(1) Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (4) има за цел да изгради способности в областта на киберсигурността в Съюза, да ограничи заплахите за мрежовите и информационните системи, използвани за предоставяне на основни услуги в ключови сектори, и да гарантира непрекъснатостта на тези услуги при инциденти, като по този начин допринася за сигурността в Съюза и за ефективното функциониране на икономиката и обществото му.
(2) След влизането в сила на Директива (ЕС) 2016/1148 бе постигнат значителен напредък при повишаването на нивото на киберустойчивост на Съюза. Прегледът на посочената директива показа, че тя е послужила като катализатор за институционалния и регулаторния подход към киберсигурността в Съюза, като е проправила пътя за значителна промяна в нагласите. Директивата осигури завършването на националните рамки относно сигурността на мрежовите и информационните системи чрез създаването на национални стратегии за сигурност на мрежовите и информационните системи и създаването на национални способности и чрез изпълнението на регулаторни мерки, обхващащи съществени инфраструктури и субекти, установени от всяка държава членка. Директива (ЕС) 2016/1148 допринесе и за развитието на сътрудничеството на равнището на Съюза посредством установяването на групата за сътрудничество и мрежата от национални екипи за реагиране при инциденти с компютърната сигурност. Прегледът на Директива (ЕС) 2016/1148 обаче разкри, че независимо от тези постижения, тя има и присъщи слабости, които пречат на намирането на ефективни решения за настоящите и възникващи предизвикателства в областта на киберсигурността.
(3) Мрежовите и информационните системи се превърнаха в централен елемент на всекидневния живот на фона на бързата цифрова трансформация и взаимосвързаността на обществото, включително в трансграничния обмен. Това развитие води до разширяването на броя на киберзаплахите, пораждайки нови такива, и изисква адаптирани, координирани и новаторски реакции във всички държави членки. Броят, мащабите, сложността, честотата и въздействието на инцидентите се увеличават и представляват съществена заплаха за функционирането на мрежовите и информационните системи. В резултат на това инцидентите могат да попречат на извършването на икономически дейности в рамките на вътрешния пазар, да причинят финансова загуба, да подкопаят доверието на потребителите и да причинят съществени вреди на икономиката и обществото на Съюза. Затова подготвеността и ефективността в областта на киберсигурността сега са по-важни от всякога за правилното функциониране на вътрешния пазар. Освен това киберсигурността е ключов фактор, който предоставя възможност на редица критични сектори да се включат успешно в цифровата трансформация и да се възползват изцяло от икономическите, социалните и устойчивите предимства на цифровизацията.
(4) Правното основание за Директива (ЕС) 2016/1148 е член 114 от Договора за функционирането на Европейския съюз (ДФЕС), чиято цел е създаването и функционирането на вътрешния пазар чрез усъвършенстване на мерките за сближаване на националните правила. Изискванията за киберсигурност, наложени на субектите, предоставящи услуги или извършващи дейности, които са икономически значими, се различават значително в държавите членки от гледна точка на вида на изискванията, степента им на подробност и метода на надзор. Тези различия водят до допълнителни разходи и пораждат затруднения за субектите, предлагащи трансгранично стоки или услуги. Наложените от една държава членка изисквания, които са различни от наложените в друга или дори са в противоречие с тях, може съществено да засегнат подобни трансгранични дейности. Освен това възможността за недостатъчно изготвяне или прилагане на изисквания за киберсигурност в една държава членка е вероятно да има последици по отношение на нивото на киберсигурност на държави членки, по-специално предвид интензивността на трансграничния обмен. Прегледът на Директива (ЕС) 2016/1148 показва големи различия в прилагането ѝ от държавите членки, включително във връзка с нейния обхват, чието очертаване в много голяма степен бе оставено на преценката на държавите членки. Директива (ЕС) 2016/1148 предоставя на държавите членки и много широка свобода на преценка по отношение на прилагането на предвидените в нея задължения, свързани със сигурността и докладването за инциденти. Поради това тези задължения бяха приложени по значително различаващи се начини на национално равнище. Съществуват сходни различия в прилагането на разпоредбите на Директива (ЕС) 2016/1148 относно надзора и правоприлагането.
(5) Всички тези различия водят до фрагментирането на вътрешния пазар и могат да имат вредно въздействие върху функционирането му, засягайки по-специално трансграничното предоставяне на услуги и нивото на киберустойчивост поради прилагането на различни мерки. В крайна сметка тези различия могат да доведат до по-голяма уязвимост на някои държави членки спрямо киберзаплахи, което би предизвикало потенциални странични ефекти за целия Съюз. Настоящата директива има за цел да премахне тези големи различия между държавите членки, по-специално посредством предвиждането на минимални правила относно функционирането на координирана регулаторна рамка, установяването на механизми за ефективно сътрудничество между отговорните органи във всяка държава членка, актуализирането на списъка със сектори и дейности, подчинени на задълженията за киберсигурност, и предоставянето на ефективни правни средства за защита и правоприлагащи мерки, които са от ключово значение за ефективното правоприлагане на тези задължения. Поради това Директива (ЕС) 2016/1148 следва да бъде отменена и заменена с настоящата директива.
(6) С отмяната на Директива (ЕС) 2016/1148 приложното поле следва да се разшири така, че да обхване по-голяма част от секторите на икономиката, за да се осигури пълно включване на сектори и услуги от жизненоважно значение за ключови обществени и икономически дейности във вътрешния пазар. По-специално настоящата директива има за цел да преодолее недостатъците, свързани с разграничаването между оператори на основни услуги и доставчици на цифрови услуги, което е доказано остаряло, тъй като не отразява значимостта на секторите или услугите за обществените и икономическите дейности във вътрешния пазар.
(7) Съгласно Директива (ЕС) 2016/1148 държавите членки са отговорни за определянето на субектите, които отговарят на критериите за оператори на основни услуги. За да се отстранят големите различия сред държавите членки в това отношение и да се гарантира правна сигурност по отношение на мерките за управление на риска в областта на киберсигурността и задълженията за докладване по отношение на всички относими субекти, следва да се установи еднакъв критерий, определящ субектите, попадащи в обхвата на настоящата директива. Този критерий следва да се състои в прилагането на правилото за размер на предприятието, при което всички субекти, които отговарят на критериите за средни предприятия съгласно член 2 от приложението към Препоръка 2003/361/ЕО на Комисията (5) или надхвърлят таваните за средни предприятия, посочени в параграф 1 от същия член, и които упражняват дейност в секторите и предоставят видовете услуги или извършват дейностите, обхванати от настоящата директива, попадат в нейния обхват. Държавите членки следва също така да предвидят определени малки и микропредприятия по смисъла на член 2, параграфи 2 и 3 от посоченото приложение, които отговарят на специфични критерии, показващи ключова роля за обществото, икономиката или за определени сектори или видове услуги, да попадат в обхвата на настоящата директива.
(8) Изключването на органите на публичната администрация от обхвата на настоящата директива следва да се прилага за субекти, чиито дейности се извършват предимно в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането, включително предотвратяването, разследването, разкриването и наказателното преследване на престъпления. Органите на публичната администрация обаче, чиито дейности са свързани само в незначителна степен с тези области, не следва да бъдат изключени от обхвата на настоящата директива. За целите на настоящата директива не се счита, че субектите с регулаторни компетенции извършват дейности в областта на правоприлагането и следователно те не са изключени от обхвата на настоящата директива на това основание. Органите на публичната администрация, които са създадени съвместно с трета държава в съответствие с международно споразумение, са изключени от обхвата на настоящата директива. Настоящата директива не се прилага за дипломатическите и консулските мисии на държавите членки в трети страни или за техните мрежови и информационни системи, доколкото тези системи се намират в помещенията на мисията или се използват за потребители в трета държава.
(9) Държавите членки следва да могат да предприемат необходимите мерки, с които да гарантират защитата на основните интереси на националната сигурност, да опазват обществения ред и обществената сигурност и да създават условия за предотвратяването, разследването, разкриването и наказателното преследване на престъпления. За тази цел държавите членки следва да могат да освободят определени субекти, които извършват дейности в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането, включително предотвратяването, разследването, разкриването и наказателното преследване на престъпления, от някои задължения, предвидени в настоящата директива по отношение на тези дейности. Когато даден субект предоставя услуги изключително на орган на публичната администрация, който е изключен от обхвата на настоящата директива, държавите членки следва да могат да освободят този субект от определени задължения, предвидени в настоящата директива по отношение на тези услуги. Освен това нито една държава членка не следва да бъде задължавана да предоставя информация, чието разкриване би противоречало на основните интереси на нейната национална сигурност, на обществената сигурност или на отбраната. В този смисъл следва да се имат предвид правилата на Съюза или националните правила за защита на класифицираната информация, споразуменията за неразкриване на информация и неформалните споразумения за неразкриване на информация като протокола за обмен на информация с цветен код за поверителност (Traffic Light Protocol). Протоколът за обмен на информация с цветен код за поверителност следва да се разбира като средство за предоставяне на информация за всякакви ограничения по отношение на по-нататъшното разпространение на информация. Той се използва в почти всички екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС) и в някои центрове за анализ и обмен на информация.
(10) Въпреки че настоящата директива се прилага за субекти, извършващи дейности по производство на електроенергия от атомни електроцентрали, някои от тези дейности могат да бъдат свързани с националната сигурност. В такъв случай дадена държава членка следва да може да упражнява своята отговорност за гарантиране на националната сигурност по отношение на тези дейности, включително дейностите в рамките на ядрената верига за създаване на стойност, в съответствие с Договорите.
(11) Някои субекти извършват дейности в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането, включително предотвратяването, разследването, разкриването и наказателното преследване на престъпления, като същевременно предоставят и удостоверителни услуги. Доставчиците на удостоверителни услуги, които попадат в обхвата на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета (6), следва да попадат в обхвата на настоящата директива, за да се гарантира същото ниво на изисквания за сигурност и надзор като установеното преди това в посочения регламент по отношение на доставчиците на удостоверителни услуги. В съответствие с изключването на някои специфични услуги от Регламент (ЕС) № 910/2014 настоящата директива следва да не се прилага за предоставянето на удостоверителни услуги, използвани единствено в рамките на затворени системи, произтичащи от националното право или от споразумения между определен кръг от участници.
(12) Настоящата директива следва да се прилага за доставчиците на пощенски услуги по смисъла на Директива 97/67/ЕО на Европейския парламент и на Съвета (7), включително доставчиците на куриерски услуги, ако извършват поне една от операциите от веригата на пощенски доставки, и по-специално събирането, сортирането, транспорта или доставката на пощенски пратки, включително услугите за вземане от адрес, като същевременно се взема предвид степента на тяхната зависимост от мрежовите и информационните системи. Превозът, когато не е предприет във връзка с някоя от тези операции, следва да бъде изключен от обхвата на пощенските услуги.
(13) Като се има предвид засилването и повишената сложност на киберзаплахите, държавите членки следва да се стремят да гарантират, че субектите, които са изключени от обхвата на настоящата директива, постигат високо ниво на киберсигурност, и да подкрепят прилагането на еквивалентни мерки за управление на риска, свързан с киберсигурността, които отразяват чувствителния характер на тези субекти.
(14) Правото на Съюза в областта на защитата на данните и правото на Съюза в областта на неприкосновеността на личния живот се прилагат за всяко обработване на лични данни съгласно настоящата директива. По-специално настоящата директива не засяга Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (8) и Директива 2002/58/ЕО на Европейския парламент и на Съвета (9). Поради това настоящата директива не следва да засяга, наред с другото, задачите и правомощията на органите, компетентни да следят за спазването на приложимото правото на Съюза в областта на защитата на данните и правото на Съюза в областта на неприкосновеността на личния живот.
(15) За целите на спазването на мерките за управление на риска в областта на киберсигурността и задълженията за докладване, попадащите в обхвата на настоящата директива субекти следва да бъдат класифицирани в две категории, съществени субекти и важни субекти, което да отразява степента им на критичност по отношение на техния сектор или на вида услуга, която предоставят, както и техния размер. В този смисъл следва надлежно да се вземат предвид всички съответни секторни оценки на риска или насоки от компетентните органи, когато е приложимо. Надзорните и правоприлагащите режими за тези две категории субекти следва да са различни, за да се гарантира справедлив баланс между основаните на риска изисквания и задължения, от една страна, и административната тежест, произтичаща от надзора на съответствието, от друга.
(16) За да се избегне възможността субекти, които имат предприятия партньори или са свързани предприятия, да бъдат считани за съществени или важни субекти, когато това би било непропорционално, държавите членки могат при прилагането на член 6, параграф 2 от приложението към Препоръка 2003/361/ЕО да вземат предвид степента на независимост, от която се ползва даден субект по отношение на своите партньори или свързани предприятия. По-специално държавите членки могат да вземат предвид факта, че даден субект е независим от своите партньори или свързани предприятия по отношение на мрежовите и информационните системи, които този субект използва при предоставянето на своите услуги, както и по отношение на услугите, които предоставя. Въз основа на това, когато е целесъобразно, държавите членки могат да счетат, че такъв субект не отговаря на критериите за средно предприятие съгласно член 2 от приложението към Препоръка 2003/361/ЕО или не надхвърля таваните за средно предприятие, посочени в параграф 1 от същия член, ако, след като се вземе предвид степента на независимост на този субект, би се счело, че той не отговоря на критериите за средно предприятие или не надхвърля тези тавани, ако се вземат предвид само собствените му данни. Това не засяга задълженията по настоящата директива на партньорските и свързаните предприятия, които попадат в обхвата на настоящата директива.
(17) Държавите членки следва да могат да решават, че субектите, установени преди влизането в сила на настоящата директива като оператори на основни услуги в съответствие с Директива (ЕС) 2016/1148, следва да се считат за съществени субекти.
(18) За да се осигури ясен преглед на субектите, попадащи в обхвата на настоящата директива, държавите членки следва да изготвят списък на съществените и важните субекти, както и на субектите, предоставящи услуги по регистрация на имена на домейни. За тази цел държавите членки следва да изискват от субектите да предоставят на компетентните органи най-малко следната информация, а именно наименованието, адреса и актуалните данни за връзка, включително адресите на електронна поща, IP обхватите и телефонните номера на субекта и когато е приложимо, съответния сектор и подсектор, посочен в приложенията, както и когато е приложимо списък на държавите членки, в които те предоставят услуги, попадащи в обхвата на настоящата директива. За тази цел следва Комисията, със съдействието на Агенцията на Европейския съюз за киберсигурност (ENISA), да предостави без ненужно забавяне насоки и образци относно задължението за представяне на информация. За да се улесни изготвянето и актуализирането на списъка на съществените и важните субекти, както и субектите, предоставящи услуги по регистрация на имена на домейни, държавите членки следва да могат да установят национални механизми, чрез които субектите да се регистрират. Ако съществуват регистри на национално равнище, държавите членки могат да вземат решение относно подходящите механизми, които позволяват да се установи кои субекти попадат в обхвата на настоящата директива.
