відповідно до правил конкуренції Союзу та законодавства Союзу про захист даних.
121) Обробка персональних даних, наскільки це необхідно та пропорційно з метою забезпечення безпеки мережевих та інформаційних систем основними та важливими суб’єктами, може вважатися законною на підставі того, що така обробка відповідає юридичному зобов’язанню якому підпорядковується контролер, відповідно до вимог статті 6(1), пункт c) і статті 6(3) Регламенту (ЄС) 2016/679. Обробка персональних даних також може бути необхідною для законних інтересів істотних і важливих організацій, а також постачальників технологій безпеки та послуг, які діють від імені цих організацій, відповідно до пункту (f) частини 1 статті 6 Регламенту (EU) 2016/679, у тому числі, якщо така обробка необхідна для домовленостей про обмін інформацією про кібербезпеку або добровільного повідомлення відповідної інформації відповідно до цієї Директиви. Заходи, пов’язані із запобіганням, виявленням, ідентифікацією, стримуванням, аналізом і реагуванням на інциденти, заходи щодо підвищення обізнаності щодо конкретних кіберзагроз, обмін інформацією в контексті усунення вразливостей та скоординоване розкриття вразливостей, добровільний обмін інформацією про них інциденти, кіберзагрози та вразливості, індикатори компрометації, тактики, техніки та процедури, сповіщення про кібербезпеку та інструменти конфігурації можуть вимагати обробки певних категорій персональних даних, таких як IP-адреси, уніфіковані локатори ресурсів (URL-адреси), доменні імена, електронна пошта адреси та, якщо вони містять особисті дані, позначки часу. Обробка персональних даних компетентними органами, єдиними контактними пунктами та CSIRT може становити юридичне зобов’язання або вважатися необхідною для виконання завдання в суспільних інтересах або для виконання офіційних повноважень, наданих контролеру відповідно до відповідно до пункту c) або (e) частини 1 статті 6 та частини 3 статті 6 Регламенту (ЄС) 2016/679 або для переслідування законних інтересів основних і важливих суб’єктів, як зазначено у статті 6 (1), пункт (f) цього Регламенту. Крім того, національне законодавство може встановлювати правила, які дозволяють компетентним органам, єдиним контактним пунктам і групам CSIRT, наскільки це необхідно та пропорційно з метою забезпечення безпеки мережевих та інформаційних систем істотних і важливих організацій, обробляти спеціальні категорії персональних даних згідно зі статтею 9 Регламенту (ЄС) 2016/679, зокрема шляхом забезпечення відповідних і конкретних заходів для захисту основних прав та інтересів фізичних осіб, включаючи технічні обмеження на повторне використання таких даних, а також використання найсучасніших заходів безпеки та збереження конфіденційності, таких як псевдонімізація або шифрування, де анонімізація може суттєво вплинути на переслідувану мету.
122) З метою посилення наглядових повноважень і заходів, які допомагають забезпечити ефективне дотримання, ця Директива повинна передбачати мінімальний перелік наглядових заходів і засобів, за допомогою яких компетентні органи можуть здійснювати нагляд за основними та важливими суб’єктами. Крім того, ця Директива повинна встановити диференціацію режиму нагляду між основними та важливими суб’єктами з метою забезпечення справедливого балансу зобов’язань цих суб’єктів та компетентних органів. Таким чином, основні суб’єкти господарювання повинні підлягати комплексному режиму нагляду ex ante та ex post, тоді як важливі суб’єкти господарювання повинні підлягати пом’якшеному режиму нагляду лише ex post. Тому від важливих суб’єктів не слід вимагати систематичного документування відповідності заходам з управління ризиками кібербезпеки, тоді як компетентні органи повинні впроваджувати реактивний постфактум підхід до нагляду і, отже, не мати загального зобов’язання здійснювати нагляд за цими суб’єктами. Постфактум нагляд за важливими суб’єктами може бути ініційований доказами, вказівками чи інформацією, доведеною до відома компетентних органів, які, на думку цих органів, припускають потенційні порушення цієї Директиви. Наприклад, такі докази, вказівки чи інформація можуть бути такими, що надані компетентним органам іншими органами, організаціями, громадянами, ЗМІ чи іншими джерелами або загальнодоступною інформацією, або можуть виникати в результаті іншої діяльності, що здійснюється компетентними органами для виконання своїх завдань.
123) Виконання наглядових завдань компетентними органами не повинно без потреби перешкоджати комерційній діяльності відповідного суб’єкта. Якщо компетентні органи виконують свої наглядові завдання по відношенню до суттєвих суб’єктів, включаючи проведення інспекцій на місці та виїзний нагляд, розслідування порушень цієї Директиви та проведення перевірок безпеки або сканування безпеки, вони повинні мінімізувати вплив про господарську діяльність суб'єкта господарювання.
124) Під час здійснення попереднього нагляду компетентні органи повинні мати можливість пропорційно приймати рішення щодо пріоритетності використання заходів нагляду та засобів, які є в їх розпорядженні. Це означає, що компетентні органи можуть прийняти рішення щодо такого визначення пріоритетів на основі наглядових методологій, які повинні дотримуватися підходу, що ґрунтується на оцінці ризику. Більш конкретно, такі методології можуть включати критерії або орієнтири для класифікації основних суб’єктів за категоріями ризику та відповідні наглядові заходи та засоби, рекомендовані для кожної категорії ризику, такі як використання, частота або типи перевірок на місці, цільовий аудит безпеки або сканування безпеки, тип інформації, яку потрібно запитати, і рівень деталізації цієї інформації. Такі наглядові методології також можуть супроводжуватися робочими програмами та оцінюватися та переглядатися на регулярній основі, включно з такими аспектами, як розподіл ресурсів і потреби. Стосовно суб’єктів державного управління наглядові повноваження мають здійснюватися відповідно до національних законодавчих та інституційних рамок.
125) Компетентні органи повинні забезпечити, щоб їхні наглядові завдання щодо істотних і важливих суб’єктів господарювання виконувалися підготовленими професіоналами, які повинні мати необхідні навички для виконання цих завдань, зокрема щодо проведення інспекцій на місці та — нагляд за сайтом, включаючи виявлення слабких місць у базах даних, апаратному забезпеченні, брандмауерах, шифруванні та мережах. Ці перевірки та нагляд мають проводитися об’єктивно.
126) У належним чином обґрунтованих випадках, коли йому відомо про значну кіберзагрозу або неминучий ризик, компетентний орган повинен мати можливість приймати негайні примусові рішення з метою запобігання інциденту або реагування на нього.
127) Для забезпечення ефективного правозастосування слід встановити мінімальний перелік правозастосовних повноважень, які можуть застосовуватися у випадку порушення заходів з управління ризиками кібербезпеки та зобов’язань щодо звітності, передбачених цією Директивою, встановлюючи чітку та послідовну структуру для таке застосування по всьому Союзу. Слід приділяти належну увагу характеру, серйозності та тривалості порушення цієї Директиви, завданій матеріальній чи нематеріальній шкоді, чи було порушення навмисним чи необережним, діям, вжитим для запобігання чи пом’якшення матеріальної чи нематеріальної шкоди, ступінь відповідальності чи будь-які відповідні попередні порушення, ступінь співпраці з компетентним органом та будь-який інший фактор, що обтяжує чи пом’якшує відповідальність. Примусові заходи, у тому числі адміністративні штрафи, мають бути пропорційними, а їх накладення повинно підлягати належним процесуальним гарантіям відповідно до загальних принципів права Союзу та Хартії основних прав Європейського Союзу («Хартія»), включаючи право на ефективний засіб правового захисту та справедливий суд, презумпцію невинуватості та права на захист.
128) Ця Директива не вимагає від держав-членів передбачати кримінальну чи цивільну відповідальність стосовно фізичних осіб, відповідальних за забезпечення дотримання суб’єктом господарювання вимог цієї Директиви за шкоду, заподіяну третіми сторонами внаслідок порушення цієї Директиви.
129) Для забезпечення ефективного виконання зобов’язань, викладених у цій Директиві, кожен компетентний орган повинен мати повноваження накладати або вимагати накладення адміністративних штрафів.
130) Якщо адміністративний штраф накладено на суттєву або важливу юридичну особу, якою є підприємство, підприємство слід розуміти як підприємство відповідно до статей 101 і 102 ДФЄС для цих цілей. Якщо адміністративний штраф накладається на особу, яка не є підприємством, компетентний орган повинен враховувати загальний рівень доходу в державі-члені, а також економічне становище особи під час розгляду відповідної суми штрафу. Держави-члени повинні визначати, чи повинні і в якому обсязі державні органи підлягати адміністративним штрафам. Накладення адміністративного штрафу не впливає на застосування інших повноважень компетентних органів або інших покарань, викладених у національних правилах, що транспонують цю Директиву.
131) Держави-члени повинні мати можливість встановлювати правила щодо кримінальних покарань за порушення національних правил, що транспонують цю Директиву. Однак накладення кримінального покарання за порушення таких національних правил і відповідних адміністративних стягнень не повинно призводити до порушення принципу ne bis in idem, як його тлумачить Суд Європейського Союзу. (132) Якщо ця Директива не гармонізує адміністративні покарання або, за необхідності, в інших випадках, наприклад, у разі серйозного порушення цієї Директиви, держави-члени повинні запровадити систему, яка передбачає ефективні, пропорційні та переконливі покарання. Характер таких покарань і те, чи є вони кримінальними чи адміністративними, має визначатися національним законодавством.
132) Якщо ця Директива не гармонізує адміністративні покарання або, за необхідності, в інших випадках, наприклад, у разі серйозного порушення цієї Директиви, держави-члени повинні запровадити систему, яка передбачає ефективні, пропорційні та переконливі покарання. Характер таких покарань і те, чи є вони кримінальними чи адміністративними, має визначатися національним законодавством.
133) З метою подальшого посилення ефективності та стримування заходів примусу, застосовних до порушень цієї Директиви, компетентні органи повинні мати повноваження тимчасово призупиняти або вимагати тимчасового призупинення сертифікації чи авторизації щодо частини або всіх відповідних послуги, що надаються, або діяльність, що здійснюється основною організацією, і вимагати накладення тимчасової заборони на виконання управлінських функцій будь-якою фізичною особою, яка виконує управлінські обов’язки на рівні головного виконавчого директора або законного представника. Враховуючи їх серйозність і вплив на діяльність організацій і, зрештою, на користувачів, такі тимчасові призупинення або заборони повинні застосовуватися лише пропорційно серйозності порушення та з урахуванням обставин кожного окремого випадку, включно з тим, чи було порушення навмисним чи необережним, а також будь-які дії, вжиті для запобігання чи зменшення матеріальної чи нематеріальної шкоди. Такі тимчасові призупинення або заборони слід застосовувати лише як крайній захід, а саме лише після того, як інші відповідні заходи примусу, викладені в цій Директиві, були вичерпані, і лише до тих пір, поки відповідна організація не вживе необхідних заходів для усунення недоліків або дотримання вимог компетентного органу, щодо якого були застосовані такі тимчасові призупинення або заборони. Накладення таких тимчасових призупинень або заборон повинно здійснюватися відповідно до відповідних процесуальних гарантій відповідно до загальних принципів права Союзу та Хартії, включаючи право на ефективний засіб правового захисту та справедливий суд, презумпцію невинуватості та права захист.
134) З метою забезпечення дотримання суб’єктами господарювання своїх зобов’язань, викладених у цій Директиві, держави-члени повинні співпрацювати та допомагати одна одній щодо наглядових та примусових заходів, зокрема, якщо суб’єкт господарювання надає послуги в більш ніж одній державі-члені або якщо її мережа та інформаційні системи розташовані в державі-члені, відмінній від тієї, де вона надає послуги. Надаючи допомогу, запитуваний компетентний орган повинен вжити наглядових або примусових заходів відповідно до національного законодавства. Для того, щоб забезпечити безперебійне функціонування взаємної допомоги відповідно до цієї Директиви, компетентні органи повинні використовувати Групу співпраці як форум для обговорення справ і конкретних запитів про допомогу.
135) З метою забезпечення ефективного нагляду та правозастосування, зокрема в ситуації з транскордонним виміром, держава-член, яка отримала запит про взаємну допомогу, повинна, в межах цього запиту, вжити відповідних наглядових та примусових заходів по відношенню до суб’єкта, який є предметом цього запиту, і який надає послуги або має мережу та інформаційну систему на території цієї держави-члена.
136) Ця Директива повинна встановити правила співпраці між компетентними органами та наглядовими органами відповідно до Регламенту (ЄС) 2016/679 для боротьби з порушеннями цієї Директиви, пов’язаними з персональними даними.
137) Ця Директива має бути спрямована на забезпечення високого рівня відповідальності за заходи з управління ризиками кібербезпеки та зобов’язання щодо звітності на рівні основних і важливих організацій. Тому органи управління істотних і важливих суб’єктів повинні затверджувати заходи з управління ризиками кібербезпеки та контролювати їх виконання.
138) Щоб забезпечити високий загальний рівень кібербезпеки в Союзі на основі цієї Директиви, повноваження ухвалювати акти відповідно до статті 290 ДФЄС мають бути делеговані Комісії щодо доповнення цієї Директиви шляхом визначення категорій важливих суб’єктів повинні використовувати певні сертифіковані продукти ІКТ, послуги ІКТ і процеси ІКТ або отримати сертифікат за європейською схемою сертифікації кібербезпеки. Особливо важливо, щоб Комісія провела відповідні консультації під час своєї підготовчої роботи, у тому числі на рівні експертів, і щоб ці консультації проводилися відповідно до принципів, викладених у Міжвідомчій угоді від 13 квітня 2016 року про покращення законотворчості (22). Зокрема, щоб забезпечити рівну участь у підготовці делегованих актів, Європейський Парламент і Рада отримують усі документи одночасно з експертами держав-членів, а їхні експерти систематично мають доступ до засідань експертних груп Комісії, які займаються підготовкою делеговані акти.
139) Для того, щоб забезпечити однакові умови для імплементації цієї Директиви, Комісії слід надати імплементаційні повноваження для встановлення процедурних механізмів, необхідних для функціонування Групи співробітництва та технічних і методологічних, а також галузевих вимог щодо заходи з управління ризиками кібербезпеки, а також для подальшого визначення типу інформації, формату та процедури інциденту, повідомлень про кіберзагрози та повідомлення про кіберзагрози та повідомлення про значну кіберзагрозу, а також випадки, коли інцидент слід вважати значний. Ці повноваження мають здійснюватися відповідно до Регламенту (ЄС) № 182/2011 Європейського Парламенту та Ради (23).
140) Комісія повинна періодично переглядати цю Директиву після консультацій із зацікавленими сторонами, зокрема, з метою визначення того, чи доцільно пропонувати поправки у світлі змін у суспільних, політичних, технологічних або ринкових умовах. У рамках цих переглядів Комісія повинна оцінити відповідність розміру відповідних організацій, а також секторів, підгалузей і типів організацій, зазначених у додатках до цієї Директиви, для функціонування економіки та суспільства у зв’язку з кібербезпекою. Комісія повинна оцінити, серед іншого, чи постачальники, що підпадають під дію цієї Директиви, визначені як дуже великі онлайн-платформи у значенні статті 33 Регламенту (ЄС) 2022/2065 Європейського Парламенту та Ради (24) можуть бути визначені як істотні суб’єкти відповідно до цієї Директиви.
141) Ця Директива створює нові завдання для ENISA, тим самим посилюючи її роль, і може також призвести до того, що ENISA буде зобов’язана виконувати свої існуючі завдання відповідно до Регламенту (ЄС) 2019/881 на вищому рівні, ніж раніше. Для того, щоб забезпечити наявність у ENISA необхідних фінансових і людських ресурсів для виконання існуючих і нових завдань, а також для виконання будь-якого вищого рівня виконання цих завдань в результаті її посилення ролі, її бюджет слід відповідно збільшити. Крім того, щоб забезпечити ефективне використання ресурсів, слід надати ENISA більшу гнучкість у тому, щоб вона могла розподіляти внутрішні ресурси з метою ефективного виконання своїх завдань і відповідності очікуванням.
142) Оскільки мета цієї Директиви, а саме досягнення високого спільного рівня кібербезпеки в Союзі, не може бути достатньою мірою досягнута державами-членами, а, швидше, через наслідки дії, може бути краще досягнута на рівні Союзу, Союз може вживати заходів відповідно до принципу субсидіарності, викладеного в статті 5 Договору про Європейський Союз. Відповідно до принципу пропорційності, викладеного у цій статті, ця Директива не виходить за межі того, що необхідно для досягнення цієї мети.
