ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проєкту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського Центрального Банку (- 1),

Беручи до уваги висновок Європейського економічно-соціального комітету (- 2),

Після консультацій із Комітетом регіонів,

Діючи згідно зі звичайною законодавчою процедурою (- 3),

Оскільки:

(1) Директива Європейського Парламенту і Ради (ЄС) 2016/1148 (- 4) мала на меті розбудувати спроможності у сфері кібербезпеки на всій території Союзу, знизити загрози для мережевих та інформаційних систем, що використовуються для надання основних послуг у ключових секторах, і забезпечити безперервність таких послуг при зіткненні з інцидентами, сприяючи таким чином безпеці Союзу та дієвому функціонуванню його економіки і суспільства.

(2) З моменту набуття чинності Директивою (ЄС) 2016/1148 було досягнуто значного прогресу в підвищенні рівня кіберстійкості Союзу. Аналіз імплементації зазначеної Директиви показав, що вона послужила каталізатором інституційного та регуляторного підходу до кібербезпеки в Союзі, відкривши шлях до значних змін у менталітеті. Зазначена Директива забезпечила остаточне формування національних рамок безпеки мережевих та інформаційних систем шляхом запровадження національних стратегій безпеки мережевих та інформаційних систем та розбудови національних спроможностей, а також шляхом реалізації регуляторних заходів, що охоплюють критичну інфраструктуру та суб’єктів, визначених кожною державою-членом. Директива (ЄС) 2016/1148 також сприяла налагодженню співпраці на рівні Союзу шляхом заснування Групи співпраці та мережі національних груп реагування на інциденти комп’ютерної безпеки. Незважаючи на ці досягнення, аналіз імплементації Директиви ЄС 2016/1148 виявив властиві їй недоліки, які перешкоджають дієвому вирішенню поточних і майбутніх викликів у сфері кібербезпеки.

(3) Мережеві та інформаційні системи стали ключовим елементом повсякденного життя, що привели до швидкої цифрової трансформації та взаємопов’язаності суспільства, у тому числі в сфері транскордонного обміну. Цей розвиток призвів до розширення ландшафту кіберзагроз, привносячи нові виклики, які потребують адаптованого, скоординованого та інноваційного реагування в усіх державах-членах. Кількість, масштабність, складність частота та вплив інцидентів зростають та становлять велику загрозу для функціонування мережевих та інформаційних систем. Відтак, інциденти можуть перешкоджати здійсненню економічної діяльності на внутрішньому ринку, завдавати фінансових втрат, підривати довіру користувачів та спричиняти значну шкоду економіці та суспільству Союзу. Тож готовність і дієвість у сфері кібербезпеки є як ніколи важливими для належного функціонування внутрішнього ринку. Більше того, для багатьох критичних секторів кібербезпека є ключовим фактором, який дає змогу успішно прийняти цифрову трансформацію та повністю осягнути економічні, соціальні та довгострокові переваги цифровізації.

(4) Правовим підґрунтям Директиви (ЄС) 2016/1148 була стаття 114 Договору про функціонування Європейського Союзу (ДФЄС), метою якого є створення та функціонування внутрішнього ринку шляхом посилення заходів, спрямованих на наближення національних правил. Вимоги до стану кібербезпеки, встановлені для суб’єктів, що надають послуги чи здійснюють види діяльності, які є економічно значущими, суттєво різняться у різних державах-членах з точки зору типу вимог, рівня деталізації та методу здійснення нагляду. Ці відмінності призводять до додаткових витрат і створюють труднощі для суб’єктів, які надають товари чи послуги на транскордонній основі. Встановлені однією державою-членом вимоги, які відрізняються або навіть суперечать вимогам, встановленим іншою державою-членом, можуть суттєво впливати на таку транскордонну діяльність. До того ж, можливість невідповідного формування чи реалізації вимог до стану кібербезпеки у одній державі-члені ймовірно матиме наслідки на рівні кібербезпеки інших держав-членів, зокрема враховуючи інтенсивність транскордонних обмінів. Перегляд Директиви (ЄС) 2016/1148 показав широкі розбіжності в її імплементації державами-членами, у тому числі щодо сфери її застосування, делімітація якої здебільшого була залишена на розсуд держав-членів. Директива (ЄС) 2016/1148 а також надавала державам-членам дуже широкі дискреційні повноваження стосовно реалізації встановлених нею обов’язків щодо звітування про безпеку та інциденти. Відповідно, на національному рівні ці обов’язки було реалізовано дуже різними способами. Існують подібні розбіжності в імплементації положень Директиви (ЄС) 2016/1148 щодо здійснення нагляду та забезпечення виконання.

(5) Усі ці розбіжності призводять до фрагментації внутрішнього ринку і можуть мати шкідливий вплив на його функціонування, зачіпаючи, зокрема, транскордонне надання послуг та рівень кіберстійкості внаслідок застосування різноманітних заходів. Зрештою ці розбіжності могли би призвести до більшої вразливості деяких держав-членів до кіберзагроз із можливим поширенням негативних наслідків по всьому Союзу. Ця Директива має на меті усунути такі значні розбіжності між державами-членами, зокрема шляхом встановлення мінімальних правил щодо функціонування скоординованих регулятивних рамок, запровадження механізмів дієвої співпраці між відповідальними органами влади кожної держави-члена, оновлення переліку секторів і видів діяльності, що підпадають під зобов’язання з кібербезпеки, та надання дієвих засобів правового захисту та правозастосовних заходів, які є ключовими для забезпечення дієвого виконання цих зобов’язань. Таким чином, Директиву (ЄС) 2016/1148 потрібно скасувати та замінити цією Директивою.

(6) Зі скасуванням Директиви (ЄС) 2016/1148, сферу застосування за секторами потрібно поширити на більшу частину економіки, щоб забезпечити комплексне охоплення секторів і послуг, які є життєво важливими для ключової суспільно-економічної діяльності на внутрішньому ринку. Зокрема, ця Директива спрямована на подолання недоліків диференціації між операторами основних послуг та надавачами цифрових послуг, яка виявилася неактуальною, оскільки вона не відображає важливості цих секторів чи послуг для суспільно-економічної діяльності на внутрішньому ринку.

(7) Згідно з Директивою (ЄС) 2016/1148, держави-члени були відповідальними за визначення суб’єктів, які відповідали кваліфікаційним критеріям для операторів основних послуг. Щоб усунути великі розбіжності між державами-членами у цьому контексті та забезпечити правову визначеність заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки для всіх відповідних суб’єктів, потрібно запровадити уніфікований критерій для визначення суб’єктів, які підпадають під сферу застосування цієї Директиви. Цей критерій має складатися з застосування правила граничного розміру, де всі суб’єкти, які належать до середніх підприємств згідно зі статтею 2 додатка до Рекомендації Комісії 2003/361/ЄС (- 5) або перевищують верхні межі для середніх підприємств, передбачені параграфом 1 цієї статті, та які працюють у секторах і надають типи послуг чи здійснюють види діяльності, на які поширюється дія цієї Директиви, підпадають під сферу її застосування. Держави-члени також мають забезпечити, щоб певні малі підприємства та мікропідприємства, визначені в статті 2(2) і (3) зазначеного додатка, котрі відповідають конкретним критеріям, що вказують на ключову роль для суспільства, економіки чи для окремих секторів або типів послуг, підпадали під сферу застосування цієї Директиви.

(8) Вилучення суб’єктів публічної адміністрації зі сфери застосування цієї Директиви має стосуватися суб’єктів, які здійснюють діяльність переважно у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень. Однак, суб’єкти публічної адміністрації, діяльність яких лише незначною мірою стосується цих сфер, не мають бути виключені зі сфери застосування цієї Директиви. Для цілей цієї Директиви суб’єкти з регулятивними компетенціями не вважаються такими, що здійснюють діяльність у сфері правоохоронної діяльності і тому не виключаються на цій підставі зі сфери застосування цієї Директиви. Суб’єкти публічної адміністрації, засновані спільно з третьою країною відповідно до міжнародної угоди, виключаються зі сфери застосування цієї Директиви. Ця Директива не застосовується до дипломатичних і консульських місій держав-членів у третіх країнах або до їхніх мережевих та інформаційних систем, якщо такі системи розташовані в приміщеннях місії або працюють для користувачів у третій країні.

