Член 23

Задължения за докладване

1.Всяка държава членка гарантира, че съществените и важните субекти уведомяват без ненужно забавяне нейния ЕРИКС, или, ако е приложимо, нейния компетентен орган в съответствие с параграф 4 за всеки инцидент, който има значително въздействие върху предоставянето на техните услуги, съгласно посоченото в параграф 3 (значителен инцидент). Когато е подходящо, засегнатите субекти уведомяват без ненужно забавяне получателите на техните услуги за значителни инциденти, които има вероятност неблагоприятно да засегнат предоставянето на тези услуги. Всяка държава членка гарантира, че тези субекти докладват, наред с другото, всяка информация, позволяваща на ЕРИКС или, когато е приложимо, на компетентния орган да определи всякакво трансгранично въздействие на инцидентите. Актът на уведомяване сам по себе си не води до повишена отговорност за уведомяващия субект.

Когато засегнатите субекти уведомят компетентния орган за значителен инцидент съгласно първа алинея, държавата членка гарантира, че този компетентен орган препраща уведомлението на ЕРИКС след получаването му.

В случай на трансграничен или междусекторен значителен инцидент държавите членки гарантират, че техните единни звена за контакт получават своевременно съответната информация, нотифицирана в съответствие с параграф 4.

2.Когато е приложимо, държавите членки гарантират, че съществените и важните субекти съобщават без излишно забавяне на получателите на техните услуги, които са потенциално засегнати от значителна киберзаплаха, всички мерки или средства за защита, които тези получатели могат да предприемат като реакция на тази заплаха. Когато е целесъобразно, субектите уведомяват тези получатели и за самата значителна киберзаплаха.

3.Даден инцидент се счита за значителен, ако:

а) е причинил или е в състояние да причини сериозно оперативно смущение в услугите или финансова загуба за засегнатия субект;

б) е засегнал или е в състояние да засегне други физически или юридически лица, причинявайки значителни материални или нематериални вреди.

4.Държавите членки гарантират, че за целите на уведомяването по параграф 1 засегнатите субекти подават до ЕРИКС или, когато е приложимо, до компетентния орган:

а) без ненужно забавяне и при всички случаи в рамките на 24 часа след узнаването за значителен инцидент — ранно предупреждение, в което, когато е приложимо, се посочва дали се предполага, че значителният инцидент се дължи на незаконосъобразни или злонамерени действия и дали би могъл да има трансгранично въздействие;

б) без ненужно забавяне и при всички случаи в рамките на 72 часа след узнаването за значителния инцидент — уведомление за инцидент, в което, когато е приложимо, се актуализира информацията, посочена в буква а), и се посочва първоначална оценка на значителния инцидент, включително неговата тежест и въздействие, както и, когато има такива, показателите за нарушена сигурност;

в) по искане на ЕРИКС или, когато е приложимо, на компетентния орган — междинен доклад за съответните новости на състоянието;

г) окончателен доклад не по-късно от един месец след подаването на уведомлението за инцидента по буква б), включващ следното:

i) подробно описание на инцидента, включително неговата тежест и въздействие;

ii) вида на заплахата или причината, която вероятно е породила инцидента;

iii)

приложените и текущите мерки за ограничаване;

iv) когато е приложимо, трансграничното въздействие на инцидента;

д) в случай на текущ инцидент към момента на представяне на окончателния доклад, посочен в буква г), държавите членки гарантират, че засегнатите субекти представят доклад за напредъка по това време и окончателен доклад в срок от един месец от справянето с инцидента.

Чрез дерогация от първа алинея, буква б) доставчикът на удостоверителни услуги уведомява ЕРИКС или, когато е приложимо, компетентния орган за значителните инциденти, които оказват въздействие върху предоставянето на неговите удостоверителни услуги, без излишно забавяне и при всички случаи в рамките на 24 часа, след като е узнал за значителния инцидент.