(19) Държавите членки следва да отговарят за предоставянето на Комисията поне на броя на съществените и важните субекти за всеки сектор и подсектор, посочени в приложенията, както и на съответната информация относно броя на установените субекти и разпоредбата измежду предвидените в настоящата директива, въз основа на която те са били установени и типа услуга, която предоставят. Държавите членки се насърчават да обменят с Комисията информация относно съществените и важните субекти, а в случай на мащабен киберинцидент – относимата информация, като например наименованието на съответния субект.
(20) Комисията, в сътрудничество с групата за сътрудничество и след консултация със съответните заинтересовани лица, следва да предоставя насоки за прилагането на критериите, приложими за микропредприятията и малки предприятия, за да прецени дали те попадат в обхвата на настоящата директива. Комисията следва също така да гарантира, че на микропредприятията и малките предприятия, попадащи в обхвата на настоящата директива, се предоставят подходящи насоки. Комисията, със съдействието на държавите членки, следва да предоставя информация на микропредприятията и малките предприятия в това отношение.
(21) Комисията може също така да предоставя насоки за подпомагане на държавите членки при прилагането на разпоредбите на настоящата директива относно обхвата и за оценка на пропорционалността на мерките, предприети в съответствие в настоящата директива, по-специално по отношение на субекти със сложни бизнес модели или оперативна среда, при които даден субект може едновременно да изпълнява критериите, определени както за съществени, така и за важни субекти, или може едновременно да извършва дейности, част от които попадат в обхвата на настоящата директива, а друга част са изключени от него.
(22) С настоящата директива се определя основата за мерките за управление на риска в областта на киберсигурността и задълженията за докладване в секторите от нейния обхват. С цел да се избегне фрагментирането на разпоредбите в областта на киберсигурността в правните актове на Съюза, когато се счита, че за да се гарантира високо равнище на киберсигурност, са необходими допълнителни специфични за сектора правни актове на Съюза, отнасящи се до мерки за управление на риска в областта на киберсигурността и задължения за докладване, Комисията следва да прецени дали такива разпоредби биха могли да бъдат установени в акт за изпълнение съгласно настоящата директива. Ако такъв акт за изпълнение не е подходящ за тази цел, специфични за сектора правни актове на Съюза биха могли да допринесат за гарантиране на високо равнище на киберсигурност, като същевременно се отчитат в пълна степен особеностите и сложността на съответните сектори. За тази цел настоящата директива не изключва приемането на други специфични за сектора правни актове на Съюза, в които се уреждат мерките за управление на риска в областта на киберсигурността и задължения за докладване, които отчитат надлежно потребността от всеобхватна и последователна рамка за киберсигурност. Настоящата директива не засяга съществуващите изпълнителни правомощия, предоставени на Комисията в редица сектори, включително в транспорта и енергетиката.
(23) Когато даден специфичен за сектора правен акт на Съюза съдържа разпоредби, изискващи от съществените или важните субекти да приемат мерки за управление на риска в областта на киберсигурността или да уведомяват за значителни инциденти, и когато тези изисквания имат най-малко равностоен ефект на предвидените в настоящата директива задължения, тези разпоредби, включително относно надзора и правоприлагането, следва да се прилагат за такива субекти. Ако даден специфичен за сектора правен акт на Съюза не обхваща всички субекти в конкретен сектор, попадащ в обхвата на настоящата директива, съответните разпоредби на настоящата директива продължават да се прилагат по отношение на субектите, които не са обхванати от този акт.
(24) Когато разпоредбите на специфичен за сектора правен акт на Съюза изискват от съществените или важните субекти да изпълняват задължения за докладване, които имат най-малко равностоен ефект на предвидените в настоящата директива задължения за докладване, при разглеждането на уведомленията за инциденти следва да се гарантират съгласуваност и ефективност. За тази цел разпоредбите относно уведомленията за инциденти от специфичния за сектора правен акт на Съюза следва да предоставят на ЕРИКС, компетентните органи или единните звена за контакт по въпросите на киберсигурността (единни звена за контакт) съгласно настоящата директива незабавен достъп до уведомленията за инциденти, подадени в съответствие със специфичния за сектора правен акт на Съюза. По-специално такъв незабавен достъп може да бъде осигурен, ако уведомленията за инциденти се препращат без ненужно забавяне на ЕРИКС, компетентния орган или единното звено за контакт съгласно настоящата директива. Когато е целесъобразно, държавите членки следва да въведат механизъм за автоматично и пряко докладване, който да гарантира систематичен и незабавен обмен на информация с ЕРИКС, компетентните органи или единните звена за контакт относно разглеждането на такива уведомления за инциденти. С цел опростяване на докладването и прилагане на механизма за автоматично и пряко докладване държавите членки могат, в съответствие със специфичния за сектора правен акт на Съюза, да използват единна входяща точка.
(25) В специфичните за сектора правни актове на Съюза, които предвиждат мерки за управление на риска в областта на киберсигурността или задължения за докладване, които имат най-малко равностоен ефект на предвидените в настоящата директива, може да се предвиди, че компетентните органи по силата на такива актове упражняват своите надзорни и правоприлагащи правомощия във връзка с такива мерки или задължения със съдействието на компетентните органи съгласно настоящата директива. Съответните компетентни органи биха могли да установят договорености за сътрудничество за тази цел. В такива договорености за сътрудничество биха могли да се уточнят, наред с другото, процедурите за координиране на надзорните дейности, включително процедурите за разследвания и проверки на място в съответствие с националното право, както и да се предвиди механизъм за обмен между компетентните органи на съответната информация относно надзора и правоприлагането, включително достъп до свързана с киберпространството информация, поискана от компетентните органи съгласно настоящата директива.
(26) Когато специфичните за сектора правни актове на Съюза изискват или предоставят стимули за субектите да уведомяват за значителни киберзаплахи, държавите членки следва също така да насърчават споделянето на значителни киберзаплахи с ЕРИКС, компетентните органи или единните звена за контакт съгласно настоящата директива, за да се гарантира по-високо равнище на осведоменост на тези образувания относно картината на киберзаплахите и да им се даде възможност да реагират ефективно и своевременно, в случай че значителните киберзаплахи се осъществят.
(27) В бъдещите специфични за сектора правни актове на Съюза следва надлежно да се вземат предвид определенията и рамката за надзор и правоприлагане, установени в настоящата директива.
(28) Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (10) следва да се счита за специфичен за сектора правен акт на Съюза във връзка с настоящата директива с оглед на финансовите субекти. Разпоредбите на Регламент (ЕС) 2022/2554 във връзка с управлението на риска в областта на информационните и комуникационните технологии (ИКТ), управлението на инцидентите при ИКТ и по-специално докладването за съществени инциденти с ИКТ, както и тези относно тестването на оперативната устойчивост на цифровите технологии, споразуменията за обмен на информация и риска в областта на ИКТ, пораждан от участието на трети страни, следва да се прилагат вместо предвидените в настоящата директива. Затова държавите членки не следва да прилагат разпоредбите на настоящата директива относно управлението на риска в областта на киберсигурността и задълженията за докладване и надзор и правоприлагането по отношение финансови субекти, обхванати от Регламент (ЕС) 2022/2554. Същевременно е от значение да се поддържат тясна връзка и обмен на информация с финансовия сектор съгласно настоящата директива. За тази цел Регламент (ЕС) 2022/2554 позволява на Европейските надзорни органи (ЕНО) и компетентните органи съгласно посочения регламент да участват в дейностите на групата за сътрудничество, както и да обменят информация и да сътрудничат с единните звена за контакт, както и с ЕРИКС и компетентните органи съгласно настоящата директива. Компетентните органи съгласно Регламент (ЕС) 2022/2554 следва също да предоставят подробности за съществени инциденти с ИКТ и, когато е целесъобразно, значителни киберзаплахи на ЕРИКС, на компетентните органи или на единните звена за контакт съгласно настоящата директива. Това е постижимо чрез осигуряване на незабавен достъп до уведомленията за инциденти и препращането им, пряко или чрез единна входяща точка. Освен това държавите членки следва да продължат да включват финансовия сектор в своите стратегии за киберсигурност, а дейностите на ЕРИКС могат да обхващат и него.
(29) За да се избегнат пропуски и дублиране на задълженията в областта на киберсигурността, наложени на субектите в сектора на въздухоплаването, националните органи, определени съгласно регламенти (ЕО) № 300/2008 (11) и (ЕС) 2018/1139 (12) на Европейския парламент и на Съвета, и компетентните органи съгласно настоящата директива следва да си сътрудничат във връзка с прилагането на мерките за управление на риска в областта на киберсигурността и надзора на съответствието с тези мерки на национално равнище. Спазването от страна на даден субект на изискванията за сигурност, определени в регламенти (ЕО) № 300/2008 и (ЕС) 2018/1139 и в съответните делегирани актове и актове за изпълнение, приети съгласно тези регламенти, може да се счита от компетентните органи съгласно настоящата директива като отговарящо на съответните изисквания, определени в настоящата директива.
(30) С оглед на взаимовръзките между киберсигурността и физическата сигурност на субектите следва да се осигури съгласуван подход между Директива (ЕС) 2022/2557 на Европейския парламент и на Съвета (13) и настоящата директива. За постигането на тази цел субектите, които са установени като критични субекти съгласно Директива (ЕС) 2022/2557 следва да се считат за съществени субекти съгласно настоящата директива. Освен това всяка държава членка следва да гарантира, че националните й стратегия за киберсигурност предвижда рамка на политика за засилена координация в рамките на тази държава членка между компетентните й органи съгласно настоящата директива и тези съгласно Директива (ЕС) 2022/2557 в контекста на обмена на информация относно рискове, киберзаплахи и инциденти, както и относно несвързани с киберпространството рискове, заплахи и инциденти, и упражняването на надзорни задачи. Компетентните органи съгласно настоящата директива и Директива (ЕС) 2022/2557 следва да си сътрудничат и да обменят информация без ненужно забавяне, по-специално във връзка с установяването на критични субекти, рискове, киберзаплахи и инциденти, както и несвързани с киберпространството рискове, заплахи и инциденти, засягащи критичните субекти, включително мерките за киберсигурност и физическите мерки, предприети от критичните субекти, и резултатите от надзорните дейности, извършени по отношение на тези субекти. Освен това, за да се рационализират надзорните дейности между компетентните органи съгласно настоящата директива и Директива (ЕС) 2022/2557, и за да се сведе до минимум административната тежест за засегнатите субекти, тези компетентни органи следва да се стремят да хармонизират образците за уведомяване за инциденти и надзорните процеси. Когато е целесъобразно, компетентните органи съгласно Директива (ЕС) 2022/2557 следва да могат да поискат от компетентните органи съгласно настоящата директива да упражняват своите надзорни и правоприлагащи правомощия във връзка със субект, който също така е установен като критичен субект съгласно Директива (ЕС) 2022/2557. За целта компетентните органи съгласно настоящата директива и Директива (ЕС) 2022/2557 следва да си сътрудничат и да обменят информация по възможност в реално време.
(31) Субектите, принадлежащи към сектора на цифровата инфраструктура, по същество се основават на мрежови и информационни системи и поради това задълженията, наложени на тези субекти съгласно настоящата директива, следва да третират по всеобхватен начин физическата сигурност на тези системи като част от техните мерки за управление на риска в областта на киберсигурността и задължения за докладване. Тъй като тези въпроси са обхванати от настоящата директива, задълженията, предвидени в глави III, IV и VI от Директива (ЕС) 2022/2557, не се прилагат за такива субекти.
(32) Поддържането и запазването на надеждна, устойчива и сигурна система за имена на домейни (DNS) са ключови фактори за запазването на целостта на интернет и са от съществено значение за неговото непрекъснато и стабилно функциониране, от което зависят цифровата икономика и обществото. Ето защо настоящата директива следва да се прилага за регистри за имена на домейни от първо ниво (TLD) и доставчици на DNS услуги, които трябва да се разбират като субекти, предоставящи публично достъпни рекурсивни услуги за преобразуване на имена на домейни за крайни интернет ползватели или услуги за овластено преобразуване на имена на домейни за използване от трета страна. Настоящата директива следва да не се прилага за базови сървъри за имена на домейни.
(33) Компютърните услуги „в облак“ следва да обхващат цифрови услуги, които дават възможност за администриране при поискване и широк отдалечен достъп до променлив по мащаб и еластичен набор от компютърни ресурси, които могат да бъдат ползвани съвместно, включително когато тези ресурси са разпределени на няколко места. Компютърните ресурси включват ресурси като мрежи, сървъри или друга инфраструктура, операционни системи, софтуер, средства за съхранение, приложения и услуги. Моделите на услугите за изчисления в облак включват, наред с другото, инфраструктура като услуга (IaaS), платформа като услуга (PaaS), софтуер като услуга (SaaS) и мрежа като услуга (NaaS). Моделите на внедряване на компютърни услуги „в облак“ следва да включват частен, общностен, публичен и хибриден облак. Моделите за предоставяне и внедряване на компютърни услуги „в облак“ имат същото значение като условията за ползване и моделите на внедряване, определени съгласно стандарта ISO/IEC 17788:2014. Възможността потребителят на компютърни услуги „в облак“ едностранно и самостоятелно да си набавя компютърен капацитет, като например сървърно време или мрежово хранилище, без каквато и да е човешка намеса от страна на доставчика на компютърни услуги „в облак“, може да се опише като администриране при поискване. Понятието „широк отдалечен достъп“ се използва, за да се опише, че услугите „в облак“ се предоставят в мрежата и достъпът до тях се осъществява чрез механизми, насърчаващи използването на разнородни платформи с „тънки“ и „дебели“ клиенти, включително мобилни телефони, таблети, лаптопи и работни станции. Понятието „променлив по мащаб“ означава, че компютърните ресурси се предоставят гъвкаво от доставчиците на компютърни услуги „в облак“, независимо от географското местоположение на ресурсите, за да бъдат отразени промените в търсенето. Понятието „еластичен набор“ се използва за описание на компютърните ресурси, които се предоставят и използват в зависимост от търсенето, за да може бързо да се увеличават или намаляват ресурсите, които са на разположение, в зависимост от работното натоварване. Изразът „които могат да бъдат ползвани съвместно“ се използва за описание на компютърните ресурси, които се предоставят на множество ползватели, които имат общ достъп до услугата, но обработването се извършва отделно за всеки ползвател, въпреки че услугата се предоставя от едно и също електронно оборудване. Понятието „разпределен“ се използва, за да се опишат компютърни ресурси, които са разположени на различни свързани в мрежа компютри или устройства и които осъществяват комуникация и координация помежду си посредством съобщения.