(9) Держави-члени мають бути здатні вживати необхідних заходів для забезпечення захисту суттєвих інтересів національної безпеки, для охорони публічного порядку та забезпечення громадської безпеки, а також щоби уможливити запобігання, розслідування, розкриття та переслідування кримінальних правопорушень. З цією метою держави-члени мають бути здатні звільняти конкретних суб’єктів, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень, від певних зобов’язань, встановлених у цій Директиві щодо такої діяльності. Якщо суб’єкт надає послуги виключно суб’єкту публічної адміністрації, виключеному зі сфери застосування цієї Директиви, держави-члени мають бути здатні звільняти цього суб’єкта від певних зобов’язань, встановлених у цій Директиві щодо таких послуг. Більше того, жодна держава-член не може бути зобов’язана надавати інформацію, розкриття якої суперечитиме суттєвим інтересам її національної безпеки, громадської безпеки чи оборони. У цьому контексті потрібно враховувати союзні чи національні правила захисту секретної інформації, угод про нерозголошення та неформальних угод про нерозголошення, таких як протокол TLP. Протокол TLP слід розуміти як засіб надання інформації про будь-які обмеження стосовно подальшого розповсюдження інформації. Його використовують у майже всіх групах реагування на інциденти комп’ютерної безпеки (CSIRT) та в деяких центрах аналізу та обміну інформацією.

(10) Хоча цю Директиву застосовують до суб’єктів, що здійснюють діяльність у галузі виробництва електроенергії з атомних електростанцій, деякі види цієї діяльності можуть стосуватися національної безпеки. У такому разі держава-член має бути здатна виконувати свій обов’язок із забезпечення національної безпеки щодо цих видів діяльності, у тому числі діяльності в межах ядерного ланцюга створення вартості, у відповідності з Договорами.

(11) Деякі суб’єкти здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень, водночас надаючи довірчі послуги. Надавачі довірчих послуг, що підпадають під сферу застосування Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 (- 6), мають підпадати під сферу застосування цієї Директиви, щоб забезпечити такий самий рівень безпекових вимог і нагляду, як і раніше встановлений у зазначеному Регламенті щодо надавачів довірчих послуг. У відповідності до виключення певних конкретних послуг з Регламенту (ЄС) № 910/2014, ця Директива не має застосовуватися до надання довірчих послуг, використовуваних винятково всередині закритих систем, які є результатом національного права чи домовленостей серед визначеного кола учасників.

(12) Дія цієї Директиви має поширюватися на надавачів поштових послуг відповідно до Директиви Європейського Парламенту і Ради 97/67/ЄС (- 7), у тому числі надавачів кур’єрських послуг, якщо вони забезпечують принаймні один із етапів ланцюга поштового доставлення, зокрема оформлення, сортування, транспортування чи вручення поштових відправлень, у тому числі послуги із забору відправлень у клієнтів, враховуючи ступінь їхньої залежності від мережевих та інформаційних систем. Транспортні послуги, які не здійснюються у поєднанні з одним із цих етапів, мають бути виключені з поштових послуг.

(13) З огляду на зростання інтенсивності та складності кіберзагроз, держави-члени мають прагнути забезпечити, щоб суб’єкти, виключені зі сфери застосування цієї Директиви, досягли високого рівня кібербезпеки, та підтримувати імплементацію рівноцінних заходів управління ризиками кібербезпеки, які відображають чутливий характер цих суб’єктів.

(14) До будь-якого опрацювання персональних даних згідно із цією Директивою застосовується право Союзу щодо захисту даних і право Союзу щодо приватності. Зокрема, ця Директива не обмежує дію Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 (- 8) і Директиви Європейського Парламенту і Ради 2002/58/ЄС (- 9). Таким чином, ця Директива не має впливати, між іншим, на завдання та повноваження органів влади, до компетенції яких належить моніторинг відповідності застосовному праву Союзу щодо захисту даних і праву Союзу щодо приватності.

(15) Суб’єктів, які підпадають під сферу застосування цієї Директиви, для цілей відповідності заходам управління ризиками та обов’язкам щодо звітування у сфері кібербезпеки має бути віднесено до однієї з двох категорій: основні суб’єкти і важливі суб’єкти, - залежно від ступеню їхньої критичності для свого сектора чи типу послуг, що їх вони надають, а також від їхнього розміру. У зв’язку з цим, потрібно належним чином враховувати будь-які актуальні галузеві оцінювання ризиків чи інструкції компетентних органів, якщо застосовно. Режими нагляду та забезпечення виконання для цих двох категорій суб’єктів потрібно диференціювати для забезпечення справедливого балансу між ризик-орієнтованими вимогами і обов’язками з одного боку та адміністративним тягарем, зумовленим наглядом за дотриманням - з іншого.

(16) Щоб уникнути зарахування суб’єктів, які мають партнерські підприємства чи є пов’язаними підприємствами, до основних чи важливих суб’єктів, коли це було б непропорційним, держави-члени мають змогу брати до уваги ступінь незалежності, якою користується суб’єкт відносно своїх партнерських чи пов’язаних підприємств, при застосуванні статті 6(2) додатка до Рекомендації 2003/361/ЄС. Зокрема, держави-члени мають змогу брати до уваги той факт, що суб’єкт є незалежним від своїх партнерських чи пов’язаних підприємств стосовно мережевих та інформаційних систем, які цей суб’єкт використовує при наданні послуг та стосовно послуг, які цей суб’єкт надає. На цій підставі у відповідних випадках держави-члени мають змогу вважати, що такий суб’єкт не належить до середніх підприємств згідно зі статтею 2 додатка до Рекомендації 2003/361/ЄС або не перевищує верхні межі для середніх підприємств, передбачені параграфом 1 цієї статті, якщо після врахування ступеня незалежності цього суб’єкта цей суб’єкт не вважався би таким, що належить до середніх підприємств або перевищує згадані верхні межі, у разі, якщо взято до уваги лише його власні дані. Це не впливає на визначені в цій Директиві зобов’язання партнерських або пов’язаних підприємств, які підпадають під сферу застосування цієї Директиви.

(17) Держави-члени мають бути здатні вирішувати, що суб’єкти, визначені до набуття чинності цією Директивою операторами основних послуг відповідно до Директиви (ЄС) 2016/1148, повинні вважатися основними суб’єктами.

(18) Щоб забезпечити чітке уявлення про суб’єктів, що підпадають під сферу застосування цієї Директиви, держави-члени мають створити перелік основних і важливих суб’єктів, а також суб’єктів, що надають послуги реєстрації доменних імен. З цією метою державам-членам потрібно вимагати від суб’єктів подавати до компетентних органів принаймні таку інформацію, а саме: назву, адресу та актуальні контактні дані, в тому числі адреси електронної пошти, діапазони IP-адрес і телефонні номери суб’єкта, а також, якщо застосовно, відповідний сектор і підсектор, зазначений у додатках, а також, якщо застосовно, перелік держав-членів, у яких вони надають послуги, що підпадають під сферу застосування цієї Директиви. З цією метою Комісія, за сприяння Агентства Європейського Союзу з питань кібербезпеки (ENISA), має, без невиправданої затримки, надати настанови та шаблони, що стосуються обов’язку подавати інформацію. Щоб полегшити створення та оновлення переліку основних і важливих суб’єктів, а також суб’єктів, що надають послуги реєстрації доменних імен, держави-члени мають бути здатні формувати національні механізми для забезпечення самостійної реєстрації суб’єктів. Там, де реєстри існують на національному рівні, держави-члени можуть ухвалювати рішення щодо належних механізмів, які дозволяють ідентифікацію суб’єктів, що підпадають під сферу застосування цієї Директиви.

(19) Держави-члени мають відповідати за подання Комісії щонайменше кількості основних і важливих суб’єктів на кожен сектор і підсектор, зазначений у додатках, а також релевантної інформації про кількість визначених суб’єктів та положення, з-поміж викладених у цій Директиві, на підставі якого їх було визначено, та тип послуг, які вони надають. Держав-членів заохочують обмінюватися з Комісією інформацією про основних і важливих суб’єктів і, у випадку масштабного інциденту кібербезпеки, релевантну інформацію, таку як назва суб’єкта, якого він стосувався.

(20) Комісія, у співпраці з Групою співпраці та після консультацій з відповідними стейкхолдерами, має надати настанови щодо імплементації критеріїв, застосовних до мікропідприємств і малих підприємств, щоб оцінити, чи підпадають вони під сферу застосування цієї Директиви. Комісія також має забезпечити, щоб мікропідприємствам і малим підприємствам, що підпадають під сферу застосування цієї Директиви, було надано належні інструкції. Комісія, за допомоги держав-членів, має зробити інформацію стосовно цього доступною для мікропідприємств і малих підприємств.