143) Ця Директива поважає основні права та дотримується принципів, визнаних Хартією, зокрема права на повагу до приватного життя та спілкування, захисту персональних даних, свободи ведення бізнесу, права власності, право на ефективний засіб правового захисту та справедливий суд, презумпцію невинуватості та права на захист. Право на ефективний засіб правового захисту поширюється на одержувачів послуг, що надаються основними та важливими суб’єктами. Цю Директиву слід імплементувати відповідно до цих прав і принципів.
144) Відповідно до статті 42(1) Регламенту (ЄС) 2018/1725 Європейського Парламенту та Ради (25) було проведено консультації з Європейським інспектором із захисту даних (25), який надав висновок 11 березня 2021 року (26),
УХВАЛИЛИ ЦЮ ДИРЕКТИВУ:
РОЗДІЛ І
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1
Предмет
1. Ця Директива встановлює заходи, спрямовані на досягнення високого загального рівня кібербезпеки в Союзі з метою покращення функціонування внутрішнього ринку.
2. З цією метою ця Директива встановлює:
a) зобов’язання, які вимагають від держав-членів прийняття національних стратегій кібербезпеки та призначення або створення компетентних органів, органів управління кіберкризами, єдиних контактних пунктів з питань кібербезпеки (єдиних контактних пунктів) і груп реагування на інциденти комп’ютерної безпеки (CSIRT);
b) заходи з управління ризиками кібербезпеки та зобов’язання щодо звітності для суб’єктів типу, зазначених у Додатку I або II, а також для суб’єктів, визначених як критично важливі за Директивою (ЄС) 2022/2557;
c) равила та зобов’язання щодо обміну інформацією про кібербезпеку;
d) наглядові та примусові зобов’язання держав-членів.
Стаття 2
Область застосування
1. Ця Директива застосовується до державних або приватних організацій типу, зазначеного в Додатку I або II, які кваліфікуються як середні підприємства згідно зі статтею 2 Додатку до Рекомендації 2003/361/ЄС, або перевищують максимальні розміри для середніх підприємств передбачені пунктом 1 цієї статті, і які надають свої послуги або здійснюють свою діяльність у межах Союзу. Стаття 3(4) Додатку до цієї Рекомендації не застосовується для цілей цієї Директиви.
2. Незалежно від їх розміру, ця Директива також застосовується до організацій типу, зазначеного в Додатку I або II, де:
a) послуги надаються:
I) постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг;
II) постачальники довірчих послуг;
III) реєстри доменних імен верхнього рівня та постачальники послуг системи доменних імен;
b) суб’єкт господарювання є єдиним постачальником у державі-члені послуги, яка є важливою для забезпечення критично важливої соціальної чи економічної діяльності;
c) орушення послуги, що надається суб'єктом господарювання, може мати значний вплив на громадську безпеку, громадську безпеку або здоров'я населення;
d) порушення послуги, що надається суб’єктом господарювання, може спричинити значний системний ризик, зокрема для секторів, де таке порушення може мати транскордонний вплив;
e) організація має вирішальне значення через свою особливу важливість на національному чи регіональному рівні для конкретного сектора чи типу послуг або для інших взаємозалежних секторів у державі-члені;
f) суб’єкт є суб’єктом державного управління:
i) центрального уряду, як це визначено державою-членом відповідно до національного законодавства; або (ii) на регіональному рівні, як визначено державою-членом відповідно до національного законодавства, яке, після оцінки ризику, надає послуги, збій у яких може мати значний вплив на критичну суспільну чи економічну діяльність.
3. Незалежно від їхнього розміру, ця Директива застосовується до організацій, визначених як критичні суб’єкти відповідно до Директиви (ЄС) 2022/2557.
4.Незалежно від їх розміру, ця Директива застосовується до організацій, що надають послуги з реєстрації доменних імен.
5. Держави-члени можуть передбачити застосування цієї Директиви до:
a) органи державного управління на місцевому рівні;
b) навчальні заклади, зокрема там, де вони здійснюють критичну дослідницьку діяльність.
6. Ця Директива не завдає шкоди відповідальності держав-членів щодо забезпечення національної безпеки та їхнім повноваженням щодо захисту інших важливих функцій держави, включаючи забезпечення територіальної цілісності держави та підтримання законності та порядку.
7. Ця Директива не застосовується до органів державного управління, які здійснюють свою діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, включаючи запобігання, розслідування, виявлення та переслідування кримінальних правопорушень.
8. Держави-члени можуть звільнити певні організації, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, включаючи запобігання, розслідування, виявлення та судове переслідування кримінальних правопорушень, або які надають послуги виключно органам державного управління. згаданих у пункті 7 цієї статті, від зобов’язань, викладених у статті 21 або 23 щодо такої діяльності чи послуг. У таких випадках наглядові та примусові заходи, зазначені в Главі VII, не застосовуються до цих конкретних видів діяльності чи послуг. Якщо суб’єкти здійснюють діяльність або надають послуги виключно типу, зазначеного в цьому параграфі, держави-члени можуть також вирішити звільнити ці суб’єкти від зобов’язань, викладених у статтях 3 та 27.
9. Параграфи 7 і 8 не застосовуються, якщо суб’єкт господарювання діє як постачальник довірчих послуг.
10. Ця Директива не застосовується до організацій, яких держави-члени виключили зі сфери застосування Регламенту (ЄС) 2022/2554 відповідно до частини 4 статті 2 цього Регламенту.
11. Зобов’язання, встановлені цією Директивою, не передбачають надання інформації, розкриття якої суперечило б основним інтересам національної безпеки, громадської безпеки або оборони держав-членів.
12. Ця Директива застосовується без шкоди Регламенту (ЄС) 2016/679, Директиві 2002/58/ЄС, Директивам 2011/93/ЄС (27) та 2013/40/ЄС (28) Європейського Парламенту та Ради та Директива (ЄС) 2022/2557.
13. Без шкоди для статті 346 ДФЄС інформація, яка є конфіденційною згідно з правилами Союзу або національними правилами, такими як правила щодо ділової конфіденційності, повинна обмінюватися з Комісією та іншими відповідними органами відповідно до цієї Директиви, лише якщо такий обмін необхідний для застосування цієї Директиви. Інформація, якою обмінюються, обмежується тією, яка є актуальною та пропорційною меті цього обміну. Обмін інформацією зберігає конфіденційність такої інформації та захищає безпеку та комерційні інтереси відповідних організацій.
14. Суб’єкти, компетентні органи, єдині контактні пункти та CSIRT обробляють персональні дані в обсязі, необхідному для цілей цієї Директиви та відповідно до Регламенту (ЄС) 2016/679, зокрема така обробка базується на ст. 6 з них. Обробка персональних даних відповідно до цієї Директиви провайдерами публічних електронних комунікаційних мереж або провайдерами загальнодоступних електронних комунікаційних послуг здійснюється відповідно до законодавства Союзу про захист даних і законодавства Союзу про конфіденційність, зокрема Директиви 2002/58/ЄС.
Стаття 3
Суттєві та важливі сутності
1. Для цілей цієї Директиви наступні суб’єкти вважаються основними суб’єктами:
a) організації типу, зазначеного в Додатку I, які перевищують максимальні межі для середніх підприємств, передбачені в статті 2(1) Додатку до Рекомендації 2003/361/ЄС;
b) кваліфіковані постачальники довірчих послуг і реєстри доменних імен верхнього рівня, а також постачальники послуг DNS, незалежно від їх розміру;
c) остачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, які кваліфікуються як середні підприємства відповідно до статті 2 Додатку до Рекомендації 2003/361/ЄС;
d) органи державного управління, зазначені у статті 2(2), пункт (f)(i);
e) будь-які інші суб’єкти типу, зазначені в Додатку I або II, які визначені державою-членом як істотні суб’єкти відповідно до пунктів (b)-(e) статті 2(2);
f) суб’єкти, визначені як критичні суб’єкти відповідно до Директиви (ЄС) 2022/2557, про яку йдеться у статті 2(3) цієї Директиви;
g) якщо це передбачено державою-членом, організації, яких ця держава-член визначила до 16 січня 2023 року як операторів основних послуг відповідно до Директиви (ЄС) 2016/1148 або національного законодавства.
2. Для цілей цієї Директиви суб’єкти типу, зазначені в Додатку I або II, які не кваліфікуються як істотні суб’єкти згідно з параграфом 1 цієї статті, вважаються важливими суб’єктами. Це включає суб’єкти, визначені державами-членами як важливі суб’єкти відповідно до пунктів (b)-(e) статті 2(2).
3. До 17 квітня 2025 року держави-члени повинні створити перелік основних і важливих суб’єктів, а також організацій, що надають послуги з реєстрації доменних імен. Держави-члени повинні переглядати та, за необхідності, оновлювати цей список на регулярній основі та принаймні кожні два роки після цього.
4. З метою створення списку, зазначеного в параграфі 3, держави-члени вимагають від організацій, згаданих у цьому пункті, подавати принаймні таку інформацію до компетентних органів:
a) назву організації;
b) адреса та актуальні контактні дані, включаючи адреси електронної пошти, діапазони IP та номери телефонів;
c) якщо застосовно, відповідний сектор і підсектор, зазначені в Додатку I або II; і
d) якщо застосовно, перелік держав-членів, де вони надають послуги, що підпадають під дію цієї Директиви.
Суб’єкти, зазначені в параграфі 3, повідомляють про будь-які зміни в деталях, поданих відповідно до першого абзацу цього параграфа, без затримки та, в будь-якому випадку, протягом двох тижнів з дати зміни.
Комісія за сприяння Агентства Європейського Союзу з кібербезпеки (ENISA) без зайвої затримки надає вказівки та шаблони щодо зобов’язань, викладених у цьому параграфі.
Держави-члени можуть встановлювати національні механізми для самореєстрації організацій.
5. До 17 квітня 2025 року та кожні два роки після цього компетентні органи повідомляють:
a) Комісії та Групі співробітництва про кількість суттєвих і важливих суб’єктів, перерахованих відповідно до пункту 3 для кожного сектору та підсектору, зазначених у Додатку I або II; і
b) Комісії відповідну інформацію про кількість суттєвих і важливих суб’єктів, визначених відповідно до пунктів (b) — (e) частини 2 статті 2, сектор і підсектор, зазначений у Додатку I або II, до якого вони належать, тип послуг, які вони надають, і надання з тих, що викладені в пунктах (b) — (e) частини 2 статті 2, відповідно до яких вони були ідентифіковані.
6. До 17 квітня 2025 року та на запит Комісії держави-члени можуть повідомляти Комісії назви істотних і важливих суб’єктів, зазначених у параграфі 5, пункт (b).
Стаття 4
Секторальні правові акти Союзу
1. Якщо галузеві правові акти Союзу вимагають від важливих або важливих суб’єктів вживати заходів щодо управління ризиками кібербезпеки або повідомляти про значні інциденти, і якщо ці вимоги є щонайменше еквівалентними зобов’язанням, викладеним у цій Директиві, відповідні положення цієї Директива, включаючи положення щодо нагляду та забезпечення виконання, викладені в Главі VII, не застосовуються до таких організацій. Якщо галузеві правові акти Союзу не охоплюють усіх суб’єктів певного сектору, які підпадають під сферу дії цієї Директиви, відповідні положення цієї Директиви продовжують застосовуватися до суб’єктів, на яких не поширюються ці галузеві правові акти Союзу.
2. Вимоги, зазначені в частині 1 цієї статті, вважаються еквівалентними за дією зобов’язанням, викладеним у цій Директиві, якщо:
a) заходи з управління ризиками кібербезпеки є щонайменше еквівалентними тим, що викладені в статті 21(1) і (2); або
b) галузевий нормативно-правовий акт Союзу передбачає негайний доступ, у відповідних випадках автоматичний і прямий, до повідомлень про інциденти з боку CSIRT, компетентних органів або єдиних контактних осіб згідно з цією Директивою, і якщо вимоги повідомляти про значні інциденти найменш еквівалентні за дією тим, що викладені в статті 23(1) — (6) цієї Директиви.
3. Комісія повинна до 17 липня 2023 року надати керівні принципи, що роз’яснюють застосування параграфів 1 і 2. Комісія повинна переглядати ці керівні принципи на регулярній основі. Під час підготовки цих настанов Комісія бере до уваги будь-які зауваження Групи співпраці та ENISA.
Стаття 5
Мінімальна гармонізація
Ця Директива не перешкоджає державам-членам приймати або підтримувати положення, що забезпечують вищий рівень кібербезпеки, за умови, що такі положення відповідають зобов’язанням держав-членів, викладеним у законодавстві Союзу.
