Член 3

Съществени и важни субекти

1.За целите на настоящата директива следните субекти се считат за съществени субекти:

а) субекти от видовете, посочени в приложение I, които надхвърлят таваните за средни предприятия, установени в член 2, параграф 1 от приложението към Препоръка 2003/361/ЕО;

б) доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво, както и доставчици на DNS услуги, независимо от техния размер;

в) доставчици на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги, които отговарят на критериите за средни предприятия по смисъла на член 2 от приложението към Препоръка 2003/361/ЕО;

г) органи на публичната администрация, посочени в член 2, параграф 2, буква е), точка i);

д) всички други субекти от видовете, посочени в приложение I или II, които са установени от държава членка като съществени субекти съгласно член 2, параграф 2, букви б) — д);

е) субекти, установени като критични субекти съгласно Директива (ЕС) 2022/2557, посочени в член 2, параграф 3 от настоящата директива;

ж) ако държавата членка предвижда това, субекти, които тази държава членка е установила преди 16 януари 2023 г. като оператори на основни услуги в съответствие с Директива (ЕС) 2016/1148 или националното право;

2.За целите на настоящата директива субектите от видовете, посочени в приложение I или II, които не отговарят на критериите за съществени субекти съгласно параграф 1 от настоящия член, се считат за важни субекти. В това число се включват субекти, установени от държавите членки като важни субекти съгласно член 2, параграф 2, букви б)—д).

3.До 17 април 2025 г. държавите членки изготвят списък на съществените и важните субекти, както и субекти, предоставящи услуги за регистрация на имена на домейни. Държавите членки извършват преглед на списъка и по целесъобразност го актуализират редовно и най-малко на всеки две години.

4.За целите на съставянето на списъка, посочен в параграф 3, държавите членки изискват от субектите, посочени в същия параграф, да представят на компетентните органи най-малко следната информация:

а) наименованието на субекта;

б) адреса и актуални данни за контакт, включително адреси на електронната поща, IP обхвати и телефонни номера;

в) когато е приложимо, съответния сектор и подсектор, посочени в приложение I или II, и

г) когато е приложимо, списък на държавите членки, в които те предоставят услуги, попадащи в обхвата на настоящата директива.

Субектите, посочени в параграф 3, уведомяват без забавяне за всякакви промени в данните, представени съгласно първата алинея от настоящия параграф, и при всички случаи в рамките на две седмици от датата на промяната.

Комисията, със съдействието на Агенцията на Европейския съюз за киберсигурност (ENISA), предоставя без ненужно забавяне насоки и образци относно задълженията, предвидени в настоящия параграф.

Държавите членки могат да установят национални механизми, чрез които субектите да се регистрират сами.

5.До 17 април 2025 г. и на всеки две години след това компетентните органи уведомяват:

а) Комисията и групата за сътрудничество относно броя на всички съществени и важни субекти, изброени в параграф 3 за всеки сектор и подсектор, посочени в приложение I или II; както и

б) Комисията за съответната информация относно броя на съществените и важните субекти, установени съгласно член 2, параграф 2, букви б) — д), сектора и подсектора, посочени в приложение I или II, към които те принадлежат, вида на услугата, която предоставят, и разпоредбата, измежду посочените в член 2, параграф 2, букви б) — д), съгласно която са били установени.

6.До 17 април 2025 г. и по искане на Комисията държавите членки могат да съобщят на Комисията наименованията на съществените и важните субекти, посочени в параграф 5, буква б).