(21) Комісія може надавати інструкції, щоб допомогти державам-членам у імплементації положень цієї Директиви щодо сфери застосування та оцінці пропорційності заходів, яких необхідно вжити на виконання цієї Директиви, зокрема стосовно суб’єктів із комплексними бізнес-моделями чи операційними середовищами, згідно з якими суб’єкт може одночасно задовольняти критерії, передбачені як для основних, так і для важливих суб’єктів, або може одночасно здійснювати кілька видів діяльності, деякі з яких підпадають під сферу застосування цієї Директиви, а деякі - виключені з неї.

(22) Ця Директива встановлює базовий рівень для заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки в усіх секторах, що підпадають під сферу її застосування. Щоб уникнути фрагментації положень нормативно-правових актів Союзув сфері кібербезпеки, коли додаткові секторальні правові акти Союзу, що стосуються заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки, вважаються необхідними для забезпечення високого рівня кібербезпеки на всій території Союзу, Комісія має оцінити, чи такі додаткові положення можуть бути визначені в імплементаційному акті згідно з цією Директивою. Якщо такий імплементаційний акт не підходить для цієї мети, секторальні правові акти Союзу можуть сприяти забезпеченню високого рівня кібербезпеки на всій території Союзу, повною мірою враховуючи особливості та складнощі відповідних секторів. З цією метою ця Директива не перешкоджає ухваленню додаткових секторальних правових актів Союзу, що регулюють заходи управління ризиками та обов’язки щодо звітування у сфері кібербезпеки та належним чином враховують потребу в комплексну та послідовну структуру кібербезпеки. Ця Директива не обмежує чинні виконавчі повноваження, які було покладено на Комісію в низці секторів, у тому числі транспортному та енергетичному.

(23) Якщо той чи інший секторальний правовий акт Союзу містить положення, які вимагають від основних або важливих суб’єктів запровадження заходів управління ризиками кібербезпеки або сповіщення про значні інциденти, і якщо такі вимоги принаймні рівноцінні за своєю дією обов’язкам, встановленим у цій Директиві, ці положення, у тому числі щодо нагляду та забезпечення виконання, має бути застосовано до таких суб’єктів. Якщо той чи інший секторальний правовий акт Союзу не охоплює усіх суб’єктів у певному секторі, які підпадають під сферу застосування цієї Директиви, відповідні положення цієї Директиви мають і надалі застосовуватися до суб’єктів, не охоплених цим актом.

(24) Якщо положення секторального правового акту Союзу вимагають від основних або важливих суб’єктів дотримання обов’язків щодо звітування, які є принаймні рівноцінними за своєю дією обов’язкам щодо звітування, встановленим у цій Директиві, має бути забезпечена послідовність та дієвість поводження зі сповіщеннями про інциденти. З цією метою, положення секторального правового акту Союзу, що стосуються сповіщень про інциденти, мають забезпечувати безпосередній доступ груп CSIRT, компетентних органів або єдиних контактних пунктів з питань кібербезпеки (єдиних контактних пунктів), передбачених цією Директивою, до сповіщень про інциденти згідно з цим секторальним правовим актом Союзу. Зокрема, такий безпосередній доступ може бути забезпечено, якщо направляти сповіщення про інциденти без невиправданої затримки до CSIRT, компетентних органів або єдиних контактних пунктів, передбачених цією Директивою. У відповідних випадках державам-членам потрібно запровадити механізм автоматичного та прямого звітування, який забезпечує систематичний і безпосередній обмін інформацією з групами CSIRT, компетентними органами або єдиними контактними пунктами стосовно поводження з такими сповіщеннями про інциденти. З метою спрощення звітування та реалізації механізму автоматичного та прямого звітування держави-члени можуть, згідно із секторальним правовим актом Союзу, використовувати систему "єдиного вікна".

(25) Секторальні правові акти Союзу, котрі передбачають заходи управління ризиками чи обов’язки щодо звітування у сфері кібербезпеки, які є принаймні рівноцінними за своєю дією встановленим у цій Директиві, можуть передбачати, що компетентні органи згідно з такими актами реалізують свої наглядові та виконавчі повноваження щодо таких заходів чи обов’язків із допомогою компетентних органів згідно з цією Директивою. Відповідні компетентні органи можуть укладати угоди про співпрацю з цією метою. Такі угоди про співпрацю можуть визначати, з-поміж іншого, процедури координації діяльності з нагляду, в тому числі процедури розслідувань та інспекцій на місцях у відповідності з національним правом, та механізм обміну релевантною інформацією щодо нагляду та забезпечення виконання між компетентними органами, в тому числі доступ до інформації у сфері кібербезпеки, що її вимагають компетентні органи згідно з цією Директивою.

(26) Якщо секторальні правові акти Союзу вимагають або передбачають стимулювання суб’єктів сповіщати про значні кіберзагрози, держави-члени також мають заохочувати обмін інформацією про значні кіберзагрози з групами CSIRT, компетентними органами або єдиними контактними пунктами згідно з цією Директивою для того, щоб забезпечити підвищений рівень обізнаності цих органів з ландшафтом кіберзагроз та надати їм можливість ефективно та своєчасно реагувати у разі матеріалізації значних кіберзагроз.

(27) Майбутні секторальні правові акти Союзу мають належним чином враховувати означення та наглядові й правозастосовні рамки, викладені у цій Директиві.

(28) Регламент Європейського Парламенту і Ради (ЄС) 2022/2554 (- 10) потрібно вважати секторальним правовим актом Союзу з точки зору цієї Директиви у тому, що стосується фінансових суб’єктів. Положення Регламенту (ЄС) 2022/2554, що стосуються управління ризиками інформаційно-комунікаційних технологій (ІКТ), управління ризиками, пов’язаними з ІКТ, і, зокрема, звітування про значні інциденти, пов’язані з ІКТ, а також щодо тестування цифрової операційної стійкості, домовленостей про обмін інформацією та сторонні ризики ІКТ, має бути застосовано замість положень, передбачених цією Директивою. Таким чином держави-члени не мають застосовувати положення цієї Директиви про зобов’язання щодо управління ризиками кібербезпеки та звітування, та нагляд і забезпечення виконання до фінансових суб’єктів, які підпадають під дію Регламенту (ЄС) 2022/2554. Водночас важливо підтримувати міцні зв’язки і обмін інформацією з фінансовим сектором згідно з цією Директивою. З цією метою Регламент (ЄС) 2022/2554 дозволяє європейським наглядовим органам і компетентним органам згідно зі вказаним Регламентом брати участь у роботі Групи співпраці та обмінюватися інформацією і співпрацювати з єдиними контактними пунктами, а також із групами CSIRT і компетентними органами згідно з цією Директивою. Компетентні органи згідно з Регламентом (ЄС) 2022/2554 також мають передавати деталі основних інцидентів, пов’язаних із ІКТ, та, якщо доцільно, значних кіберзагроз групам CSIRT, компетентним органам або єдиним контактним пунктам згідно з цією Директивою. Цього можна досягти, надавши безпосередній доступ до сповіщень про інциденти і пересилаючи їх безпосередньо або через систему "єдиного вікна". До того ж, держави-члени мають і надалі включати фінансовий сектор у свої стратегії кібербезпеки, а діяльність груп CSIRT може охоплювати фінансовий сектор.

(29) Щоб уникнути прогалин або дублювання зобов’язань із кібербезпеки, покладених на суб’єкти в авіаційному секторі, національні органи згідно з Регламентами Європейського Парламенту і Ради (ЄС) № 300/2008 (- 11) та (ЄС) 2018/1139 (- 12) та компетентні органи згідно з цією Директивою мають співпрацювати у напрямку імплементації пов’язаних із кібербезпекою заходів управління ризиками і нагляду за відповідністю цих заходів на національному рівні. Відповідність того чи іншого суб’єкта вимогам до безпеки, встановленим у Регламентах (ЄС) № 300/2008 та (ЄС) 2018/1139 та у відповідних делегованих та імплементаційних актах, ухвалених на виконання цих Регламентів, компетентні органи згідно з цією Директивою можуть вважати такою, що відповідає відповідним вимогам, встановленим у цій Директиві.