(34) Предвид възникването на новаторски технологии и нови бизнес модели се очаква на вътрешния пазар да се появят нови модели за предоставяне и внедряване на компютърни услуги „в облак“ в отговор на развиващите се потребителски нужди. В този контекст компютърните услуги „в облак“ могат да се предоставят под формата на силно „разпределени“ услуги, които се извършват още по-близо до мястото на генериране и събиране на данните, като по този начин техният традиционен модел ще бъде заменен от модел с висока степен на разпределеност („периферни изчисления“).
(35) Услугите, предлагани от доставчиците на услуги на центрове за данни, невинаги могат да бъдат предоставяни под формата на компютърна услуга „в облак“. Следователно центровете за данни невинаги съставляват част от инфраструктурата на компютърни услуги „в облак“. За да бъдат обхванати всички рискове за сигурността на мрежовите и информационните системи, настоящата директива следва съответно да обхваща също доставчици на услуги, специфични за центровете за данни, които не са компютърни услуги „в облак“. За целите на настоящата директива понятието „услуга на център за данни“ следва да обхваща предоставянето на услуга, включващо конструкции или групи конструкции, предназначени за централизирано разполагане, свързване и експлоатация на информационно и мрежово технологично оборудване, предоставящо услуги за съхранение, обработване и пренос на данни, заедно с всички съоръжения и инфраструктурата за електроразпределение и контрол на околната среда. Понятието „услуга на център за данни“ следва да не се прилага по отношение на вътрешни корпоративни центрове за данни, притежавани и използвани от съответния субект за собствени цели.
(36) Научноизследователските дейности играят ключова роля в разработването на нови продукти и процеси. Много от тези дейности се извършват от субекти, които споделят, разпространяват или използват резултатите от своите научни изследвания за търговски цели. Следователно тези субекти могат да бъдат важни участници във веригите за създаване на стойност, което превръща сигурността на техните мрежови и информационни системи в неразделна част от цялостната киберсигурност на вътрешния пазар. Научноизследователските организации следва да се разбират като включващи субекти, които съсредоточават основната част от дейността си върху извършването на приложна научноизследователска или развойна дейност по смисъла на методическо ръководство „Фраскати“ на Организацията за икономическо сътрудничество и развитие от 2015 г.: Насоки за събиране и докладване на данни относно научните изследвания и експерименталното развитие, с цел използването на резултатите от тях за търговски цели, като например производството или разработването на продукт или процес, предоставянето на услуга и предлагането им на пазара.
(37) Нарастващата взаимозависимост е резултат от нарастващия трансграничен и взаимообвързан характер на мрежата за доставка на услуги, използваща ключови инфраструктури в целия Съюз в сектори като енергетика, транспорт, цифрова инфраструктура, питейна вода и отпадъчна вода, здравеопазване, някои аспекти на публичната администрация, както и космическото пространство, доколкото става въпрос за предоставянето на определени услуги, зависещи от наземни инфраструктури, притежавани, управлявани и използвани от държавите членки или от частноправни субекти, т.е. без инфраструктурите, притежавани, управлявани и използвани от Съюза или от негово име като част от космическата му програма. Тази взаимозависимост означава, че всяко смущение, дори и такова, което първоначално се свежда до един субект или сектор, може да има стъпаловидни ефекти в по-широк план, потенциално водещи до широкообхватни и трайни отрицателни последствия за доставката на услуги на вътрешния пазар. Засилените кибератаки по време на пандемията от COVID-19 показаха колко са уязвими нашите все по-взаимозависими общества за рискове с ниска вероятност.
(38) С оглед на различията в националните структури на управление и с цел да се запазят вече съществуващи секторни правила или надзорни и регулаторни органи на Съюза, държавите членки следва да могат да определят или създават един или повече компетентни органи, отговарящи за киберсигурността и за надзорните задачи съгласно настоящата директива.
(39) За да се улесни трансграничното сътрудничество и комуникация сред органите и да се осигури възможност за ефективно изпълнение на настоящата директива, е необходимо всяка държава членка да определи единно звено за контакт, което да отговаря за координацията на въпросите, свързани със сигурността на мрежовите и информационните системи, и за трансграничното сътрудничество на равнището на Съюза.
(40) Единните звена за контакт следва да гарантират ефективно трансгранично сътрудничество със съответните органи на други държави членки и когато е целесъобразно, с Комисията и ENISA. Поради това на единните звена за контакт следва да се възложи задачата да предават уведомленията за значителни инциденти с трансгранично въздействие на единните звена за контакт на други засегнати държави членки, по искане на ЕРИКС или на компетентния орган. На национално равнище единните звена за контакт следва да дават възможност за безпроблемно междусекторно сътрудничество с други компетентни органи. Единните звена за контакт могат да са и адресатите за относима информация за инциденти, засягащи финансови субекти, постъпваща от компетентните органи съгласно Регламент (EС) 2022/2554, която те следва при необходимост да могат да препращат на ЕРИКС или на компетентните органи съгласно настоящата директива.
(41) Държавите членки следва да разполагат с достатъчно технически и организационен капацитет, за да предотвратяват и идентифицират инцидентите и рисковете, да реагират на тях и да се възстановяват от тях, както и да смекчават въздействието им. Ето защо държавите членки следва да определят или посочат един или повече ЕРИКС съгласно настоящата директива и да гарантират, че те разполагат с подходящи ресурси и технически възможности. ЕРИКС следва да отговарят на изискванията, определени в настоящата директива, за да се гарантират ефективни и съвместими способности за справяне с инциденти и рискове и да се осигури ефективно сътрудничество на равнището на Съюза. Държавите членки следва да могат да определят като ЕРИКС и съществуващи екипи за незабавно реагиране при компютърни инциденти („CERT“). С цел да се подобри връзката на доверие между субектите и ЕРИКС, когато ЕРИКС е част от компетентния орган, държавите членки следва да могат да обмислят функционалното разделение между изпълняваните от ЕРИКС оперативни задачи, особено свързаните с обмена на информация и оказването на подкрепа за субектите, и надзорните дейности на компетентните органи.
(42) На ЕРИКС са възложени действията при инцидент. Това включва обработването на големи обеми от понякога чувствителни данни. Държавите членки следва да гарантират, че ЕРИКС разполагат с инфраструктура за обмен и обработка на информация, както и с добре оборудван персонал, което гарантира поверителността и надеждността на техните операции. ЕРИКС биха могли също така да приемат кодекси за поведение в това отношение.
(43) По отношение на личните данни ЕРИКС следва да могат да предоставят, в съответствие с Регламент (ЕС) 2016/679, при поискване от страна на съществен или важен субект, активно сканиране на мрежовите и информационните системи, използвани за предоставянето на услугите на субекта. Когато е приложимо, държавите членки следва да имат за цел да гарантират еднакво равнище на технически възможности за всички секторни ЕРИКС. Държавите членки следва да могат да поискат помощ от ENISA при създаването на своите ЕРИКС.
(44) ЕРИКС следва да имат способността по искане на даден съществен или важен субект да наблюдават свързаните с интернет активи както в помещенията, така и извън тях, за да установят, разберат и управляват цялостните организационни рискове на субекта по отношение на новоустановени нарушения на сигурността по веригата на доставки или критични уязвимости. Субектът следва да бъде насърчаван да съобщава на ЕРИКС дали поддържа привилегирован интерфейс за управление, тъй като това би могло да повлияе на бързината на предприемане на действия за смекчаване на последиците.
(45) Предвид значението на международното сътрудничество в областта на киберсигурността, ЕРИКС следва да имат възможността да участват в мрежите за международно сътрудничество в допълнение към участието им в мрежата на ЕРИКС, създадена с настоящата директива. Поради това за целите на изпълнението на своите задачи ЕРИКС и компетентните органи следва да могат да обменят информация, включително лични данни, с националните екипи за реагиране при инциденти с компютърната сигурност или компетентните органи на трети държави, при условие че са изпълнени условията съгласно правото на Съюза в областта на защитата на данните за предаването на лични данни на трети държави, наред с другото, тези по член 49 от Регламент (ЕС) 2016/679.
(46) От съществено значение е осигуряването на подходящи ресурси за постигане на целите на настоящата директива и осигуряването на възможност за компетентните органи и ЕРИКС за изпълнение на задачите, установени в нея. Държавите членки могат да въведат на национално равнище механизъм за финансиране за покриване на необходимите разходи във връзка с изпълнението на задачите на публичните субекти, отговарящи за киберсигурността в държавата членка съгласно настоящата директива. Този механизъм следва да е в съответствие с правото на Съюза, да бъде пропорционален и недискриминационен и да отчита различните подходи за предоставяне на сигурни услуги.
(47) Мрежата на ЕРИКС следва да продължи да допринася за укрепване на доверието и да насърчава бързото и ефективно оперативно сътрудничество между държавите членки. За да се засили оперативното сътрудничество на равнището на Съюза, мрежата на ЕРИКС следва да обмисли възможността да покани органи и агенции на Съюза, участващи в политиката в областта на киберсигурността, като например Европол, да участват в нейната работа.
(48) С цел постигане и поддържане на високо ниво на киберсигурност националните стратегии за киберсигурност, изисквани съгласно настоящата директива, следва да се състоят от съгласувани рамки, в които се определят стратегически цели и приоритети в областта на киберсигурността, както и управлението за тяхното постигане. Тези стратегии може да се състоят от един или повече законодателни или незаконодателни инструменти.
(49) Политиките за киберхигиена осигуряват основите за защита на инфраструктурите на мрежовите и информационните системи, хардуера, софтуера и сигурността на онлайн приложенията и данните за бизнеса или крайните ползватели, на които разчитат субектите. Политиките за киберхигиена, съдържащи общ набор от основни практики, включително актуализации на софтуера и хардуера, промени в паролата, управление на нови инсталации, ограничаване на профилите за достъп на ниво администратор и създаване на резервни копия на данни, позволяват проактивна рамка за готовност и цялостната безопасност и сигурност в случай на инциденти или киберзаплахи. ENISA следва да наблюдава и анализира политиките на държавите членки в областта на киберхигиената.
(50) Осведомеността в областта на киберсигурността и киберхигиената са от съществено значение за повишаване на равнището на киберсигурност в рамките на Съюза, по-специално с оглед на нарастващия брой свързани устройства, които все по-често се използват при кибератаки. Следва да се положат усилия за повишаване на цялостната осведоменост за рисковете, свързани с такива устройства, докато оценките на равнището на Съюза биха могли да спомогнат за гарантиране на общо разбиране на тези рискове в рамките на вътрешния пазар.
(51) Държавите членки следва да насърчават използването на всяка иновативна технология, включително изкуствен интелект, чието използване би могло да подобри откриването и предотвратяването на кибератаки, като даде възможност за по-ефективно използване на ресурси спрямо кибератаки. Поради това държавите членки следва да насърчават в своята национална стратегия за киберсигурност дейности в областта на научноизследователската и развойната дейност, за да се улесни използването на такива технологии, по-специално тези, свързани с автоматизирани или полуавтоматизирани инструменти в областта на киберсигурността, и когато е целесъобразно, споделянето на данни, необходими за обучението на потребителите на такива технологии и за подобряването им. Използването на всяка иновативна технология, включително изкуствен интелект, следва да бъде в съответствие с правото на Съюза в областта на защитата на данните, включително принципите на защитата на данните – точност, свеждане на данните до минимум, справедливост и прозрачност, както и сигурността на данните, като например най-съвременно криптиране. Изискванията за защита на данните на етапа на проектирането и по подразбиране, определени в Регламент (ЕС) 2016/679, следва да се спазват напълно.
(52) Инструментите и приложенията за киберсигурност с отворен код могат да допринасят за по-висока степен на откритост и да имат положително въздействие върху ефективността на индустриалните иновации. Отворените стандарти улесняват оперативната съвместимост между инструментите за сигурност и са от полза за сигурността на заинтересованите страни от промишлеността. Инструментите и приложенията за киберсигурност с отворен код могат да привлекат вниманието на по-широката общност на разработчиците, което ще позволи диверсификация на доставчиците. Отвореният код може да доведе до по-прозрачен процес на проверка на инструментите, свързани с киберсигурността, и процес на откриване на уязвимости, обусловен от общността. Поради това държавите членки следва да могат да насърчават използването на софтуер с отворен код и отворени стандарти чрез провеждане на политики, свързани с използването на свободно достъпни данни и отворен код като част от сигурността чрез прозрачност. Политиките за насърчаване на въвеждането и устойчивото използване на инструменти за киберсигурност с отворен код са от особено значение за малките и средните предприятия, изправени пред значителни разходи за изпълнение, които биха могли да бъдат сведени до минимум чрез намаляване на необходимостта от специфични приложения или инструменти.
(53) Комуналните услуги все повече се свързват с цифровите мрежи в градовете с цел подобряване на градските транспортни мрежи, подобряване на водоснабдяването и съоръженията за обезвреждане на отпадъци и повишаване на ефективността на осветлението и отоплението на сградите. Тези цифровизирани комунални услуги са уязвими на кибератаки и поради своята взаимосвързаност съществува опасност в случай на успешна кибератака да се навреди сериозно на гражданите. Държавите членки следва да разработят политика, насочена към развитието на такива свързани или интелигентни градове и тяхното потенциално въздействие върху обществото, като част от своята национална стратегия за киберсигурност.
(54) През последните години Съюзът е изправен пред експоненциално увеличение на атаките със софтуер за изнудване, при които зловредният софтуер криптира данни и системи и изисква откуп за освобождаване. Нарастващата честота и сериозност на атаките със софтуер за изнудване може да се дължи на няколко фактора, като например различни модели на атака, престъпни бизнес модели около „софтуера за изнудване като услуга“ и криптовалутите, изисквания за откуп и увеличаване на атаките по веригата на доставки. Като част от своята национална стратегия за киберсигурност държавите членки следва да развиват политика, насочена към справяне с нарастващия брой атаки със софтуер за изнудване.
(55) Публично-частните партньорства (ПЧП) в областта на киберсигурността могат да осигурят подходяща рамка за обмен на знания, споделяне на най-добри практики и установяване на общо равнище на разбиране между всички заинтересовани страни. Държавите членки следва да насърчават политиките, подкрепящи установяването на ПЧП, специфични за киберсигурността. Тези политики следва да изяснят, наред с другото, обхвата и участващите заинтересовани страни, модела на управление, наличните възможности за финансиране и взаимодействието между участващите заинтересовани страни, що се отнася до ПЧП. ПЧП могат да използват експертния опит на субектите от частния сектор, за да съдействат на компетентните органи при разработването на съвременни услуги и процеси, включително обмен на информация, ранни предупреждения, упражнения с киберзаплахи и инциденти, управление на кризи и планиране на устойчивост.
