Член 14

Изисквания за сигурност и уведомяване за инциденти

1.Държавите членки гарантират, че операторите на основни услуги предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните системи, използвани от операторите за дейността им. Тези мерки осигуряват ниво на сигурност на мрежите и информационните системи, съответстващо на съществуващия риск, съобразно последните постижения в тази област.

2.Държавите членки гарантират, че операторите на основни услуги предприемат подходящи мерки за предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи сигурността на мрежите и информационните системи, които се използват за предоставянето на тези основни услуги, с цел осигуряване на непрекъснатост на тези услуги.

3.Държавите членки гарантират, че операторите на основни услуги уведомяват без неоправдано забавяне компетентния орган или ЕРИКС за инцидентите, които имат значително въздействие върху непрекъснатостта на предоставяните от тях основни услуги. Уведомленията включват информация, която дава възможност на компетентния орган или на ЕРИКС да определи евентуалното трансгранично въздействие на инцидента. Уведомлението не води до повишена отговорност за уведомяващия.

4.За да се определи значимостта на въздействието на даден инцидент, се вземат по-специално предвид следните показатели:

a) броят потребители, засегнати от нарушаването на основната услуга;

б) продължителността на инцидента;

в) географският обхват по отношение на областта, засегната от инцидента.

5.Въз основа на информацията, предоставена в уведомлението от оператора на основни услуги, компетентният орган или ЕРИКС информира другата (другите) засегната (засегнати) държава(и) членка(и), ако инцидентът има значително въздействие върху непрекъснатостта на основните услуги в тази държава членка. При това компетентният орган или ЕРИКС запазва сигурността и търговските интереси на оператора на основните услуги, както и поверителността на информацията, съдържаща се в уведомлението му, в съответствие с правото на Съюза или с националното законодателство, което е в съответствие с правото на Съюза.

Когато обстоятелствата го позволяват, компетентният орган или ЕРИКС предоставя на подалия уведомлението оператор на основни услуги съответната информация във връзка с последващите действия по уведомлението за инцидент, като например информация, която би спомогнала за предприемането на ефективни действия при инцидента.

По искане на компетентния орган или ЕРИКС единното звено за контакт предава посочените в първа алинея уведомления на единните звена за контакт на други засегнати държави членки.

6.След консултация с уведомяващия оператор на основни услуги уведоменият компетентен орган или ЕРИКС може да информира обществеността за отделни инциденти, когато е необходима обществена осведоменост с цел предотвратяване на инцидент или справяне с текущ инцидент.

7.Компетентните органи, като действат съвместно в рамките на групата за сътрудничество, могат да разработят и приемат насоки относно обстоятелствата, при които от операторите на основни услуги се изисква да уведомяват за инциденти, включително показателите за определяне значимостта на въздействието на даден инцидент, посочени в параграф 4.