(30) З огляду на взаємозв’язки між кібербезпекою та фізичною безпекою суб’єктів, потрібно забезпечити узгоджений підхід між Директивою Європейського Парламенту і Ради (ЄС) 2022/2557 (- 13) і цією Директивою. Для досягнення цього суб’єкти, визначені критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557, потрібно вважати ключовими суб’єктами згідно з цією Директивою. Крім того, кожна держава-член має забезпечити, щоб національна стратегія кібербезпеки передбачала політичні рамки для посиленої координації всередині цієї держави-члена між її компетентними органами згідно з цією Директивою та компетентними органами згідно з Директивою (ЄС) 2022/2557 у контексті обміну інформацією щодо ризиків, кіберзагроз та інцидентів, а також ризиків, що не відносяться до ризиків у сфері кібербезпеки, загроз та інцидентів та виконання наглядових завдань. Компетентним органам згідно з цією Директивою та компетентним органам згідно з Директивою (ЄС) 2022/2557 потрібно співпрацювати та обмінюватися інформацією без невиправданої затримки, зокрема стосовно ідентифікації критично важливих суб’єктів, ризиків, кіберзагроз та інцидентів, а також ризиків, що не відносяться до ризиків у сфері кібербезпеки, загроз та інцидентів, що впливають на критично важливі суб’єкти, у тому числі заходів у сфері кібербезпеки і фізичних заходів, вжитих критично важливими суб’єктами, а також результатів наглядової діяльності, здійснюваної стосовно таких суб’єктів.

Більше того, для спрощення наглядової діяльності між компетентними органами згідно з цією Директивою і компетентними органами згідно з Директивою (ЄС) 2022/2557 та для мінімізації адміністративного тягаря для відповідних суб’єктів ці компетентні органи мають докладати зусиль для гармонізації шаблонів сповіщень про інциденти та наглядових процесів. У відповідних випадках, компетентні органи згідно з Директивою (ЄС) 2022/2557 мають бути здатними вимагати від компетентних органів згідно з цією Директивою виконувати свої повноваження з нагляду та забезпечення виконання щодо суб’єкта, визначеного критично важливим суб’єктом згідно з Директивою (ЄС) 2022/2557. Компетентні органи згідно з цією Директивою та компетентні органи згідно з Директивою (ЄС) 2022/2557 мають, по можливості в реальному часі, співпрацювати та обмінюватися інформацією з цією метою.

(31) Суб’єкти, що належать до сектора цифрової інфраструктури, по суті базуються на мережевих та інформаційних системах, тож зобов’язання, покладені на ці суб’єкти відповідно до цієї Директиви, мають бути спрямовані на комплексне забезпечення фізичної захищеності таких систем у рамках заходів управлення ризиками і обов’язків щодо звітування у сфері кібербезпеки. Оскільки ці питання охоплено цією Директивою, зобов’язання, встановлені в главах III, IV та VI Директиви (ЄС) 2022/2557, не застосовуються до таких суб’єктів.

(32) Підтримання та збереження надійної, стійкої та захищеної системи доменних імен (DNS) є ключовими факторами у забезпеченні цілісності інтернету та мають вирішальне значення для його безперервної та стабільної роботи, від якої залежать цифрова економіка та суспільство. Тому ця Директива не має застосовуватися до реєстру доменних імен верхнього рівня (TLD) та надавачів послуг DNS, що їх слід розуміти як суб’єктів, які надають загальнодоступні послуги розпізнавання рекурсивних доменних імен для кінцевих користувачів мережі Інтернет або послуги авторитативного розпізнавання доменних імен для використання третіми сторонами. Ця Директива не має застосовуватися до серверів кореневих імен.

(33) Послуги хмарних обчислень мають охоплювати цифрові послуги, які уможливлюють адміністрування за запитом і широкий віддалений доступ до масштабовного та еластичного пулу обчислювальних ресурсів спільного користування, в тому числі там, де такі ресурси розподілено по декількох локаціях. Обчислювальні ресурси включають такі ресурси як мережі, сервери або іншу інфраструктуру, операційні системи, програмне забезпечення, сховища, застосунки та сервіси. Моделі послуг хмарних обчислень включають, між іншим, інфраструктуру як послугу (IaaS), платформу як послугу (PaaS), програмне забезпечення як послугу (SaaS) та мережу як послугу (NaaS). Моделі розгортання хмарних обчислень мають включати приватні, громадські, публічні та гібридні хмари. Моделі послуг і розгортання хмарних обчислень мають те саме значення, що й терміни "моделі послуг і розгортання", визначені згідно зі стандартом ISO/IEC 17788:2014. Спроможність користувача хмарних послуг в односторонньому порядку забезпечувати себе обчислювальними спроможностями, такими як серверний час або мережеве сховище, без жодного людського втручання з боку надавача послуг хмарних обчислень можна описати як адміністрування за запитом.

Термін "широкий віддалений доступ" використовують для опису надання хмарних спроможностей через мережу і доступу до них через механізми, які сприяють використанню гетерогенних тонких або товстих клієнтських платформ, у тому числі мобільних телефонів, планшетів, ноутбуків і робочих станцій. Термін "масштабовний" означає, що надавач хмарної послуги гнучко розподілив обчислювальні ресурси незалежно від географічного розташування ресурсів для того, щоб справлятися з коливаннями попиту. Термін "еластичний пул" використовують для опису таких обчислювальних ресурсів, які було введено в дію та дозволено до використання відповідно до попиту, щоби швидко збільшувати та зменшувати доступні ресурси залежно від навантаження. Термін "спільного користування" використовують для опису обчислювальних ресурсів, котрі надаються багатьом користувачам зі спільним доступом до послуги, але опрацювання здійснюється для кожного користувача окремо, хоча послуга надається з одного й того самого електронного обладнання. Термін "розподілений" використовують для опису обчислювальних ресурсів, які розташовані на різних комп’ютерах або пристроях, об’єднаних у мережу, і які комунікують або координують роботу між собою шляхом передачі повідомлень.

(34) З огляду на виникнення інноваційних технологій і нових бізнес-моделей очікується поява на внутрішньому ринку нових моделей послуг і розгортання хмарних обчислень у відповідь на розвиток потреб споживачів. У цьому контексті послуги хмарних обчислень можуть надаватися у сильно розподіленій формі, ще ближче до місць формування або збору даних, переходячи таким чином від традиційної моделі до високорозподіленої (периферійні обчислення).

(35) Послуги, що їх надають надавачі послуг центру обробки даних, не завжди можуть бути надані у вигляді послуг хмарних обчислень. Відповідно, центри обробки даних не завжди є частиною інфраструктури хмарних обчислень. Для управління усіма ризиками які загрожують безпеці мережевих та інформаційних систем, ця Директива має таким чином охоплювати надавачів послуг центру обробки даних, які не є послугами хмарних обчислень. Для цілей цієї Директиви термін "послуга центру обробки даних" має поширюватися на надання сервісу, який охоплює структури чи групи структур, призначені для централізованого розміщення, взаємоз’єднання та експлуатації інформаційно-технологічного (IT) та мережевого обладнання, що забезпечує надання послуг зберігання, обробки та транспортування даних, разом з усіма потужностями та інфраструктурою для енергорозподілу та екологічного контролю. Термін "послуга центру обробки даних" не має стосуватися внутрішніх корпоративних центрів обробки даних, якими володіє та які експлуатує відповідний суб’єкт для власних цілей.

(36) Дослідницька діяльність відіграє ключову роль у розробці нових продуктів і процесів. В багатьох випадках цю діяльність здійснюють суб’єкти, які надають, розповсюджують або використовують результати своїх досліджень у комерційних цілях. Таким чином, ці суб’єкти можуть бути важливими гравцями в ланцюгах створення вартості, що робить безпеку їхніх мережевих та інформаційних систем невід’ємною частиною загальної кібербезпеки внутрішнього ринку. Науково-дослідні організації потрібно розуміти як такі, до яких належать суб’єкти, котрі зосереджують суттєву частку своєї діяльності на веденні прикладних досліджень або експериментальних розробках у розумінні видання "Посібник Фраскаті 2015: Настанови щодо збирання та повідомлення даних досліджень і експериментальних розробок" Організації економічного співробітництва та розвитку з наміром скористатися їхніми результатами в комерційних цілях, таких як виробництво чи розробка продукту чи процесу, надання послуги або ж реалізацію на їх ринку.

(37) Зростання взаємозалежностей є результатом все більш транскордонної та взаємозалежної мережі надання послуг із використанням ключової інфраструктури по всій території Союзу в таких секторах як енергетика, транспорт, цифрова інфраструктура, постачання питної води та водовідведення, охорона здоров’я, певні аспекти публічної адміністрації, а також космос, якщо це стосуються надання певних послуг залежить від наземної інфраструктури, якою володіють, керують і оперують держави-члени чи приватні структури, і таким чином не стосується інфраструктури, якою володіє, керує чи оперує Союз або від його імені у рамках його космічної програми. Ці взаємозалежності означають, що будь-який збій, навіть початково обмежений одним суб’єктом чи одним сектором, може мати ширший каскадний вплив, потенційно призводячи до далекосяжних і довготривалих негативних наслідків у постачанні послуг по всьому внутрішньому ринку. Кібератаки, інтенсивність яких зросла під час пандемії COVID-19, продемонстрували вразливість усе більш взаємозалежних суспільств перед малоймовірними ризиками.

