(1) Мрежите и информационните системи и услуги имат изключително важна роля в обществото. Тяхната надеждност и сигурност са от основно значение за стопанските и обществените дейности и особено за функционирането на вътрешния пазар.
(2) Мащабите, честотата и въздействието на свързаните със сигурността инциденти се увеличават и представляват крупна заплаха за функционирането на мрежите и информационните системи. Тези системи могат също така да се превърнат в мишена за преднамерени злонамерени действия, имащи за цел да повредят системите или да прекъснат тяхната работа. Подобни инциденти могат да попречат на извършването на стопански дейности, да причинят значителни финансови загуби, да подкопаят доверието на потребителите и да причинят големи вреди на икономиката на Съюза.
(3) Мрежите и информационните системи, и най-вече интернет, са от основно значение за улесняването на трансграничното движение на стоки, услуги и хора. Поради транснационалния им характер всяко съществено нарушение на тези системи, било то умишлено или неволно и без значение на кое място се извършва, може да засегне отделни държави членки, а и целия Съюз. Ето защо сигурността на мрежите и информационните системи е от основно значение за гладкото функциониране на вътрешния пазар.
(4) Като се използва значителният напредък, постигнат в рамките на Европейския форум за държавите членки, при насърчаването на дискусиите и обмена на добри практики в политиките, включително разработването на принципи на европейското сътрудничество при киберкризи, следва да бъде създадена група за сътрудничество, състояща се от представители на държавите членки, Комисията и Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA), която да улеснява и подкрепя стратегическото сътрудничество между държавите членки по отношение на сигурността на мрежите и информационни системи. За да бъде ефективна и приобщаваща тази група, е от основно значение всички държави членки да разполагат с минимален капацитет и със стратегия, гарантираща високо ниво на сигурност на мрежите и информационни системи на тяхна територия. Освен това към операторите на основни услуги и доставчиците на цифрови услуги следва да се прилагат изисквания за сигурност и уведомяване, с цел да се насърчи култура на управление на риска и да се гарантира докладването на най-сериозните инциденти.
(5) Съществуващите способности не са достатъчни, за да се гарантира високо ниво на сигурност на мрежите и информационни системи в Съюза. Нивото на подготвеност на различните държави членки е твърде различно, което води до разпокъсани действия в различните части на Съюза. Това от своя страна е причина нивото на защита на потребителите и предприятията да не е еднакво и подкопава общото ниво на сигурност на мрежите и информационни системи в Съюза. Липсата на общи изисквания за операторите на основни услуги и доставчиците на цифрови услуги на свой ред прави невъзможно създаването на глобален и ефективен механизъм за сътрудничество на равнището на Съюза. Университетите и изследователските центрове имат основно значение за насърчаване на научноизследователската и развойна дейност и иновациите в тези области.
(6) Поради това ефективният отговор на предизвикателствата пред сигурността на мрежите и информационните системи изисква глобален подход на равнището на Съюза, който да включва общи минимални изисквания за изграждане на капацитет и планиране, обмен на информация, сътрудничество и общи изисквания по отношение на сигурността за операторите на основни услуги и доставчиците на цифрови услуги. Допуска се обаче операторите на основни услуги и доставчиците на цифрови услуги да прилагат мерки за сигурност, които са по-строги от предвидените в настоящата директива.
(7) За да бъдат обхванати всички съответни инциденти и рискове, настоящата директива следва да се прилага както по отношение на операторите на основни услуги, така и на доставчиците на цифрови услуги. Въпреки това задълженията за операторите на основни услуги и доставчиците на цифрови услуги следва да не се прилагат по отношение на предприятия, предоставящи обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги по смисъла на Директива 2002/21/ЕО на Европейския парламент и на Съвета (3), към които се прилагат специалните изисквания за сигурност и цялост от същата директива, нито следва да се прилагат по отношение на доставчиците на удостоверителни услуги по смисъла на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета (4), към които се прилагат изискванията за сигурност, предвидени в същия регламент.
(8) Настоящата директива следва да не засяга възможността всяка държава членка да предприема необходимите мерки, с които да гарантира защитата на основните интереси на своята сигурност, да опазва обществения ред и обществената сигурност и да създава условия за разследването, разкриването и наказателното преследване на престъпления. В съответствие с член 346 от Договора за функционирането на Европейския съюз (ДФЕС) нито една държава членка не може да бъде задължавана да предоставя информация, чието разкриване тя счита за противоречащо на основните интереси на нейната сигурност. В този контекст имат значение Решение 2013/488/ЕС на Съвета (5) и споразуменията за неразкриване на информация или неформалните споразумения за неразкриване на информация, като протокола за обмен на информация с цветен код за поверителност (Traffic Light Protocol).
(9) Някои стопански сектори са вече регулирани или е възможно да бъдат регулирани в бъдеще посредством правни актове на Съюза, които са специални за конкретния сектор и които включват правила, свързани със сигурността на мрежите и информационните системи. Когато в тези правни актове на Съюза се съдържат разпоредби, налагащи изисквания за сигурност на мрежите и информационните системи или за уведомяването за инциденти, тези разпоредби следва да се прилагат, ако съдържат изисквания, които са най-малкото равностойни по действие на задълженията, съдържащи се в настоящата директива. В такъв случай държавите членки следва да прилагат разпоредбите на тези специални за конкретен сектор правни актове на Съюза, включително онези от тях, които се отнасят за юрисдикцията, и следва да не изпълняват процеса по определяне на операторите на основни услуги, определен в настоящата директива. В този контекст държавите членки следва да представят информация на Комисията относно прилагането на разпоредбите, имащи характера на lex specialis. При определяне дали изискванията за сигурност на мрежите и информационните системи и за уведомяване за инциденти, съдържащи се в специални за конкретен сектор правни актове на Съюза, са равностойни на изискванията по настоящата директива следва да се имат предвид единствено разпоредбите на приложимите правни актове на Съюза и тяхното приложение в държавите членки.