(56) В своите национални стратегии относно киберсигурността държавите членки следва да обърнат внимание на специфичните потребности на малките и средните предприятия в областта на киберсигурността. В целия Съюз малките и средните предприятия представляват голям дял от промишления и бизнес пазар и често се борят да се приспособят към новите бизнес практики в един по-свързан свят и към цифровата среда, със служители, работещи от дома, и с дейност, която все повече се извършва онлайн. Някои малки и средни предприятия са изправени пред специфични предизвикателства, свързани с киберсигурността, като например ниското ниво на осведоменост в областта на киберсигурността, липсата на ИТ сигурност от разстояние, високите разходи за решения в областта на киберсигурността и повишеното равнище на заплаха, като например софтуер за изнудване, за коeто следва да получават насоки и подкрепа. Малките и средните предприятия все повече се превръщат в обект на атаки по веригата на доставки поради не толкова строгите си мерки за управление на риска в областта на киберсигурността, и за управление на атаки, както и поради ограничените си ресурси за сигурност. Подобни атаки по веригата на доставки не само оказват въздействие върху малките и средните предприятия и техните отделни операции, но могат да имат и каскаден ефект върху по-големи атаки срещу субекти, на които те са били доставчици. Чрез своите национални стратегии за киберсигурност държавите членки следва да помагат на малките и средните предприятия да се справят с предизвикателствата, пред които са изправени техните вериги на доставки. Държавите членки следва да имат звено за контакт за малките и средните предприятия на национално или регионално равнище, което или предоставя насоки и помощ на малките и средните предприятия, или ги насочва към съответните органи за насоки и съдействие по въпроси, свързани с киберсигурността. Държавите членки се насърчават също така да предлагат услуги, като конфигуриране на уебсайтове и регистриране, на микропредприятията и малките предприятия, които не разполагат с такива възможности.
(57) В рамките на своите национални стратегии за киберсигурност държавите членки следва да приемат политики за насърчаване на активната киберзащита като част от по-широка отбранителна стратегия. Вместо да се реагира, активната киберзащита се състои от превенция, откриване, наблюдение, анализ и смекчаване на нарушенията на сигурността на мрежата по активен начин, в съчетание с използването на способности, разположени във и извън мрежата, която е жертва на кибератаката. Това може да включва предоставяне от страна на държавите членки на безплатни услуги или инструменти за някои субекти, включително проверки на самообслужване, инструменти за откриване и услуги по отстраняване. Способността за бързо и автоматично споделяне и разбиране на информация и анализ на заплахи, предупрежденията за кибердейности и действията за реагиране са от решаващо значение за осигуряване на единство на усилията за успешно предотвратяване, откриване, противодействие и блокиране на атаки срещу мрежови и информационни системи. Активната киберзащита се основава на отбранителна стратегия, която изключва офанзивни мерки.
(58) Тъй като злонамереното използване на уязвимостите в мрежовите и информационните системи може да причини значителни смущения и вреди, бързото установяване и отстраняване на такива уязвимости е важен фактор за намаляване на риска. Затова субектите, които изграждат или администрират мрежови и информационни системи, следва да установят подходящи процедури за справяне с уязвимостите, които са открити. Тъй като уязвимостите често се откриват и оповестяват от трети страни, производителят или доставчикът на ИКТ продукти или ИКТ услуги следва да въведе и необходимите процедури за получаване на информация за уязвимости от трети страни. В това отношение международните стандарти ISO/IEC 30111 и ISO/IEC 29147 предоставят насоки за справянето с уязвимости и за тяхното оповестяване. От особено значение е засилването на координацията между докладващите физически и юридически лица и производителите или доставчиците на ИКТ продукти или ИКТ услуги, за да се улесни доброволната рамка за оповестяване на уязвимости. С координираното оповестяване на уязвимостите се определя структуриран процес, чрез който уязвимостите се докладват на производителя или доставчика на потенциално уязвимите ИКТ продукти или ИКТ услуги по начин, позволяващ му да диагностицира и отстрани уязвимостта преди разкриването на подробна информация за нея на трети страни или на обществеността. Координираното оповестяване на уязвимостите следва да включва и координиране между докладващото физическо или юридическо лице и производителя или доставчика на потенциално уязвимите ИКТ продукти или ИКТ услуги по отношение на графика за отстраняване и публикуване на уязвимостите.
(59) Комисията, ENISA и държавите членки следва да продължат да насърчават привеждането в съответствие с международните стандарти и съществуващите най-добри практики в сектора в областта на управлението на риска в областта на киберсигурността, например в областта на оценките на сигурността на веригата на доставки, обмена на информация и разкриването на уязвимости.
(60) Държавите членки, в сътрудничество с ENISA, следва да предприемат мерки за улесняване на координираното оповестяване на уязвимостите, като установят съответна национална политика. Като част от националната си политика държавите членки следва да се стремят да вземат мерки, доколкото е възможно, срещу предизвикателствата, пред които са изправени изследователите в областта на уязвимостта, включително потенциалната опасност да им бъде търсена наказателна отговорност, в съответствие с националното право. Като се има предвид, че физическите и юридическите лица, които изследват уязвимости, биха могли в някои държави членки да бъдат изложени на наказателна и гражданска отговорност, държавите членки се насърчават да приемат насоки по отношение на липсата на наказателно преследване на изследователите в областта на информационната сигурност и освобождаването от гражданска отговорност за тези дейности.
(61) Държавите членки следва да определят един от своите ЕРИКС като „координатор“, при необходимост действащ като доверен посредник между докладващите физически или юридически лица и производителите или доставчиците на ИКТ продукти или ИКТ услуги, които е вероятно да бъдат засегнати от уязвимостта. Задачите на определения за координатор ЕРИКС следва да включват идентифициране и установяване на контакт със засегнатите субекти, подпомагане на физическите или юридическите лица, докладващи за уязвимост, договаряне на срокове за оповестяване и управление на уязвимостите, които засягат множество субекти (многостранно координирано оповестяване на уязвимостите). Когато докладваната уязвимост би могла да окаже значително въздействие върху субекти в повече от една държава членка, определените за координатори ЕРИКС следва да си сътрудничат в рамките мрежата на ЕРИКС, когато е целесъобразно.
(62) Достъпът до вярна и своевременна информация относно уязвимостите, засягащи ИКТ продукти и ИКТ услуги, допринася за подобрено управление на риска в областта на киберсигурността. Източниците на публично достъпна информация относно уязвимостите са важен инструмент за субектите и ползвателите на техните услуги, но също и за компетентните органи и ЕРИКС. Поради тази причина ENISA следва да създаде европейска база данни за уязвимостите, където субектите, независимо дали попадат в обхвата на настоящата директива, и техните доставчици на мрежови и информационни системи, както и компетентните органи и ЕРИКС, да могат доброволно да разкриват и регистрират публично известни уязвимости с цел да се даде възможност на ползвателите да предприемат подходящи смекчаващи мерки. Целта на тази база данни е да се отговори на единствените по рода си предизвикателства, породени от рисковете за субекти на Съюза. Освен това ENISA следва да установи подходяща процедура по отношение на процеса на публикуване, за да даде на субектите време да предприемат мерки за смекчаване на своята уязвимост и да използват най-съвременните мерки за управление на риска в областта на киберсигурността както и машинночетими набори от данни и съответните интерфейси. За да се насърчи културата на разкриване на уязвимости, разкриването не следва да има неблагоприятни последици за докладващото физическо или юридическо лице.
(63) При все че подобни регистри или бази данни за уязвимости съществуват, те се предоставят и поддържат от установени извън Съюза субекти. Една поддържана от ENISA Европейска база данни за уязвимостите би осигурила повишена прозрачност относно процеса на публикуване преди официалното разкриване на уязвимостта, както и устойчивост в случаи на смущение или прекъсване на предоставянето на подобни услуги. За да се избегне дублиране на усилията и да се постигне взаимно допълване доколкото е възможно, ENISA следва да разгледа възможността за сключване на споразумения за структурирано сътрудничество с подобни регистри или бази данни, които попадат под юрисдикцията на трети държави. По-специално ENISA следва да проучи възможността за тясно сътрудничество с операторите на системата за общи уязвимости и експозиции (CVE).
(64) Групата за сътрудничество следва да подкрепя и улеснява стратегическото сътрудничество и обмена на информация, както и изграждането на доверие между държавите членки. Групата за сътрудничество следва да съставя работна програма на всеки две години. Работната програма следва да включва действията, които групата за сътрудничество да предприема за изпълнение на своите цели и задачи. Времевата рамка за изготвяне на първата работна програма съгласно настоящата директива следва да е синхронизирана с времевата рамка на последната работна програма, изготвена съгласно Директива (ЕС) 2016/1148, за да се избегнат потенциални смущения в работата на групата за сътрудничество.
(65) При разработването на документите с насоки групата за сътрудничество следва постоянно да картографира националните решения и опит, да извършва оценка на въздействието на резултатите от своята работа върху националните подходи, да обсъжда предизвикателствата при изпълнението и да формулира конкретни препоръки, в частност относно улесняване на съгласуването между държавите членки във връзка с транспониране на настоящата директива, като тези препоръки трябва да се следват посредством по-доброто прилагане на съществуващите правила. Групата за сътрудничество би могла също така да картографира решенията на национално равнище, за да насърчава съвместимостта на решенията в областта на киберсигурността, прилагани във всеки конкретен сектор в Съюза. Това е приложимо в особена степен за секторите, които имат международен или трансграничен характер.
(66) Групата за сътрудничество следва да остане гъвкав форум и да може да реагира на променящите се и новите приоритети на политиките и предизвикателствата пред тях, като същевременно взема предвид наличността на ресурсите. Тя би могла да организира редовни съвместни заседания с относимите частни заинтересовани страни от Съюза с цел обсъждане на дейностите, извършвани от групата за сътрудничество, и събиране на данни и информация относно възникващите предизвикателства пред политиките. Освен това групата за сътрудничество следва да извършва редовно оценка на актуалното състояние на киберзаплахите или инцидентите, като например софтуера за изнудване. С цел подобряване на сътрудничество на равнището на Съюза групата за сътрудничество следва да разгледа възможността да покани съответните работещи в областта на политиките за киберсигурност институции, органи, служби и агенции на Съюза, като например Европейския парламент, Европол, Европейския комитет по защита на данните, Агенцията за авиационна безопасност на Европейския съюз, създадена с Регламент (ЕС) 2018/1139, и Агенцията на Европейския съюз за космическата програма, създадена с Регламент (ЕС) 2021/696 на Европейския парламент и на Съвета (14), да участват в нейната работа.
(67) Компетентните органи и ЕРИКС следва да могат да участват в схеми за обмен на длъжностни лица от други държави членки в рамките на конкретна рамка и където е приложимо, при спазване на изискването за надеждност на служители, участващи в такива схеми за обмен, с цел подобряване на сътрудничеството и укрепване на доверието между държавите членки. Компетентните органи следва да предприемат необходимите мерки, за да дадат възможност на длъжностните лица от други държави членки да играят ефективна роля в действията на приемащия компетентен орган или приемащия ЕРИКС.
(68) Държавите членки следва да допринасят за създаването на Механизма на ЕС за реакция при кризи в областта на киберсигурността, предвиден в Препоръка (ЕС) 2017/1584 на Комисията (15), посредством съществуващите мрежи за сътрудничество, особено Европейската мрежа на организациите за връзка при киберкризи (EU-CyCLONe), мрежата на ЕРИКС и групата за сътрудничество. EU-CyCLONe и мрежата на ЕРИКС следва да си сътрудничат въз основа на процедурни правила, определящи реда и условията на това сътрудничество, и да избягват всякакво дублиране на задачите. В процедурния правилник на EU-CyCLONe следва допълнително да бъдат посочени редът и условията, при които следва да функционира мрежата, включително ролите на мрежите, средствата на сътрудничество, взаимодействията с други относими действащи лица и образците за обмена на информация, както и средствата за комуникация. При управлението на кризи на равнището на Съюза съответните страни следва да се основават на интегрираните договорености на ЕС за реакция на политическо равнище при кризи съгласно Решение за изпълнение (ЕС) 2018/1993 на Съвета (16) (договорености IPCR). За целта Комисията следва да използва процеса ARGUS за многосекторна координация на кризи на високо равнище. Ако кризата засяга важно измерение на външната дейност или общата политика за сигурност и отбрана, следва да бъде активиран Механизмът за реакция при кризи на Европейската служба за външна дейност.
(69) В съответствие с приложението към Препоръка (ЕС) 2017/1584 „мащабен киберинцидент“ следва да означава инцидент, който причинява степен на смущение, надхвърляща способността на дадена държава членка да реагира на него, или който има значително въздействие върху най-малко две държави членки. В зависимост от причината и въздействието си, мащабните киберинциденти може да се разраснат и да се превърнат в същински кризи, непозволяващи правилното функциониране на вътрешния пазар или представляващи сериозни рискове за публичната сигурност и безопасност за субектите или гражданите в няколко държави членки или в Съюза като цяло. Предвид широкомащабния обхват и в повечето случаи, трансграничния характер на такива инциденти, държавите членки и съответните институции, органи, служби и агенции на Съюза следва да си сътрудничат на техническо, оперативно и политическо равнище за правилно координиране на отговора в Съюза
(70) Мащабните киберинциденти и кризите на равнището на Съюза изискват координирани действия, за да се гарантира бърза и ефективна реакция поради високата степен на взаимозависимост между секторите и държавите членки. Наличието на устойчиви на киберзаплахи мрежови и информационни системи и наличието, поверителността и целостта на данните са от жизненоважно значение за сигурността на Съюза и за защитата на неговите граждани, предприятия и институции срещу инциденти и киберзаплахи, както и за повишаване на доверието на физическите лица и организациите в способността на Съюза да насърчава и защитава глобално, отворено, свободно, стабилно и сигурно киберпространство, основано на правата на човека, основните свободи, демокрацията и принципите на правовата държава.
(71) EU-CyCLONe следва да работи като посредник между техническото и политическото равнище по време на мащабни киберинциденти и кризи и следва да засилва сътрудничеството на оперативно равнище и да подпомага вземането на решения на политическо равнище. В сътрудничество с Комисията, като се има предвид компетентността на Комисията в областта на управлението на кризи, EU-CyCLONe следва да се основава на констатациите на мрежата на ЕРИКС и да използва собствения си капацитет за изготвяне на анализ на въздействието на мащабни киберинциденти и кризи.