(38) З огляду на відмінності в структурах національного врядування та для захисту вже наявних секторальних домовленостей або наглядових і регуляторних органів Союзу, держави-члени мають бути здатними призначити чи створити один або більше компетентних органів, відповідальних за кібербезпеку та за виконання наглядових завдань відповідно до цієї Директиви.

(39) Для сприяння транскордонній співпраці та комунікації між органами влади, та для того, щоб уможливити результативну імплементацію цієї Директиви, необхідно, щоб кожна держава-член призначила єдиний контактний пункт, відповідальний за координацію питань, пов’язаних із безпекою мережевих та інформаційних систем та транскордонною співпрацею на рівні Союзу.

(40) Єдині контактні пункти мають забезпечувати дієву транскордонну співпрацю з відповідними органами інших держав-членів і, у відповідних випадках, з Комісією та ENISA. Таким чином, єдиним контактним пунктам має бути поставлено завдання пересилати сповіщення про значні інциденти з транскордонними наслідками єдиним контактним пунктам інших держав-членів, які зазнають цих наслідків на запит групи CSIRT або компетентного органу. На національному рівні єдиний контактний пункт має уможливлювати плавну міжсекторальну співпрацю з іншими компетентними органами. Єдині контактні пункти також можуть бути адресатами релевантної інформації про інциденти, що стосуються фінансових суб’єктів, від компетентних органів згідно з Регламентом (ЄС) 2022/2554, яку вони мають бути здатні передавати, у відповідних випадках, групам CSIRT або компетентним органам згідно з цією Директивою.

(41) Держави-члени повинні бути належним чином оснащені, з точки зору як технічних, так і організаційних спроможностей, для запобігання, виявлення, реагування на інциденти та ризики і пом’якшення їхніх наслідків. Тому держави-члени мають створити чи призначити одну або декілька груп CSIRT згідно з цією Директивою та забезпечити наявність у них відповідних ресурсів і технічних спроможностей. Групи CSIRT мають відповідати вимогам, встановленим у цій Директиві, для гарантування результативних і сумісних спроможностей, щоб працювати з інцидентами та ризиками і забезпечувати ефективну співпрацю на рівні Союзу. Держави-члени мають бути здатними призначати групами CSIRT наявні групи реагування на комп’ютерні надзвичайні ситуації (CERT). Для розбудови довірчих відносин між суб’єктами і групами CSIRT, якщо CSIRT є частиною компетентного органу, держава-член має бути здатна розглянути доцільність фінансового відокремлення оперативних завдань, виконуваних групами CSIRT, зокрема стосовно обміну інформацією та надання допомоги суб’єктам, від наглядової діяльності компетентних органів.

(42) Завданням груп CSIRT є врегулювання інцидентів. Це передбачає опрацювання великих обсягів подекуди чутливих даних. Держави-члени мають забезпечити, щоб у груп CSIRT була інфраструктура для обміну і опрацювання інформації, а також добре оснащений персонал, що забезпечує конфіденційність і благонадійність їхніх операцій. У цьому зв’язку групи CSIRT можуть також застосовувати кодекси поведінки.

(43) Стосовно персональних даних, групи CSIRT мають бути здатні забезпечити, відповідно до Регламенту (ЄС) 2016/679, на вимогу основного чи важливого суб’єкта, проактивне сканування мережевих та інформаційних систем, використовуваних для надання послуг цього суб’єкта. Де це застосовно, державам-членам потрібно прагнути забезпечити однаковий рівень технічних спроможностей для всіх секторальних груп CSIRT. Держави-члени мають бути здатні вимагати допомоги ENISA у розвитку своїх груп CSIRT.

(44) Групам CSIRT потрібно мати змогу, на вимогу основного чи важливого суб’єкта, здійснювати моніторинг інтернет-орієнтованих активів суб’єкта як у межах, так і поза межами його приміщень, щоб виявляти, розуміти і керувати загальними організаційними ризиками суб’єкта щодо нововиявлених компрометацій чи критичних вразливостей ланцюжків постачання. Суб’єкта потрібно заохочувати повідомляти CSIRT, чи працює він у інтерфейсі управління з привілейованим доступом, оскільки це може впливати на швидкість вжиття пом’якшувальних заходів.

(45) З огляду на важливість міжнародної співпраці в сфері кібербезпеки, групи CSIRT мають бути здатні брати участь у мережах міжнародної співпраці на додачу до мережі CSIRT, запровадженої цією Директивою. Таким чином, з метою виконання своїх завдань групам CSIRT і компетентним органам потрібно мати змогу обмінюватися інформацією, в тому числі персональними даними, з національними групами реагування на інциденти комп’ютерної безпеки або компетентними органами третіх країн за умови дотримання умов, передбачених правом Союзу в сфері захисту даних щодо передачі персональних даних третім країнам, зокрема статті 49 Регламенту (ЄС) 2016/679.

(46) Важливе значення має забезпечення належних ресурсів, щоб досягти цілей цієї Директиви та надати компетентним органам і групам CSIRT можливості виконувати встановлені нею завдання. Держави-члени можуть на національному рівні запровадити механізм фінансування для покриття необхідних видатків, пов’язаних зі здійсненням функцій публічних суб’єктів, відповідальних за кібербезпеку в країні-члені відповідно до цієї Директиви. Такий механізм має відповідати праву Союзу і має бути пропорційним і недискримінаційним і має враховувати різні підходи до надання захищених послуг.

(47) Мережа CSIRT має і надалі допомагати зміцненню повної довіри та сприяти швидкій і дієвій оперативній співпраці між державами-членами. З метою вдосконалення оперативної співпраці на рівні Союзу мережа CSIRT має розглянути доцільність запрошення органів і агентств Союзу, задіяних у політиці в сфері кібербезпеки, таких як Європол, до участі в її роботі.

(48) З метою досягнення і підтримання високого рівня кібербезпеки національні стратегії кібербезпеки, передбачені цією Директивою, мають містити узгоджені рамки, що забезпечують стратегічні цілі та пріоритети у сфері кібербезпеки, та врядування, спрямоване на їх досягнення. Ці стратегії можуть складатися з одного або більше законодавчих чи незаконодавчих інструментів.

(49) Політики щодо кібергігієни закладають підвалини для захисту інфраструктури мережевих та інформаційних систем, безпеки апаратного, програмного забезпечення та онлайн-застосунків, та даних бізнесу чи кінцевих користувачів, на які посилаються суб’єкти. Політики щодо кібергігієни, які містять спільний базовий набір практик, у тому числі оновлення програмного та апаратного забезпечення, зміну паролів, керування новими інсталяціями, обмеження облікових записів із адміністративним рівнем доступу та резервування даних, формують проактивні рамки готовності, загальної безпеки та захищеності на випадок інцидентів або кіберзагроз. ENISA має здійснювати моніторинг і аналіз політик держав-членів щодо кібергігієни.

(50) Обізнаність щодо кібербезпеки та кібергігієна мають істотне значення для підвищення рівня кібербезпеки на території Союзу, зокрема з огляду на зростання кількості під’єднаних пристроїв, які все частіше використовуються у кібератаках. Потрібно докладати зусиль для поліпшення загальної обізнаності щодо ризиків, пов’язаних із такими пристроями, тоді як проведення відповідних оцінювань на рівні Союзу може допомогти забезпечити спільне розуміння таких ризиків на внутрішньому ринку.

(51) Держави-члени мають заохочувати використання будь-яких інноваційних технологій, у тому числі штучного інтелекту, використання якого може поліпшити виявлення кібератак і запобігання їм, уможливлюючи більш дієве спрямування ресурсів на протидію кібератакам. Тому держави-члени у своїй діяльності в сфері досліджень і розробок у рамках національних стратегій кібербезпеки мають сприяти використанню таких технологій, зокрема тих, що стосуються автоматизованих або напівавтоматизованих інструментів кібербезпеки, та, у відповідних випадках, обміну даними, необхідними для навчання користувачів кожної такої технології та її вдосконалення. Використання будь-яких інноваційних технологій, у тому числі штучного інтелекту, має відповідати праву Союзу у сфері захисту даних, у тому числі принципам захисту даних щодо точності даних, мінімізації даних, чесності та прозорості, а також безпеки даних, зокрема передових методів шифрування. Вимоги щодо захисту даних за призначенням і за замовчуванням, встановлені в Регламенті (ЄС) 2016/679, мають бути застосовані в повному обсязі.