Стаття 6
Визначення
Для цілей цієї Директиви застосовуються такі визначення: (1) «мережа та інформаційна система» означає: (a) електронну комунікаційну мережу, як визначено в пункті (1) статті 2 Директиви (ЄС) 2018/1972;
b) будь-який пристрій або група взаємопов’язаних або споріднених пристроїв, один або більше з яких, згідно з програмою, здійснюють автоматичну обробку цифрових даних; або
c) цифрові дані, що зберігаються, обробляються, витягуються або передаються елементами, охопленими пунктами (a) і (b), для цілей їх експлуатації, використання, захисту та обслуговування;
2) «безпека мережевих та інформаційних систем» означає здатність мережевих та інформаційних систем протистояти, на заданому рівні довіри, будь-якій події, яка може поставити під загрозу доступність, автентичність, цілісність або конфіденційність збережених, переданих або оброблених даних або послуг, які пропонуються цими мережевими та інформаційними системами або доступні через них;
3) «кібербезпека» означає кібербезпеку, як визначено в пункті (1) статті 2 Регламенту (ЄС) 2019/881;
4) «національна стратегія кібербезпеки» означає узгоджену структуру держави-члена, що передбачає стратегічні цілі та пріоритети у сфері кібербезпеки та управління для їх досягнення в цій державі-члені;
5) «не подача» означає подію, яка могла поставити під загрозу доступність, автентичність, цілісність або конфіденційність збережених, переданих або оброблених даних або послуг, які пропонуються мережевими та інформаційними системами або доступні через них, але цьому вдалося запобігти від матеріалізації або не матеріалізації;
6) «інцидент» означає подію, яка ставить під загрозу доступність, автентичність, цілісність або конфіденційність збережених, переданих або оброблених даних або послуг, які пропонуються або доступні через мережеві та інформаційні системи;
7) «широкомасштабний інцидент кібербезпеки» означає інцидент, який спричиняє рівень збоїв, що перевищує можливості держави-члена реагувати на нього, або який має значний вплив принаймні на дві держави-члени;
8) «обробка інцидентів» означає будь-які дії та процедури, спрямовані на запобігання, виявлення, аналіз та локалізацію або реагування на інцидент і відновлення після нього;
9) «ризик» означає можливість втрати або збою, спричиненого інцидентом, який має бути виражений як комбінація величини такого збитку або збою та ймовірності виникнення інциденту;
10) «кіберзагроза» означає кіберзагрозу, як визначено в пункті (8) статті 2 Регламенту (ЄС) 2019/881;
11) «значна кіберзагроза» означає кіберзагрозу, яка, виходячи з її технічних характеристик, може мати потенційний серйозний вплив на мережу та інформаційні системи суб’єкта або користувачів послуг суб’єкта, викликаючи значної матеріальної чи нематеріальної шкоди;
12) «продукт ІКТ» означає продукт ІКТ, як визначено в пункті (12) статті 2 Регламенту (ЄС) 2019/881;
13) «послуги ІКТ» означає послуги ІКТ, як визначено в пункті (13) статті 2 Регламенту (ЄС) 2019/881;
14) «процес ІКТ» означає процес ІКТ, як визначено в пункті (14) статті 2 Регламенту (ЄС) 2019/881;
15) «вразливість» означає слабкість, сприйнятливість або недолік ІКТ-продуктів або ІКТ-послуг, які можуть бути використані кіберзагрозою;
16) «стандарт» означає стандарт, як визначено в пункті (1) статті 2 Регламенту (ЄС) № 1025/2012 Європейського Парламенту та Ради (29);
17) «технічна специфікація» означає технічну специфікацію, як визначено в пункті (4) статті 2 Регламенту (ЄС) № 1025/2012;
18) «точка обміну Інтернетом» означає мережевий засіб, який забезпечує взаємозв’язок більше ніж двох незалежних мереж (автономних систем), головним чином з метою сприяння обміну інтернет-трафіком, який забезпечує взаємозв’язок лише для автономних систем і який не вимагає Інтернет-трафік, що проходить між будь-якою парою автономних систем-учасників, для проходження через будь-яку третю автономну систему, не змінює або іншим чином не заважає такому трафіку;
19) «система доменних імен» або «DNS» означає ієрархічну розподілену систему імен, яка забезпечує ідентифікацію інтернет-сервісів і ресурсів, дозволяючи пристроям кінцевих користувачів використовувати інтернет-маршрутизацію та служби підключення для доступу до цих послуг і ресурсів;
20) «Постачальник послуг DNS» означає організацію, яка надає:
a) загальнодоступні послуги рекурсивного визначення доменних імен для кінцевих користувачів Інтернету; або
b) офіційні служби визначення доменних імен для використання третіми сторонами, за винятком кореневих серверів імен;
21) «реєстр доменних імен верхнього рівня» або «реєстр імен верхнього рівня» означає організацію, якій було делеговано певний домен верхнього рівня та яка відповідає за адміністрування домену верхнього рівня, включаючи реєстрацію доменних імен у межах домену верхнього рівня та технічну роботу домену верхнього рівня., включаючи роботу своїх серверів імен, підтримку своїх баз даних і розповсюдження файлів зон TLD між серверами імен, незалежно від того, чи виконує будь-яка з цих операцій сама організація чи сторонні виконавці, але за винятком ситуацій, коли імена TLD використовується реєстром лише для власного використання;
22) «суб'єкт, що надає послуги з реєстрації доменних імен» означає реєстратора або агента, який діє від імені реєстраторів, наприклад постачальника послуг конфіденційності чи реєстрації через довірених осіб або торговельного посередника;
23) «цифрова послуга» означає послугу, як визначено в пункті (b) частини 1 статті 1 Директиви (ЄС) 2015/1535 Європейського Парламенту та Ради (30);
24) «довірча служба» означає довірчу послугу, як визначено в пункті (16) статті 3 Регламенту (ЄС) № 910/2014;
25) «постачальник довірчих послуг» означає постачальника довірчих послуг, як визначено в пункті (19) статті 3 Регламенту (ЄС) № 910/2014;
26) «кваліфікована довірча послуга» означає кваліфіковану довірчу послугу, як визначено в пункті (17) статті 3 Регламенту (ЄС) № 910/2014;
27) «постачальник кваліфікованих довірчих послуг» означає кваліфікованого постачальника довірчих послуг, як визначено в пункті (20) статті 3 Регламенту (ЄС) № 910/2014;
28) «онлайн-ринок» означає онлайн-ринок, як визначено в пункті (n) статті 2 Директиви 2005/29/ЄС Європейського Парламенту та Ради (31);
29) «онлайн-пошукова система» означає онлайн-пошукову систему, як визначено в пункті (5) статті 2 Регламенту (ЄС) 2019/1150 Європейського Парламенту та Ради (32);
30) «служба хмарних обчислень» означає цифрову послугу, яка забезпечує адміністрування за вимогою та широкий віддалений доступ до масштабованого та еластичного пулу обчислювальних ресурсів, які можна спільно використовувати, у тому числі, коли такі ресурси розподілені між кількома місцями;
31) «послуга центру обробки даних» означає послугу, яка охоплює структури або групи структур, призначені для централізованого розміщення, взаємозв’язку та експлуатації ІТ та мережевого обладнання, що надає послуги зберігання, обробки та транспортування даних разом із усіма засобами та інфраструктурою для розподіл електроенергії та контроль навколишнього середовища;
32) «мережа доставки контенту» означає мережу територіально розподілених серверів з метою забезпечення високої доступності, доступності або швидкої доставки цифрового контенту та послуг користувачам Інтернету від імені постачальників контенту та послуг;
33) «платформа соціальних мереж» означає платформу, яка дозволяє кінцевим користувачам підключатися, ділитися, знаходити та спілкуватися один з одним на кількох пристроях, зокрема через чати, публікації, відео та рекомендації;
34) «представник» означає фізичну або юридичну особу, засновану в Союзі, яка явно призначена діяти від імені постачальника послуг DNS, реєстру імен верхнього рівня, організації, що надає послуги з реєстрації доменних імен, постачальника послуг хмарних обчислень, центру обробки даних постачальник послуг, постачальник мережі доставки контенту, постачальник керованих послуг, постачальник керованих послуг безпеки або постачальник онлайн-ринку, онлайн-пошукової системи або платформи соціальних мереж, які не створені в Союзі, які можуть бути адресованим компетентним органом або CSIRT замість самої організації щодо зобов’язань такої організації відповідно до цієї Директиви;
35) «орган державного управління» означає суб’єкт, визнаний таким у державі-члені відповідно до національного законодавства, не включаючи судову систему, парламенти чи центральні банки, який відповідає таким критеріям:
a) він створений з метою задоволення потреб у загальних інтересах і не має промислового чи комерційного характеру;
b) вона має статус юридичної особи або має право за законом діяти від імені іншої організації з правосуб’єктністю;
с) він фінансується, здебільшого, державою, регіональними органами влади чи іншими органами публічного права, підлягає управлінському нагляду з боку цих органів чи органів або має адміністративну, управлінську чи наглядову раду понад половина членів якого призначається державою, регіональними органами влади або іншими органами публічного права;
d) він має повноваження направляти фізичним або юридичним особам адміністративні або регулятивні рішення, що впливають на їхні права під час транскордонного руху осіб, товарів, послуг або капіталу;
36) «загальнодоступна електронна комунікаційна мережа» означає публічну електронну комунікаційну мережу, як визначено в пункті (8) статті 2 Директиви (ЄС) 2018/1972;
37) «послуга електронного зв’язку» означає послугу електронного зв’язку, як визначено в пункті (4) статті 2 Директиви (ЄС) 2018/1972;
38) «юридична особа» означає фізичну або юридичну особу, створену та визнану такою згідно з національним законодавством місця її заснування, яка може, діючи під своїм ім’ям, здійснювати права та нести обов’язки;
39) «постачальник керованих послуг» означає суб’єкт, який надає послуги, пов’язані зі встановленням, керуванням, експлуатацією або обслуговуванням продуктів ІКТ, мереж, інфраструктури, додатків або будь-яких інших мережевих та інформаційних систем за допомогою допомоги або активного адміністрування, що здійснюється на у приміщеннях клієнтів або дистанційно;
40) «постачальник послуг керованої безпеки» означає постачальника керованих послуг, який здійснює або надає допомогу в діяльності, пов’язаній з управлінням ризиками кібербезпеки;
41) «дослідницька організація» означає організацію, основною метою якої є проведення прикладних досліджень або експериментальних розробок з метою використання результатів цих досліджень у комерційних цілях, але яка не включає навчальні заклади.
РОЗДІЛ II
КООРДИНОВАНІ РАМКИ КІБЕРБЕЗПЕКИ
Стаття 7
Національна стратегія кібербезпеки
1. Кожна держава-член ухвалює національну стратегію кібербезпеки, яка передбачає стратегічні цілі, ресурси, необхідні для досягнення цих цілей, а також відповідну політику та регуляторні заходи з метою досягнення та підтримки високого рівня кібербезпеки. Національна стратегія кібербезпеки включає:
a) цілі та пріоритети стратегії кібербезпеки держави-члена, що охоплює, зокрема, сектори, зазначені в Додатках I та II;
b) структуру управління для досягнення цілей і пріоритетів, зазначених у пункті (a) цього параграфа, включаючи політику, зазначену в параграфі 2;
с) структуру управління, що роз’яснює ролі та обов’язки відповідних зацікавлених сторін на національному рівні, підтримуючи співпрацю та координацію на національному рівні між компетентними органами, єдиними контактними пунктами та CSIRT відповідно до цієї Директиви, а також координацію та співпраця між цими органами та компетентними органами відповідно до галузевих правових актів Союзу;
d) механізм визначення відповідних активів та оцінки ризиків у цій державі-члені;
e) визначення заходів, що забезпечують готовність до інцидентів, реагування на них та відновлення після них, включаючи співпрацю між державним і приватним секторами;
f) перелік різних органів влади та зацікавлених сторін, залучених до реалізації національної стратегії кібербезпеки;
g) рамки політики для покращеної координації між компетентними органами згідно з цією Директивою та компетентними органами згідно з Директивою (ЄС) 2022/2557 з метою обміну інформацією про ризики, кіберзагрози та інциденти, а також про некіберризики, загрози та інциденти та виконання наглядових завдань, якщо це доречно;
h) план, включаючи необхідні заходи, для підвищення загального рівня обізнаності громадян щодо кібербезпеки.
2. У рамках національної стратегії кібербезпеки держави-члени, зокрема, ухвалюють політику:
a) звернення до кібербезпеки в ланцюжку постачання продуктів ІКТ та послуг ІКТ, які використовуються суб’єктами для надання своїх послуг;
b) щодо включення та визначення пов’язаних із кібербезпекою вимог до продуктів ІКТ та послуг ІКТ у державних закупівлях, у тому числі стосовно сертифікації кібербезпеки, шифрування та використання продуктів кібербезпеки з відкритим кодом;
с) управління вразливими місцями, включаючи просування та сприяння скоординованому розкриттю вразливостей згідно зі статтею 12(1);
d) пов’язані з підтримкою загальнодоступності, цілісності та конфіденційності загальнодоступного ядра відкритого Інтернету, включаючи, де доречно, кібербезпеку підводних кабелів зв’язку;
e) сприяння розвитку та інтеграції відповідних передових технологій, спрямованих на впровадження найсучасніших заходів з управління ризиками кібербезпеки;
f) сприяння та розвиток освіти та навчання з питань кібербезпеки, навичок кібербезпеки, підвищення обізнаності та ініціатив у сфері досліджень і розробок, а також інструкцій щодо належної практики кібергігієни та засобів контролю, спрямованих на громадян, зацікавлених сторін та організацій;
g) підтримка академічних та науково-дослідних установ для розробки, покращення та сприяння розгортанню інструментів кібербезпеки та безпечної мережевої інфраструктури;
h) включаючи відповідні процедури та відповідні інструменти обміну інформацією для підтримки добровільного обміну інформацією про кібербезпеку між суб’єктами відповідно до законодавства Союзу;
i) посилення кіберстійкості та базового рівня кібергігієни малих і середніх підприємств, зокрема тих, які виключені зі сфери застосування цієї Директиви, шляхом надання легкодоступних вказівок і допомоги для їхніх конкретних потреб;
j) сприяння активному кіберзахисту.
3. Держави-члени повідомляють Комісію про свої національні стратегії кібербезпеки протягом трьох місяців після їх прийняття. Держави-члени можуть виключати інформацію, яка стосується їх національної безпеки, з таких повідомлень.
4. Держави-члени оцінюють свої національні стратегії кібербезпеки на регулярній основі та принаймні кожні п’ять років на основі ключових показників ефективності та, за необхідності, оновлюють їх. ENISA допомагає державам-членам, на їх запит, у розробці або оновленні національної стратегії кібербезпеки та ключових показників ефективності для оцінки такої стратегії, щоб узгодити її з вимогами та зобов’язаннями, викладеними в цій Директиві.
Стаття 8
Компетентні органи та єдині контакти
1. Кожна держава-член призначає або засновує один або кілька компетентних органів, відповідальних за кібербезпеку та виконання завдань нагляду, зазначених у Розділі VII (компетентні органи).
2. Компетентні органи, зазначені в параграфі 1, здійснюють моніторинг виконання цієї Директиви на національному рівні.
3. Кожна держава-член призначає або створює єдиний контактний пункт. Якщо держава-член призначає або засновує лише один компетентний орган відповідно до пункту 1, цей компетентний орган також є єдиним контактним пунктом для цієї держави-члена.
4. Кожен окремий контактний пункт виконує функцію зв’язку для забезпечення транскордонного співробітництва органів влади своєї держави-члена з відповідними органами інших держав-членів і, у відповідних випадках, з Комісією та ENISA, а також для забезпечення транскордонного галузева співпраця з іншими компетентними органами в межах своєї держави-члена.
5. Держави-члени повинні забезпечити, щоб їхні компетентні органи та єдині контактні пункти мали адекватні ресурси для ефективного та дієвого виконання покладених на них завдань і, таким чином, для досягнення цілей цієї Директиви.
6. Кожна держава-член повинна без зайвої затримки повідомити Комісію про особу компетентного органу, зазначеного в параграфі 1, і про єдиний контактний пункт, про який йдеться в параграфі 3, про завдання цих органів та будь-які подальші зміни в них. Кожна держава-член повинна оприлюднити інформацію про свій компетентний орган. Комісія оприлюднює список єдиних контактних осіб.
Стаття 9
Національні рамки управління кіберкризою
1. Кожна держава-член призначає або створює один або більше компетентних органів, відповідальних за управління великомасштабними інцидентами та кризами кібербезпеки (органи управління кіберкризами). Держави-члени забезпечують наявність у цих органів відповідних ресурсів для ефективного та дієвого виконання покладених на них завдань. Держави-члени повинні забезпечити узгодженість з існуючими рамками загального національного управління кризою.
2. Якщо держава-член призначає або засновує більше одного органу управління кіберкризою відповідно до параграфа 1, вона повинна чітко вказати, який із цих органів має виконувати функції координатора для управління великомасштабними інцидентами та кризами кібербезпеки.
3. Кожна держава-член визначає можливості, засоби та процедури, які можуть бути використані у випадку кризи для цілей цієї Директиви.
4. Кожна держава-член повинна прийняти національний план реагування на масштабні інциденти та кризи в сфері кібербезпеки, де викладено цілі та заходи щодо управління масштабними інцидентами та кризами в сфері кібербезпеки. Цей план повинен передбачати, зокрема:
a) цілі національних заходів та діяльності щодо готовності;
b) завдання та відповідальність органів управління кіберкризою;
c) роцедури управління кіберкризою, включаючи їх інтеграцію в загальну національну структуру управління кризою та канали обміну інформацією;
d) національні заходи готовності, включаючи навчання та навчальну діяльність;
e) відповідні державні та приватні зацікавлені сторони та залучена інфраструктура;
f) національні процедури та домовленості між відповідними національними органами та органами для забезпечення ефективної участі держави-члена та підтримки скоординованого управління великомасштабними інцидентами та кризами кібербезпеки на рівні Союзу.
5. Протягом трьох місяців після призначення або створення органу управління кіберкризою, зазначеного в параграфі 1, кожна держава-член повідомляє Комісію про особу свого органу та про будь-які подальші зміни в ньому. Держави-члени подають до Комісії та до Європейської мережі організації зв’язку з кіберкризами (EU-CyCLONe) відповідну інформацію щодо вимог параграфа 4 про свої національні масштабні інциденти кібербезпеки та плани реагування на кризи протягом трьох місяців після прийняття цих планів. плани. Держави-члени можуть виключати інформацію, якщо і в тій мірі, в якій таке виключення є необхідним для їх національної безпеки.
Стаття 10
Групи реагування на інциденти комп’ютерної безпеки (CSIRT)
1. Кожна держава-член призначає або засновує одну або більше CSIRT. CSIRT можуть бути призначені або створені в рамках компетентного органу. CSIRT повинні відповідати вимогам, викладеним у статті 11(1), охоплювати принаймні сектори, підсектори та типи організацій, зазначені в Додатках I та II, і нести відповідальність за обробку інцидентів відповідно до чітко визначених правил. процес.
2. Держави-члени забезпечують, щоб кожен CSIRT мав достатні ресурси для ефективного виконання своїх завдань, як викладено в статті 11(3).
3. Держави-члени забезпечують, щоб кожен CSIRT мав у своєму розпорядженні відповідну, безпечну та стійку комунікаційну та інформаційну інфраструктуру, за допомогою якої можна обмінюватися інформацією з основними та важливими суб’єктами та іншими відповідними зацікавленими сторонами. З цією метою держави-члени гарантують, що кожен CSIRT робить внесок у розгортання безпечних інструментів обміну інформацією.
4. CSIRT співпрацюють і, у відповідних випадках, обмінюються відповідною інформацією відповідно до статті 29 з галузевими чи міжгалузевими спільнотами суттєвих і важливих організацій.
5. CSIRT беруть участь у експертних перевірках, організованих відповідно до статті 19.
6. Держави-члени забезпечують ефективну, результативну та безпечну співпрацю своїх CSIRT у мережі CSIRT.
7. CSIRT можуть налагоджувати відносини співпраці з національними групами реагування на інциденти комп’ютерної безпеки третіх країн. У рамках таких відносин співпраці держави-члени сприяють ефективному, дієвому та безпечному обміну інформацією з національними групами реагування на інциденти комп’ютерної безпеки цих третіх країн, використовуючи відповідні протоколи обміну інформацією, включаючи протокол світлофора. CSIRT можуть обмінюватися відповідною інформацією з національними групами реагування на інциденти комп’ютерної безпеки третіх країн, у тому числі особистими даними відповідно до законодавства Союзу про захист даних.