(72) Кибератаките са трансгранични по своя характер и даден значителен инцидент може да наруши и увреди критичните информационни инфраструктури, от които зависи гладкото функциониране на вътрешния пазар. Препоръка (ЕС) 2017/1584 разглежда ролята на всички заинтересовани страни. Освен това Комисията отговаря, в рамките на Механизма за гражданска защита на Съюза, създаден с Решение № 1313/2013/ЕС на Европейския парламент и на Съвета (17), за действията за обща готовност, включително управлението на Координационния център за реагиране при извънредни ситуации и Общата система за спешна комуникация и информация, поддържането и по-нататъшното развитие на ситуационната осведоменост и капацитета за анализ, както и създаването и управлението на способности за мобилизиране и изпращане на експертни екипи в случай на искане за помощ от държава членка или трета държава. Комисията отговаря също така за предоставянето на аналитични доклади за договореностите IPCR съгласно Решение за изпълнение (ЕС) 2018/1993, включително във връзка със ситуационната осведоменост и подготвеност в областта на киберсигурността, както и за осведомеността за състоянието и реакцията при кризи в областта на селското стопанство, неблагоприятните метеорологични условия, картографирането и прогнозите за конфликти, системите за ранно предупреждение за природни бедствия, извънредни ситуации, свързани със здравето на хората, наблюдението на заразни болести, здравето на растенията, химическите инциденти, безопасността на храните и фуражите, здравето на животните, миграцията, митниците, извънредни ситуации в ядрената и радиологичната област и енергията.
(73) При необходимост Съюзът може да сключва международни споразумения в съответствие с член 218 от ДФЕС с трети държави или международни организации, които допускат и уреждат участието им в определени дейности на групата за сътрудничество и мрежата на ЕРИКС, както и на EU-CyCLONe. Тези споразумения следва да гарантират интересите на Съюза и адекватна защита на данните. Това не следва да изключва правото на държавите членки да си сътрудничат с трети държави по отношение на управлението на уязвимости и управлението на рисковете, свързани с киберсигурността, улеснявайки докладването и общия обмен на информация в съответствие с правото на Съюза.
(74) С цел да се улесни ефективното прилагане на настоящата директива по отношение, наред с другото, на управлението на уязвимостите, мерките за управление на риска в областта на киберсигурността, задълженията за докладване и споразуменията за обмен на информация в областта на киберсигурността, държавите членки могат да си сътрудничат с трети държави и да предприемат дейности, които се считат за подходящи за тази цел, включително обмен на информация относно киберзаплахи, инциденти, уязвимости, средства и методи, тактики, техники и процедури, подготвеност и учения за управление на кризи в областта на киберсигурността, обучение, изграждане на доверие и структурирани споразумения за обмен на информация.
(75) Следва да се въведат партньорски проверки, за да се подпомогне извличането на поуки от споделения опит, да се укрепи взаимното доверие и да се постигне високо общо ниво на киберсигурност. Партньорските проверки могат да доведат до ценни изводи и препоръки за укрепване на цялостните способности в областта на киберсигурността, като се създаде друг функционален път за обмен на най-добри практики между държавите членки и се допринесе за повишаване на равнищата на зрялост на държавите членки в областта на киберсигурността. Освен това партньорските проверки следва да отчитат резултатите от подобни механизми, като например системата за партньорски проверки на мрежата на ЕРИКС, както и следва да добавят стойност и да избягват дублирането. Прилагането на партньорските проверки следва да не засяга законодателството на Съюза или националните закони в областта на защитата на поверителната и класифицираната информация.
(76) Групата за сътрудничество следва да създаде методология за самооценка за държавите членки, която да има за цел да обхване фактори като равнището на изпълнение на мерките за управление на риска в областта на киберсигурността и задълженията за докладване, равнището на способностите и ефективността на изпълнението на задачите на компетентните органи, оперативните способности на ЕРИКС, степента на прилагане на взаимната помощ, степента на прилагане на споразуменията за обмен на информация в областта на киберсигурността или специфични въпроси от трансгранично или междусекторно естество. Държавите членки следва да бъдат насърчавани да извършват редовни самооценки и да представят и обсъждат резултатите от своята самооценка в рамките на групата за сътрудничество.
(77) Отговорността по гарантиране на сигурността на мрежовите и информационните системи принадлежи в голяма степен на съществените и важните субекти. Следва да се насърчава и развива култура на управление на риска, включваща оценките на риска и изпълнението на мерки за управление на риска в областта на киберсигурността, съобразени със съществуващите рискове.
(78) Мерките за управление на риска в областта на киберсигурността следва да отчитат степента на зависимост на съществения или важния субект от мрежовите и информационните системи и следва да включват мерки за идентифициране на всякакви рискове от инциденти с цел предотвратяване, откриване и реагиране на инциденти, както и ограничаване на тяхното въздействие. Сигурността на мрежовите и информационните системи следва да включва сигурността на данните, които се съхраняват, предават и обработват. Мерките за управление на риска в областта на киберсигурността следва да предвиждат системен анализ, при който се отчита човешкият фактор, за да се получи пълна картина на сигурността на мрежовата и информационната система.
(79) Тъй като заплахите за сигурността на мрежовите и информационните системи могат да имат различен произход, мерките за управление на риска в областта на киберсигурността следва да се основават на подход, обхващащ всички опасности, който има за цел да защити мрежовите и информационните системи и физическа среда на тези системи от събития като кражба, пожар, наводнение, телекомуникационни повреди или прекъсване на захранването, или от всякакъв неразрешен физически достъп и щети и намеса в информацията на съществения или важния субект и неговите съоръжения за обработка на информация, които биха могли да засегнат отрицателно наличността, автентичността, цялостността или поверителността на съхраняваните, пренасяните или обработваните данни или на услугите, предлагани от мрежови и информационни системи или достъпни чрез тях. Поради това мерките за управление на риска в областта на киберсигурността, следва да са насочени и към физическата сигурност и сигурността на средата на мрежовите и информационните системи като включват мерки за защита на тези системи от сривове в системата, човешка грешка, злонамерени действия или природни явления в съответствие с европейските и международните стандарти, като включените в серията ISO/IEC 27000. В това отношение, като част от своите мерки за управление на риска в областта на киберсигурността съществените и важните субекти следва също така да обърнат внимание на сигурността на човешките ресурси и да разполагат с подходящи политики за контрол на достъпа. Тези мерки следва да са съобразени с Директива(ЕС) 2022/2557.
(80) С цел доказване на спазването на мерките за управление на риска в областта на киберсигурността и при липсата на подходящи европейски схеми за сертифициране на киберсигурността, приети в съответствие с Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета (18), държавите членки следва, като се консултират с групата за сътрудничество и Европейската група за сертифициране на киберсигурността, да насърчават използването на съответните европейски и международни стандарти от съществените и важните субекти или да изискват от субектите да използват сертифицирани ИКТ продукти, ИКТ услуги и ИКТ процеси.
(81) С цел да се избегне налагането на непропорционална финансова и административна тежест върху съществените и важните субекти, мерките за управление на риска в областта на киберсигурността следва да бъдат пропорционални на риска, който съществува по отношение на съответната мрежова и информационна система, като се отчитат последните достижения в областта на тези мерки и когато е приложимо, съответните европейски и международни стандарти, както и разходите за тяхното прилагане.
(82) Мерките за управление на риска в областта на киберсигурността следва да бъдат пропорционални на степента на излагане на рискове на субекта и на общественото и икономическото въздействие, което даден инцидент би оказал. При установяването на мерки за управление на риска, свързани с киберсигурността, приспособени към съществените и важните субекти, следва надлежно да се вземе предвид различната изложеност на риск на съществените и важните субекти, като например критичността на субекта, рисковете, включително обществените рискове, на които е изложен, размерът на субекта и вероятността от възникване на инциденти и тяхната сериозност, включително тяхното обществено и икономическо въздействие.
(83) Съществените и важните субекти следва да гарантират сигурността на мрежовите и информационните системи, които използват в своите дейности. Тези системи са предимно частни мрежови и информационни системи, управлявани от вътрешен ИТ персонал на съществените и важните субекти, или такива, чиято сигурност е възложена на външни изпълнители. Мерките за управление на риска в областта на киберсигурността и задълженията за докладване, предвидени в настоящата директива, следва да се прилагат по отношение на съответните съществени и важни субекти без оглед на това дали те извършват вътрешно поддръжка на своите мрежови и информационни системи или възлагат поддръжката на външни изпълнители.
(84) Като се има предвид трансграничният им характер, за доставчиците на DNS услуги, за регистрите на имена на домейни от първо ниво, за доставчиците на компютърни услуги „в облак“, за доставчиците на услуги на центрове за данни, за доставчиците на мрежи за предоставяне на съдържание, за доставчиците на управлявани услуги, за доставчиците на управлявани услуги за сигурност, за доставчиците на онлайн места за търговия, на онлайн търсачки и на платформи на услуги за социални мрежи и за доставчиците на удостоверителни услуги следва да се прилага висока степен на хармонизация на равнището на Съюза. Поради това изпълнението на мерките за управление на риска в областта на киберсигурността по отношение на посочените субекти следва да бъде улеснено чрез акт за изпълнение.
(85) Справянето с рискове, коренящи се във веригата на доставки на даден субект и отношенията му с доставчиците, като например доставчици на услуги по съхранение или обработка на данни или доставчици на управлявани услуги за сигурност и производители на софтуер, е от особено значение предвид преобладаващия брой на инцидентите, при които субекти са били жертва на кибератаки или сигурността на техните мрежови и информационни системи бива компрометирана от злонамерени извършители чрез експлоатиране на уязвимостите, засягащи продукти и услуги на трети страни. Затова съществените и важните субекти следва да преценяват и вземат предвид цялостното качество и устойчивост на продуктите и услугите, внедрените в тях мерки за управление на риска, свързан с киберсигурността, и практиките на своите снабдители и доставчици на услуги в областта на киберсигурността, включително техните процедури за сигурно разработване. Съществените и важните субекти следва по-специално да бъдат насърчавани да включват мерки за риска в областта на киберсигурността в договорните споразумения със своите преки снабдители и доставчици на услуги. Тези субекти биха могли да вземат предвид рисковете, произтичащи от други равнища на снабдители и доставчиците на услуги.
(86) Сред доставчиците на услуги, доставчиците на управлявани услуги за сигурност в области като реагиране при инциденти, тестване за проникване, одити за сигурността и консултантски услуги, играят особено важна роля в оценката на усилията на субектите за предотвратяване, идентифициране, реагиране на инциденти или възстановяване от такива. Самите тези доставчици на управлявани услуги за сигурност обаче също са цел на кибератаки и поради тяхното тясно интегриране в дейностите на субектите пораждат особен риск за киберсигурността. Ето защо съществените и важните субекти следва да подхождат с повишено внимание към избора на доставчик на управлявани услуги за сигурност.
(87) В контекста на своите надзорни задачи компетентните органи могат също да се ползват от услуги в областта на киберсигурността, като например одити на сигурността, тестване за проникване или реагиране при инциденти.
(88) Съществените и важните субекти следва да намерят решения и за рискове, произтичащи от взаимодействията и отношенията им с други заинтересовани страни в рамките на една по-широка екосистема, включително по отношение на противодействието на индустриалния шпионаж и защитата на търговските тайни. Тези субекти по-специално следва да предприемат подходящи мерки, за да гарантират, че сътрудничеството им с академичните и научноизследователските институции е в съответствие с техните политики в областта на киберсигурността и следва добрите практики по отношение на сигурния достъп до информация и нейното разпространение като цяло, както и по-специално по отношение на защитата на интелектуалната собственост. По подобен начин, с оглед на важността и стойността на данните за дейността на съществените и важните субекти, тези субекти трябва да предприемат всички необходими мерки за управление на риска в областта на киберсигурността, когато ползват услуги на трети страни за преобразуването и анализа на данните.
(89) Съществените и важните субекти следва да възприемат широк спектър основни киберхигиенни практики като принципи на нулево доверие, софтуерни актуализации, конфигурация на устройства, сегментиране на мрежи, управление на самоличността и достъпа или повишаване на осведомеността на ползвателите, или да организират обучения на служителите и повишаване на осведомеността по отношение на киберзаплахи, фишинг или техники за социално инженерство. Освен това тези субекти следва да оценяват собствените си способности за киберсигурност и когато целесъобразно да се стремят към интеграцията на технологии за повишаване на киберсигурността, като изкуствен интелект или системи за машинно самообучение, за да повишат своите способности и сигурността на мрежовите и информационните системи.
(90) За да се отговори допълнително на рисковете по веригата на доставка и да се подпомогнат съществените и важните субекти, упражняващи дейност в обхванати от настоящата директива сектори, правилно да управляват веригата на доставка и свързаните с доставчика рискове, групата за сътрудничество, в сътрудничество с Комисията и ENISA и когато е целесъобразно след консултация със съответните заинтересовани лица, включително от промишлеността, следва да извърши координирани оценки на риска за сигурността на критични вериги за доставки, както това бе вече направено за 5G мрежите в съответствие с Препоръка (ЕС) 2019/534 на Комисията (19), с цел да се установи за всеки сектор кои са критичните ИКТ услуги, ИКТ системи или ИКТ продукти, относимите заплахи и уязвимости. Тези координирани оценки на риска за сигурността следва да установяват мерки, планове за смекчаване и най-добри практики за противодействие на критични зависимости, потенциални единични точки на срив, заплахи, уязвими места и други рискове, свързани с веригата на доставки, и следва да проучват начини за допълнително насърчаване на по-широкото им възприемане от съществените и важните субекти. Потенциалните нетехнически рискови фактори, например неправомерното влияние на трета държава върху снабдителите и доставчиците на услуги, по-специално в случай на алтернативни модели на управление, включват скрити уязвимости или скрити възможности за достъп и потенциални системни смущения при доставките, особено в случай на технологично закрепостяване или зависимост от доставчика.
(91) С оглед на характеристиките на съответния сектор, в координираните оценки на риска за сигурността на критичните вериги на доставки следва да се вземат предвид техническите и, когато е уместно, нетехническите фактори, включително определените в Препоръка (ЕС) 2019/534, в координираната в ЕС оценка на риска на киберсигурността на 5G мрежите и в инструментариума на ЕС за киберсигурност на 5G технологиите, договорен от групата за сътрудничество. За да се установят веригите на доставки, които следва да са предмет на координирана оценка на риска за сигурността, следва да бъдат взети предвид следните критерии: i) степента, в която съществените и важните субекти използват и разчитат на конкретни критични ИКТ услуги, ИКТ системи или ИКТ продукти; ii) значението на конкретни критични ИКТ услуги, ИКТ системи или ИКТ продукти за изпълнението на критични или чувствителни функции, включително обработването на лични данни; iii) наличието на алтернативни ИКТ услуги, ИКТ системи или ИКТ продукти; iv) устойчивостта на цялостната верига на доставки на ИКТ услуги, ИКТ системи или ИКТ продукти през целия им жизнен цикъл срещу смущаващи събития и v) за възникващи ИКТ услуги, ИКТ системи или ИКТ продукти, тяхната потенциална бъдеща значимост за дейностите на субектите. Освен това следва да се обърне специално внимание на ИКТ услугите, ИКТ системите или ИКТ продуктите, които подлежат на специфични изисквания, произтичащи от трети държави.