(10) В сектора на водния транспорт изискванията за сигурност на дружества, кораби, пристанищни съоръжения, пристанища и услуги за корабния трафик, съобразени с правните актове на Съюза, обхващат всички операции, включително радио- и телекомуникационните системи, компютърните системи и мрежите. В част от задължителните процедури, които трябва да бъдат следвани, се включва докладването за всички инциденти, поради което тази част следва да се разглежда като lex specialis, доколкото посочените изисквания са най-малкото равностойни на съответните разпоредби на настоящата директива.
(11) При определянето на оператори в сектора на водния транспорт държавите членки следва да вземат предвид съществуващи и бъдещи международни кодекси и насоки, изготвени по-специално от Международната морска организация, с оглед осигуряване на съгласуван подход за отделните морски оператори.
(12) Регулирането и надзорът в секторите на банковото дело и инфраструктурите на финансовите пазари е с висока степен на хармонизация на равнището на Съюза, постигната чрез използването на първичното и вторичното право на Съюза и стандартите, разработени заедно с европейските надзорни органи. В рамките на банковия съюз прилагането и надзорът във връзка с тези изисквания се осигурява чрез единния надзорен механизъм. За държавите членки, които не са част от банковия съюз, това се осигурява от съответните банкови регулатори на държавите членки. В други области на регулиране на финансовия сектор Европейската система за финансов надзор също осигурява висока степен на уеднаквяване и сближаване на надзорните практики. Европейският орган за ценни книжа и пазари също изпълнява функции на пряк надзор за някои субекти, а именно агенциите за кредитен рейтинг и регистрите на транзакции.
(13) Операционният риск е важна част от пруденциалното регулиране и надзор в областта на банковото дело и инфраструктурите на финансовите пазари. Той обхваща всички операции, включително сигурността, целостта и устойчивостта на мрежите и информационните системи. Изискванията във връзка с тези системи, които често надхвърлят изискванията, предвидени в настоящата директива, са установени в редица правни актове на Съюза, включително: правилата относно достъпа до дейността на кредитните институции и относно пруденциалния надзор върху кредитните институции и инвестиционните посредници и правилата относно пруденциалните изисквания за кредитните институции и инвестиционните посредници, които включват изисквания относно операционния риск; правилата относно пазарите на финансови инструменти, които включват изисквания относно оценката на риска във връзка с инвестиционните посредници и регулираните пазари; правилата относно извънборсовите деривати, централните контрагенти и регистрите на транзакции, които включват изисквания за операционния риск във връзка с централните контрагенти и регистрите на транзакции; и правилата относно подобряването на сетълмента на ценни книжа в Съюза и относно централните депозитари на ценни книжа, които включват изисквания за операционен риск. Освен това изискванията за уведомяване за инциденти са част от нормалните надзорните практики във финансовия сектор и често са включени в наръчници за надзор. Държавите членки следва да вземат предвид посочените правила и изисквания при прилагането на lex specialis.
(14) Както отбелязва Европейската централна банка в своето становище от 25 юли 2014 г. (6), настоящата директива не засяга възприетия съгласно правото на Съюза режим за надзор от страна на Евросистемата върху платежните системи и системите за сетълмент. За органите, отговарящи за този надзор, би било подходящо да обменят знания и опит по въпросите, свързани със сигурността на мрежите и информационните системи, с компетентните по настоящата директива органи. Същото съображение важи и за държавите, които са извън еврозоната, но са част от Европейската система на централните банки, които упражняват такъв надзор върху платежните системи и системите за сетълмент въз основа на националните им законови и подзаконови разпоредби.
(15) Онлайн местата за търговия дават възможност на потребители и търговци да сключват онлайн договори за продажба или услуги с търговци и са крайното място за сключването на тези договори. Те следва да не обхващат онлайн услугите, които служат единствено като посредник към услуги на трети лица, чрез които в крайна сметка може да бъде сключен договор. Ето защо те следва да не обхващат онлайн услуги, които сравняват цената на определени продукти или услуги от различни търговци, а после препращат ползвателя към предпочитания търговец за закупуване на продукта. Изчислителните услуги, предоставяни от онлайн мястото за търговия, биха могли да включват обработването на сделки, агрегирането на данни или изготвянето на профил на ползвателите. Магазините за приложения, които работят като онлайн магазини, позволяващи цифровото разпространение на приложения или софтуерни програми от трети лица, следва да бъдат разглеждани като вид онлайн място за търговия.
(16) Онлайн търсачките позволяват на ползвателя да извършва търсене по принцип във всички уебсайтове въз основа на запитване, независимо от темата. Алтернативно те може да са насочени към уебсайтовете на определен език. Определението за онлайн търсачка, предвидено в настоящата директива, следва да не обхваща функциите за търсене, които са ограничени до съдържанието на конкретен уебсайт, независимо дали тази функция за търсене се предоставя от външна онлайн търсачка. То следва да не обхваща и онлайн услуги, които сравняват цената на определени продукти или услуги от различни търговци, а после препращат ползвателя към предпочитания търговец за закупуване на продукта.