8. CSIRT можуть співпрацювати з національними групами реагування на інциденти комп’ютерної безпеки третіх країн або еквівалентними органами третіх країн, зокрема, з метою надання їм допомоги в кібербезпеці.
9. Кожна держава-член повинна без зайвої затримки повідомити Комісію про особу CSIRT, згадану в параграфі 1 цієї статті, і CSIRT, призначену координатором згідно зі статтею 12(1), про їхні відповідні завдання щодо істотних і важливих юридичних осіб та про будь-які подальші зміни до них.
10. Держави-члени можуть звернутися за допомогою до ENISA у розробці своїх CSIRT.
Стаття 11
Вимоги, технічні можливості та завдання CSIRT
1. CSIRT повинні відповідати таким вимогам:
a) групи CSIRT повинні забезпечувати високий рівень доступності своїх каналів зв’язку, уникаючи окремих точок збою, і мають мати декілька засобів для зв’язку з ними та для постійного зв’язку з іншими; вони повинні чітко вказати канали зв’язку та повідомити про них учасників і партнерів по співпраці;
b) приміщення CSIRT та допоміжні інформаційні системи повинні бути розташовані в безпечних місцях;
с) CSIRT повинні бути оснащені відповідною системою для керування та маршрутизації запитів, зокрема для сприяння ефективній та ефективній передачі;
d) CSIRT повинні забезпечувати конфіденційність і достовірність своїх операцій;
e) CSIRT повинні бути належним чином укомплектовані, щоб забезпечити доступність своїх послуг у будь-який час, і вони повинні забезпечити належну підготовку свого персоналу;
f) CSIRT мають бути обладнані резервними системами та резервним робочим простором для забезпечення безперервності їхніх послуг. CSIRT можуть брати участь у мережах міжнародного співробітництва.
2. Держави-члени повинні забезпечити, щоб їхні групи CSIRT спільно мали технічні можливості, необхідні для виконання завдань, зазначених у параграфі 3. Держави-члени повинні забезпечити виділення достатніх ресурсів їхнім групам CSIRT, щоб забезпечити достатній рівень укомплектованості з метою забезпечення роботи груп CSIRT. розвивати свої технічні можливості.
3. CSIRT мають такі завдання:
a) моніторинг та аналіз кіберзагроз, вразливостей та інцидентів на національному рівні та, за запитом, надання допомоги основним і важливим зацікавленим суб’єктам щодо моніторингу в режимі реального часу або майже в реальному часі їхніх мережевих та інформаційних систем;
b) надання завчасних попереджень, сповіщень, оголошень і розповсюдження інформації основним і важливим зацікавленим суб’єктам, а також компетентним органам та іншим відповідним зацікавленим сторонам щодо кіберзагроз, вразливостей та інцидентів, якщо це можливо майже в режимі реального часу;
c) реагування на інциденти та надання допомоги основним і важливим зацікавленим суб’єктам, де це можливо;
d) збір та аналіз судово-медичних даних і забезпечення динамічного аналізу ризиків та інцидентів, а також ситуаційної обізнаності щодо кібербезпеки;
e) забезпечення, за запитом істотної або важливої організації, проактивного сканування мережі та інформаційних систем відповідної організації для виявлення вразливостей з потенційним значним впливом;
f) участь у мережі CSIRTs та надання взаємної допомоги іншим членам мережі CSIRTs відповідно до їхніх можливостей та компетенції на їх запит;
g) у відповідних випадках, діючи як координатор для цілей скоординованого розкриття вразливості згідно зі статтею 12(1);
h) сприяння розгортанню безпечних інструментів обміну інформацією відповідно до частини 3 статті 10. CSIRT можуть здійснювати проактивне ненав’язливе сканування загальнодоступних мережевих та інформаційних систем основних і важливих об’єктів. Таке сканування має здійснюватися для виявлення вразливих або незахищено налаштованих мережевих та інформаційних систем та інформування відповідних організацій. Таке сканування не повинно мати негативного впливу на функціонування сервісів суб’єктів. Під час виконання завдань, зазначених у першому абзаці, CSIRT можуть визначити пріоритетність окремих завдань на основі підходу, що ґрунтується на оцінці ризику.
4. CSIRT встановлює відносини співпраці з відповідними зацікавленими сторонами в приватному секторі з метою досягнення цілей цієї Директиви.
5. З метою сприяння співпраці, згаданій у параграфі 4, CSIRT сприяють прийняттю та використанню загальних або стандартизованих практик, схем класифікації та таксономій щодо:
a) процедури врегулювання інцидентів;
b) антикризове управління; і
c) скоординоване розкриття вразливості згідно зі статтею 12(1).
Стаття 12
Скоординоване розкриття вразливостей і європейська база даних уразливостей
1. Кожна держава-член призначає одну зі своїх груп CSIRT координатором для скоординованого розкриття вразливостей. CSIRT, призначений координатором, діє як довірений посередник, сприяючи, у разі необхідності, взаємодії між фізичною чи юридичною особою, яка повідомляє про вразливість, і виробником або постачальником потенційно вразливих продуктів ІКТ або послуг ІКТ, на запит будь-якої сторони. Завдання CSIRT, призначеної координатором, включають:
a) ідентифікація відповідних організацій і встановлення зв’язку з ними;
b) надання допомоги фізичним або юридичним особам, які повідомляють про вразливість; і
c) узгодження термінів розкриття інформації та управління вразливими місцями, які впливають на кілька організацій. Держави-члени повинні забезпечити, щоб фізичні або юридичні особи могли анонімно повідомляти про вразливість CSIRT, призначеному координатором, якщо вони того вимагають. CSIRT, призначений координатором, забезпечує проведення ретельних подальших дій щодо повідомленої вразливості та забезпечує анонімність фізичної чи юридичної особи, яка повідомляє про вразливість. Якщо повідомлена вразливість може мати значний вплив на суб’єкти в більш ніж одній державі-члені, CSIRT, призначений координатором кожної відповідної держави-члена, за необхідності співпрацює з іншими CSIRT, призначеними координаторами в межах мережі CSIRT.
2. ENISA повинна розробити та підтримувати, після консультації з Групою співпраці, європейську базу даних вразливостей. З цією метою ENISA встановлює та підтримує відповідні інформаційні системи, політику та процедури, а також приймає необхідні технічні та організаційні заходи для забезпечення безпеки та цілісності європейської бази даних уразливостей, зокрема, з огляду на суб’єкти, що допомагають, незалежно від чи підпадають вони під дію цієї Директиви, а також їхні постачальники мережевих та інформаційних систем розкривати та реєструвати на добровільній основі загальновідомі вразливості в продуктах ІКТ або послугах ІКТ. Усі зацікавлені сторони мають отримати доступ до інформації про вразливості, яка міститься в Європейській базі даних уразливостей. Ця база даних включає:
a) інформація, що описує вразливість;
b) продукти ІКТ або послуги ІКТ, які зазнали впливу, і серйозність вразливості з точки зору обставин, за яких вона може бути використана;
c) доступність відповідних виправлень і, за відсутності доступних виправлень, вказівки, надані компетентними органами або групами CSIRT для користувачів вразливих продуктів ІКТ і послуг ІКТ щодо того, як можна пом’якшити ризики, пов’язані з розкритою вразливістю.
Стаття 13
Співпраця на національному рівні
1. Якщо вони є відокремленими, компетентні органи, єдиний контактний пункт і CSIRT однієї держави-члена повинні співпрацювати один з одним щодо виконання зобов’язань, викладених у цій Директиві.
2. Держави-члени повинні забезпечити, щоб їхні групи CSIRT або, якщо застосовно, їхні компетентні органи отримували повідомлення про значні інциденти згідно зі статтею 23, а також інциденти, кіберзагрози та випадкові випадки відповідно до статті 30.
3. Держави-члени повинні забезпечити, щоб їхні групи CSIRT або, якщо це застосовно, їхні компетентні органи інформували свої єдині контактні пункти про повідомлення про інциденти, кіберзагрози та випадкові випадки, надані відповідно до цієї Директиви.
4. Щоб забезпечити ефективне виконання завдань і обов’язків компетентних органів, єдиних контактних пунктів і CSIRT, держави-члени повинні, наскільки це можливо, забезпечити відповідну співпрацю між цими органами та правоохоронними органами, даними органи захисту, національні органи відповідно до Регламентів (ЄС) № 300/2008 та (ЄС) 2018/1139, наглядові органи відповідно до Регламенту (ЄС) № 910/2014, компетентні органи відповідно до Регламенту (ЄС) 2022/2554, національні регуляторні органи згідно з Директивою (ЄС) 2018/1972, компетентні органи згідно з Директивою (ЄС) 2022/2557, а також компетентні органи відповідно до інших галузевих правових актів Союзу в цій державі-члені.
5. Держави-члени забезпечують, щоб їхні компетентні органи згідно з цією Директивою та їхні компетентні органи відповідно до Директиви (ЄС) 2022/2557 співпрацювали та обмінювалися інформацією на регулярній основі щодо ідентифікації критичних об’єктів, щодо ризиків, кіберзагроз та інцидентів. а також про некібернетичні ризики, загрози та інциденти, що впливають на суб’єкти, визначені як критичні суб’єкти відповідно до Директиви (ЄС) 2022/2557, і заходи, вжиті у відповідь на такі ризики, загрози та інциденти. Держави-члени також повинні забезпечити, щоб їхні компетентні органи відповідно до цієї Директиви та їхні компетентні органи відповідно до Регламенту (ЄС) № 910/2014, Регламенту (ЄС) 2022/2554 та Директиви (ЄС) 2018/1972 регулярно обмінювалися відповідною інформацією, у тому числі щодо відповідних інцидентів і кіберзагроз.
6. Держави-члени повинні спростити звітність за допомогою технічних засобів для повідомлень, зазначених у статтях 23 і 30.
РОЗДІЛ III
СПІВРОБІТНИЦТВО НА СОЮЗНОМУ ТА МІЖНАРОДНОМУ РІВНЯХ
Стаття 14
Група співпраці
1. Для підтримки та сприяння стратегічній співпраці та обміну інформацією між державами-членами, а також для зміцнення довіри та довіри створюється Група співпраці.
2. Група співробітництва виконує свої завдання на основі дворічних робочих програм, зазначених у параграфі 7.
3. Група співпраці складається з представників держав-членів, Комісії та ENISA. Європейська служба зовнішніх дій бере участь у діяльності Групи співробітництва як спостерігач. Європейські наглядові органи (ESA) та компетентні органи відповідно до Регламенту (ЄС) 2022/2554 можуть брати участь у діяльності Групи співпраці відповідно до статті 47(1) цього Регламенту. За необхідності Група співпраці може запрошувати Європейський парламент та представників відповідних зацікавлених сторін взяти участь у своїй роботі. Комісія забезпечує секретаріат.
4. Група співпраці має такі завдання:
a) надавати вказівки компетентним органам щодо транспонування та впровадження цієї Директиви;
b) надавати вказівки компетентним органам щодо розробки та впровадження політики скоординованого розкриття вразливостей, як зазначено в пункті c) частини 2 статті 7;
c) обмінюватися найкращими практиками та інформацією щодо імплементації цієї Директиви, у тому числі щодо кіберзагроз, інцидентів, уразливостей, невдач, ініціатив з підвищення обізнаності, навчання, навчань і навичок, нарощування потенціалу, стандартів і технічних специфікацій, а також визначення істотних і важливих суб’єктів відповідно до пунктів (b) — (e) частини 2 статті 2;
d) обмінюватись порадами та співпрацювати з Комісією щодо нових політичних ініціатив у сфері кібербезпеки та загальної узгодженості вимог щодо кібербезпеки в окремих галузях;
e) обмінюватися порадами та співпрацювати з Комісією щодо проектів делегованих або імплементаційних актів, ухвалених відповідно до цієї Директиви;
f) обмінюватися передовим досвідом та інформацією з відповідними установами, органами, службами та агентствами Союзу;
g) обмінюватися думками щодо імплементації галузевих правових актів Союзу, які містять положення щодо кібербезпеки;
h) у відповідних випадках обговорювати звіти про експертну перевірку, згадану в частині 9 статті 19, і складати висновки та рекомендації;
i) проводити скоординовану оцінку ризиків безпеки критичних ланцюгів постачання відповідно до частини 1 статті 22;
j) обговорювати випадки взаємної допомоги, включаючи досвід і результати транскордонних спільних наглядових дій, як зазначено в статті 37;
k) на прохання однієї чи кількох зацікавлених держав-членів обговорювати конкретні прохання про взаємну допомогу, як зазначено у статті 37;
l) надавати стратегічне керівництво мережі CSIRTs і EU-CyCLONe щодо конкретних питань, що виникають;
m) обмінюватися думками щодо політики щодо подальших дій після широкомасштабних інцидентів у сфері кібербезпеки та криз на основі досвіду, отриманого мережею CSIRTs та EU-CyCLONe;
n) робити внесок у потенціал кібербезпеки в усьому Союзі шляхом сприяння обміну національними посадовими особами через програму розвитку потенціалу із залученням персоналу компетентних органів або CSIRT;
o) організовувати регулярні спільні зустрічі з відповідними приватними зацікавленими сторонами з усього Союзу для обговорення діяльності, що виконується Групою співробітництва, та збору інформації щодо нових проблем політики;
p) обговорити роботу, виконану щодо навчань з кібербезпеки, включаючи роботу ENISA;
q) встановити методологію та організаційні аспекти експертних перевірок, зазначених у частині 1 статті 19, а також визначити методологію самооцінки для держав-членів відповідно до частини 5 статті 19, за допомогою Комісію та ENISA, а також, у співпраці з Комісією та ENISA, розробити кодекси поведінки, що лежать в основі методів роботи призначених експертів з кібербезпеки відповідно до статті 19(6);
® готувати звіти з метою огляду, зазначеного в статті 40, щодо досвіду, отриманого на стратегічному рівні та в результаті експертних оглядів;
s) обговорювати та проводити на регулярній основі оцінку поточного стану кіберзагроз або інцидентів, таких як програми-вимагачі.
Група співпраці подає звіти, згадані в першому абзаці, пункт ®, до Комісії, Європейського Парламенту та Ради.
5. Держави-члени забезпечують ефективну, результативну та безпечну співпрацю своїх представників у Групі співпраці.
6. Група співпраці може вимагати від мережі CSIRTs технічний звіт на вибрані теми.
7. До 1 лютого 2024 року та кожні два роки після цього Група співробітництва розробляє робочу програму щодо дій, які необхідно вжити для реалізації її цілей і завдань.
8. Комісія може прийняти імплементаційні акти, що встановлюють процедурні заходи, необхідні для функціонування Групи співпраці. Ці імплементаційні акти ухвалюються відповідно до процедури перевірки, зазначеної в частині 2 статті 39. Комісія обмінюється порадами та співпрацює з Групою співробітництва щодо проектів імплементаційних актів, згаданих у першому абзаці цього пункту, відповідно до пункту (e) параграфа (4).
9. Група співробітництва збирається на регулярній основі та в будь-якому випадку принаймні один раз на рік із Групою стійкості критичних суб’єктів, створеною відповідно до Директиви (ЄС) 2022/2557, щоб сприяти та сприяти стратегічній співпраці та обміну інформацією.
Стаття 15
Мережа CSIRT
1. Для сприяння розвитку впевненості та довіри та сприяння швидкому та ефективному оперативному співробітництву між державами-членами створюється мережа національних CSIRT.
2. Мережа CSIRT складається з представників CSIRT, призначених або створених відповідно до статті 10, і групи реагування на комп’ютерні надзвичайні ситуації для установ, органів і агенцій Союзу (CERT-EU). Комісія бере участь у мережі CSIRT як спостерігач. ENISA забезпечує секретаріат і активно надає допомогу для співпраці між CSIRT.