(92) С цел да се рационализират задълженията, наложени на доставчиците на обществени електронни съобщителни мрежи или общественодостъпни електронни съобщителни услуги и на доставчиците на удостоверителни услуги, свързани със сигурността на техните мрежови и информационни системи, както и за да се даде възможност на тези субекти и компетентните органи по Директива (ЕС) 2018/1972 на Европейския парламент и на Съвета (20) и Регламент (ЕС) № 910/2014 съответно да се възползват от установената с настоящата директива правна рамка, включително определянето на ЕРИКС, отговарящ за действията при инцидент, участието на съответните компетентни органи в работата на групата за сътрудничество и мрежата на ЕРИКС, тези субекти следва да бъдат включени в обхвата на настоящата директива. Ето защо съответстващите разпоредби, предвидени в Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972, отнасящи се до налагането на мерки за сигурност и уведомяване по отношение на тези видове субекти, следва да бъдат заличени. Правилата относно задълженията за докладване, предвидени в настоящата директива, не следва да засягат Регламент (ЕС) 2016/679 и Директива 2002/58/ЕО.
(93) Задълженията, свързани с киберсигурността, предвидени в настоящата директива, следва да се считат за допълващи изискванията, наложени на доставчиците на удостоверителни услуги съгласно Регламент (ЕС) № 910/2014. От доставчиците на удостоверителни услуги следва да се изисква да предприемат всички подходящи и пропорционални мерки за управление на рисковете за техните услуги, включително по отношение на клиентите и доверяващите се трети страни, и да докладват за инциденти съгласно настоящата директива. Тези задължения за киберсигурност и докладване следва да се отнасят и до физическата защита на предоставяните услуги. Продължават да се прилагат изискванията за доставчиците на квалифицирани удостоверителни услуги, определени в член 24 от Регламент (ЕС) № 910/2014.
(94) Държавите членки могат да възложат ролята на компетентни органи за удостоверителни услуги на надзорните органи по Регламент (ЕС) № 910/2014, за да се гарантира продължаването на действащите практики и да се надгражда върху знанията и опита, придобити при прилагането на посочения регламент. В такъв случай компетентните органи съгласно настоящата директива следва да си сътрудничат тясно и своевременно с тези надзорни органи чрез обмен на съответна информация, за да се гарантира ефективен надзор и спазване от страна на доставчиците на удостоверителни услуги на изискванията, предвидени в настоящата директива и в Регламент (ЕС) № 910/2014. Когато е приложимо, ЕРИКС или компетентният орган съгласно настоящата директива следва незабавно да информира надзорния орган по Регламент (ЕС) № 910/2014 за всяка значителна киберзаплаха или киберинцидент с въздействие върху удостоверителните услуги, за която/който е подадено уведомление, както и за всяко нарушение от страна на доставчик на удостоверителни услуги на настоящата директива. За целите на докладването държавите членки могат да използват, когато е приложимо, единната входяща точка, създадена за постигане на общо и автоматично докладване на инциденти както пред надзорния орган по Регламент (ЕС) № 910/2014, така и пред ЕРИКС или компетентния орган съгласно настоящата директива.
(95) Когато е целесъобразно и за да се избегнат ненужни смущения, съществуващите национални насоки, приети за транспониране на правилата, свързани с мерките за сигурност по членове 40 и 41 от Директива (ЕС) 2018/1972, следва да се вземат предвид при транспонирането на настоящата директива, като по този начин се надгражда върху вече придобитите знания и умения съгласно Директива (ЕС) 2018/1972 относно мерките за сигурност и уведомленията за инциденти. ENISA може също така да разработи насоки относно изискванията за сигурност и задълженията за докладване за доставчиците на обществени електронни съобщителни мрежи или общественодостъпни електронни съобщителни услуги с цел улесняване на хармонизацията и прехода и свеждането до минимум на смущенията. Държавите членки могат да възложат ролята на компетентни органи в областта на електронните съобщения на националните регулаторни органи съгласно Директива (ЕС) 2018/1972, за да се гарантира продължаването на действащите практики и да се надгражда върху знанията и опита, придобити в резултат на прилагането на посочената директива.
(96) Предвид нарастващото значение на междуличностните съобщителни услуги без номерà по смисъла на Директива (ЕС) 2018/1972 е необходимо да се гарантира, че и за тях се прилагат подходящи изисквания за сигурност с оглед на тяхната специфика и икономическо значение. Тъй като повърхностите за атаки продължават да се разширяват, междуличностни съобщителни услуги без номерà, като например услуги за изпращане на съобщения, стават популярни вектори на атака. Злонамерени извършители използват платформите с цел комуникация и привличане на жертви за отваряне на компрометирани уеб страници, поради което увеличават вероятността от инциденти, свързани с използването на лични данни, а оттам и със сигурността на мрежовите и информационните системи. Доставчиците на междуличностни съобщителни услуги без номерà следва да осигурят ниво на сигурност на мрежовите и информационните системи, съответстващо на съществуващите рискове. Като се има предвид, че доставчиците на междуличностни съобщителни услуги без номерà обикновено не упражняват действителен контрол върху преноса на сигнали по мрежи, степента на риска, на който са изложени такива услуги, в някои отношения може да се разглежда като по-ниска от тази за традиционните електронни съобщителни услуги. Същото се отнася и за междуличностните съобщителни услуги по смисъла на Директива (ЕС) 2018/1972, при които се използват номерà и не се упражнява действителен контрол върху преноса на сигнали.
(97) Вътрешният пазар разчита на функционирането на интернет повече от всякога. Услугите на почти всички съществени и важни субекти са зависими от предоставяните по интернет услуги. За да се осигури гладкото предоставяне на услуги от страна на съществените и важните субекти, от значение е всички доставчици на обществени електронни съобщителни мрежи да имат въведени подходящи мерки за управление на риска в областта на киберсигурността и да докладват за свързаните с тях значителни инциденти. Държавите членки следва да гарантират, че сигурността на обществените електронни съобщителни мрежи се поддържа и че техните жизненоважни интереси в областта на сигурността са защитени от саботаж и шпионаж. Тъй като международната свързаност подобрява и ускорява конкурентната цифровизация на Съюза и неговата икономика, инцидентите, засягащи подводни комуникационни кабели, следва да бъдат докладвани на ЕРИКС или, когато е приложимо, на компетентния орган. Националната стратегия за киберсигурност следва, когато е приложимо, да взема предвид киберсигурността на подводните комуникационни кабели и да включва картографиране на потенциалните рискове за киберсигурността и мерките за смекчаване, за да се гарантира най-високо равнище на тяхната защита.
(98) С цел да се защити сигурността на обществените електронни съобщителни мрежи и на общественодостъпните електронни съобщителни услуги следва да се насърчава използването на технологии за криптиране, по-специално на криптиране от край до край, както и на концепции за сигурност, ориентирани към данните, като картография, сегментиране, маркиране, политика на достъп и управление на достъпа, както и автоматизирани решения за достъп. Когато е необходимо, използването на криптиране, по-специално криптиране от край до край, следва да стане задължително за доставчиците на обществени електронни съобщителни мрежи или на общественодостъпни електронни съобщителни услуги в съответствие с принципите на сигурност и поверителност по подразбиране и на етапа на проектиране за целите на настоящата директива. Използването на криптиране от край до край следва да е съобразено с правомощията на държавите членки да гарантират защитата на своите съществени свързани със сигурността интереси и обществена сигурност, а също и да дава възможност за предотвратяване, разследване, установяване и наказателно преследване на престъпления в съответствие с правото на Съюза. Това обаче не следва да води до отслабване на криптирането от край до край, което е изключително важна технология за ефективната защита на данните, поверителността и сигурността на комуникациите.
(99) За да се гарантира сигурността и да се предотвратят злоупотреби и манипулации на обществените електронни съобщителни мрежи и на общественодостъпните електронни съобщителни услуги, следва да се насърчава използването на сигурни стандарти за маршрутизация, за да се гарантира целостта и стабилността на функциите за маршрутизация в екосистемата на доставчиците на услуги за достъп до интернет.
(100) За да се запазят функционалността и целостта на интернет и да се насърчават сигурността и устойчивостта на DNS, съответните заинтересовани страни, включително субектите от частния сектор на Съюза, доставчиците на общественодостъпни електронни съобщителни услуги, по-специално доставчиците на услуги за достъп до интернет и доставчиците на онлайн търсачки, следва да бъдат насърчавани да приемат стратегия за диверсификация на преобразуването на DNS. Освен това държавите членки следва да насърчават разработването и използването на публична и сигурна европейска услуга за преобразуването на DNS.
(101) С настоящата директива се определя многоетапен подход по отношение на докладването на значителни инциденти с цел да се постигне подходящ баланс между бързото докладване, което подпомага ограничаването на потенциалното разпространение на значителни инциденти и позволява на съществените и важните субекти да потърсят подкрепа, от една страна, и задълбоченото докладване, което подпомага извличането на ценни изводи от отделни инциденти и подобряването с течение на времето на киберустойчивостта на отделни субекти или цели сектори, от друга страна. В тази връзка в настоящата директива следва да се включи докладване на инциденти, които, въз основа на извършена от засегнатия субект първоначална оценка, биха могли да доведат до съществено оперативно смущение в услугите или финансови загуби за същия субект, или засягат други физически или юридически лица, причинявайки значителни материални или нематериални вреди. Такава първоначална оценка следва, наред с другото, да взема предвид засегнатите мрежови и информационни системи, по-специално тяхното значение при предоставянето на услуги от страна субекта, тежестта и техническите характеристики на киберзаплахата и всички заложени уязвимости, които се използват, както и опитът на субекта със сходни инциденти. Показатели като степента, до която е засегнато функционирането на услугата, продължителността на даден инцидент или броят на засегнатите получатели на услуги, биха могли да играят важна роля при определянето на това дали оперативното смущение в услугата е сериозно.
(102) Когато съществените и важните субекти узнаят за значителен инцидент, те трябва да подадат ранно предупреждение без ненужно забавяне, при всички положения в рамките на 24 часа. Това ранно предупреждение следва да бъде последвано от уведомление за инцидент. Съответните субекти следва да подадат уведомление за инцидент без ненужно забавяне и при всички случаи в срок от 72 часа, след като са узнали за значимия инцидент, с цел по-специално да актуализират информацията, подадена чрез ранното предупреждение, и да посочат първоначална оценка на значителния инцидент, включително неговата тежест и въздействие, както и показатели за компрометираност, когато има такива. Окончателният доклад следва да се представи не по-късно от един месец след уведомлението за инцидента. В ранното предупреждение следва да се посочва единствено информацията, която е необходима на ЕРИКС или, когато е приложимо, компетентния орган, запознат със значителния инцидент, като позволява на засегнатия субект да потърси помощ, ако е необходимо. Това ранно предупреждение, когато е приложимо, следва да посочва дали се подозира, че значителният инцидент е причинен от незаконни или злонамерени действия, и дали има вероятност той да има трансгранично въздействие. Държавите членки следва да гарантират, че задължението за подаване на това ранно предупреждение или на последващото уведомление за инцидент не отклонява ресурсите на уведомяващия субект от дейности, свързани с действия при инцидент, които следва да бъдат приоритизирани с цел да се предотврати това задълженията за докладване на инцидент да отклонят ресурси от реагирането при значителни инциденти или да компрометират по друг начин усилията на субекта в това отношение. В случай на текущ инцидент към момента на представяне на окончателния доклад, държавите членки следва да гарантират, че засегнатите субекти представят доклад за напредъка по това време и окончателен доклад в срок от един месец от тяхната реакция при значителния инцидент.
(103) Когато е приложимо, съществените и важните субекти следва да съобщават без ненужно забавяне на получателите на техните услуги всички мерки или средства за защита, които тези получатели могат да предприемат за ограничаване на произтичащиите от значителна киберзаплаха рискове. Когато е целесъобразно и по-специално когато има вероятност значителната киберзаплаха да се осъществи, тези субекти следва също така да информират получателите на техните услуги за самата заплаха. Изискването да се уведомяват тези получатели за значителни киберзаплахи следва да се изпълнява на база полагане на максимални усилия, но не следва да освобождава тези субекти от задължението да предприемат за своя сметка подходящи и незабавни мерки за предотвратяване или отстраняване на такива заплахи и да възстановят нормалното ниво на сигурност на услугата. Предоставянето на получателите на услуги на такава информация относно значителни киберзаплахи следва да бъде безплатно и формулирано на лесен за разбиране език.
(104) Доставчиците на обществени електронни съобщителни мрежи или на общественодостъпни електронни съобщителни услуги следва да внедрят сигурност на етапа на проектирането и по подразбиране, и да информират получателите на техните услуги за значителни киберзаплахи и за мерките, които те могат да предприемат, за да защитят сигурността на своите устройства и съобщения, например чрез използване на специални типове софтуер или технологии за криптиране.
(105) Проактивният подход към киберзаплахите е жизненоважен компонент на управлението на риска в областта на киберсигурността, който следва да даде възможност на компетентните органи ефективно да предотвратяват материализирането на киберзаплахи в инциденти, които могат да причинят значителни материални или нематериални вреди. За тази цел уведомяването за киберзаплахи е от ключово значение. За тази цел субектите се насърчават да докладват доброволно за киберзаплахи.
(106) С цел да се опрости докладването на информация съгласно изискванията на настоящата директива, както и да се намали административната тежест за субектите, държавите членки следва да предоставят технически средства за подаване на съответната информация, която трябва да се докладва, като например единна входяща точка, автоматизирани системи, онлайн формуляри, лесни за ползване интерфейси, образци, специализирани платформи за използване от субектите, независимо дали попадат в обхвата на настоящата директива. Финансирането от Съюза в подкрепа на прилагането на настоящата директива, по-специално в рамките на програмата „Цифрова Европа“, създадена с Регламент (ЕС) 2021/694 на Европейския парламент и на Съвета (21), би могло да включва подкрепа за единните входящи точки. Освен това, субектите често се оказват в положение, при което, даден инцидент трябва да бъде докладван, поради конкретните му характеристики, на различни органи в резултат на задължения за уведомяване, включени в различни правни инструменти. Подобни случаи пораждат допълнителна административна тежест и биха могли също да доведат и до несигурност с оглед на формата и процедурите на такива уведомления. Когато е създадена единна входяща точка държавите членки се насърчават също така да използват тази единна входяща точка за уведомяване за инциденти, свързани със сигурността, което се изисква съгласно други законодателни актове на Съюза, като например Регламент (ЕС) 2016/679 и Директива 2002/58/ЕО. Използването на такава единна входяща точка за докладване на инциденти, свързани със сигурността, съгласно Регламент (ЕС) 2016/679 и Директива 2002/58/ЕО не следва да засяга прилагането на разпоредбите на Регламент (ЕС) 2016/679 и Директива 2002/58/ЕО, по-специално тези, свързани с независимостта на посочените в тях органи. ENISA следва, съвместно с групата за сътрудничество и посредством насоки, да разработи общи образци на уведомления с цел опростяване и оптимизиране на информацията, която трябва да се докладва съгласно правото на Съюза, и намаляване на административната тежест за уведомяващите субекти.