(17) Компютърните услуги „в облак“ обхващат широк спектър от дейности, които могат да бъдат предоставяни съгласно различни модели. За целите на настоящата директива понятието компютърни услуги „в облак“ включва услуги, които позволяват достъп до променлив по мащаб и еластичен набор от компютърни ресурси, които могат да бъдат ползвани съвместно. Тези „компютърни ресурси“ включват ресурси като мрежи, сървъри или друга инфраструктура, средства за съхранение, приложения и услуги. Понятието „променлив по мащаб“ означава, че компютърните ресурси се предоставят гъвкаво от доставчиците на компютърни услуги „в облак“, независимо от географското местоположение на ресурсите, за да бъдат отразени промените в търсенето. Понятието „еластичен набор“ се използва за описание на компютърните ресурси, които се предоставят и използват в зависимост от търсенето, за да може бързо да се увеличават или намаляват ресурсите, които са на разположение, в зависимост от работното натоварване. Изразът „които могат да бъдат ползвани съвместно“ се използва за описание на компютърните ресурси, които се предоставят на множество ползватели, които имат общ достъп до услугата, но обработването се извършва отделно за всеки ползвател, въпреки че услугата се предоставя от едно и също електронно оборудване.
(18) Функцията на точките за обмен в интернет (ТОИ) е да свързват мрежи. ТОИ не осигуряват достъп до мрежа, нито служат като транзитен доставчик или превозвач. ТОИ също така не предоставят други услуги, които не са свързани с междумрежови връзки, въпреки че това не изключва възможността операторите на ТОИ да предоставят други услуги, които не са свързани с междумрежови връзки. ТОИ съществуват, за да свързват мрежи, които са технически и организационно разделени. Понятието „автономна система“ се използва за описанието на технически независима мрежа.
(19) Държавите членки следва да отговарят за определянето на това кои субекти отговарят на критериите от определението за оператор на основни услуги. За да се осигури последователен подход, определението за оператор на основни услуги следва да се прилага съгласувано от всички държави членки. За тази цел в настоящата директива е предвидена оценка на субектите, които извършват дейност в конкретните сектори и подсектори, изготвяне на списък на основните услуги, разглеждане на възможността за въвеждане на общ списък на междусекторните фактори за определяне дали потенциален инцидент би имал значително увреждащо въздействие, процес на консултиране, включващ съответните държави членки, в случай на субекти, които предоставят услуги в повече от една държава членка, и подкрепа за групата за сътрудничество в процеса на идентификация. За да се гарантира точното отражение на евентуалните промени на пазара, списъкът с определени оператори следва да подлежи на редовен преглед от държавите членки и при необходимост да бъде актуализиран. На последно място, държавите членки следва да представят на Комисията необходимата информация, за да може тя да прецени до каква степен тази обща методология е позволила на държавите членки да прилагат единно определение.
(20) В процеса на определяне на операторите на основни услуги държавите членки следва да направят оценка най-малко за всеки подсектор, посочен в настоящата директива, кои услуги трябва да се считат за основни за поддържането на особено важни обществени и стопански дейности, а също и дали субектите, изброени в секторите и подсекторите, посочени в настоящата директива и предоставящи въпросните услуги, отговарят на критериите за определяне на операторите. При изготвянето на оценката дали даден субект предоставя услуга, която е основна за поддържането на особено важни обществени или стопански дейности, е достатъчно да бъде проверено дали този субект предоставя услуга, която е включена в списъка на основни услуги. Освен това следва да се докаже, че предоставянето на основната услуга зависи от мрежи и информационни системи. На последно място, при изготвянето на оценката дали даден инцидент би имал значително увреждащо въздействие върху предоставянето на услугата държавите членки следва да имат предвид редица междусекторни фактори, както и факторите, които са характерни за конкретния сектор, когато е подходящо.
(21) За целите на определянето на операторите на основни услуги установяването в държава членка предполага ефективно и действително упражняване на дейност въз основа на стабилни правила. Правната форма на тези правила, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение.
(22) Възможно е субектите, работещи в секторите и подсекторите, посочени в настоящата директива, да предоставят както основни, така и неосновни услуги. Например, в сектора на въздушния транспорт летищата предоставят услуги, които дадена държава членка би могла да счете за основни, като управление на пистите, но и редица услуги, които може да бъдат счетени за неосновни, като предоставяне на търговски площи. Операторите на основни услуги следва да спазват специалните изисквания за сигурност единствено по отношение на услугите, които се считат за основни. Ето защо за целите на определянето на операторите държавите членки следва да съставят списък на услугите, които се считат за основни.
(23) Списъкът на услугите следва да съдържа всички услуги, предоставяни на територията на дадена държава членка, които отговарят на изискванията на настоящата директива. Държавите членки следва да могат да допълват съществуващия списък, като включват нови услуги. Списъкът на услугите следва да служи за справка на държавите членки и да им позволява да определят операторите на основни услуги. Неговото предназначение е да бъдат набелязани видовете основни услуги във всеки сектор, посочен в настоящата директива, като по този начин бъдат разграничени от неосновните дейности, за които даден субект, извършващ дейност в даден сектор, може да отговаря. Списъкът на услугите, съставен от всяка държава членка, ще служи за допълнителна информация при оценката на регулаторните практики на всяка държава членка с оглед на гарантирането на цялостна последователност на процеса на идентификация между държавите членки.
(24) За целите на процеса на идентификация, когато даден субект предоставя основна услуга в две или повече държави членки, тези държави членки следва да провеждат двустранни или многостранни обсъждания помежду си. Целта на този консултативен процес е да подпомогне оценката на влиянието на оператора предвид трансграничното му въздействие, като така се даде възможност на всяка участваща държава членка да изрази своето мнение относно рисковете, свързани с предоставяните услуги. В този процес участващите държави членки следва да отчетат взаимно мненията си и следва да могат да се обърнат за съдействие към групата за сътрудничество.