3. Мережа CSIRT має такі завдання:
a) обмінюватися інформацією про можливості CSIRT;
b) сприяти спільному використанню, передачі та обміну технологіями та відповідними заходами, політиками, інструментами, процесами, найкращими практиками та структурами між CSIRT;
с) для обміну відповідною інформацією про інциденти, випадкові випадки, кіберзагрози, ризики та вразливі місця;
d) обмінюватися інформацією щодо публікацій і рекомендацій з кібербезпеки;
e) для забезпечення взаємодії щодо специфікацій і протоколів обміну інформацією;
f) на запит члена мережі CSIRTs, який потенційно постраждав від інциденту, для обміну та обговорення інформації щодо цього інциденту та пов’язаних з ним кіберзагроз, ризиків і вразливостей;
g) на прохання члена мережі CSIRT обговорити та, де можливо, впровадити скоординовану відповідь на інцидент, який було виявлено в межах юрисдикції цієї держави-члена;
h) надавати державам-членам допомогу у вирішенні транскордонних інцидентів відповідно до цієї Директиви;
i) співпрацювати, обмінюватися найкращими практиками та надавати допомогу групам CSIRT, призначеним координаторами відповідно до статті 12(1), щодо управління скоординованим розкриттям вразливостей, які можуть мати значний вплив на організації в більш ніж одній державі-члені ;
j) обговорити та визначити подальші форми оперативного співробітництва, у тому числі стосовно:
I) категорії кіберзагроз та інцидентів;
II) ранні попередження;
III) взаємодопомога;
IV) принципи та механізми координації у відповідь на транскордонні ризики та інциденти;
V) внесок у національний масштабний інцидент у сфері кібербезпеки та план реагування на кризу, згаданий у частині 4 статті 9, на запит держави-члена;
k) інформувати Групу співпраці про свою діяльність та про подальші форми оперативного співробітництва, які обговорюються відповідно до пункту
j), і, у разі необхідності, запитувати вказівки щодо цього;
l) аналізувати навчання з кібербезпеки, включно з тими, які організовує ENISA; (m) на запит окремої CSIRT обговорити можливості та готовність цієї CSIRT;
n) співпрацювати та обмінюватися інформацією з регіональними та Союзними оперативними центрами безпеки (SOC) з метою покращення спільної ситуаційної обізнаності про інциденти та кіберзагрози в Союзі;
o) у відповідних випадках для обговорення звітів експертної оцінки, зазначених у частині 9 статті 19;
p) надавати керівні принципи для сприяння зближенню операційної практики щодо застосування положень цієї статті щодо оперативного співробітництва.
4. До 17 січня 2025 року та кожні два роки після цього мережа CSIRT з метою перегляду, зазначеного в статті 40, оцінює прогрес, досягнутий щодо оперативної співпраці, і приймає звіт. Звіт, зокрема, містить висновки та рекомендації на основі результатів експертних перевірок, зазначених у статті 19, які проводяться щодо національних CSIRT. Цей звіт подається до Групи співпраці.
5. Мережа CSIRT приймає свої правила процедури.
6. Мережа CSIRT і EU-CyCLONe погоджують процедурні домовленості та співпрацюють на їх основі.
Стаття 16
Європейська мережа організацій зв’язку з кіберкриз (EU-CyCLONe)
1. EU-CyCLONe створено для підтримки скоординованого управління великомасштабними інцидентами та кризами кібербезпеки на оперативному рівні та для забезпечення регулярного обміну відповідною інформацією між державами-членами та установами, органами, офісами та агентствами Союзу.
2. EU-CyCLONe складається з представників органів держав-членів з управління кіберкризами, а також у випадках, коли потенційний або поточний широкомасштабний інцидент кібербезпеки має або може мати значний вплив на послуги та діяльність, що входять до сферу дії цієї Директиви, Комісія. В інших випадках Комісія бере участь у діяльності EU-CyCLONe як спостерігач. ENISA забезпечує секретаріат EU-CyCLONe та підтримує безпечний обмін інформацією, а також надає необхідні інструменти для підтримки співпраці між державами-членами для забезпечення безпечного обміну інформацією. У відповідних випадках EU-CyCLONe може запросити представників відповідних зацікавлених сторін взяти участь у своїй роботі в якості спостерігачів.
3. EU-CyCLONe має такі завдання:
a) підвищити рівень готовності до управління масштабними інцидентами та кризами кібербезпеки;
b) розвинути спільну ситуаційну обізнаність щодо широкомасштабних інцидентів і криз у сфері кібербезпеки;
c) оцінити наслідки та вплив відповідних широкомасштабних інцидентів і криз у сфері кібербезпеки та запропонувати можливі заходи пом’якшення;
d) координувати управління великомасштабними інцидентами та кризами кібербезпеки та підтримувати прийняття рішень на політичному рівні щодо таких інцидентів та криз;
e) обговорювати, за запитом відповідної держави-члена, національні масштабні інциденти кібербезпеки та плани реагування на кризи, зазначені у статті 9(4).
4. EU-CyCLONe приймає свої правила процедури.
5. EU-CyCLONe регулярно звітує перед Групою співпраці про управління великомасштабними інцидентами та кризами кібербезпеки, а також про тенденції, зосереджуючись, зокрема, на їхньому впливі на істотні та важливі суб’єкти.
6. EU-CyCLONe співпрацює з мережею CSIRTs на основі погоджених процедурних домовленостей, передбачених у статті 15(6).
7. До 17 липня 2024 року та кожні 18 місяців після цього EU-CyCLONe подає до Європейського парламенту та Ради звіт з оцінкою своєї роботи.
Стаття 17
Міжнародна співпраця
Союз може, у відповідних випадках, укладати міжнародні угоди, відповідно до статті 218 ДФЄС, з третіми країнами або міжнародними організаціями, дозволяючи та організовуючи їх участь у певних заходах Групи співпраці, мережі CSIRTs та EU-CyCLONe. Такі угоди повинні відповідати законодавству Союзу про захист даних.
Стаття 18
Звіт про стан кібербезпеки в Союзі
1. ENISA приймає, у співпраці з Комісією та Групою співробітництва, дворічний звіт про стан кібербезпеки в Союзі та подає та представляє цей звіт Європейському парламенту. Звіт повинен, серед іншого, бути доступним у вигляді машинозчитуваних даних і містити наступне:
a) оцінка ризиків кібербезпеки на рівні Союзу з урахуванням ландшафту кіберзагроз;
b) оцінка розвитку можливостей кібербезпеки в державному та приватному секторах у всьому Союзі;
c) оцінка загального рівня обізнаності щодо кібербезпеки та кібергігієни серед громадян і організацій, включаючи малі та середні підприємства;
d) сукупну оцінку результатів експертних перевірок, зазначених у статті 19;
e) сукупну оцінку рівня зрілості можливостей і ресурсів кібербезпеки в усьому Союзі, в тому числі на галузевому рівні, а також ступеня узгодженості національних стратегій кібербезпеки держав-членів.
2. Звіт має включати конкретні політичні рекомендації з метою усунення недоліків і підвищення рівня кібербезпеки в Союзі, а також стислий виклад висновків за конкретний період зі Звітів про технічний стан кібербезпеки ЄС щодо інцидентів та кіберзагроз, підготовлених ENISA відповідно до статті 7(6) Регламенту (ЄС) 2019/881.
3. ENISA у співпраці з Комісією, Групою співробітництва та мережею CSIRT розробляє методологію, включаючи відповідні змінні, такі як кількісні та якісні показники, агрегованої оцінки, зазначеної в параграфі 1, пункт (e).
Стаття 19
Експертні оцінки
1. Група співробітництва 17 січня 2025 року за сприяння Комісії та ENISA, а також, у відповідних випадках, мережі CSIRTs створює методологію та організаційні аспекти експертних перевірок з метою вивчення спільного досвіду, зміцнення взаємної довіри, досягнення високого загального рівня кібербезпеки, а також посилення можливостей держав-членів щодо кібербезпеки та політики, необхідних для виконання цієї Директиви. Участь у експертних оцінках є добровільною. Експертні перевірки проводяться експертами з кібербезпеки. Експерти з кібербезпеки повинні бути призначені принаймні двома державами-членами, відмінними від держави-члена, яка перевіряється. Експертні перевірки охоплюють принаймні одне з наступного:
a) рівень впровадження заходів з управління ризиками кібербезпеки та зобов’язань щодо звітності, викладених у статтях 21 і 23;
b) рівень можливостей, включаючи наявні фінансові, технічні та людські ресурси, а також ефективність виконання завдань компетентних органів;
c) оперативні можливості CSIRT;
d) рівень реалізації взаємної допомоги, зазначеної у статті 37;
e) рівень реалізації заходів щодо обміну інформацією про кібербезпеку, зазначених у статті 29;
f) конкретні питання транскордонного чи міжгалузевого характеру.
2. Методологія, згадана в частині 1, повинна включати об’єктивні, недискримінаційні, справедливі та прозорі критерії, на основі яких держави-члени призначають експертів з кібербезпеки, які мають право проводити експертні перевірки. Комісія та ENISA беруть участь як спостерігачі в експертних перевірках.
3. Держави-члени можуть визначити конкретні проблеми, як зазначено в параграфі 1, пункт (f), для цілей експертної перевірки.
4. Перед початком експертної перевірки, як зазначено в параграфі 1, держави-члени повідомляють держави-члени-учасники про його обсяг, включаючи конкретні питання, визначені відповідно до параграфа 3.
5. Перед початком експертної перевірки держави-члени можуть провести самооцінку розглянутих аспектів і надати таку самооцінку призначеним експертам з кібербезпеки. Група співпраці за сприяння Комісії та ENISA розробить методологію для самооцінки держав-членів.
6. Експертні перевірки передбачають фізичні або віртуальні відвідування на місці та обмін інформацією за межами місця. Згідно з принципом добросовісної співпраці, держава-член, яка підлягає експертній перевірці, надає призначеним експертам з кібербезпеки інформацію, необхідну для оцінки, без шкоди для законодавства Союзу чи національного законодавства щодо захисту конфіденційної чи секретної інформації та захисту важливих державних функцій, таких як національна безпека. Група співпраці у співпраці з Комісією та ENISA розробить відповідні кодекси поведінки, які лежать в основі методів роботи призначених експертів з кібербезпеки. Будь-яка інформація, отримана під час експертної перевірки, повинна використовуватися виключно з цією метою. Експерти з кібербезпеки, які беруть участь у експертній перевірці, не повинні розголошувати будь-яку чутливу або конфіденційну інформацію, отриману під час такої експертної перевірки, третім сторонам.
7. Після проведення експертної перевірки ті самі аспекти, перевірені в державі-члені, не підлягають подальшій експертній перевірці в цій державі-члені протягом двох років після завершення експертної перевірки, якщо інше не вимагається державою-членом або не погоджується за пропозицією Групи співпраці.
8. Держави-члени повинні забезпечити, щоб будь-який ризик конфлікту інтересів щодо призначених експертів з кібербезпеки був розкритий іншим державам-членам, Групі співпраці, Комісії та ENISA до початку експертної перевірки. Держава-член, яка підлягає експертній перевірці, може заперечити проти призначення конкретних експертів з кібербезпеки на належним чином обґрунтованих підставах, повідомлених державі-члену, яка призначає.
9. Експерти з кібербезпеки, які беруть участь у експертних перевірках, повинні підготувати звіти про результати та висновки експертних перевірок. Держави-члени, які підлягають експертній перевірці, можуть надавати коментарі до проектів звітів, які їх стосуються, і такі коментарі додаються до звітів. Звіти повинні містити рекомендації щодо покращення аспектів, охоплених експертною перевіркою. Звіти повинні бути подані до Групи співпраці та мережі CSIRT, якщо це необхідно. Держава-член, яка підлягає експертній перевірці, може вирішити оприлюднити свій звіт або його відредаговану версію.
РОЗДІЛ IV
ЗАХОДИ З УПРАВЛІННЯ РИЗИКАМИ В СФЕРІ КІБЕРБЕЗПЕКИ ТА ЗОБОВ’ЯЗАННЯ ЩОДО ЗВІТУВАННЯ
Стаття 20
Управління
1. Держави-члени повинні забезпечити, щоб органи управління важливих і важливих організацій схвалювали заходи з управління ризиками кібербезпеки, вжиті цими організаціями з метою дотримання статті 21, здійснювали нагляд за її виконанням і могли бути притягнуті до відповідальності за порушення суб’єктами цієї статті. Застосування цього параграфа не порушує національне законодавство щодо правил відповідальності, які застосовуються до державних установ, а також відповідальності державних службовців та обраних чи призначених посадових осіб.
2. Держави-члени забезпечують, щоб члени керівних органів важливих і важливих суб’єктів господарювання проходили навчання, а також заохочують істотні та важливі суб’єкти господарювання пропонувати подібне навчання своїм працівникам на регулярній основі, щоб вони отримали достатні знання і навички, які дозволять їм визначати ризики та оцінювати практики управління ризиками кібербезпеки та їхній вплив на послуги, що надаються організацією.
Стаття 21
Заходи з управління ризиками кібербезпеки
1. Держави-члени гарантують, що істотні та важливі суб’єкти вживають належних і пропорційних технічних, операційних та організаційних заходів для управління ризиками, пов’язаними з безпекою мережевих та інформаційних систем, які ці суб’єкти використовують для своїх операцій або для надання своїх послуг, і щоб запобігти або мінімізувати вплив інцидентів на одержувачів їхніх послуг та на інші послуги. Беручи до уваги найсучасніші та, де це застосовно, відповідні європейські та міжнародні стандарти, а також вартість реалізації, заходи, зазначені в першому абзаці, повинні забезпечити належний рівень безпеки мережевих та інформаційних систем до поставлених ризиків. Під час оцінки пропорційності цих заходів належним чином враховується ступінь підданості суб’єкта ризикам, розмір суб’єкта господарювання та ймовірність виникнення інцидентів та їх серйозність, включаючи їхній суспільний та економічний вплив.
2. Заходи, зазначені в параграфі 1, повинні ґрунтуватися на підході до всіх небезпек, спрямованому на захист мережевих та інформаційних систем і фізичного середовища цих систем від інцидентів, і повинні включати принаймні таке:
a) політики щодо аналізу ризиків та безпеки інформаційної системи;
b) розгляд інцидентів;
c) безперервність бізнесу, наприклад, керування резервним копіюванням і аварійне відновлення, а також управління кризовими ситуаціями;
d) безпека ланцюга постачання, включаючи пов’язані з безпекою аспекти, що стосуються відносин між кожним суб’єктом господарювання та його прямими постачальниками або постачальниками послуг;
e) безпека в придбанні, розробці та обслуговуванні мережевих та інформаційних систем, включаючи обробку вразливостей та розкриття інформації;
f) політики та процедури для оцінки ефективності заходів з управління ризиками кібербезпеки;
g) базові практики кібергігієни та навчання з кібербезпеки;
h) політики та процедури щодо використання криптографії та, де це доречно, шифрування;
i) безпека людських ресурсів, політики контролю доступу та управління активами;
j) використання рішень багатофакторної автентифікації або безперервної автентифікації, захищеного голосового, відео- та текстового зв’язку та захищених систем екстреного зв’язку в межах організації, де це доцільно.
3. Держави-члени гарантують, що при розгляді того, які заходи, зазначені в пункті (d) частини 2 цієї статті, є доречними, суб’єкти враховують вразливі місця, характерні для кожного прямого постачальника та постачальника послуг, а також загальну якість продукції та практики кібербезпеки їхніх постачальників і постачальників послуг, включаючи їхні безпечні процедури розробки. Держави-члени також гарантують, що під час розгляду відповідних заходів, зазначених у цьому пункті, суб’єкти зобов’язані брати до уваги результати скоординованих оцінок ризиків безпеки критичних ланцюгів постачання, проведених відповідно до частини 1 статті 22.
4. Держави-члени забезпечують, щоб суб’єкт, який виявив, що він не відповідає заходам, передбаченим у параграфі 2, без зайвої затримки вживав усіх необхідних, належних і пропорційних коригувальних заходів.
5. До 17 жовтня 2024 року Комісія повинна ухвалити імплементаційні акти, що встановлюють технічні та методологічні вимоги заходів, зазначених у параграфі 2, щодо постачальників послуг DNS, реєстрів імен TLD, постачальників послуг хмарних обчислень, постачальників послуг центрів обробки даних, постачальники мереж доставки контенту, постачальники керованих послуг, постачальники керованих послуг безпеки, постачальники онлайн-ринків, онлайн-пошукових систем і платформ соціальних мереж, а також постачальники довірчих послуг.
Комісія може прийняти імплементаційні акти, що встановлюють технічні та методологічні вимоги, а також галузеві вимоги, якщо це необхідно, щодо заходів, зазначених у параграфі 2, щодо суттєвих і важливих суб’єктів, крім тих, які зазначені в першому підпараграфі цього пункт.
Під час підготовки імплементаційних актів, зазначених у першому та другому абзацах цього пункту, Комісія, наскільки це можливо, дотримується європейських та міжнародних стандартів, а також відповідних технічних специфікацій. Комісія обмінюється порадами та співпрацює з Групою співпраці та ENISA щодо проектів імплементаційних актів відповідно до пункту (e) частини 4 статті 14. Ці імплементаційні акти ухвалюються відповідно до процедури перевірки, зазначеної в частині 2 статті 39.