5.ЕРИКС или компетентният орган предоставят, без излишно забавяне и когато е възможно в рамките на 24 часа след получаването на ранното предупреждение по параграф 4, буква a), отговор на уведомяващия субект, включително първоначална обратна информация за значителния инцидент и, при искане от субекта, насоки или оперативни съвети за прилагането на възможни мерки за ограничение. Когато ЕРИКС не е първоначалният получател на уведомлението, посочено в параграф 1, насоките се предоставят от компетентния орган в сътрудничество с ЕРИКС. ЕРИКС предоставя допълнителна техническа подкрепа, ако засегнатия субект изиска това. Когато има подозрения, че значителният инцидент е с престъпно естество, ЕРИКС или компетентният орган предоставят насоки относно докладването на значителния инцидент на правоприлагащите органи.

6.Когато е целесъобразно и особено когато значителният инцидент засяга две или повече държави членки, ЕРИКС, компетентният орган или единното звено за контакт информира без излишно забавяне другите засегнати държави членки и ENISA за значителния инцидент. Тази информация включва вида информация, получена в съответствие с параграф 4. При това ЕРИКС, компетентният орган или единното звено за контакт запазват сигурността и търговските интереси на субекта, както и поверителността на предоставената информация в съответствие с правото на Съюза или с националното законодателство.

7.При необходимост от обществено уведомяване с цел предотвратяване на значителен инцидент или справяне с текущ значителен инцидент или когато оповестяването на значителния инцидент е в обществен интерес по друга причина, ЕРИКС на държавата членка, или когато е приложимо нейният компетентен орган, и когато е уместно, ЕРИКС или компетентните органи на други засегнати държави членки могат, след като се консултират със засегнатия субект, да уведомят обществеността за значителния инцидент или да изискат от него на направи това.

8.По искане на ЕРИКС или на компетентния орган единното звено за контакт предава уведомленията, получени съгласно параграф 1, на единните звена за контакт на други засегнати държави членки.

9.На всеки три месеца единното звено за контакт представя на ENISA обобщителен доклад, включващ анонимизирани и обобщени данни за значителните инциденти, инцидентите, киберзаплахите и ситуациите, близки до инциденти, за които е изпратено уведомление в съответствие с параграф 1 от настоящия член и с член 30. За да допринесе за предоставянето на сравнима информация, ENISA може да приема технически насоки за параметрите на включената в обобщителния доклад информация. ENISA информира групата за сътрудничество и мрежата на ЕРИКС за своите констатации относно получените уведомления на всеки шест месеца.

10.ЕРИКС или, когато е приложимо, компетентните органи предоставят на компетентните органи съгласно Директива (ЕС) 2022/2557 информация относно значителните инциденти, инцидентите, киберзаплахите и ситуациите, близки до инциденти, за които е подадено уведомление в съответствие с параграф 1 от настоящия член и с член 30 от субектите, установени като критични субекти съгласно Директива (ЕС) 2022/2557.

11.Комисията може да приема актове за изпълнение, в които допълнително се уточняват видът на информацията, форматът и процедурата на изпратено по параграф 1 от настоящия член и по член 30 уведомление, и на съобщение, изпратено по параграф 2 от настоящия член.

До 17 октомври 2024 г. Комисията приема – по отношение на доставчици на DNS услуги, регистрите на имена на домейни от първо ниво, доставчици на компютърни услуги „в облак“, доставчици на услуги на центрове за данни, доставчици на мрежи за доставка на съдържание, доставчици на управлявани услуги, доставчици на управлявани услуги за сигурност, както и доставчици на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи – актове за изпълнение, в които допълнително се уточняват случаите, в които даден инцидент се счита за значителен, както е посочено в параграф 3. Комисията може да приема такива актове за изпълнение по отношение на други съществени и важни субекти.

Комисията обменя становища и си сътрудничи с групата за сътрудничество във връзка с проектите на актове за изпълнение, посочени в първа и втора алинея от настоящия параграф в съответствие с член 14, параграф 4, буква д).

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 39, параграф 2.