(25) В резултат на процеса на идентификация държавите членки следва да приемат национални мерки, за да определят за кои субекти се прилагат задълженията, свързани със сигурността на мрежите и информационните системи. Този резултат би могъл да се постигне чрез приемането на списък на всички оператори на основни услуги или чрез приемането на национални мерки, включително обективни количествени критерии, като например продукция на оператора или брой ползватели, които да позволяват да се определи за кои субекти се прилагат задълженията, свързани със сигурността на мрежите и информационните системи. Националните мерки, независимо дали са съществуващи или се приемат във връзка с настоящата директива, следва да включват всички правни мерки, административни мерки и политики, които позволяват определянето на операторите на основни услуги съгласно настоящата директива.
(26) За да се укаже значението на определените оператори на основни услуги във връзка със съответния сектор, държавите членки следва да вземат предвид броя и мащаба на операторите, например по отношение на пазарен дял или на произведено или превозено количество, без да са длъжни да разпространяват информация, която би разкрила кои са определените оператори.
(27) За да определят дали даден инцидент би имал значително увреждащо въздействие върху предоставянето на основна услуга, държавите членки следва да вземат предвид различни фактори, като броя на ползвателите, които разчитат на услугата за лични или професионални цели. Използването на услугата може да бъде пряко, непряко или чрез посредник. При оценяване на възможното въздействие на даден инцидент от гледна точка на неговия мащаб и продължителност върху стопанските и обществените дейности или върху обществената безопасност, държавите членки следва да правят оценка и на времето, което вероятно ще измине, преди прекъсването да започне да оказва отрицателно въздействие.
(28) В допълнение към междусекторните фактори следва да бъдат взети предвид и характерните за конкретния сектор фактори, за да се определи дали даден инцидент би оказал значително увреждащо въздействие върху предоставянето на основна услуга. По отношение на доставчиците на енергия такива фактори биха могли да включват обема на произведената енергия или нейния дял в национален план; за доставчиците на нефт — дневния обем; за въздушния транспорт, включително летищата и въздушните превозвачи, железопътния транспорт и морските пристанища — дела от националния обем на трафика и броя на пътниците или товарните операции за година; за банковите инфраструктури или инфраструктурите на финансовите пазари — тяхното системно значение въз основа на общите им активи или съотношението между тези активи и БВП; за сектора на здравеопазването — броя на пациентите, обслужени от доставчика на здравни услуги за година; за добива, обработката и доставката на вода — обема и броя на ползвателите, за които е доставена водата, и техния вид, включително например болници, учреждения за обществени услуги, организации или физически лица, както и наличието на алтернативни източници на вода, които да покриват същата географска територия.
(29) С цел постигане и поддържане на високо ниво на сигурност на мрежите и информационните системи всяка държава членка следва да има национална стратегия относно сигурността на мрежите и информационните системи, в която да са определени стратегическите цели и конкретните действия на политиката, които ще бъдат изпълнявани.
(30) С оглед на различията в националните структури на управление и с цел да се защитят вече съществуващи секторни правила или надзорните и регулаторни органи на Съюза, както и да се избегне дублирането, държавите членки следва да могат да определят повече от един национален компетентен орган, отговарящ за изпълнение на задачите, свързани със сигурността на мрежите и информационните системи на операторите на основни услуги и доставчиците на цифрови услуги съгласно настоящата директива.
(31) За да се улесни трансграничното сътрудничество и комуникация и да се осигури възможност за ефективно изпълнение на настоящата директива, е необходимо всяка държава членка, без да се засягат секторните регулаторни правила, да определи национално единно звено за контакт, което да отговаря за координацията на въпросите, свързани със сигурността на мрежите и информационните системи, и за трансграничното сътрудничество на равнището на Съюза. Компетентните органи и единните звена за контакт следва да разполагат с достатъчно технически, финансови и човешки ресурси, за да се гарантира, че са в състояние да изпълняват ефективно и ефикасно възложените им задачи и по този начин да постигат целите на настоящата директива. Тъй като настоящата директива има за цел да подобри функционирането на вътрешния пазар чрез изграждането на доверие, органите на държавите членки трябва да могат да си сътрудничат ефективно със стопанските субекти и да бъдат подходящо структурирани.
(32) Уведомленията за инцидентите следва да се подават до компетентните органи или до екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС). Единните звена за контакт следва да не получават директно уведомления за инциденти, освен ако не изпълняват и функциите на компетентен орган или ЕРИКС. Даден компетентен орган или ЕРИКС следва обаче да може да възложи на единното звено за контакт задачата да предава уведомленията за инциденти на единните звена за контакт на други засегнати държави членки.
(33) За да се осигури ефективното предоставяне на информация на държавите членки и Комисията, единното звено за контакт следва да представи на групата за сътрудничество обобщителен доклад, който следва да съдържа информация на анонимна основа, така че да се запази поверителността на уведомленията и самоличността на операторите на основни услуги и доставчиците на цифрови услуги, тъй като информацията относно идентификационните данни на уведомяващия субект не се изисква за обмена на най-добри практики в групата за сътрудничество. Обобщителният доклад следва да съдържа информация относно броя на получените уведомления, както и данни относно характера на инцидентите, за които са подадени уведомления, като например типа на нарушенията на сигурността, тяхната сериозност или продължителност.