Стаття 22
Скоординована оцінка ризиків безпеки критичних ланцюгів постачання на рівні Союзу
1. Група співробітництва у співпраці з Комісією та ENISA може здійснювати скоординовану оцінку ризиків безпеки конкретних критично важливих послуг ІКТ, систем ІКТ або ланцюгів постачання продуктів ІКТ, беручи до уваги технічні та, у відповідних випадках, нетехнічні фактори ризику.
2. Комісія після консультації з Групою співпраці та ENISA, а також, якщо необхідно, з відповідними зацікавленими сторонами, визначає конкретні критичні послуги ІКТ, системи ІКТ або продукти ІКТ, які можуть підлягати скоординованій оцінці ризиків безпеки, згаданій у параграфі 1.
Стаття 23
Зобов'язання щодо звітності
1. Кожна держава-член повинна забезпечити, щоб істотні та важливі суб’єкти без невиправданої затримки повідомляли свою CSIRT або, якщо це застосовано, свій компетентний орган відповідно до пункту 4 про будь-який інцидент, який має значний вплив на надання їхніх послуг, як зазначено у пункті 3 (важливий інцидент). Якщо це доцільно, зацікавлені організації повинні без зайвої затримки повідомляти отримувачів їхніх послуг про значні інциденти, які можуть негативно вплинути на надання цих послуг. Кожна держава-член повинна забезпечити, щоб ці організації повідомляли, серед іншого, будь-яку інформацію, яка дозволяє CSIRT або, якщо застосовно, компетентному органу визначити будь-який транскордонний вплив інциденту. Звичайна дія повідомлення не тягне за собою посилення відповідальності суб’єкта, який повідомляє.
Якщо зацікавлені організації повідомляють компетентний орган про значний інцидент згідно з першим абзацом, держава-член забезпечує, щоб цей компетентний орган пересилав повідомлення до CSIRT після отримання.
У разі значного транскордонного або міжгалузевого інциденту держави-члени повинні забезпечити, щоб їхні єдині контактні пункти вчасно отримали відповідну інформацію, надіслану відповідно до пункту 4.
2. У відповідних випадках держави-члени повинні забезпечити, щоб основні та важливі суб’єкти без зайвої затримки повідомляли одержувачам їхніх послуг, які потенційно постраждали від значної кіберзагрози, про будь-які заходи чи засоби правового захисту, які ці одержувачі можуть вжити у відповідь на це. загроза. У відповідних випадках суб’єкти також повинні інформувати цих одержувачів про саму значну кіберзагрозу.
3. Офіційний вісник Європейського Союзу L 333/129 Інцидент вважається значним, якщо:
a) він спричинив або може спричинити серйозні збої в роботі послуг або фінансові втрати для відповідної організації;
b) вона вплинула або може вплинути на інших фізичних або юридичних осіб шляхом заподіяння значної матеріальної чи нематеріальної шкоди.
4. Держави-члени забезпечують, щоб з метою повідомлення згідно з параграфом 1 відповідні організації подали до CSIRT або, якщо застосовно, компетентному органу:
a) без невиправданої затримки та в будь-якому випадку протягом 24 годин після того, як стало відомо про значний інцидент, раннє попередження, яке, якщо це доречно, має вказувати, чи є підозра, що значний інцидент був спричинений незаконними чи зловмисними діями, чи міг мати транскордонний вплив;
b) без невиправданої затримки та в будь-якому випадку протягом 72 годин після того, як стало відомо про значний інцидент, повідомлення про інцидент, яке, у відповідних випадках, оновлює інформацію, зазначену в пункті (a), і вказує на початкову оцінку значного інциденту, включаючи його серйозність і вплив, а також, якщо доступно, індикатори компромісу;
c) на запит CSIRT або, якщо застосовано, компетентного органу, проміжний звіт про відповідні оновлення статусу;
d) остаточний звіт не пізніше ніж через місяць після подання повідомлення про інцидент відповідно до пункту (b), включаючи наступне:
I) детальний опис інциденту, включаючи його серйозність і вплив;
II) тип загрози або першопричини, яка ймовірно спровокувала інцидент;
III) застосовані та поточні заходи пом’якшення;
IV) якщо застосовано, транскордонний вплив інциденту;
e) у разі триваючого інциденту на момент подання остаточного звіту, зазначеного в пункті
d), держави-члени гарантують, що зацікавлені організації надають звіт про хід роботи в той час і остаточний звіт протягом одного місяця після того, як вони розглядають інцидент. Як відступ від пункту (b) першого абзацу, провайдер довірчих послуг повинен повідомляти CSIRT або, якщо застосовано, компетентний орган, без невиправданої затримки та в будь-якому випадку протягом 24 годин після того, як стало відомо про значний інцидент.
5. CSIRT або компетентний орган повинні надати без невиправданої затримки та, де це можливо, протягом 24 годин після отримання раннього попередження, зазначеного в пункті (a) параграфа 4, відповідь органу, який подає повідомлення, включаючи початковий відгук про значний інцидент і, на запит суб'єкта, вказівки або операційні поради щодо впровадження можливих заходів пом'якшення. Якщо CSIRT не є першим одержувачем повідомлення, зазначеного в параграфі 1, вказівки надаються компетентним органом у співпраці з CSIRT. CSIRT надає додаткову технічну підтримку за запитом відповідної організації. Якщо існує підозра, що значний інцидент має кримінальний характер, CSIRT або компетентний орган також повинні надати вказівки щодо повідомлення про значний інцидент правоохоронним органам.
6. У відповідних випадках і, зокрема, якщо значний інцидент стосується двох або більше держав-членів, CSIRT, компетентний орган або єдиний контактний пункт без зайвої затримки інформують інші постраждалі держави-члени та ENISA про значний інцидент. Така інформація повинна включати тип інформації, отриманої відповідно до параграфа 4. При цьому CSIRT, компетентний орган або єдиний контактний пункт повинні, відповідно до законодавства Союзу або національного законодавства, також захищати безпеку та комерційні інтереси організації. як конфіденційність наданої інформації.
7. Якщо поінформованість громадськості необхідна для запобігання значному інциденту чи вирішення серйозного інциденту, що триває, або якщо розголошення важливого інциденту іншим чином відповідає суспільним інтересам, CSIRT держави-члена або, якщо застосовно, її компетентний орган, і, у відповідних випадках CSIRT або компетентні органи інших зацікавлених держав-членів можуть після консультацій із зацікавленою організацією поінформувати громадськість про значний інцидент або вимагати від організації зробити це.
8. На запит CSIRT або компетентного органу єдиний контактний пункт пересилає повідомлення, отримані відповідно до пункту 1, єдиним контактним пунктам інших постраждалих держав-членів.
9. Єдиний контактний пункт кожні три місяці подає до ENISA підсумковий звіт, включаючи анонімні та зведені дані про значні інциденти, інциденти, кіберзагрози та випадкові випадки, про які повідомляється відповідно до пункту 1 цієї статті та статті 30. щоб сприяти наданню порівнянної інформації, ENISA може прийняти технічну інструкцію щодо параметрів інформації, яка буде включена до підсумкового звіту. ENISA інформує Групу співпраці та мережу CSIRT про свої висновки щодо отриманих повідомлень кожні шість місяців.
10. CSIRT або, якщо це застосовано, компетентні органи повинні надавати компетентним органам відповідно до Директиви (ЄС) 2022/2557 інформацію про значні інциденти, інциденти, кіберзагрози та випадкові випадки, про які повідомляється відповідно до пункту 1 цієї статті та статті 30 суб’єктами, визначеними як критичні суб’єкти відповідно до Директиви (ЄС) 2022/2557.
11. Комісія може прийняти імплементаційні акти, які додатково визначають тип інформації, формат і процедуру повідомлення, поданого відповідно до частини 1 цієї статті та статті 30, а також повідомлення, поданого відповідно до частини 2 цієї статті. До 17 жовтня 2024 року Комісія має стосовно постачальників послуг DNS, реєстрів імен верхнього рівня, постачальників послуг хмарних обчислень, постачальників послуг центрів обробки даних, постачальників мереж доставки контенту, постачальників керованих послуг, постачальників керованих послуг безпеки, а також постачальників онлайн ринків, онлайн-пошукових систем і платформ соціальних мереж, ухвалити імплементаційні акти, що додатково визначають випадки, в яких інцидент вважається значним, як зазначено в параграфі 3. Комісія може ухвалити такі імплементаційні акти щодо інших важливих та важливі суб'єкти. Комісія обмінюється порадами та співпрацює з Групою співробітництва щодо проектів імплементаційних актів, зазначених у першому та другому абзацах цього пункту, відповідно до пункту (e) частини 4 статті 14. Ці імплементаційні акти ухвалюються відповідно до процедури перевірки, зазначеної в частині 2 статті 39.
Стаття 24
Використання європейських схем сертифікації кібербезпеки
1. Щоб продемонструвати відповідність конкретним вимогам статті 21, держави-члени можуть вимагати від важливих і важливих суб’єктів використання певних продуктів ІКТ, послуг ІКТ та процесів ІКТ, розроблених основним або важливим суб’єктом або придбаних від третіх сторін, які сертифіковані відповідно до європейських схем сертифікації кібербезпеки, прийнятих відповідно до статті 49 Регламенту (ЄС) 2019/881. Крім того, держави-члени повинні заохочувати істотні та важливі організації використовувати кваліфіковані довірчі послуги.
2. Комісія уповноважена ухвалювати делеговані акти відповідно до статті 38, щоб доповнити цю Директиву, визначаючи, які категорії істотних і важливих суб’єктів мають використовувати певні сертифіковані продукти ІКТ, послуги ІКТ та процеси ІКТ або отримати сертифікат відповідно до європейської схеми сертифікації кібербезпеки, прийнятої відповідно до статті 49 Регламенту (ЄС) 2019/881. Ці делеговані акти ухвалюються, якщо було виявлено недостатній рівень кібербезпеки, і вони повинні включати період впровадження.
Перед прийняттям таких делегованих актів Комісія повинна провести оцінку впливу та провести консультації відповідно до статті 56 Регламенту (ЄС) 2019/881.
3. Якщо для цілей пункту 2 цієї статті немає відповідної європейської схеми сертифікації кібербезпеки, Комісія може після консультацій із Групою співпраці та Європейською групою сертифікації кібербезпеки попросити ENISA підготувати кандидатську схему відповідно до статті 48(2).) Регламенту (ЄС) 2019/881.
Стаття 25
Стандартизація
1. З метою сприяння конвергентній імплементації частин 1 і 2 статті 21 держави-члени, не нав’язуючи або не дискримінуючи на користь використання певного типу технології, заохочують використання європейських і міжнародних стандартів і технічних специфікації, що стосуються безпеки мережевих та інформаційних систем.
2. ENISA у співпраці з державами-членами та, якщо це доцільно, після консультацій з відповідними зацікавленими сторонами, розробить рекомендації та керівні принципи щодо технічних сфер, які слід розглянути у зв’язку з параграфом 1, а також стосовно вже існуючих стандартів, включаючи національні стандарти, що дозволило б охопити ці області.
РОЗДІЛ V
ЮРИСДИКЦІЯ ТА РЕЄСТРАЦІЯ
Стаття 26
Юрисдикція та територіальність
1. Суб’єкти, які підпадають під дію цієї Директиви, вважаються такими, що підпадають під юрисдикцію держави-члена, в якій вони засновані, за винятком випадків:
a) постачальників публічних електронних комунікаційних мереж або постачальників загальнодоступних електронних комунікаційних послуг, які вважаються такими, що підпадають під юрисдикцію держави-члена, в якій вони надають свої послуги;
b) Постачальники послуг DNS, реєстри імен TLD, організації, що надають послуги реєстрації доменних імен, постачальники послуг хмарних обчислень, постачальники послуг центрів обробки даних, постачальники мереж доставки контенту, постачальники керованих послуг, постачальники керованих послуг безпеки, а також постачальники онлайн-ринків, онлайн-пошукових систем або платформ соціальних мереж, які вважаються такими, що підпадають під юрисдикцію держави-члена, в якій вони розташовані в Союзі відповідно до пункту 2;
c) органи державного управління, які вважаються такими, що підпадають під юрисдикцію держави-члена, яка їх заснувала.
2. Для цілей цієї Директиви суб’єкт, зазначений у пункті (b) частини 1, вважається таким, що має головний офіс у Союзі в державі-члені, де приймаються рішення, пов’язані із заходами з управління ризиками кібербезпеки. переважно взяті. Якщо таку державу-члена неможливо визначити або якщо такі рішення не приймаються в Союзі, вважається, що головна установа знаходиться в державі-члені, де здійснюються операції з кібербезпеки. Якщо таку державу-члена визначити неможливо, вважається, що основне представництво знаходиться в державі-члені, де відповідний суб’єкт має представництво з найбільшою кількістю працівників у Союзі.
3. Якщо організація, згадана в параграфі 1, пункт (b), не зареєстрована в Союзі, але пропонує послуги в межах Союзу, вона призначає представника в Союзі. Представник має бути заснований в одній із держав-членів, де пропонуються послуги. Вважається, що така організація підпадає під юрисдикцію держави-члена, де засновано представника. За відсутності представника в Союзі, призначеного згідно з цим параграфом, будь-яка держава-член, у якій суб’єкт надає послуги, може вжити судових позовів проти суб’єкта за порушення цієї Директиви.
4. Призначення представника суб’єктом, як зазначено в пункті (b) параграфа 1, не повинно завдавати шкоди судовим діям, які можуть бути ініційовані проти самого суб’єкта.
5. Держави-члени, які отримали запит про надання взаємної допомоги стосовно суб’єкта, як зазначено в параграфі 1, пункт (b), можуть, у межах цього запиту, вжити відповідних наглядових та примусових заходів щодо відповідного суб’єкта. що надає послуги або має мережу та інформаційну систему на своїй території.
Стаття 27
Реєстр суб'єктів
1. ENISA створює та підтримує реєстр постачальників послуг DNS, реєстрів імен верхнього рівня, організацій, що надають послуги реєстрації доменних імен, постачальників послуг хмарних обчислень, постачальників послуг центрів обробки даних, постачальників мереж доставки контенту, постачальників керованих послуг, постачальників керованих послуг безпеки, як, а також провайдери онлайн-ринків, онлайн-пошукових систем і платформ соціальних мереж, на основі інформації, отриманої від єдиних контактних пунктів відповідно до пункту 4. ENISA на запит надає компетентним органам доступ до цього реєстру, забезпечуючи при цьому захист конфіденційності інформації, де це можливо.
2. Держави-члени вимагають від суб’єктів, зазначених у частині 1, подати таку інформацію компетентним органам до 17 січня 2025 року:
a) назву організації;
b) відповідний сектор, підсектор і тип суб’єкта господарювання, зазначений у Додатку I або II, якщо застосовно;
c) адреса головного представництва суб’єкта та інших його юридичних представництв у Союзі або, якщо вони не зареєстровані в Союзі, його представника, призначеного відповідно до частини 3 статті 26;
d) актуальні контактні дані, включаючи адреси електронної пошти та номери телефонів суб’єкта господарювання та, якщо це застосовно, його представника, призначеного відповідно до статті 26(3);
e) держави-члени, де організація надає послуги; і
f) діапазони IP суб’єкта.
3. Держави-члени гарантують, що суб’єкти, зазначені в параграфі 1, повідомляють компетентний орган про будь-які зміни в інформації, яку вони надали згідно з параграфом 2, без затримки та в будь-якому випадку протягом трьох місяців від дати зміни.
4. Після отримання інформації, зазначеної в частинах 2 і 3, за винятком тієї, що згадана в частині 2, пункт (f), єдиний контактний пункт відповідної держави-члена без зайвої затримки передає її ENISA.
5. У відповідних випадках інформація, зазначена в частинах 2 і 3 цієї статті, подається через національний механізм, зазначений у четвертому підпараграфі частини 4 статті 3.
Стаття 28
База даних реєстрації доменних імен
1. З метою сприяння безпеці, стабільності та стійкості DNS держави-члени вимагають від реєстрів імен верхнього рівня та організацій, що надають послуги з реєстрації доменних імен, збирати та підтримувати точні та повні дані про реєстрацію доменних імен у спеціальній базі даних з належною обачністю. відповідно до законодавства Союзу про захист даних стосовно даних, які є персональними даними.