(52) Інструменти кібербезпеки і застосунки з відкритим вихідним кодом можуть посприяти підвищенню рівня відкритості та можуть позитивно вплинути на ефективність промислових інновацій. Відкриті стандарти полегшують інтероперабельність інструментів безпеки, приносячи користь промисловим стейкхолдерам. Інструменти кібербезпеки і застосунки з відкритим вихідним кодом можуть залучати ширшу спільноту розробників, створюючи можливості для диверсифікації постачальників. Відкритий вихідний код може призвести до прозорішого процесу верифікації інструментів, що стосуються кібербезпеки, і керованого спільнотою процесу виявлення вразливостей. Тому держави-члени мають бути здатні стимулювати використання програмного забезпечення з відкритим вихідним кодом та відкритих стандартів шляхом впровадження політик, що стосуються використання відкритих даних та відкритих джерел, як частини безпеки через прозорість. Політики, що стимулюють запровадження і стале використання інструментів кібербезпеки з відкритим вихідним кодом, є особливо важливими для малих і середніх підприємств, що стикаються зі значними витратами на імплементацію, які можливо мінімізувати шляхом зниження потреб у конкретних застосунках або інструментах.

(53) Комунальні служби в містах усе тісніше поєднуються з цифровими мережами з метою поліпшення міських транспортних мереж, модернізації об’єктів водопостачання та водовідведення і підвищення ефективності освітлення та опалення будівель. Ці цифровізовані комунальні служби вразливі до кібератак і ризикують, у випадку успішної кібератаки, завдати громадянам масштабної шкоди внаслідок своєї взаємопов’язаності. Держави-члени мають розробити політику, яка регулює розвиток таких з’єднаних або розумних міст та їхній потенційний вплив на суспільство, у рамках національної стратегії кібербезпеки.

(54) В останні роки Союз зіткнувся з експоненційним зростанням кількості атак із застосуванням програм-вимагачів, коли шкідливе програмне забезпечення шифрує дані та системи і вимагає сплатити викуп за відновлення доступу. Зростання частоти та серйозності атак із застосуванням програм-вимагачів може бути зумовлене кількома факторами, такими як різні закономірності атак, злочинні бізнес-моделі, побудовані навколо "програми-вимагача як послуги" та криптовалют, вимоги викупу і ріст числа атак на ланцюжки постачання. Держави-члени мають розробити політику, яка вирішує проблему зростання кількості атак із застосуванням програм-вимагачів, у рамках національної стратегії кібербезпеки.

(55) Публічно-приватні партнерства (ППП) у сфері кібербезпеки можуть закласти належні рамки для обміну знаннями та найкращими практиками, а також для встановлення спільного рівня розуміння серед стейкхолдерів. Держави-члени мають просувати політики, які закладають основи для створення ППП у сфері кібербезпеки. Ці політики мають чітко визначати, з-поміж іншого, сферу застосування та залучених стейкхолдерів, модель урядування, наявні варіанти фінансування та взаємодію між стейкхолдерами-учасниками з точки зору ППП. ППП можуть використовувати експертні знання приватного сектора, щоб допомагати компетентним органам у розробці найсучасніших послуг і процесів, включно з обміном інформацією, ранніми попередженнями, навчальними тренуваннями з протидії кіберзагрозам та інцидентам, кризовим управлінням та плануванням стійкості.

(56) У своїх національних стратегіях кібербезпеки держави-члени мають вирішувати конкретні потреби у сфері кібербезпеки малих і середніх підприємств. Малі та середні підприємства на території Союзу репрезентують великий відсоток промислового та ділового ринку, і часто їм буває тяжко пристосуватися до нових практик ведення бізнесу в більш взаємозв'язаному світі та до цифрового середовища, де співробітники працюють з дому, а справи все більше ведуться онлайн. Деякі малі та середні підприємства стикаються зі специфічними викликами у сфері кібербезпеки, зокрема з низькою обізнаністю у сфері кібезпеки, відсутністю дистанційної ІТ-безпеки, високою вартістю рішень у сфері кібербезпеки і підвищеним рівнем загроз на кшталт програм-вимагачів, для яких їм потрібно отримувати інструкції та допомогу. Малі та середні підприємства все частіше стають мішенями атак на ланцюжки постачання у зв’язку з менш жорсткими заходами управління ризиками кібербезпеки і керування атаками, а також з огляду на той факт, що вони мають обмежені безпекові ресурси. Атаки на ланцюжки постачання не лише мають вплив на малі та середні підприємства та їхні операції відособлено, але й мають каскадний ефект на більш масштабні атаки проти суб’єктів, яким вони забезпечували постачання. Держави-члени через свої національні стратегії кібербезпеки мають допомогти малим і середнім підприємствам упоратися з викликами, які стоять перед ними у ланцюжках постачання. Державам-членам потрібно мати контактний пункт для малих і середніх підприємств на національному чи регіональному рівні, котрий надає інструкції та допомогу малим і середнім підприємствам або скеровує їх до відповідних органів за інструкціями і допомогою у питаннях, пов’язаних із кібербезпекою. Державам-членам також рекомендується пропонувати такі послуги як конфігурація вебсайтів та активація журналу подій мікропідприємствам і малим підприємствам, яким бракує таких можливостей.

(57) У рамках своїх національних стратегій кібербезпеки держави-члени мають ухвалити політики щодо сприяння активному кіберзахисту як частині ширшої оборонної стратегії. На відміну від реактивного реагування, активний кіберзахист - це запобігання, виявлення, моніторинг, аналіз і мінімізація порушень мережевої безпеки активним чином у поєднанні з використанням спроможностей, розгорнутих у межах і за межами постраждалої мережі. Він може включати надання державами-членами безкоштовних послуг або інструментів, включно з самодіагностикою, інструментами виявлення та послугами вилучення, певним суб’єктам. Здатність швидко і автоматично передавати і розуміти інформацію та аналітичні дані щодо загроз, оповіщення про підозрілу кіберактивність і заходи реагування є критичною для забезпечення єдності зусиль з успішного запобігання, виявлення, протидії та блокування атак проти мережевих та інформаційних систем. Активний кіберзахист базується на оборонній стратегії, яка виключає наступальні заходи.

(58) Оскільки експлуатація вразливостей мережевих та інформаційних систем може спричинити значні збої та шкоду, оперативне виявлення та усунення таких вразливостей є важливим чинником зменшення ризику. Тому суб’єкти, які розробляють або адмініструють мережеві та інформаційні системи, мають запровадити відповідні процедури поводження з вразливостями у разі їх виявлення. Оскільки вразливості часто виявляють і розголошують треті особи, виробник або надавач продуктів ІКТ чи послуг ІКТ також має ввести в дію необхідні процедури для отримання інформації про вразливості від третіх осіб. У цьому зв’язку міжнародні стандарти ISO/IEC 30111 та ISO/IEC 29147 містять інструкції щодо поводження з вразливостями та оприлюднення інформації про вразливості. Посилення координації між фізичними та юридичними особами, що повідомляють, і виробниками чи надавачами продуктів ІКТ або послуг ІКТ є особливо важливим з метою полегшення добровільної правової основи оприлюднення інформації про вразливості. Скоординоване оприлюднення інформації про вразливості вказує на структурований процес, під час якого про вразливості повідомляють виробнику чи надавачу потенційно вразливих продуктів ІКТ або послуг ІКТ у спосіб, що дає йому змогу проводити діагностику та усувати вразливості до розкриття докладної інформації про вразливості третім сторонам або громадськості. Скоординоване оприлюднення інформації про вразливості також має включати координацію між фізичною чи юридичною особою, що повідомляє, і виробником або надавачем потенційно вразливих продуктів ІКТ або послуг ІКТ щодо строків усунення та оприлюднення вразливостей.

(59) Комісія, ENISA та держави-члени мають і надалі розвивати узгодженості з міжнародними стандартами і наявними галузевими найкращими практиками у сфері управління ризиками кібербезпеки, наприклад у сферах оцінювання безпеки ланцюгів постачання, обміну інформацією та оприлюднення інформації про вразливості.