(34) Държавите членки следва да бъдат достатъчно добре подготвени и като технически, и като организационен капацитет да предотвратяват, установяват, реагират и ограничават инцидентите и рисковете в мрежите и информационните системи. Ето защо държавите членки следва да гарантират, че разполагат с добре функциониращи ЕРИКС, известни още като екипи за незабавно реагиране при компютърни инциденти, които да отговарят на основните изисквания за гарантиране на ефективни и съвместими способности за справяне с инциденти и рискове и за осигуряване на ефективно сътрудничество на равнището на Съюза. За да се ползват всички видове оператори на основни услуги и доставчици на цифрови услуги от тези способности и това сътрудничество, държавите членки следва да гарантират, че за всички тези видове има определен ЕРИКС. Предвид значението на международното сътрудничество в областта на киберсигурността, ЕРИКС следва да имат възможността да участват в мрежите за международно сътрудничество в допълнение към участието им в мрежата на ЕРИКС, създадена с настоящата директива.
(35) Тъй като повечето мрежи и информационни системи се експлоатират от частни субекти, сътрудничеството между публичния и частния сектор е от основно значение. Операторите на основни услуги и доставчиците на цифрови услуги следва да бъдат насърчавани да развиват свои собствени механизми за неформално сътрудничество за гарантиране на сигурността на мрежите и информационните системи. Групата за сътрудничество следва да може да покани съответните конституенти на обсъжданията, когато това е целесъобразно. За ефективното насърчаване на споделянето на информация и най-добри практики е от основно значение да се гарантира, че операторите на основни услуги и доставчиците на цифрови услуги, които се включват в такъв обмен, няма да бъдат ощетени в резултат на сътрудничеството си.
(36) ENISA следва да оказва подкрепа на държавите членки и Комисията, като предоставя на разположение своите експертни познания и ги консултира, и улеснява обмена на най-добри практики. По-специално Комисията следва, а държавите членки следва да могат да се консултират с ENISA при прилагането на настоящата директива. За изграждането на капацитет и знания сред държавите членки групата за сътрудничество следва да служи и като инструмент за обмен на най-добри практики, за обсъждане на способностите и на подготвеността на държавите членки, за подпомагане на доброволна основа на нейните членове при оценката на националните стратегии относно сигурността на мрежите и информационните системи, изграждането на капацитет и оценката на учения в областта на сигурността на мрежите и информационните системи.
(37) Когато е целесъобразно, държавите членки следва да могат да използват или да адаптират съществуващите организационни структури или стратегии при прилагането на настоящата директива.
(38) Съответните задачи на групата за сътрудничество и на ENISA са взаимозависими и се допълват. Като цяло ENISA следва да подпомага групата за сътрудничество в изпълнението на нейните задачи в съответствие с целта на ENISA, установена в Регламент (ЕС) № 526/2013 на Европейския парламент и на Съвета (7), а именно да подпомага институциите, органите, службите и агенциите на Съюза и държавите членки при изпълнението на политиките, необходими за спазването на правните и регулаторните изисквания за сигурност на мрежите и информационните системи съгласно действащите и бъдещите правни актове на Съюза. По-специално ENISA следва да предоставя помощ в онези области, които съответстват на нейните собствени задачи, установени в Регламент (ЕС) № 526/2013, а именно анализиране на стратегии относно сигурността на мрежите и информационните системи, подкрепа за организирането и провеждането на учения на Съюза в областта на сигурността на мрежите и информационните системи и обмен на информация и на най-добри практики в повишаването на осведомеността. ENISA следва също така да участва в разработването на насоки за характерни за конкретния сектор критерии за определяне на значимостта на въздействието на инцидентите.
(39) С цел да способства за усъвършенствана сигурност на мрежите и информационните системи групата за сътрудничество следва, когато е целесъобразно, да си сътрудничи със съответните институции, органи, служби и агенции на Съюза, за да обменя знания и най-добри практики с тях и да ги консултира по свързани със сигурността въпроси на мрежите и информационните системи, които биха могли да окажат въздействие върху тяхната работа, като спазва съществуващите правила за обмен на класифицирана информация. При сътрудничеството си с правоприлагащите органи по въпроси, свързани със сигурността на мрежите и информационните системи, които биха могли да окажат въздействие върху тяхната работа, групата за сътрудничество следва да се придържа към съществуващите информационни канали и изградените мрежи.
(40) Информацията относно инцидентите е все по-ценна за широката общественост и предприятията, особено за малките и средните предприятия. В някои случаи тази информация вече се предоставя посредством уебсайтове на национално равнище, на езика на дадена държава, и е насочена главно към инциденти и случаи с национално измерение. Предвид факта, че предприятията работят все по-често на трансгранична основа и гражданите използват онлайн услуги, информацията за инцидентите следва да се предоставя обобщено на равнището на Съюза. Секретариатът на мрежата на ЕРИКС се насърчава да поддържа уебсайт или да създаде специална страница в съществуващ уебсайт, където на широката общественост да се предоставя обща, насочена специално към интересите и нуждите на предприятията информация за големи свързани със сигурността инциденти, засягащи мрежите и информационните системи, които са възникнали на територията на целия Съюз. Участващите в мрежата на ЕРИКС се насърчават да предоставят на доброволна основа информацията, която да бъде публикувана на този уебсайт, без да се включва поверителна информация или информация с чувствителен характер.
(41) Когато информация се счита за поверителна в съответствие с националните правила и правилата на Съюза относно търговската тайна, следва да се гарантира поверителност при провеждането на дейностите и изпълнението на целите, определени в настоящата директива.
