чл. 16 Директива (EС) 2016/1148 - препратки от други разпоредби

Нормативен текст

Член 16

Изисквания за сигурност и уведомяване за инциденти

1.Държавите членки гарантират, че доставчиците на цифрови услуги установяват и предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете за сигурността на мрежите и информационните системи, използвани от тези доставчици в контекста на предоставянето в Съюза на услугите, посочени в приложение III. Тези мерки осигуряват ниво на сигурност на мрежите и информационните системи, съответстващо на съществуващия риск, съобразно последните постижения в тази област и са съобразени със следните елементи:

а) сигурност на системите и съоръженията;

б) действия при инциденти;

в) управление на непрекъснатостта на дейностите;

г) наблюдение, одит и изпитване;

д) спазване на международни стандарти.

2.Държавите членки гарантират, че доставчиците на цифрови услуги предприемат мерки с цел предотвратяване и намаляване до минимум на въздействието на инцидентите, засягащи сигурността на техните мрежи и информационни системи, върху услугите, посочени в приложение III и предлагани в Съюза, с цел осигуряване на непрекъснатост на тези услуги.

3.Държавите членки гарантират, че доставчиците на цифрови услуги уведомяват без неоправдано забавяне компетентния орган или ЕРИКС за всеки инцидент, който има съществено въздействие върху предоставянето от тях на услуга, посочена в приложение III, която те предлагат в Съюза. Уведомленията включват информация, която дава възможност на компетентния орган или на ЕРИКС да определи значимостта на евентуалното трансгранично въздействие на инцидента. Уведомлението не води до повишена отговорност за уведомяващия.

4.За да се определи дали въздействието на даден инцидент е съществено, се вземат по-специално предвид следните показатели:

а) броят ползватели, засегнати от инцидента, и по-специално ползвателите, които разчитат на услугата за предоставяне на собствените си услуги;

б) продължителността на инцидента;

в) географският обхват по отношение на областта, засегната от инцидента;

г) степента на нарушаване на функционирането на услугата;

д) степента на въздействие върху стопанските и обществени дейности.

Задължението за уведомяване за инцидент се прилага само когато доставчикът на цифрови услуги има достъп до информацията, която е необходима, за да се оцени въздействието на инцидента спрямо показателите по първа алинея.

5.Когато даден оператор на основни услуги разчита на доставчик на цифрови услуги, който е трето лице, за да предоставя услуга от основно значение за поддържането на особено важни обществени и стопански дейности, този оператор уведомява за всяко значително въздействие върху непрекъснатостта на основните услуги, дължащо се на инцидент, засягащ доставчика на цифрови услуги.

6.Когато е целесъобразно и особено ако инцидентът, посочен в параграф 3, засяга две или повече държави членки, компетентният орган или ЕРИКС информира другите засегнати държави членки. При това компетентните органи, ЕРИКС и единните звена за контакт запазват сигурността и търговските интереси на доставчика на цифрови услуги, както и поверителността на предоставената информация в съответствие с правото на Съюза или с националното законодателство, което е в съответствие с правото на Съюза.

7.След консултация със засегнатия доставчик на цифрови услуги компетентният орган или ЕРИКС и, когато е приложимо, органите или ЕРИКС на други засегнати държави членки може да информират обществеността за отделни инциденти или да изискат от доставчика на цифрови услуги да направи това, когато е необходима обществена осведоменост с цел предотвратяване на инцидент или справяне с текущ инцидент или когато разкриването на инцидента е в интерес на обществеността поради други причини.

8.На Комисията се предоставя правомощието да приема актове за изпълнение за допълнително конкретизиране на елементите, посочени в параграф 1, и на показателите, посочени в параграф 4 от настоящия член. Тези актове за изпълнение се приемат до 9 август 2017 г. в съответствие с процедурата по разглеждане, посочена член 22, параграф 2.

9.Комисията може да приеме актове за изпълнение за установяване на форматите и процедурите, приложими към изискванията за уведомяване. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 22, параграф 2.

10.Без да се засяга член 1, параграф 6, държавите членки не налагат на доставчиците на цифрови услуги никакви други изисквания за сигурност или уведомяване.

11.Глава V не се прилага за микро- и малките предприятия съгласно определението в Препоръка 2003/361/ЕО на Комисията (19).

bg laws Препратки от актове 0 eu laws Относими Актове на ЕС 0 Препракти от разпоредби 9
Разпоредби, които препращат към чл. 16 Директива (EС) 2016/1148 6 резултата
съобр. (10) Регламент за изпълнение (ЕС) 2018/151
Регламент за изпълнение (ЕС) 2018/151

(10) При определянето на това доколко съществено е въздействието на даден инцидент, предвидените в настоящия регламент случаи следва да се разглеждат като неизчерпателен списък на съществени инциденти. Трябва да се извлекат поуки от изпълнението на настоящия регламент и от работата на групата за сътрудничество по отношение на събирането на информация за най-добри практики относно рисковете и инцидентите и на обсъжданията...
чл. 17 Директива (EС) 2016/1148
Директива (EС) 2016/1148

Прилагане и изпълнение

Член 17Прилагане и изпълнение1.Държавите членки гарантират, че компетентните органи предприемат действия, ако е необходимо, посредством последващи надзорни мерки, когато получат доказателства, че даден доставчик на цифрови услуги не отговаря на изискванията, установени в член 16. Тези доказателства могат да се предоставят от компетентен орган на друга държава членка, в която се предоставя услугата.2.За целите на параграф 1 компетентните органи разполагат...
чл. 19 Директива (EС) 2016/1148
Директива (EС) 2016/1148

Стандартизация

Член 19Стандартизация1.С цел насърчаване на еднообразното прилагане на член 14, параграфи 1 и 2 и на член 16, параграфи 1 и 2 държавите членки, без да налагат употребата на определен тип технология или да упражняват дискриминация в нейна полза, насърчават използването на европейско или международно приетите стандарти и спецификации от значение за сигурността на мрежите и информационните системи.2.В сътрудничество с...
чл. 2 Регламент за изпълнение (ЕС) 2018/151
Регламент за изпълнение (ЕС) 2018/151

Елементи, свързани със сигурността

Член 2Елементи, свързани със сигурността1.Сигурността на системите и съоръженията по член 16, параграф 1, буква а) от Директива (ЕС) 2016/1148 означава сигурността на мрежите и информационните системи и на тяхната физическа среда и включва следните елементи:а) систематично управление на мрежите и информационните системи, което означава картографиране на информационните системи и създаването на набор от подходящи политики относно управлението на информационната...
чл. 3 Регламент за изпълнение (ЕС) 2018/151
Регламент за изпълнение (ЕС) 2018/151

Показатели, които трябва да се вземат предвид, за да се определи дали въздействието на даден инцидент е съществено

Член 3Показатели, които трябва да се вземат предвид, за да се определи дали въздействието на даден инцидент е съществено1.Относно броя ползватели, засегнати от даден инцидент, и по-специално ползвателите, които разчитат на съответната услуга за предоставяне на собствените си услуги, както е посочено в член 16, параграф 4, буква а) от Директива (ЕС) 2016/1148, съответният доставчик на цифрови услуги трябва да...
чл. 3 Директива (EС) 2016/1148
Директива (EС) 2016/1148

Минимална хармонизация

Член 3Минимална хармонизацияБез да се засягат член 16, параграф 10 и задълженията на държавите членки съгласно правото на Съюза, държавите членки могат да приемат или запазват разпоредби с оглед постигането на по-високо ниво на сигурност на мрежите и информационните системи.