(107) Когато съществуват подозрения, че даден инцидент е свързан с тежки престъпления — съобразно правото на Съюза или националното право, държавите членки следва да насърчават съществените и важните субекти, на основание на приложими наказателнопроцесуални правила в съответствие с правото на Съюза, да докладват за такива инциденти на съответните правоприлагащи органи. Когато е целесъобразно и без да се засягат приложимите за Европол правила за защита на личните данни, е желателно координацията между компетентните органи и правоприлагащите органи на различни държави членки да бъде улеснявана от Европейския център за борба с киберпрестъпността (EC3) и ENISA.
(108) В много случаи вследствие на инциденти се засягат лични данни. В този контекст компетентните органи следва да си сътрудничат и да обменят информация относно всички съответни въпроси с органите, посочени в Регламент (ЕС) 2016/679 и Директива 2002/58/ЕО.
(109) Поддържането на точни и пълни бази данни с данни за регистрация на имена на домейни („данни WHOIS“) и предоставянето на законен достъп до такива данни са от съществено значение за гарантиране на сигурността, стабилността и устойчивостта на DNS, което на свой ред допринася за по-високо ниво на киберсигурност в Съюза. За тази конкретна цел от регистрите на имена на имена на домейни от първо ниво и от субектите, предоставящи услуги за регистрация на имена на домейни, следва да се изисква да обработват определени данни, необходими за постигането на тази цел. Това обработване следва да съставлява правно задължение по смисъла на член 6, параграф 1, буква в) от Регламент (ЕС) 2016/679. Това задължение не засяга възможността за събиране на данни за регистрация на имена на домейни за други цели, например въз основа на договорни споразумения или правни изисквания, установени в друго право на Съюза или национално право. Това задължение има за цел да се постигне пълен и точен набор от регистрационни данни и не следва да води до многократно събиране на едни и същи данни. Регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, следва да си сътрудничат, за да се избегне дублирането на тази задача.
(110) Наличността и своевременната достъпност на тези данни за регистрация на имена на домейни за законно търсещите достъп лица е от съществено значение за предотвратяването и борбата със злоупотребите с DNS, както и за предотвратяването, разкриването и реагирането на инциденти. Под законно търсещи достъп лица се разбира всяко физическо или юридическо лице, което подава искане съгласно правото на Съюза или националното право. Те могат да включват органи, които са компетентни съгласно настоящата директива, и органи, които съгласно правото на Съюза или националното право са компетентни за предотвратяването, разследването, разкриването или наказателното преследване на престъпления, както и CERT или ЕРИКС. От регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, следва да бъде изисквано да позволяват законен достъп до конкретни данни за регистрация на имена на домейни, които са необходими за целите на заявлението за достъп на законно търсещите достъп, в съответствие с правото на Съюза и националното право. Искането на законно търсещите достъп лица следва да бъде придружено от изложение на мотивите, което позволява да се прецени необходимостта от достъп до данните.
(111) За да се гарантира наличността на точни и пълни данни за регистрация на домейни, регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистриране на имена на домейни, следва да събират и гарантират целостта и наличността на данните за регистрация на име на домейни. По-специално регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистриране на имена на домейни, следва да установят политики и процедури за събиране и поддържане на точни и пълни данни за регистрация на имена на домейни, както и да предотвратяват и поправят неточни такива данни в съответствие с правото на Съюза в областта на защитата на данните. Тези политики и процедури следва да отчитат, доколкото е възможно, стандартите, разработени от многостранните структури за управление на международно равнище. Регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, следва да приемат и прилагат съразмерни процедури за проверка на данните за регистрация на имена на домейни. Тези процедури следва да отразяват най-добрите практики, използвани в сектора, и, доколкото е възможно, постигнатия напредък в областта на електронната идентификация. Примерите за процедури за проверка могат да включват предварителни проверки, извършени по време на регистрацията, и последващи проверки, извършени след регистрацията. Регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, следва по-специално да проверят поне едно от средствата за контакт с регистранта.
(112) От регистрите на имена на домейни от първо ниво и субектите, предоставящи за тях услуги за регистрация на имена на домейни, следва да се изисква да правят публично достъпни данните за този вид регистрация, които са попадат извън обхвата на правото на Съюза в областта на защитата на данните, като например отнасящите се до юридическите лица данни, в съответствие с преамбюла на Регламент (ЕС) 2016/679. За юридическите лица регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, следва да оповестяват публично най-малко името на регистранта и телефонния номер за контакт. Адресът на електронната поща за връзка също следва да бъде публикуван, при условие че не съдържа лични данни, като например в случай на псевдоними за електронна поща или функционални профили. Регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, следва да позволяват също законосъобразен достъп до конкретни данни за регистрация на имена на домейни относно физическите лица на законно търсещите достъп, в съответствие с правото на Съюза в областта на защитата на данните. Държавите членки изискват от регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, да отговарят без ненужно забавяне на искания за разкриване на данни за регистрация на имена на домейни от първо ниво от законно търсещите достъп. Регистрите на имена на домейни от първо ниво и субектите, предоставящи услуги за регистрация на имена на домейни, следва да установят политики и процедури за публикуването и разкриването на данни за регистрация, включително клаузи за нивото на обслужване за отговаряне на искания за достъп от законно търсещите достъп. Тези политики и процедури следва да отчитат, доколкото е възможно, всякакви насоки и стандарти, разработени от многостранните структури за управление на международно равнище. Процедурите за достъп биха могли да включват и използването на интерфейс, портал или друг технически инструмент за предоставяне на ефикасна система за заявяване и получаване на достъп до данни за регистрация. С цел насърчаване на хармонизираните практики във вътрешния пазар Комисията може да предоставя насоки относно такива процедури, без да се засягат правомощията на Европейския комитет по защита на данните, които вземат предвид, доколкото е възможно, стандартите, разработени от многостранните структури за управление на международно равнище. Държавите членки следва да гарантират, че всички видове достъп до лични и неперсонални данни за регистрация на домейни са безплатни.
(113) Субектите, попадащи в обхвата на настоящата директива, следва да се считат за попадащи под юрисдикцията на държавата членка, в която са установени. Въпреки това, доставчици на обществени електронни съобщителни мрежи или доставчици на обществено достъпни електронни съобщителни услуги, следва да се счита, че попадат под юрисдикцията на държавата членка, в която предоставят своите услуги; Доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, субектите, предоставящи услуги за регистрация на имена на домейни, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за предоставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, както и доставчиците на онлайн места за търговия, на онлайн търсачки и на платформи на услуги за социални мрежи, се считат за попадащи под юрисдикцията на държавата членка, в която се намира основното им място на установяване в Съюза. Органи на публичната администрация следва да се счита, че попадат под юрисдикцията на държавата членка, която ги е създала. Ако предоставя услуги или е установен в повече от една държава членка, даден субект следва да попада под отделните и успоредни юрисдикции на всяка от тези държави членки. Компетентните органи на тези държави членки следва да си сътрудничат, да се подпомагат взаимно и, когато е подходящо, да провеждат съвместни надзорни действия. Когато държавите членки упражняват своята юрисдикция, те не следва да налагат правоприлагащи мерки или санкции повече от веднъж за едно и също поведение в съответствие с принципа ne bis in idem.
(114) За да се вземe предвид трансграничният характер на услугите и операциите на доставчиците на DNS услуги, регистрите на имената на домейни от първо ниво, субектите, предоставящи услуги за регистрация на имена на домейни, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за предоставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, както и доставчиците на онлайн места за търговия, на онлайн търсачки и на платформи на услуги за социални мрежи, само една държава членка следва да има юрисдикция по отношение на тези субекти. Юрисдикцията следва да се предоставя на държавата членка, в която засегнатият субект има своето основно място на установяване в Съюза. Критерият за място на установяване за целите на настоящата директива предполага ефективно и действително упражняване на дейност въз основа на стабилни правила. Правната форма на тези договорености, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение. Изпълнението на този критерий не следва да зависи от това дали съответните мрежови и информационни системи са физически разположени на определено място; наличието и използването на тези системи не представляват сами по себе си такова основно място на установяване и следователно не са решаващ критерии за определяне на основното място на установяване. Основното място на установяване следва да се счита, че е в държавата членка, където преимуществено в Съюза се вземат решенията относно мерките за управление на риска в областта на киберсигурността. То обикновено съответства на мястото на централното управление на субектите в Съюза. Ако такава държава членка не може да бъде определена или ако такива решения не са взети в Съюза, следва да се счита, че основното място на установяване се намира в държавата членка, в която се извършват операциите в областта на киберсигурността. Ако такава държава членка не може да бъде определена, за основно място на установяване следва се счита държавата членка, в която субектът се е установил с най-голям брой служители в Съюза. Когато услугите се извършват от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия.
(115) Когато обществено достъпна рекурсивна DNS услуга се предоставя от доставчик на обществени електронни съобщителни мрежи или обществено достъпни електронни съобщителни услуги само като част от услугата за достъп до интернет, следва да се счита, че субектът попада под юрисдикцията на всички държави членки, в които се предоставят неговите услуги.
(116) Когато доставчик на DNS услуги, регистър на имена на домейни от първо ниво, субект, предоставящ услуги за регистрация на имена на домейни, доставчик на компютърни услуги „в облак“, доставчик на услуги на центрове за данни, доставчик на мрежи за предоставяне на съдържание, доставчик на управлявани услуги, доставчик на управлявани услуги за сигурност или доставчик на онлайн място за търговия, на онлайн търсачка или на платформа за услуги на социални мрежи, който не е установен в Съюза, предлага услуги в рамките на Съюза, той следва да определи представител в Съюза. За да се установи дали този субект предлага услуги в Съюза, следва да се установи дали той възнамерява да предлага услуги на лица на територията на една или повече държави членки. Сама по себе си достъпността в Съюза на уебсайт на субект или на негов посредник или на адрес на електронна поща или други данни за контакт, или използването на език, който широко се използва в третата държава, в която е установен субектът, следва да се счита за недостатъчна, за да бъде потвърдено подобно намерение. Въпреки това фактори като използване на език или валута, които широко се използват в една или повече държави членки, с възможност за поръчване на услуги на този език, или посочването на потребители или ползватели на територията на Съюза, биха могли да указват, че субектът възнамерява да предлага услуги в Съюза. Представителят следва да действа от името на субекта, а компетентните органи или ЕРИКС следва да имат възможност да се обърнат към представителя. Представителят следва да е определен изрично чрез упълномощаване в писмена форма от доставчика да действа от негово име във връзка със задълженията му, предвидени в настоящата директива, включително за докладването на инциденти.
(117) За да се осигури ясен преглед на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, субектите, предоставящи услуги за регистрация на имена на домейни, доставчиците на компютърни услуги „в облак“, доставчиците на услуги на центрове за данни, доставчиците на мрежи за предоставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, както и доставчиците на онлайн места за търговия, на онлайн търсачки и на платформи на услуги за социални мрежи, които предоставят услуги в целия Съюз, попадащи в обхвата на настоящата директива, ENISA следва да създаде и поддържа регистър на тези субекти въз основа на информацията, получена от държавите членки, когато е приложимо чрез националните механизми, създадени за да се регистрират субектите сами. Единните звена за контакт следва да препращат на ENISA информацията и всички промени в нея. С цел да се гарантира точността и пълнотата на информацията, която следва да бъде включена в този регистър, държавите членки могат да представят на ENISA наличната във всякакви национални регистри информация за тези субекти. ENISA и държавите членки следва да предприемат мерки за улесняване на оперативната съвместимост на тези регистри, като същевременно гарантират защитата на поверителната или класифицираната информация. ENISA следва да установи подходящи протоколи за класификация и управление на информацията, с цел да се гарантира сигурността и поверителността на разкритата информация и да се ограничи достъпът, съхранението и предаването на такава информация до целевите потребители.
(118) Когато съгласно настоящата директива се обменя, докладва или споделя по друг начин информация, която е класифицирана в съответствие с правото на Съюза или националното право, следва да се прилагат съответните правила относно боравенето с класифицирана информация. Освен това ENISA следва да разполага с инфраструктура, процедури и правила за работа с чувствителна и класифицирана информация в съответствие с приложимите правила за сигурност за защита на класифицирана информация на ЕС.
(119) Предвид нарастването на сложността и професионализма на киберзаплахите качеството на мерките за разкриване на такива заплахи и тяхното предотвратяване в голяма степен зависи от редовното споделяне между субектите на информация за заплахите и уязвимостите. Обменът на информация допринася за повишаването на осведомеността за киберзаплахите, което на свой ред подобрява капацитета на субектите да предотвратяват материализирането на такива заплахи в инциденти и позволява на субектите по-добре да ограничават въздействието на инцидентите и да възстановяват функциите си по-ефикасно. При липсата на насоки на равнището на Съюза различни фактори изглежда са възпрепятствали такъв обмен на информация, най-вече несигурността относно съвместимостта с правилата за конкуренцията и отговорността.
(120) Субектите следва да бъдат насърчавани и подпомагани от държавите членки колективно да вложат своите лични познания и практически опит на стратегическо, тактическо и оперативно равнище с цел подобряване на способностите си по адекватен начин да предотвратяват, откриват, реагират или възстановяват от инциденти или да смекчават тяхното въздействие. Затова е необходимо на равнището на Съюза да се даде възможност за възникването на споразумения за доброволен обмен на информация в областта на киберсигурността. За тази цел държавите членки следва активно да подпомагат и насърчават субектите като тези, които предоставят услуги и научни изследвания в областта на киберсигурността, както и съответните субекти, които не попадат в обхвата на настоящата директива, да участват в такива споразумения за споделяне на информация за киберсигурността. Тези споразумения следва да бъдат установени в съответствие с правилата на Съюза в областта на конкуренцията и правото на Съюза в областта на защитата на данните.