(42) Ученията, при които в реално време се симулират сценарии на инциденти, са от основно значение за проверка на подготвеността и сътрудничеството на държавите членки във връзка със сигурността на мрежите и информационните системи. Цикълът от учения CyberEurope, координиран от ENISA, с участието на държавите членки, е полезен инструмент за проверка и изготвяне на препоръки за подобряване в бъдеще на действията при инциденти на равнището на Съюза. Като се има предвид, че понастоящем държавите членки не са задължени нито да планират, нито да участват в учения, създаването на мрежата на ЕРИКС съгласно настоящата директива следва да даде възможност на държавите членки да участват в учения въз основа на точно планиране и стратегически решения. Групата за сътрудничество, създадена съгласно настоящата директива, следва да обсъжда стратегическите решения във връзка с ученията, по-специално, но не само, по отношение на тяхната честота и подготовката на сценариите. В съответствие с мандата си ENISA следва да подкрепя организирането и провеждането на учения в целия Съюз, като предоставя своите експертни познания и консултира групата за сътрудничество и мрежата на ЕРИКС.
(43) С оглед на глобалния характер на свързаните със сигурността проблеми, засягащи мрежите и информационните системи, е необходимо по-тясно международно сътрудничество за повишаване на стандартите за сигурност, за подобряване на обмена на информация и за насърчаване на единен глобален подход по въпросите на сигурността.
(44) Отговорността по гарантиране на сигурността на мрежите и информационните системи е в голяма степен на операторите на основни услуги и на доставчиците на цифрови услуги. Следва да се насърчава култура на управление на риска, част от която са оценката на риска и изпълнението на мерки за сигурност, съобразени със съществуващите рискове, и тази култура следва да се развива чрез подходящи регулаторни изисквания и доброволни практики от страна на съответните сектори. Постигането на надеждни условия на равнопоставеност също е от основно значение за ефективното функциониране на групата за сътрудничество и мрежата на ЕРИКС при гарантирането на ефективно сътрудничество от страна на всички държави членки.
(45) Настоящата директива се прилага единствено по отношение на публичните администрации, които са определени за оператори на основни услуги. Следователно държавите членки отговарят за гарантирането на сигурността на мрежите и информационните системи на публичните администрации, които не попадат в обхвата на настоящата директива.
(46) Мерките за управление на риска включват мерки за набелязване на всякакви рискове от инциденти с цел предотвратяване, разкриване и предприемане на действия при инциденти, както и за тяхното ограничаване. Сигурността на мрежите и информационните системи включва сигурността на данните, които се съхраняват, предават и обработват.
(47) Компетентните органи следва да запазят способността си да приемат национални насоки за обстоятелствата, при които от операторите на основни услуги се изисква да уведомяват за инциденти.
(48) Много предприятия в Съюза разчитат на доставчици на цифрови услуги за предоставянето на своите услуги. Тъй като някои цифрови услуги биха могли да бъдат важен ресурс за техните ползватели, включително за операторите на основни услуги, и тъй като е възможно тези ползватели не винаги да разполагат с алтернативи, настоящата директива следва да се прилага и по отношение на доставчиците на такива услуги. Сигурността, непрекъснатостта и надеждността на видовете цифрови услуги, посочени в настоящата директива, са от основно значение за гладкото функциониране на много предприятия. Нарушаването на такава цифрова услуга може да попречи на предоставянето на други услуги, които зависят от нея и по този начин може да окаже въздействие върху основни стопански и обществени дейности в Съюза. Ето защо такива цифрови услуги може да бъдат от основно значение за гладкото функциониране на предприятията, които зависят от тях, и не само това, но и за участието на тези предприятия във вътрешния пазар, както и в трансграничната търговия в Съюза. Доставчиците на цифрови услуги, за които се прилага настоящата директива, са тези, които се счита, че предлагат цифрови услуги, от които все повече зависят много предприятия в Съюза.
(49) Доставчиците на цифрови услуги следва да гарантират такова ниво на сигурност, което да отговаря на степента на риска за сигурността на цифровите услуги, които предоставят, като се има предвид значението на техните услуги за дейността на други предприятия в Съюза. На практика степента на риска за операторите на основни услуги, които често са от основно значение за поддържането на особено важни обществени и стопански дейности, е по-висока от тази за доставчиците на цифрови услуги. Поради това изискванията по отношение на сигурността за доставчиците на цифрови услуги следва да бъдат по-облекчени. Доставчиците на цифрови услуги следва да запазят правото да вземат мерки по своя преценка за управление на рисковете, които застрашават сигурността на техните мрежи и информационни системи. Поради трансграничния им характер към доставчиците на цифрови услуги следва да се прилага по-хармонизиран подход на равнището на Съюза. Конкретизирането и прилагането на тези мерки следва да бъде улеснено с актове за изпълнение.
(50) Въпреки че производителите на хардуер и разработчиците на софтуер не са оператори на основни услуги, нито доставчици на цифрови услуги, техните продукти повишават сигурността на мрежите и информационните системи. Поради това те са от важно значение за създаването на условия, позволяващи на операторите на основни услуги и доставчиците на цифрови услуги да обезопасят своите мрежи и информационни системи. За хардуерните и софтуерните продукти вече се прилагат съществуващи правила относно отговорността за продукта.
(51) Техническите и организационните мерки, наложени на операторите на основни услуги и на доставчиците на цифрови услуги, следва да не изискват проектирането, разработването или производство по определен начин на конкретен търговски продукт на информационните и комуникационните технологии.
(52) Операторите на основни услуги и доставчиците на цифрови услуги следва да гарантират сигурността на мрежите и информационните системи, които използват. Това са предимно частни мрежи и информационни системи, управлявани от вътрешен ИТ персонал или чиято сигурност е възложена на външни изпълнители. Изискванията за сигурност и уведомяване следва да се прилагат за съответните оператори на основни услуги и доставчици на цифрови услуги без оглед на това дали те извършват вътрешно поддръжката на своите мрежи и информационни системи или я възлагат на външни изпълнители.