2. Для цілей параграфа 1 держави-члени повинні вимагати, щоб база даних даних про реєстрацію доменних імен містила необхідну інформацію для ідентифікації власників доменних імен і контактних осіб, які адмініструють доменні імена в межах TLD, і зв’язку з ними. Така інформація включає:
a) доменне ім’я;
b) дата реєстрації;
c) ім'я реєстранта, контактну електронну адресу та номер телефону;
d) контактну електронну адресу та номер телефону контактної особи, яка адмініструє доменне ім’я, якщо вони відрізняються від адрес реєстранта.
3. Держави-члени вимагають від реєстрів імен верхнього рівня та організацій, що надають послуги з реєстрації доменних імен, мати політики та процедури, включаючи процедури перевірки, щоб гарантувати, що бази даних, зазначені в параграфі 1, містять точну та повну інформацію. Держави-члени вимагають, щоб така політика та процедури були загальнодоступними.
4. Держави-члени повинні вимагати від реєстрів імен верхнього рівня та організацій, що надають послуги з реєстрації доменних імен, оприлюднювати без зайвої затримки після реєстрації доменного імені дані реєстрації доменного імені, які не є персональними даними.
5. Держави-члени вимагають від реєстрів імен верхнього рівня та організацій, що надають послуги з реєстрації доменних імен, надання доступу до конкретних даних реєстрації доменних імен за законними та належним чином обґрунтованими запитами законних шукачів доступу відповідно до законодавства Союзу про захист даних. Держави-члени вимагають від реєстрів імен верхнього рівня та організацій, що надають послуги з реєстрації доменних імен, відповідати без невиправданої затримки та в будь-якому випадку протягом 72 годин після отримання будь-яких запитів на доступ. Держави-члени вимагають, щоб політики та процедури щодо розкриття таких даних були загальнодоступними.
6. Виконання зобов’язань, викладених у параграфах 1−5, не повинно призводити до дублювання збору реєстраційних даних доменного імені. З цією метою держави-члени вимагають від реєстрів імен верхнього рівня та організацій, що надають послуги реєстрації доменних імен, співпрацювати один з одним.
РОЗДІЛ VI
ОБМІН ІНФОРМАЦІЄЮ
Стаття 29
Механізми обміну інформацією про кібербезпеку
1. Держави-члени гарантують, що суб’єкти, які підпадають під дію цієї Директиви, та, якщо це доречно, інші суб’єкти, які не підпадають під дію цієї Директиви, можуть обмінюватися між собою на добровільній основі відповідною інформацією про кібербезпеку, включаючи інформацію, що стосується кіберзагроз., можливі помилки, уразливості, методи та процедури, індикатори компрометації, тактика змагання, інформація про суб’єкта загрози, попередження про кібербезпеку та рекомендації щодо конфігурації інструментів кібербезпеки для виявлення кібератак, де такий обмін інформацією:
a) має на меті запобігання, виявлення, реагування на інциденти чи відновлення після них або пом’якшення їх впливу;
b) підвищує рівень кібербезпеки, зокрема шляхом підвищення обізнаності щодо кіберзагроз, обмеження або перешкоджання здатності таких загроз поширюватися, підтримки ряду захисних можливостей, усунення вразливостей та розкриття інформації, виявлення загроз, стримування та запобігання, стратегії пом’якшення, або етапи реагування та відновлення, або сприяння спільним дослідженням кіберзагроз між державними та приватними організаціями.
2. Держави-члени повинні забезпечити, щоб обмін інформацією відбувався в межах спільнот суттєвих і важливих суб’єктів, і, де це доречно, їхніх постачальників або постачальників послуг. Такий обмін здійснюється за допомогою домовленостей щодо обміну інформацією з питань кібербезпеки з огляду на потенційно конфіденційний характер інформації, що надається.
3. Держави-члени сприяють створенню механізмів обміну інформацією з кібербезпеки, зазначених у параграфі 2 цієї статті. Такі домовленості можуть визначати робочі елементи, включаючи використання спеціальних платформ ІКТ та засобів автоматизації, зміст і умови домовленостей про обмін інформацією. Встановлюючи деталі участі державних органів у таких угодах, держави-члени можуть встановлювати умови щодо інформації, наданої компетентними органами чи CSIRT. Держави-члени повинні пропонувати допомогу для застосування таких домовленостей відповідно до своєї політики, зазначеної в пункті (h) частини 2 статті 7.
4. Держави-члени повинні забезпечити, щоб істотні та важливі суб’єкти повідомляли компетентні органи про свою участь у домовленостях про обмін інформацією з кібербезпеки, зазначених у параграфі 2, після укладення таких домовленостей або, якщо це застосовно, про їх вихід із таких домовленостей, коли відкликання набуває чинності.
5. ENISA надає допомогу для встановлення механізмів обміну інформацією з кібербезпеки, зазначених у параграфі 2, шляхом обміну найкращими практиками та надання вказівок.
Стаття 30
Добровільне повідомлення відповідної інформації
1. Держави-члени забезпечують, щоб, окрім зобов’язання щодо повідомлення, передбаченого статтею 23, повідомлення могли подаватись до CSIRTs або, якщо це застосовно, до компетентних органів на добровільній основі:
a) суттєві та важливі суб’єкти щодо інцидентів, кіберзагроз і невдач;
b) суб’єктів, крім тих, що зазначені в пункті (a), незалежно від того, чи підпадають вони під сферу дії цієї Директиви, стосовно значних інцидентів, кіберзагроз і невдач.
2. Держави-члени обробляють повідомлення, зазначені в параграфі 1 цієї статті, відповідно до процедури, викладеної в статті 23. Держави-члени можуть надавати пріоритет обробці обов’язкових повідомлень над добровільними повідомленнями. У разі необхідності CSIRT і, якщо це застосовно, компетентні органи повинні надавати єдиним контактним особам інформацію про повідомлення, отримані згідно з цією статтею, забезпечуючи при цьому конфіденційність і відповідний захист інформації, наданої суб’єктом, що подає повідомлення. Без шкоди запобіганню, розслідуванню, розкриттю та переслідуванню кримінальних правопорушень, добровільне повідомлення не повинно призводити до покладання будь-яких додаткових зобов’язань на суб’єкт, який повідомляє, яких він не мав би, якби він не подав повідомлення.
РОЗДІЛ VII
НАГЛЯД ТА ЗАБЕЗПЕЧЕННЯ
Стаття 31
Загальні аспекти нагляду та правозастосування
1. Держави-члени забезпечують, щоб їхні компетентні органи здійснювали ефективний нагляд та вживали заходів, необхідних для забезпечення дотримання цієї Директиви.
2. Держави-члени можуть дозволити своїм компетентним органам визначати пріоритетність наглядових завдань. Таке встановлення пріоритетів має ґрунтуватися на підході, що ґрунтується на оцінці ризику. З цією метою, при виконанні своїх наглядових завдань, передбачених статтями 32 і 33, компетентні органи можуть встановлювати наглядові методології, що дозволяють визначити пріоритетність таких завдань відповідно до підходу, що ґрунтується на оцінці ризику.
3. Компетентні органи тісно співпрацюють з наглядовими органами відповідно до Регламенту (ЄС) 2016/679 під час розгляду інцидентів, що призводять до порушення персональних даних, без шкоди для компетенції та завдань наглядових органів згідно з цим Регламентом.
4. Без шкоди для національних законодавчих та інституційних рамок, держави-члени забезпечують, щоб під час нагляду за дотриманням суб’єктами державного управління цієї Директиви та застосування примусових заходів щодо порушень цієї Директиви компетентні органи мали відповідні повноваження для виконувати такі завдання з оперативною незалежністю по відношенню до підконтрольних органів державного управління. Держави-члени можуть прийняти рішення про введення належних, пропорційних та ефективних наглядових та примусових заходів щодо цих організацій відповідно до національних законодавчих та інституційних рамок.
Стаття 32
Наглядові та примусові заходи по відношенню до суб'єктів господарювання
1. Держави-члени забезпечують ефективність, пропорційність і переконливість наглядових або примусових заходів, застосованих до основних суб’єктів щодо зобов’язань, викладених у цій Директиві, з урахуванням обставин кожного окремого випадку.
2. Держави-члени повинні забезпечити, щоб компетентні органи, виконуючи свої наглядові завдання щодо основних суб’єктів господарювання, мали повноваження піддавати ці суб’єкти принаймні:
a) інспекціям на місці та нагляду за межами об’єкта, включаючи проведені вибіркові перевірки кваліфікованими фахівцями;
b) регулярні та цілеспрямовані перевірки безпеки, що проводяться незалежним органом або компетентним органом;
c) спеціальні аудити, у тому числі, якщо це виправдано на підставі значного інциденту або порушення цієї Директиви основною організацією;
d) сканування безпеки на основі об’єктивних, недискримінаційних, справедливих і прозорих критеріїв оцінки ризиків, у разі необхідності за співпраці відповідної організації;
e) запити на інформацію, необхідну для оцінки заходів з управління ризиками кібербезпеки, вжитих відповідним суб’єктом, включаючи задокументовану політику кібербезпеки, а також дотримання зобов’язань щодо надання інформації компетентним органам відповідно до статті 27;
f) запити на доступ до даних, документів та інформації, необхідних для виконання їхніх наглядових завдань;
g) запити на докази впровадження політики кібербезпеки, наприклад результати перевірок безпеки, проведених кваліфікованим аудитором, і відповідні базові докази. Цільові аудити безпеки, зазначені в першому абзаці, пункт (b), повинні базуватися на оцінках ризиків, проведених компетентним органом або суб’єктом аудиту, або на іншій доступній інформації, пов’язаній з ризиком. Результати будь-якого цільового аудиту безпеки мають бути доступні для компетентного органу. Витрати на такий цільовий аудит безпеки, проведений незалежним органом, оплачує суб’єкт аудиту, за винятком належним чином обґрунтованих випадків, коли компетентний орган приймає інше рішення.
3. Здійснюючи свої повноваження згідно з пунктом (e), (f) або (g) параграфа 2, компетентні органи мають зазначити мету запиту та уточнити запитувану інформацію.
4. Держави-члени забезпечують, щоб їхні компетентні органи, здійснюючи свої правозастосовні повноваження по відношенню до основних суб’єктів, мали повноваження принаймні:
a) видавати попередження про порушення цієї Директиви відповідними суб’єктами;
b) прийняти обов’язкові інструкції, у тому числі стосовно заходів, необхідних для запобігання або усунення інциденту, а також часових обмежень для впровадження таких заходів і звітування про їх виконання, або наказ, що вимагає від відповідних суб’єктів усунути недоліки виявлені або порушення цієї Директиви;
c) наказати відповідним організаціям припинити поведінку, яка порушує цю Директиву, і утримуватися від повторення такої поведінки;
d) наказати відповідним суб’єктам гарантувати, що їхні заходи з управління ризиками кібербезпеки відповідають статті 21, або виконувати зобов’язання щодо звітності, викладені у статті 23, у визначений спосіб і протягом визначеного періоду;
e) наказати зацікавленим організаціям інформувати фізичних або юридичних осіб, щодо яких вони надають послуги або здійснюють діяльність, яка потенційно зазнає значної кібернетичної загрози, про характер загрози, а також про будь-який можливий захист або виправлення заходи, які можуть бути вжиті цими фізичними чи юридичними особами у відповідь на цю загрозу;
f) наказати зацікавленим організаціям виконати рекомендації, надані в результаті аудиту безпеки, протягом розумного терміну;
g) призначити офіцера з моніторингу з чітко визначеними завданнями на визначений період часу для нагляду за дотриманням відповідними суб’єктами статей 21 і 23;
h) наказати зацікавленим організаціям оприлюднити аспекти порушень цієї Директиви у визначений спосіб;
i) накладати або вимагати накладення відповідними органами, судами чи трибуналами відповідно до національного законодавства адміністративного штрафу відповідно до статті 34 на додаток до будь-яких заходів, зазначених у пунктах (a)-(h) цього пункту.
5. Якщо примусові заходи, прийняті відповідно до пунктів (a) — (d) і (f) параграфа 4, є неефективними, держави-члени повинні забезпечити, щоб їхні компетентні органи мали повноваження встановлювати крайній термін, до якого основний суб’єкт вимагає від вжити необхідних заходів для усунення недоліків або виконання вимог цих органів. Якщо запитані дії не вжито протягом встановленого терміну, держави-члени забезпечують, щоб їхні компетентні органи мали повноваження:
a) тимчасово призупинити дію сертифікації чи авторизації щодо частини або всіх відповідних послуг, що надаються, або діяльності, що здійснюється основною організацією, або звернутися до органу сертифікації чи авторизації, або до суду чи трибуналу відповідно до національного законодавства щодо тимчасового призупинення дії сертифікації чи авторизації;
b) вимагати від відповідних органів, судів чи трибуналів, згідно з національним законодавством, тимчасово заборонити будь-якій фізичній особі, яка відповідає за виконання управлінських обов’язків на рівні головного виконавчого директора або законного представника основної організації, виконувати управлінські функції в цій організації. .
Тимчасові призупинення або заборони, накладені відповідно до цього пункту, застосовуються лише до тих пір, поки відповідна організація не вживе необхідних заходів для усунення недоліків або виконання вимог компетентного органу, для якого були застосовані такі примусові заходи.
Накладення таких тимчасових призупинень або заборон здійснюється відповідно до відповідних процедурних гарантій відповідно до загальних принципів права Союзу та Хартії, включаючи право на ефективний засіб правового захисту та справедливий судовий розгляд, презумпцію невинуватості та права захист. Примусові заходи, передбачені в цьому параграфі, не застосовуються до органів державного управління, які підпадають під дію цієї Директиви.
6. Держави-члени повинні забезпечити, щоб будь-яка фізична особа, яка відповідає або діє як законний представник істотної організації на підставі повноважень представляти її, повноважень приймати рішення від її імені або повноважень здійснювати контроль над нею, мала повноваження забезпечити його відповідність цій Директиві. Держави-члени забезпечують можливість притягнення таких фізичних осіб до відповідальності за порушення їхніх обов’язків із забезпечення дотримання цієї Директиви. Стосовно органів державного управління, цей пункт не порушує національне законодавство щодо відповідальності державних службовців та обраних чи призначених посадових осіб.
7. При вживанні будь-яких примусових заходів, зазначених у параграфі 4 або 5, компетентні органи повинні дотримуватися прав на захист і брати до уваги обставини кожного окремого випадку та, як мінімум, належним чином враховувати:
a) серйозність порушення та важливість порушених положень, у будь-якому разі наступне, серед іншого, є серйозним порушенням:
I) неодноразові порушення;
II) неспроможність повідомити або усунути значні інциденти;
III) нездатність усунути недоліки згідно з обов’язковими інструкціями компетентних органів;
IV) перешкоджання аудиту або діяльності з моніторингу за розпорядженням компетентного органу після виявлення порушення;
V) надання неправдивої або вкрай неточної інформації щодо заходів з управління ризиками кібербезпеки або зобов’язань щодо звітності, викладених у статтях 21 і 23;
b) тривалість порушення;
c) будь-які відповідні попередні порушення відповідної організації;
d) будь-які завдані матеріальні або нематеріальні збитки, включно з будь-якими фінансовими чи економічними збитками, впливом на інші послуги та кількістю постраждалих користувачів;
e) будь-який намір або недбалість з боку особи, яка вчинила порушення;
f) будь-які заходи, вжиті організацією для запобігання чи пом’якшення матеріальної чи нематеріальної шкоди;
g) будь-яке дотримання затверджених кодексів поведінки або затверджених механізмів сертифікації;
h) рівень співпраці відповідальних фізичних або юридичних осіб з компетентними органами.
8. Компетентні органи мають детально обґрунтувати свої примусові заходи. Перед вжиттям таких заходів компетентні органи повідомляють відповідні суб’єкти про свої попередні висновки. Вони також повинні надати цим суб’єктам розумний час для подання зауважень, за винятком належним чином обґрунтованих випадків, коли негайні дії для запобігання інцидентам або реагування на них інакше були б ускладнені.
9. Держави-члени повинні забезпечити, щоб їхні компетентні органи згідно з цією Директивою інформували відповідні компетентні органи в тій самій державі-члені згідно з Директивою (ЄС) 2022/2557 під час виконання своїх наглядових та правозастосовних повноважень, спрямованих на забезпечення відповідності суб’єкта, визначеного як критичний суб’єкт. відповідно до Директиви (ЄС) 2022/2557 з цією Директивою. У відповідних випадках компетентні органи згідно з Директивою (ЄС) 2022/2557 можуть вимагати від компетентних органів відповідно до цієї Директиви здійснювати свої наглядові та правозастосовні повноваження щодо суб’єкта, який визначено як критичний суб’єкт відповідно до Директиви (ЄС) 2022/2557.