(121) Обработването на личните данни, в степента, необходима и пропорционална за гарантиране на сигурността на мрежовите и информационните системи от съществени и важни субекти, може да се счита за законосъобразно въз основа на факта, че това обработване е в съответствие с правно задължение, което се прилага спрямо администратора, в съответствие с изискванията на член 6, параграф 1, буква в) и член 6, параграф 3 от Регламент (ЕС) 2016/679. Обработването на лични данни може да бъде необходимо и за законните интереси, преследвани от съществени и важни субекти, както и от доставчици на технологии и услуги в областта на сигурността, действащи от името на тези субекти, в съответствие с член 6, параграф 1, буква е) от Регламент (ЕС) 2016/679, включително когато това обработване е необходимо за споразумения за обмен на информация в областта на киберсигурността или за доброволно съобщаване на съответната информация в съответствие с настоящата директива. Мерки, свързани с предотвратяването, разкриването, идентифицирането, ограничаването, анализирането и отговора на инциденти, мерки за повишаване на осведомеността във връзка с конкретни киберзаплахи, обмен на информация в контекста на отстраняване на уязвимостите и координирано разкриване на уязвимостите, доброволен обмен на информация за тези инциденти и за киберзаплахи и уязвимости, показатели за нарушена сигурност, тактики, техники и процедури, предупреждения във връзка с киберсигурността и инструменти за конфигуриране може да изискват обработването на определени категории лични данни, като например IP адреси, унифицирани указатели на ресурс (URL), имена на домейни, адреси на електронна поща и, когато те разкриват лични данни, електронни времеви печати. Обработването на лични данни от компетентните органи, единните звена за контакт и ЕРИКС може да съставлява правно задължение или да се счита за необходимо за изпълнението на задача от обществен интерес или за упражняването на официалните правомощия, които са предоставени на администратора съгласно член 6, параграф 1, буква в) или д) и член 6, параграф 3 от Регламент (ЕС) 2016/679, или за преследване на законен интерес на съществените и важните субекти, както е посочено в член 6, параграф 1, буква е) от посочения регламент. Освен това в националното право може да се определят правила, позволяващи на компетентните органи, единните звена за контакт и ЕРИКС, доколкото това е необходимо и пропорционално за целите на гарантирането на сигурността на мрежовите и информационните системи на съществените и важните субекти, да обработват специални категории лични данни в съответствие с член 9 от Регламент (ЕС) 2016/679, по-специално чрез предвиждане на подходящи и конкретни мерки за защита на основните права и интереси на физическите лица, включително технически ограничения за повторното използване на такива данни и използването на най-съвременни мерки за сигурност и опазване на неприкосновеността на личния живот, като псевдонимизация или криптиране, когато анонимизирането може значително да засегне преследваната цел.
(122) За да се засилят надзорните правомощия и надзорните мерки, подпомагащи осигуряването на ефективно изпълнение, настоящата директива следва да предостави минимален списък с надзорни мерки и средства, чрез които компетентните органи могат да осъществяват надзор върху съществените и важните субекти. Освен това с настоящата директива следва да се разграничат надзорните режими за съществените и за важните субекти, за да гарантира справедлив баланс на задълженията за субектите и за компетентните органи. Поради това съществените субекти следва да подлежат на всеобхватен предварителен и последващ надзорен режим, докато важните субекти следва да подлежат на облекчен, единствено последващ надзорен режим. Поради това от важните субекти не следва да се изисква систематично да документират спазването на мерките за управление на риска в областта на киберсигурността, а компетентните органи следва да прилагат реактивен подход с последващ надзор, поради което няма да имат общо задължение за осъществяване на надзор върху тези субекти. Последващият надзор на важните субекти може да бъде задействан от доказателства, признаци или информация, доведени до знанието на компетентните органи, за които тези органи считат, че са налице потенциални нарушения на настоящата директива. Например тези доказателства, признаци или информация могат да бъдат такива, които са предоставени на компетентните органи от други органи, субекти, граждани, медии или други източници, да бъдат публично достъпна информация или могат да произтичат от други дейности, извършвани от компетентните органи при изпълнението на техните задачи.
(123) Изпълнението на надзорните задачи от компетентните органи не следва ненужно да възпрепятства стопанската дейност на съответния субект. Когато компетентните органи изпълняват своите надзорни задачи по отношение на съществените субекти, включително извършването на проверки на място и дистанционни проверки, разследването на нарушения на настоящата директива, провеждането на одити на сигурността или сканиране на сигурността, те следва да сведат до минимум въздействието върху стопанската дейност на съответния субект.
(124) При упражняването на предварителен надзор компетентните органи следва да могат да вземат решения относно приоритизирането по пропорционален начин на използването на надзорните мерки и средства, с които разполагат. Това предполага компетентните органи да могат да вземат решение за такова приоритизиране въз основа на методологии за надзор, които да следват основан на риска подход. По-конкретно, тези методологии биха могли да включват критерии или стойностни показатели за класифициране на съществените субекти в рискови категории и на съответните надзорни мерки и средства, препоръчвани за всяка рискова категория, като например използване, честота или вид на проверките на място, целеви одити на сигурността, или сканирания на сигурността, вид на информацията, която трябва да се изисква, и степен на изчерпателност на тази информация. Тези надзорни методологии биха могли също да бъдат придружени от работни програми и да бъдат оценявани и преразглеждани редовно, включително по аспекти като разпределението на ресурсите и нуждите. По отношение на органите на публичната администрация надзорните правомощия следва да се упражняват в съответствие с националните законодателни и институционални рамки.
(125) Компетентните органи следва да гарантират, че техните надзорни задачи по отношение на съществените и важните субекти се изпълняват от обучени специалисти, които следва да притежават необходимите умения за изпълнението на тези задачи, по-специално по отношение на извършването на проверки на място и дистанционни проверки, включително установяването на слабости в базите данни, хардуера, защитните стени, криптирането и мрежите. Тези инспекции и надзорът следва да се извършват по обективен начин.
(126) В надлежно обосновани случаи, когато му е известно наличието на значителна киберзаплаха или непосредствен риск, компетентният орган следва да може да взема незабавни решения за правоприлагане с цел предотвратяване или реагиране на инцидент.
(127) За да се осъществи ефективното правоприлагане, следва да бъде създаден минимален списък с правомощия по правоприлагане, които могат да бъдат упражнени за нарушение на мерките за управление на риска в областта на киберсигурността и задълженията за докладване, предвидени в настоящата директива, като се установи ясна и последователна рамка за такова правоприлагане в Съюза. Дължимо внимание следва да се обърне на естеството, тежестта и продължителността на нарушението на настоящата директива, причинените материални или нематериални вреди, умишления или неумишлен характер на нарушението, действията, предприети за предотвратяване или намаляване на претърпените материални или нематериални вреди, степента на отговорност или евентуални относими предходни нарушения, степента на сътрудничество с компетентния орган и всякакъв друг утежняващ или смекчаващ фактор. Правоприлагащите мерки, включително административни глоби, следва да бъдат пропорционални и да подлежат на подходящи процедурни гаранции в съответствие с общите принципи на правото на Съюза и Хартата на основните права на Европейския съюз („Хартата“), включително правото на ефективни правни средства за защита и на справедлив съдебен процес, презумпцията за невиновност и правото на защита.
(128) Настоящата директива не изисква от държавите членки да предвиждат наказателна или гражданска отговорност по отношение на физическите лица, отговорни да гарантират, че даден субект спазва настоящата директива за вреди, понесени от трети страни в резултат на нарушение на настоящата директива.
(129) За да се гарантира ефективното прилагане на предвидените съгласно настоящата директива задължения, всеки компетентен орган следва да разполага с правомощието да налага или изисква налагането на административни глоби.
(130) Когато административната глоба се налага на съществен или важен субект, който е предприятие, понятието „предприятие“ следва да се разбира като предприятие в съответствие с членове 101 и 102 от ДФЕС за тези цели. При налагане на административна глоба на лице, което не е предприятие, компетентният орган следва да има предвид общото равнище на доход в съответната държава членка, както и икономическото състояние на лицето когато определя подходящия размер на глобата. Държавите членки следва да определят дали и до каква степен публичните органи следва да подлежат на административни глоби. Налагането на административна глоба не засяга прилагането на други правомощия от компетентните органи или на други санкции, предвидени съгласно националните разпоредби, транспониращи настоящата директива.
(131) Държавите членки следва да могат да определят правилата относно наказателните санкции за нарушения на националните правила, транспониращи настоящата директива. Налагането на наказателни санкции за нарушения на тези национални правила и на свързани с това административни санкции обаче не следва да води до нарушаване на принципа ne bis in idem съгласно тълкуването на Съда на Европейския съюз.
(132) Когато административните наказания не са хармонизирани в настоящата директива или при необходимост в други случаи, например при сериозно нарушение на настоящата директива, държавите членки следва да прилагат система, която предвижда ефективни, пропорционални и възпиращи санкции. Естеството на тези санкции и това дали са наказателни или административни следва да бъде определено съгласно националното право.
(133) За допълнително засилване на ефективността и силата за разубеждение на правоприлагащите мерки, приложими за нарушения на настоящата директива, компетентните органи следва да разполагат с правомощия да спрат временно или да изискат временно спиране на удостоверение или разрешение относно всички съответни предоставени услуги или част от тях, или относно дейностите, извършвани от съществен субект, както и да изискват налагането на временна забрана за упражняване на управленски функции от всяко физическо лице, изпълняващо управленски функции на равнището на главно изпълнително длъжностно лице или законен представител. Предвид тежестта и въздействието върху дейностите на субектите и в крайна сметка върху ползвателите, тези временни спирания или забрани следва да се прилагат само пропорционално на тежестта на нарушението и да отчитат обстоятелствата при всеки отделен случай, включително дали нарушението е било с предумишлен или непредумишлен характер, както и всякакви действия, предприети за предотвратяване или ограничаване на материалните или нематериалните вреди. Тези временни спирания или забрани следва да се прилагат единствено като крайна мярка, т.е. само след като останалите съответни правоприлагащи мерки, предвидени от настоящата директива, са били изчерпани, и само докато засегнатият субект предприеме необходимото действие за отстраняване на недостатъците или изпълнение на изискванията на компетентния орган, за които се отнасят тези временни спирания или забрани. Налагането на такива временни спирания или забрани следва да подлежи на подходящи процедурни гаранции в съответствие с общите принципи на правото на Съюза и Хартата, включително правото на ефективни правни средства за защита и на справедлив съдебен процес, презумпцията за невиновност и правото на защита.
(134) С цел да се гарантира, че субектите изпълняват задълженията си, предвидени в настоящата директива, държавите членки следва да си сътрудничат и да се подпомагат взаимно по отношение на надзорните и правоприлагащи мерки, по-специално когато даден субект предоставя услуги в повече от една държава членка или когато неговите мрежови и информационни системи се намират в държава членка, различна от тази, в която предоставя услуги. Когато предоставя помощ, компетентният орган, към който е отправено искането, следва да предприеме надзорни или правоприлагащи мерки в съответствие с националното право. За да се гарантира гладкото функциониране на взаимопомощта съгласно настоящата директива, компетентните органи следва да използват групата за сътрудничество като форум за обсъждане на случаи и конкретни искания за помощ.
(135) За да се гарантира ефективен надзор и правоприлагане, по-специално в случаи с трансгранично измерение, държавата членка, която е получила искане за взаимопомощ, следва, в рамките на това искане, да предприеме подходящи надзорни и правоприлагащи мерки по отношение на съответния субект, който предоставя услуги или притежава мрежова и информационна система на територията на същата държава членка.
(136) Настоящата директива следва да установи правила за сътрудничество между компетентните органи и надзорните органи съгласно Регламент (ЕС) 2016/679 с цел справяне нарушенията на настоящата директива, свързани с личните данни.
(137) Настоящата директива следва да има за цел да гарантира високо равнище на отговорност при мерките за управление на риска в областта на киберсигурността и задълженията за докладване на равнището на съществените и важните субекти. Поради това управителните органи на съществените и важните субекти следва да одобряват мерките за управление на риска в областта на киберсигурността, и да наблюдават тяхното изпълнение.
(138) За да се гарантира високо общо ниво на киберсигурност в целия Съюз въз основа на настоящата директива, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от ДФЕС във връзка с допълването на настоящата директива, като се уточнява от кои категории съществени и важни субекти се изисква да използват някои сертифицирани ИКТ продукти, ИКТ услуги и ИКТ процеси или да получат сертификат по европейска схема за сертифициране на киберсигурността. От особена важност е по време на подготвителната работа Комисията да проведе подходящи консултации, включително на експертно равнище, и те да бъдат извършени в съответствие с принципите, заложени в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество (22). По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове, Европейският парламент и Съветът получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.
(139) За да се гарантират еднакви условия за изпълнение на настоящата директива, на Комисията следва да бъдат предоставени изпълнителни правомощия за определяне на процедурните правила, необходими за работата на групата за сътрудничество, както и на техническите и методологичните и секторните изисквания относно мерките за управление на риска в областта на киберсигурността и за допълнително уточняване на вида на информацията, формата и процедурата за уведомяване за инциденти, киберзаплахи и ситуации, близки до инциденти, и за съобщения за значителни киберзаплахи, както и за случаи, в които даден инцидент трябва да се счита за значим. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (23).
(140) Комисията следва периодично да извършва преглед на настоящата директива, след като се консултира със заинтересованите страни, по-специално с цел установяване дали е целесъобразно да предложи изменения предвид промените в обществените, политически, технологични или пазарни условия. Като част от тези прегледи Комисията следва да прави оценка на значението на големината на съответните субекти и на секторите, подсекторите и вида субекти, посочени в приложенията към настоящата директива, за функционирането на икономиката и обществото във връзка с киберсигурността. Комисията следва да оцени, наред с другото, дали доставчиците, които попадат в обхвата на настоящата директива и които са определени като много големи онлайн платформи по смисъла на член 33 от Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета (24), могат да бъдат установени като съществени субекти съгласно настоящата директива.
(141) С настоящата директива се създават нови задачи за ENISA, като по този начин се засилва нейната роля, и може също така да се наложи ENISA да изпълнява своите съществуващи задачи съгласно Регламент (ЕС) 2019/881 на едно по-високо равнище от преди. За да се гарантира, че ENISA разполага с необходимите финансови и човешки ресурси, за да изпълнява съществуващите и новите задачи, както и за да отговаря на всяко по-високо равнище на изпълнение на тези задачи, произтичащи от засилената ѝ роля, нейният бюджет следва да бъде съответно увеличен. Освен това, за да се гарантира ефективно използване на ресурсите, на ENISA следва да се предостави по-голяма гъвкавост по отношение на начина, по който тя може да разпределя ресурси във вътрешен план за целта на ефективното изпълнение на нейните задачи и отговаряне на очакванията.
(142) Доколкото целта на настоящата директива, а именно постигане на високо общо ниво на киберсигурност в Съюза, не може да бъде постигната в достатъчна степен от държавите членки, а поради последиците от действието може да бъде по-добре постигната на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейски съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тази цел.
(143) Настоящата директива зачита основните права и е съобразена с принципите, признати в Хартата, по-специално правото на зачитане на личния живот и комуникациите, защитата на личните данни, свободата на стопанска инициатива, правото на собственост, правото на ефективни правни средства за защита и на справедлив съдебен процес, презумпцията за невиновност и правото на защита. Правото на ефективни правни средства за защита обхваща и получателите на услуги, предоставяни от съществени и важни субекти. Настоящата директива следва да бъде прилагана в съответствие с посочените права и принципи.
(144) Европейският надзорен орган по защита на данните беше консултиран в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (25) и прие своето становище на 11 март 2021 г. (26),