(53) С цел да се избегне налагането на несъразмерна финансова и административна тежест върху операторите на основни услуги и доставчиците на цифрови услуги изискванията следва да бъдат съразмерни с риска, който съществува по отношение на съответната мрежа и информационна система, като се отчитат последните постижения в областта на тези мерки. По отношение на доставчици на цифрови услуги тези изисквания следва да не се прилагат за микро- и малките предприятия.
(54) Когато публичните администрации в държавите членки използват услуги, предлагани от доставчик на цифрови услуги, по-специално компютърни услуги „в облак“, те може да пожелаят да изискат от доставчиците на тези услуги допълнителни мерки за сигурност, които да надхвърлят обичайно предлаганите от доставчиците на цифрови услуги мерки за сигурност в съответствие с изискванията на настоящата директива. Те следва да могат да направят това чрез налагането на договорни задължения.
(55) Съдържащите се в настоящата директива определения за онлайн места за търговия, онлайн търсачки и компютърни услуги „в облак“ са предназначени за конкретните цели на настоящата директива и не засягат никакви други актове.
(56) Настоящата директива не следва да възпрепятства държавите членки да приемат национални мерки, с които да се задължават органите от публичния сектор да осигурят изпълнението на специални изисквания за сигурност, когато възлагат поръчки за компютърни услуги „в облак“. Тези национални мерки следва да се прилагат спрямо съответния орган от публичния сектор, а не спрямо доставчика на компютърни услуги „в облак“.
(57) Предвид фундаменталните различия между операторите на основни услуги, по-специално тяхната пряка връзка с физическата инфраструктура, и доставчиците на цифрови услуги, по-специално трансграничния им характер, настоящата директива следва да възприеме различен подход по отношение на нивото на хармонизация във връзка с тези две групи субекти. По отношение на операторите на основни услуги държавите членки следва да могат да определят съответните оператори и да налагат по-строги изисквания от предвидените в настоящата директива. Държавите членки не следва да определят доставчици на цифрови услуги, тъй като настоящата директива следва да се прилага за всички доставчици на цифрови услуги, попадащи в нейния обхват. Освен това настоящата директива и приетите съгласно нея актове за изпълнение следва да осигурят висока степен на хармонизация за доставчиците на цифрови услуги по отношение на изискванията за сигурност и уведомяване. Това следва да позволи еднаквото третиране на доставчиците на цифрови услуги в целия Съюз по начин, който е съразмерен с техния характер и със степента на риск, на която може да са изложени.
(58) Настоящата директива не следва да възпрепятства държавите членки да налагат изисквания за сигурност и уведомяване на субекти, които не са доставчици на цифрови услуги, попадащи в обхвата на настоящата директива, без да се засягат задълженията на държавите членки съгласно правото на Съюза.
(59) Компетентните органи следва да обръщат необходимото внимание на запазването на неофициалните и ползващи се с доверие канали за обмен на информация. При даването на публичност на докладваните на компетентните органи инциденти следва да се постига нужният баланс между интереса на обществеността да бъде информирана за заплахите и възможните вреди за търговската дейност и репутацията на операторите на основни услуги и доставчиците на цифрови услуги, които докладват за инцидентите. При изпълнението на задълженията за уведомяване компетентните органи и ЕРИКС следва да обръщат особено внимание на необходимостта информацията за уязвимите места на продуктите да остане строго поверителна преди публикуването на съответните корекции по отношение на сигурността.
(60) Доставчиците на цифрови услуги следва да подлежат на облекчена и ответна последваща надзорна дейност, обоснована от естеството на извършваните от тях услуги и операции. Поради това съответният компетентен орган следва да предприема действия само когато разполага с доказателства, например от самия доставчик на цифрови услуги, от друг компетентен орган, включително от компетентен орган на друга държава членка, или от ползвател на услугата, че доставчик на цифрови услуги не отговаря на изискванията на настоящата директива, по-специално вследствие настъпването на инцидент. Ето защо компетентният орган следва да няма общо задължение да упражнява надзор над доставчиците на цифрови услуги.
(61) Компетентните органи следва да разполагат с необходимите средства за изпълнение на своите задължения, включително правомощия за получаване на достатъчно информация за оценяване на нивото на сигурност на мрежите и информационните системи.
(62) Инцидентите може да са резултат от престъпления, предотвратяването, разследването и наказателното преследване на които се подпомага чрез координацията и сътрудничеството между операторите на основни услуги, доставчиците на цифрови услуги, компетентните органи и правоприлагащите органи. Когато съществуват подозрения, че даден инцидент е свързан с тежки престъпления — съобразно правото на Съюза или националното право, държавите членки следва да насърчават операторите на основни услуги и доставчиците на цифрови услуги да докладват инциденти, чийто характер може да бъде свързан с тежки престъпления, на съответните правоприлагащи органи. Когато е целесъобразно, е желателно координацията между компетентните органи и правоприлагащите органи на различни държави членки да бъде улеснявана от Европейския център за борба с киберпрестъпността (EC3) и ENISA.
(63) В много случаи вследствие на инциденти се засягат лични данни. В този контекст компетентните органи и органите за защита на данните следва да си сътрудничат и да обменят информация относно всички съответни въпроси с цел справяне с нарушенията на сигурността на лични данни, предизвикани от инциденти.
(64) Юрисдикцията по отношение на доставчиците на цифрови услуги следва да бъде предоставена на държавата членка, в която съответният доставчик на цифрови услуги има основно място на установяване в Съюза, която по принцип съответства на мястото, където се намира главното управление на доставчика в Съюза. Установяването предполага ефективното и действителното упражняване на дейност съгласно стабилни правила. Правната форма на тези правила, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение. Този критерий не следва да зависи от това дали съответните мрежи и информационни системи са физически разположени на определено място; наличието и използването на тези системи не представляват сами по себе си такова основно място на установяване и следователно не са критерии за определяне на основното място на установяване.