10. Держави-члени забезпечують, щоб їхні компетентні органи відповідно до цієї Директиви співпрацювали з відповідними компетентними органами відповідної держави-члена відповідно до Регламенту (ЄС) 2022/2554. Зокрема, держави-члени повинні забезпечити, щоб їхні компетентні органи відповідно до цієї Директиви інформували Наглядовий форум, створений згідно зі статтею 32(1) Регламенту (ЄС) 2022/2554, під час виконання своїх наглядових та правозастосовних повноважень, спрямованих на забезпечення відповідності істотного суб’єкта, який визначено як критично важливий сторонній постачальник послуг ІКТ відповідно до статті 31 Регламенту (ЄС) 2022/2554. з цією Директивою.
Стаття 33
Наглядові та примусові заходи щодо важливих суб'єктів
1. У разі надання доказів, вказівок або інформації про те, що важливий суб’єкт нібито не відповідає цій Директиві, зокрема її статтям 21 і 23, держави-члени повинні забезпечити, щоб компетентні органи вжили заходів, у разі необхідності, за допомогою наглядових заходів ex post. Держави-члени забезпечують, щоб ці заходи були ефективними, пропорційними та стримуючими, беручи до уваги обставини кожного окремого випадку.
2. Держави-члени забезпечують, щоб компетентні органи, виконуючи свої наглядові завдання щодо важливих суб’єктів, мали повноваження піддавати ці суб’єкти принаймні:
a) інспекції на місці та екс-пост нагляд поза місцем, які проводяться навченими фахівцями;
b) цільові перевірки безпеки, що проводяться незалежним органом або компетентним органом;
c) сканування безпеки на основі об’єктивних, недискримінаційних, справедливих і прозорих критеріїв оцінки ризику, де це необхідно, за співпраці відповідної організації;
d) запити на інформацію, необхідну для оцінки, фактично, заходів з управління ризиками кібербезпеки, вжитих відповідним суб’єктом, включаючи задокументовану політику кібербезпеки, а також дотримання зобов’язань щодо надання інформації компетентним органам відповідно до статті 27;
e) запити на доступ до даних, документів та інформації, необхідних для виконання своїх наглядових завдань;
f) запити на докази впровадження політики кібербезпеки, наприклад результати перевірок безпеки, проведених кваліфікованим аудитором, і відповідні базові докази. Цільові аудити безпеки, зазначені в першому абзаці, пункт (b), повинні базуватися на оцінках ризиків, проведених компетентним органом або суб’єктом аудиту, або на іншій доступній інформації, пов’язаній з ризиком. Результати будь-якого цільового аудиту безпеки мають бути доступні для компетентного органу. Витрати на такий цільовий аудит безпеки, проведений незалежним органом, оплачує суб’єкт аудиту, за винятком належним чином обґрунтованих випадків, коли компетентний орган приймає інше рішення.
3. Здійснюючи свої повноваження згідно з пунктом (d), (e) або (f) пункту 2, компетентні органи повинні зазначити мету запиту та уточнити запитувану інформацію.
4. Держави-члени забезпечують, щоб компетентні органи, здійснюючи свої правозастосовні повноваження щодо важливих організацій, мали повноваження принаймні:
a) видавати попередження про порушення цієї Директиви відповідними організаціями;
b) прийняти обов’язкові інструкції або розпорядження, які вимагають від відповідних суб’єктів усунути виявлені недоліки або порушення цієї Директиви;
c) наказати відповідним організаціям припинити поведінку, яка порушує цю Директиву, і утримуватися від повторення такої поведінки; (d) наказати відповідним суб’єктам гарантувати, що їхні заходи з управління ризиками кібербезпеки відповідають статті 21, або виконувати зобов’язання щодо звітності, викладені у статті 23, у визначений спосіб і протягом визначеного періоду;
e) наказати зацікавленим організаціям інформувати фізичних або юридичних осіб, щодо яких вони надають послуги або здійснюють діяльність, яка потенційно зазнає значної кібернетичної загрози, про характер загрози, а також про будь-який можливий захист або виправлення заходи, які можуть бути вжиті цими фізичними чи юридичними особами у відповідь на цю загрозу;
f) наказати зацікавленим організаціям виконати рекомендації, надані в результаті аудиту безпеки, протягом розумного терміну;
g) наказати зацікавленим організаціям оприлюднити аспекти порушень цієї Директиви у визначений спосіб;
h) накладати або вимагати накладення відповідними органами, судами чи трибуналами відповідно до національного законодавства адміністративного штрафу відповідно до статті 34 на додаток до будь-яких заходів, зазначених у пунктах (a) — (g) цього пункту.
5. Стаття 32(6), (7) і (8) застосовується mutatis mutandis («зі зміненими речами, які слід змінити») до наглядових та примусових заходів, передбачених цією статтею для важливих організацій.
6. Держави-члени забезпечують, щоб їхні компетентні органи відповідно до цієї Директиви співпрацювали з відповідними компетентними органами відповідної держави-члена відповідно до Регламенту (ЄС) 2022/2554. Зокрема, держави-члени повинні забезпечити, щоб їхні компетентні органи відповідно до цієї Директиви інформували Наглядовий форум, створений відповідно до статті 32(1) Регламенту (ЄС) 2022/2554, під час виконання своїх наглядових та правозастосовних повноважень, спрямованих на забезпечення відповідності важливого суб’єкта, який визначено як критично важливий сторонній постачальник послуг ІКТ відповідно до статті 31 Регламенту (ЄС) 2022/2554. з цією Директивою.
Стаття 34
Загальні умови накладення адміністративних стягнень на істотних і істотних суб'єктів
1. Держави-члени забезпечують ефективність, пропорційність і переконливість адміністративних штрафів, накладених на істотні та важливі суб’єкти відповідно до цієї статті щодо порушень цієї Директиви, з урахуванням обставин кожного окремого випадку.
2. Адміністративні штрафи накладаються на додаток до будь-яких заходів, зазначених у статті 32(4), пункти (a)-(h), статті 32(5) та статті 33(4), пункти (a)-(g).
3. При вирішенні питання про накладення адміністративного штрафу та визначенні його розміру в кожному окремому випадку належна увага приділяється, як мінімум, елементам, передбаченим у статті 32(7).
4. Держави-члени забезпечують, щоб у разі порушення статей 21 або 23 основні суб’єкти підлягали, відповідно до частин 2 і 3 цієї статті, адміністративних штрафів у максимальній сумі щонайменше 10 000 000 євро або максимум у принаймні 2% від загального світового річного обороту за попередній фінансовий рік підприємства, до якого належить основний суб’єкт, залежно від того, що вище.
5. Держави-члени забезпечують, щоб у разі порушення статті 21 або 23 важливі суб’єкти підлягали, відповідно до частин 2 і 3 цієї статті, адміністративним штрафам у розмірі щонайменше 7 000 000 євро або максимум у принаймні 1,4% від загального світового річного обороту за попередній фінансовий рік підприємства, до якого належить важлива організація, залежно від того, що вище.
6. Держави-члени можуть передбачити повноваження накладати періодичні штрафні виплати, щоб змусити важливу або важливу юридичну особу припинити порушення цієї Директиви згідно з попереднім рішенням компетентного органу.
7. Без шкоди для повноважень компетентних органів відповідно до статей 32 і 33 кожна держава-член може встановити правила щодо того, чи можуть і в якому обсязі адміністративні штрафи накладатися на органи державного управління.
8. Якщо правова система держави-члена не передбачає адміністративних штрафів, ця держава-член забезпечує застосування цієї статті таким чином, щоб штраф ініціювався компетентним органом і накладався компетентними національними судами чи трибуналами, у той час як забезпечення того, щоб ці засоби правового захисту були ефективними та мали еквівалентний ефект до адміністративних штрафів, накладених компетентними органами. У будь-якому випадку накладені штрафи мають бути ефективними, пропорційними та переконливими. Держава-член повинна повідомити Комісію про положення законів, які вона ухвалює відповідно до цього параграфа, до 17 жовтня 2024 року та, невідкладно, про будь-які подальші зміни до закону або поправки, що їх стосуються.
Стаття 35
Порушення, що тягнуть за собою порушення персональних даних
1. Якщо компетентним органам під час нагляду або примусового виконання стає відомо, що порушення суттєвою або важливою організацією зобов’язань, викладених у статтях 21 і 23 цієї Директиви, може призвести до порушення персональних даних, як визначено в статті 4, пункту (12) Регламенту (ЄС) 2016/679, про який необхідно повідомити відповідно до статті 33 цього Регламенту, вони повинні без затримки повідомити наглядові органи, як зазначено в статті 55 або 56 цього Регламенту.
2. Якщо органи нагляду, як зазначено у статті 55 або 56 Регламенту (ЄС) 2016/679, накладають адміністративний штраф відповідно до пункту (i) частини 2 статті 58 цього Регламенту, компетентні органи не повинні накладати адміністративний штраф згідно зі статтею 34 цієї Директиви за порушення, згадане в параграфі 1 цієї статті, що є результатом тієї ж поведінки, що була предметом адміністративного штрафу відповідно до пункту (i) частини 2 статті 58 Регламенту (ЄС) 2016/679. Компетентні органи можуть, однак, застосувати примусові заходи, передбачені в пунктах (a) — (h) статті 32(4), пунктах (a) — (g) статті 32(5) і статті 33(4), цієї Директиви.
3. Якщо наглядовий орган, уповноважений відповідно до Регламенту (ЄС) 2016/679, засновано в іншій державі-члені, ніж уповноважений орган, компетентний орган повинен повідомити наглядовий орган, створений у його власній державі-члені, про потенційне порушення даних, зазначене в параграфі 1.
Стаття 36
Штрафи
Держави-члени встановлюють правила щодо санкцій, які застосовуються до порушень національних заходів, прийнятих відповідно до цієї Директиви, і вживають усіх заходів, необхідних для забезпечення їх виконання. Передбачені санкції мають бути ефективними, пропорційними та переконливими. Держави-члени повинні до 17 січня 2025 року повідомити Комісію про ці правила та заходи та негайно повідомити її про будь-які наступні поправки, які на них впливають.
Стаття 37
Взаємодопомога
1. Якщо організація надає послуги в більш ніж одній державі-члені або надає послуги в одній чи кількох державах-членах, а її мережа та інформаційні системи розташовані в одній чи кількох інших державах-членах, компетентні органи відповідних держав-членів повинні співпрацювати з і допомагати один одному в міру необхідності. Ця співпраця передбачає, принаймні, що:
a) компетентні органи, які застосовують наглядові або примусові заходи в державі-члені, повинні через єдиний контактний пункт інформувати та консультуватися з компетентними органами в інших зацікавлених державах-членах щодо вжитих наглядових і примусових заходів;
b) компетентний орган може попросити інший компетентний орган вжити наглядових або примусових заходів;
c) ісля отримання обґрунтованого запиту від іншого компетентного органу компетентний орган повинен надати іншому компетентному органу взаємну допомогу, пропорційну його власним ресурсам, щоб наглядові чи примусові заходи могли бути реалізовані ефективним, результативним і послідовним чином .
Взаємна допомога, згадана в першому абзаці, пункт ©, може охоплювати запити на інформацію та наглядові заходи, включаючи запити на проведення інспекцій на місці або нагляду за межами місця або цільових аудитів безпеки. Компетентний орган, до якого направлено запит про допомогу, не повинен відмовляти в цьому запиті, якщо не буде встановлено, що він не має компетенції надавати запитувану допомогу, запитувана допомога не є пропорційною наглядовим завданням компетентного органу або запит стосується інформації або тягне за собою діяльність, яка, якщо її розкриють або здійснять, суперечить основним інтересам національної безпеки, громадської безпеки чи оборони держави-члена. Перш ніж відхилити такий запит, компетентний орган повинен проконсультуватися з іншими відповідними компетентними органами, а також, на запит однієї із зацікавлених держав-членів, з Комісією та ENISA.
2. За необхідності та за спільною згодою компетентні органи різних держав-членів можуть здійснювати спільні наглядові дії.
РОЗДІЛ VIII
ДЕЛЕГОВАНІ ТА ІМПЛЕКТАЦІЙНІ АКТИ
Стаття 38
Здійснення делегування
1. Повноваження ухвалювати делеговані акти надаються Комісії відповідно до умов, викладених у цій статті.
2. Повноваження ухвалювати делеговані акти, зазначені в частині 2 статті 24, надаються Комісії на п’ятирічний період з 16 січня 2023 року.
3. Делегування повноважень, зазначене у частині 2 статті 24, може бути відкликане в будь-який час Європейським Парламентом або Радою. Рішення про відкликання припиняє делегування повноважень, визначених у цьому рішенні. Воно набирає чинності наступного дня після публікації рішення в Офіційному журналі Європейського Союзу або на пізнішу дату, зазначену в ньому. Це не впливає на дійсність будь-яких делегованих актів, які вже є чинними.
4. Перед ухваленням делегованого акта Комісія проводить консультації з експертами, призначеними кожною державою-членом відповідно до принципів, викладених у Міжінституційній угоді від 13 квітня 2016 року про покращення законотворчості.
5. Як тільки вона ухвалить делегований акт, Комісія повинна повідомити про це одночасно Європейський Парламент і Раду. 6. Делегований акт, прийнятий відповідно до частини 2 статті 24, набирає чинності, лише якщо Європейський парламент або Рада не висловили жодних заперечень протягом двох місяців після повідомлення про цей акт Європейському парламенту та Рада або якщо до закінчення цього періоду Європейський Парламент і Рада повідомили Комісію, що вони не будуть заперечувати. Цей період продовжується на два місяці за ініціативою Європейського Парламенту або Ради.
Стаття 39
Процедура комітету
1. Комісії допомагає комітет. Цей комітет є комітетом у значенні Регламенту (ЄС) № 182/2011.
2. Якщо робиться посилання на цей параграф, застосовується стаття 5 Регламенту (ЄС) № 182/2011.
3. Якщо висновок комітету має бути отриманий за письмовою процедурою, ця процедура припиняється безрезультатно, якщо протягом терміну для надання висновку голова комітету вирішить або член комітету попросить про це.
РОЗДІЛ IX
ПРИКІНЦЕВІ ПОЛОЖЕННЯ
Стаття 40
Огляд
До 17 жовтня 2027 року та кожні 36 місяців після цього Комісія повинна переглядати функціонування цієї Директиви та звітувати Європейському Парламенту та Раді. У звіті, зокрема, оцінюється відповідність розміру відповідних організацій, а також секторів, підгалузей і типів організацій, зазначених у Додатках I та II, для функціонування економіки та суспільства у зв’язку з кібербезпекою. З цією метою та з метою подальшого просування стратегічного та оперативного співробітництва Комісія бере до уваги звіти Групи співробітництва та мережі CSIRT про досвід, набутий на стратегічному та оперативному рівнях. Звіт супроводжується, якщо необхідно, законодавчою пропозицією.
Стаття 41
Транспозиція
1. До 17 жовтня 2024 року держави-члени повинні прийняти та опублікувати заходи, необхідні для дотримання цієї Директиви. Вони негайно повідомляють про це Комісію. Вони застосовують ці заходи з 18 жовтня 2024 року.
2. Коли держави-члени приймають заходи, зазначені в частині 1, вони повинні містити посилання на цю Директиву або супроводжуватися таким посиланням у разі їх офіційної публікації. Методи такого посилання повинні бути встановлені державами-членами.
Стаття 42
Поправка до Регламенту (ЄС) № 910/2014
У Регламенті (ЄС) № 910/2014 стаття 19 видалена з 18 жовтня 2024 року.
Стаття 43
Поправка до Директиви (ЄС) 2018/1972
У Директиві (ЄС) 2018/1972 статті 40 і 41 видаляються з 18 жовтня 2024 року.
Стаття 44
Скасувати
Директива (ЄС) 2016/1148 скасовується з 18 жовтня 2024 року.
Посилання на скасовану Директиву слід тлумачити як посилання на цю Директиву та читати відповідно до кореляційної таблиці, наведеної в Додатку III.
Стаття 45
Набрання чинності
Ця Директива набуває чинності на двадцятий день після її публікації в Офіційному журналі Європейського Союзу.
Стаття 46
Адресати
Ця Директива адресована державам-членам.
Вчинено у Страсбурзі 14 грудня 2022 року.
Для Європейського парламенту Для Ради
Президент Р. МЕТСОЛА Президент М. БЕК
