Член 16

Изисквания за сигурност и уведомяване за инциденти

1.Държавите членки гарантират, че доставчиците на цифрови услуги установяват и предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните системи, използвани от тези доставчици в контекста на предоставянето в Съюза на услугите, посочени в приложение III. Тези мерки осигуряват ниво на сигурност на мрежите и информационните системи, съответстващо на съществуващия риск, съобразно последните постижения в тази област и са съобразени със следните елементи:

а) сигурност на системите и съоръженията;

б) действия при инциденти;

в) управление на непрекъснатостта на дейностите;

г) наблюдение, одит и изпитване;

д) спазване на международни стандарти.

2.Държавите членки гарантират, че доставчиците на цифрови услуги предприемат мерки с цел предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи сигурността на техните мрежи и информационни системи, върху услугите, посочени в приложение III и предлагани в Съюза, с цел осигуряване на непрекъснатост на тези услуги.

3.Държавите членки гарантират, че доставчиците на цифрови услуги уведомяват без неоправдано забавяне компетентния орган или ЕРИКС за всеки инцидент, който има съществено въздействие върху предоставянето от тях на услуга, посочена в приложение III, която те предлагат в Съюза. Уведомленията включват информация, която дава възможност на компетентния орган или на ЕРИКС да определи значимостта на евентуалното трансгранично въздействие на инцидента. Уведомлението не води до повишена отговорност за уведомяващия.

4.За да се определи дали въздействието на даден инцидент е съществено, се вземат по-специално предвид следните показатели:

а) броят ползватели, засегнати от инцидента, и по-специално ползвателите, които разчитат на услугата за предоставяне на собствените си услуги;

б) продължителността на инцидента;

в) географският обхват по отношение на областта, засегната от инцидента;

г) степента на нарушаване на функционирането на услугата;

д) степента на въздействие върху стопанските и обществени дейности.

Задължението за уведомяване за инцидент се прилага само когато доставчикът на цифрови услуги има достъп до информацията, която е необходима, за да се оцени въздействието на инцидента спрямо показателите по първа алинея.

5.Когато даден оператор на основни услуги разчита на доставчик на цифрови услуги, който е трето лице, за да предоставя услуга от основно значение за поддържането на особено важни обществени и стопански дейности, този оператор уведомява за всяко значително въздействие върху непрекъснатостта на основните услуги, дължащо се на инцидент, засягащ доставчика на цифрови услуги.

6.Когато е целесъобразно и особено ако инцидентът, посочен в параграф 3, засяга две или повече държави членки, компетентният орган или ЕРИКС информира другите засегнати държави членки. При това компетентните органи, ЕРИКС и единните звена за контакт запазват сигурността и търговските интереси на доставчика на цифрови услуги, както и поверителността на предоставената информация в съответствие с правото на Съюза или с националното законодателство, което е в съответствие с правото на Съюза.

7.След консултация със засегнатия доставчик на цифрови услуги компетентният орган или ЕРИКС и, когато е приложимо, органите или ЕРИКС на други засегнати държави членки може да информират обществеността за отделни инциденти или да изискат от доставчика на цифрови услуги да направи това, когато е необходима обществена осведоменост с цел предотвратяване на инцидент или справяне с текущ инцидент или когато разкриването на инцидента е в интерес на обществеността поради други причини.

8.На Комисията се предоставя правомощието да приема актове за изпълнение за допълнително конкретизиране на елементите, посочени в параграф 1, и на показателите, посочени в параграф 4 от настоящия член. Тези актове за изпълнение се приемат до 9 август 2017 г. в съответствие с процедурата по разглеждане, посочена член 22, параграф 2.

9.Комисията може да приеме актове за изпълнение за установяване на форматите и процедурите, приложими към изискванията за уведомяване. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 22, параграф 2.

10.Без да се засяга член 1, параграф 6, държавите членки не налагат на доставчиците на цифрови услуги никакви други изисквания за сигурност или уведомяване.

11.Глава V не се прилага за микро- и малките предприятия съгласно определението в Препоръка 2003/361/ЕО на Комисията (19).