(65) Когато доставчик на цифрови услуги, който не е установен в Съюза, предлага услуги в Съюза, той следва да определи свой представител. За да се установи дали този доставчик на цифрови услуги предлага услуги в Съюза, следва да се установи дали е видно, че този доставчик на цифрови услуги възнамерява да предлага услуги на лица на територията на една или повече държави членки. Сама по себе си достъпността в Съюза на уебсайт на доставчика на цифрови услуги или на негов посредник или на адрес на електронна поща и други данни за контакт или използването на език, който широко се използва в третата държава, в която е установен доставчикът на цифрови услуги, са недостатъчни, за да бъде установено подобно намерение. Въпреки това фактори като използване на език или валута, които широко се използват в една или повече държави членки, с възможност за поръчване на услуги на този друг език, или посочването на потребители или ползватели на територията на Съюза, може да указват, че доставчикът на цифрови услуги възнамерява да предлага услуги в Съюза. Представителят следва да действа от името на доставчика на цифрови услуги, а компетентните органи или ЕРИКС следва да могат да се свържат с представителя. Представителят следва да е определен изрично чрез упълномощаване в писмена форма от доставчика на цифрови услуги да действа от негово име във връзка със задълженията му съгласно настоящата директива, включително за докладването на инциденти.
(66) Стандартизацията на изискванията за сигурност е процес, движен от пазарни сили. За да гарантират еднообразното прилагане на стандартите за сигурност, държавите членки следва да насърчават съответствието или спазването на посочените стандарти с оглед осигуряването на високо ниво на сигурност на мрежите и информационните системи на равнището на Съюза. ENISA следва да подпомага държавите членки чрез консултации и насоки. За тази цел може да се окаже полезно изготвянето на хармонизирани стандарти, като това следва да е в съответствие с Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета (8).
(67) Субекти, които попадат извън обхвата на настоящата директива, може да претърпят инциденти, оказващи съществено въздействие върху предоставяните от тях услуги. Когато тези субекти считат, че би било от обществен интерес да уведомят за настъпването на такива инциденти, те следва да могат да го направят на доброволна основа. Подобни сигнали следва да бъдат обработвани от компетентните органи или от ЕРИКС, когато това не представлява несъразмерна или неоправдана тежест за съответните държави членки.
(68) За да се гарантират еднакви условия за изпълнение на настоящата директива, следва да се предоставят изпълнителни правомощия на Комисията, за да се предвидят процедурните правила, необходими за работата на групата за сътрудничество, и изискванията за сигурност и уведомяване, приложими за доставчиците на цифрови услуги. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (9). При приемането на актове за изпълнение във връзка с процедурните правила, необходими за работата на групата за сътрудничество, Комисията следва да отчита в максимална степен становището на ENISA.
(69) При приемането на актове за изпълнение относно изискванията за сигурност към доставчиците на цифрови услуги Комисията следва да отчита в максимална степен становището на ENISA и да се консултира с конституентите. Освен това Комисията се насърчава да вземе под внимание следните примери: във връзка със сигурността на системите и съоръженията: физическа и екологична сигурност, сигурност на доставките, контрол на достъпа до мрежите и информационните системи и целостта на мрежите и информационните системи; във връзка с действията при инциденти: процедури за предприемане на действия при инциденти, способности за установяване на инциденти, докладване на инциденти и комуникация; във връзка с управлението на непрекъснатостта на дейностите: стратегия и планове за действие при извънредни ситуации за осигуряване непрекъснатостта на услугата, способности за възстановяване при бедствия; и във връзка с наблюдението, одита и изпитванията: политики за наблюдението и регистрирането, планове за действие при извънредни ситуации, изпитвания на мрежите и информационните системи, оценки на сигурността и наблюдение на съответствието.
(70) При изпълнението на настоящата директива Комисията следва да поддържа, когато е целесъобразно, връзка със съответните секторни комитети и органи, създадени на равнището на Съюза в областите, обхванати от настоящата директива.
(71) Комисията следва периодично да прави преглед на настоящата директива, като се консултира с конституентите, по-специално с оглед определянето на необходимостта от изменения с оглед на промените в обществените, политически, технологични или пазарни условия.
(72) При обмена на информация относно рисковете и инцидентите в рамките на групата за сътрудничество и мрежата на ЕРИКС и спазването на изискванията за уведомяване на националните компетентни органи или ЕРИКС за инциденти може да възникне необходимост от обработването на лични данни. Това обработване следва да се извършва в съответствие с Директива 95/46/EО на Европейския парламент и на Съвета (10) и Регламент (EО) № 45/2001 на Европейския парламент и на Съвета (11). При прилагането на настоящата директива следва да се прилага Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (12), в зависимост от случая.
(73) Беше проведена консултация с Европейския надзорен орган по защита на данните в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001, като той прие своето становище на 14 юни 2013 г. (13).
(74) Тъй като целта на настоящата директива, и именно постигане на високо общо ниво на сигурност на мрежите и информационните системи в Съюза, не може да бъде постигната в достатъчна степен от държавите членки, а поради последиците от действието може да бъде по-добре постигната на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейски съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тази цел.
(75) Настоящата директива зачита основните права и спазва принципите, признати в Хартата на основните права на Европейския съюз, и по-специално правото на зачитане на личния живот и тайната на съобщенията, защитата на личните данни, свободата на стопанската инициатива, правото на собственост, правото на ефективни правни средства за защита и правото на изслушване. Настоящата директива следва да бъде прилагана в съответствие с посочените права и принципи,