(60) Держави-члени у співпраці з ENISA мають вживати заходів для сприяння скоординованому оприлюдненню інформації про вразливості шляхом запровадження відповідної національної політики. У рамках національної політики держави-члени мають прагнути, наскільки це можливо, вирішувати виклики, з якими стикаються дослідники вразливостей, у тому числі потенційна загроза кримінальної відповідальності відповідно до національного права. З огляду на те, що фізичні та юридичні особи, що досліджують вразливості, можуть бути притягнуті до кримінальної або цивільної відповідальності у деяких державах-членах, держав-членів заохочують ухвалювати настанови щодо відмови від кримінального переслідування дослідників інформаційної безпеки та звільнення від цивільної відповідальності за їхню діяльність.

(61) Держави-члени мають призначити одну з груп CSIRT координатором, що діє як довірений посередник між фізичними чи юридичними особами, що повідомляють, та виробниками чи надавачами продуктів ІКТ або послуг ІКТ, які можуть постраждати від вразливості, якщо необхідно. Завдання CSIRT, призначеної координатором, мають включати виявлення і звернення до відповідних суб’єктів, надання допомоги фізичним або юридичним особам, що повідомляють про вразливість, ведення переговорів щодо строків розголошення та управління вразливостями, які впливають на декілька суб’єктів (багатостороннє скоординоване оприлюднення інформації про вразливості). Якщо вразливість, про яку повідомлено, може мати значний вплив на суб’єктів більш ніж в одній державі-члені, групи CSIRT, призначені координаторами, мають співпрацювати в рамках мережі CSIRT, залежно від випадку.

(62) Доступ до достовірної та своєчасної інформації про вразливості, що впливають на продукти ІКТ і послуги ІКТ, сприяє вдосконаленню управління ризиками кібербезпеки. Джерела загальнодоступної інформації про вразливості - це важливий інструмент для суб’єктів і користувачів їхніх послуг, а також для компетентних органів та груп CSIRT. З цієї причини ENISA має створити Європейську базу даних про вразливості, за допомогою якої суб’єкти, незалежно від того, чи підпадають вони під сферу застосування цієї Директиви, та їхні постачальники мережевих та інформаційних систем, а також компетентні органи та групи CSIRT можуть на добровільних засадах розкривати і реєструвати загальновідомі вразливості з метою дозволити користувачам вживати належні пом’якшувальні заходи. Метою цієї бази даних є вирішення унікальних викликів, зумовлених ризиками для суб’єктів Союзу. Більше того, ENISA має запровадити належну процедуру для процесу оприлюднення, щоб надати суб’єктам час на вжиття пом’якшувальних заходів стосовно своїх вразливостей і застосування передових заходів управління ризиками кібербезпеки, а також машиночитні набори даних і відповідні інтерфейси. Щоб стимулювати розвиток культури розкриття інформації про вразливості, розкриття інформації не повинне мати негативних наслідків для фізичних або юридичних осіб, що її повідомляють.

(63) Хоча подібні реєстри або бази даних вразливостей існують, їх розміщують і утримують суб’єкти, засновані не в Союзі. Підтримувана ENISA Європейська база даних про вразливості забезпечила б підвищену прозорість процесу оприлюднення перед публічним розголошенням вразливості та стійкість у разі збою або перебою в наданні подібних послуг. Щоб по можливості уникнути дублювання зусиль і досягти взаємодоповнюваності, ENISA має дослідити можливість укладення угод про співпрацю з аналогічними реєстрами чи базами даних, що перебувають під юрисдикцією третіх країн. Зокрема, ENISA має дослідити можливість тісної співпраці з операторами бази даних загальновідомих вразливостей інформаційної безпеки (CVE).

(64) Група співпраці має підтримувати і сприяти стратегічній співпраці та обміну інформацією, а також посилювати довіру і взаєморозуміння між державами-членами. Група співпраці має кожні два роки запроваджувати програму роботи. Ця програма роботи має включати дії, які потрібно виконати Групі співпраці для реалізації своїх цілей і завдань. Часові рамки для запровадження першої програми роботи за цією Директивою потрібно узгодити з часовими рамками останньої програми роботи, запровадженої згідно з Директивою (ЄС) 2016/1148, щоб уникнути потенційних збоїв у роботі Групи співпраці.

(65) Під час розробки настановчих документів Група співпраці має послідовно мапувати національні рішення та досвід, оцінювати вплив результатів діяльності Групи співпраці на національні підходи, обговорювати проблеми реалізації та формулювати конкретні рекомендації, зокрема щодо сприяння узгодженню транспозиції цієї Директиви серед держав-членів, яке слід вирішувати шляхом кращої реалізації наявних правил. Група співпраці також може мапувати національні рішення, спрямовані на просування сумісності рішень у сфері кібербезпеки, застосовуваних для кожного окремого сектора на всій території Союзу. Це особливо актуально для секторів, які мають міжнародний або транскордонний характер.

(66) Група співпраці має залишатися гнучким форумом і бути здатною реагувати на зміну та появу нових політичних пріоритетів і викликів, враховуючи при цьому наявність ресурсів. Вона може організовувати спільні засідання з відповідними приватними стейкхолдерами з усього Союзу для обговорення діяльності Групи співпраці та збирання даних і пропозицій щодо нових політичних викликів. Додатково, Група співпраці має здійснювати регулярне оцінювання стану справ з кіберзагрозами чи інцидентами, такими як програми-вимагачі. Для поглиблення співпраці на рівні Союзу Група співпраці має розглянути доцільність запрошення відповідних установ, органів, офісів та агентств Союзу, причетних до політики у сфері кібербезпеки, таких як Європейський Парламент, Європол, Європейська рада із захисту даних, Агентство з безпеки польотів Європейського Союзу, засноване відповідно до Регламенту (ЄС) 2018/1139, та Агентство з реалізації космічної програми Європейського Союзу, засноване відповідно до Регламенту Європейського Парламенту і Ради (ЄС) 2021/696 (- 14), взяти участь у її роботі.

(67) Компетентні органи і групи CSIRT мають бути здатні брати участь у схемах обміну для посадових осіб із інших держав-членів у конкретних рамках і, якщо застосовно, за умови необхідного допуску посадових осіб, що беруть участь у таких схемах обміну, в системі безпеки, для покращення співпраці та зміцнення довіри між державами-членами. Компетентні органи мають вживати необхідних заходів для того, щоб надавати посадовим особам із інших держав-членів можливість відігравати дієву роль у діяльності компетентного органу чи групи CSIRT, що їх приймає.

(68) Держави-члени мають сприяти створенню Засад реагування на кризи кібербезпеки в ЄС, визначених у Рекомендації Комісії (ЄС) 2017/1584 (- 15), через наявні мережі співпраці, зокрема Європейську мережу організацій взаємодії в питаннях протидії кіберкризам (EU-CyCLONe), мережу CSIRT та Групу співпраці. EU-CyCLONe і мережа CSIRT мають співпрацювати на засадах процедурних механізмів, які визначають деталі цієї співпраці й уникають будь-якого дублювання завдань. Внутрішній регламент EU-CyCLONe має додатково визначати механізми, за рахунок яких ця мережа має функціонувати, в тому числі ролі, засоби співпраці, взаємодію з іншими відповідними суб’єктами та шаблони для обміну інформацією, а також засобів комунікації. Для управління кризами на рівні Союзу відповідні сторони мають розраховувати на механізми інтегрованого політичного реагування ЄС на кризи, передбачені Імплементаційним рішенням Ради (ЄС) 2018/1993 (- 16) (механізми IPCR). З цією метою Комісія має використовувати високорівневий міжсекторальний процес координування кризових ситуацій ARGUS. Якщо ж криза зачіпає важливий зовнішній вимір або вимір спільної безпекової та оборонної політики, потрібно активувати Механізм реагування на кризові ситуації Європейської служби зовнішніх справ (EEAS).

(69) Згідно з додатком до Рекомендації (ЄС) 2017/1584, "масштабний інцидент кібербезпеки" має означати інцидент, котрий призводить до збою такого рівня, який перевищує спроможність держави-члена реагувати на нього, або котрий має значний вплив принаймні на дві держави-члени. Залежно від причин та наслідків, масштабні інциденти кібербезпеки можуть розростатися і перетворюватися на повноцінні кризові ситуації, що не допускають належного функціонування внутрішнього ринку або становлять серйозні ризики для громадської та особистої безпеки суб’єктів чи громадян кількох держав-членів або Союзу в цілому. З огляду на широкомасштабний розмах і, в більшості випадків, транскордонний характер таких інцидентів, держави-члени та відповідні установи, органи, офіси та агентства Союзу мають співпрацювати на технічному, оперативному та політичному рівнях, щоб належним чином координувати заходи реагування на всій території Союзу.

(70) Масштабні інциденти та кризи кібербезпеки на рівні Союзу вимагають скоординованих дій для забезпечення швидкого та дієвого реагування через високий ступінь взаємозалежності між секторами та державами-членами. Наявність кіберстійких мережевих та інформаційних систем, а також доступність, конфіденційність і цілісність даних є життєво важливими для безпеки Союзу, захисту його громадян, бізнесів та інституцій від інцидентів і кіберзагроз, а також для підвищення довіри осіб і організацій до здатності Союзу розвивати і захищати глобальний, відкритий, стабільний і безпечний кіберпростір, заснований на правах людини, фундаментальних свободах, демократії та верховенстві права.

(71) EU-CyCLONe має працювати як посередник між технічним і політичним рівнем під час масштабних інцидентів кібербезпеки і має посилювати співпрацю на операційному рівні та підтримувати ухвалення рішень на політичному рівні. У співпраці з Комісією, беручи до уваги компетенцію Комісії в сфері управління кризами, EU-CyCLONe має спиратися на висновки мережі CSIRT і використовувати свої власні спроможності для створення аналітики впливу масштабних інцидентів і криз кібербезпеки.

(72) Кібератаки мають транскордонний характер, і значний інцидент може порушити і пошкодити критичну інформаційну інфраструктуру, від якої залежить безперебійне функціонування внутрішнього ринку. Рекомендація (ЄС) 2017/1584 регулює роль усіх відповідних діячів. Більше того, Комісія в рамках Механізму цивільного захисту Союзу, запровадженого Рішенням Європейського Парламенту і Ради № 1313/2013/ЄС (- 17), відповідальна за загальні заходи з готовності, в тому числі управління Координаційним центром реагування на надзвичайні ситуації та Спільною інформаційною системою екстреної комунікації, підтримання і подальший розвиток ситуаційної обізнаності та аналітичного потенціалу, а також формування та керування здатністю мобілізувати й відряджати команди експертів у разі прохання про допомогу від держави-члена чи третьої країни. Комісія також відповідальна за надання аналітичних звітів для механізмів IPCR згідно з Імплементаційним рішенням (ЄС) 2018/1993, у тому числі стосовно ситуаційної обізнаності та готовності в сфері кібербезпеки, а також за ситуаційну обізнаність і кризове реагування у сферах сільського господарства, несприятливих погодних умов, мапування і прогнозування конфліктів, систем раннього попередження про стихійні лиха, надзвичайних ситуацій у сфері охорони здоров’я, нагляду за інфекційними захворюваннями, здоров’я рослин, хімічних інцидентів, безпечності харчових продуктів і кормів, здоров’я тварин, міграції, митного контролю, ядерних і радіологічних аварійних ситуацій та енергетики.

(73) У відповідних випадках Союз може укладати міжнародні угоди, відповідно до статті 218 ДФЄС, з третіми країнами або міжнародними організаціями, що дозволяють та організовують їхню участь у певній діяльності Групи співпраці, мережі CSIRT та EU-CyCLONe. Такі угоди мають забезпечувати дотримання інтересів Союзу та належний захист даних. Це не має обмежувати права держав-членів співпрацювати з третіми країнами в питаннях управління вразливостями та управління ризиками кібербезпеки, полегшуючи звітування та загальний обмін інформацією відповідно до права Союзу.

(74) З метою сприяння дієвій імплементації цієї Директиви у питаннях, що стосуються, між іншим, управління вразливостями, заходів управління ризиками кібербезпеки, обов’язків щодо звітування та механізмів обміну інформацією щодо кібербезпеки, держави-члени можуть співпрацювати з третіми країнами та здійснювати діяльність, яка вважається відповідною цій меті, у тому числі обмін інформацією про кіберзагрози, інциденти, інструменти та методи, тактики, прийоми і процедури, готовність і відпрацювання начичок управління кризовими ситуаціями у сфері кібербезпеки, підвищення кваліфікації, розбудову довіри та структурований порядок обміну інформацією.

(75) Потрібно запровадити партнерські перевірки, щоб винести уроки зі спільного досвіду, посилити взаємну довіру та досягти високого спільного рівня кібербезпеки. Партнерські перевірки можуть надавати цінні ідеї та рекомендації, що посилюють загальні можливості у сфері кібербезпеки, формують інший функціональний шлях обміну найкращими практиками серед держав-членів і сприяють підвищенню рівнів зрілості держав-членів у сфері кібербезпеки. Більше того, партнерські перевірки мають враховувати результати схожих механізмів, таких як система партнерських перевірок мережі CSIRT, та мають додавати цінності та уникати дублювання. Імплементація партнерських перевірок не має обмежувати положень права Союзу або національного права про захист конфіденційної чи секретної інформації.

(76) Групі співпраці потрібно створити методологію самооцінки для держав-членів з метою охопити такі фактори як рівень імплементації заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки, рівень можливостей і дієвість виконання завдань компетентними органами, оперативні спроможності груп CSIRT, рівень імплементації взаємодопомоги, рівень імплементації механізмів обміну інформацією щодо стану кібербезпеки або конкретні питання транскордонного чи міжсекторального характеру. Держав-членів потрібно заохочувати до проведення самооцінок на регулярній основі та до презентації й обговорення результатів самооцінки всередині Групи співпраці.

(77) Відповідальність за забезпечення безпеки мережевих та інформаційних систем значною мірою покладено на основних і важливих суб’єктів. Необхідно просувати і розвивати культуру управління ризиками, у тому числі оцінювання ризиків та імплементацію заходів управління ризиками кібербезпеки, відповідних ризикам, що постають наразі.

(78) Заходи управління ризиками кібербезпеки мають враховувати ступінь залежності основного чи важливого суб’єкта від мережевих та інформаційних систем і включати інструменти для визначення ризиків інцидентів, для запобігання, виявлення, реагування та відновлення після інцидентів, а також пом’якшення їхніх наслідків. Безпека мережевих та інформаційних систем має включати безпеку збережених, переданих та опрацьованих даних. Заходи управління ризиками кібербезпеки мають передбачати системний аналіз із врахуванням людського фактора, щоб мати повну картину безпеки мережевої та інформаційної системи.

(79) Оскільки загрози безпеці мережевих та інформаційних систем можуть мати різне походження, заходи управління ризиками кібербезпеки мають базуватися на всеохопному підході до загроз, спрямованому на захист мережевих та інформаційних систем та фізичного середовища цих систем від таких подій як крадіжка, пожежа, повінь, збої телекомунікацій чи електропостачання або несанкційований фізичний доступ до і пошкодження або втручання в роботу інформаційних систем і засобів обробки інформації основних або важливих суб’єктів, що ставить під загрозу доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих мережевими та інформаційними системами або доступних за їх допомогою. Таким чином, заходи управління ризиками кібербезпеки мають також стосуватися фізичної та екологічної безпеки мережевих та інформаційних систем шляхом включення заходів, спрямованих на захист таких систем від системних збоїв, людської помилки, зловмисних дій або природних явищ згідно з європейськими та міжнародними стандартами, зокрема включеними до серії стандартів ISO/IEC 27000. У цьому зв’язку основним і важливим суб’єктам у рамках заходів управління ризиками кібербезпеки також потрібно вирішувати питання безпеки людських ресурсів і мати в наявності відповідні політики контролю доступу. Ці заходи мають відповідати Директиві (ЄС) 2022/2557.

(80) З метою демонстрації відповідності заходам управління ризиками кібербезпеки та за умов відсутності відповідних європейських схем сертифікації кібербезпеки, ухвалених згідно з Регламентом Європейського Парламенту і Ради (ЄС) 2019/881 (- 18), держави-члени мають, після консультацій із Групою співпраці та Європейською групою з сертифікації кібербезпеки, стимулювати використання відповідних європейських і міжнародних стандартів основними та важливими суб’єктами або можуть вимагати від суб’єктів використання сертифікованих продуктів ІКТ, послуг ІКТ і процесів ІКТ.

(81) Для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на основних і важливих суб’єктів, заходи управління ризиками кібербезпеки мають бути пропорційними ризикам, що їх зазнає відповідна мережева та інформаційна система, враховуючи сучасний стан таких заходів і, якщо застосовно, актуальні європейські та міжнародні стандарти, а також вартість їх імплементації.

(82) Заходи управління ризиками кібербезпеки мають бути пропорційними ступеню впливу ризиків на основний або важливий суб’єкт і соціально-економічним наслідкам, які матиме інцидент. Під час запровадження заходів управління ризиками кібербезпеки, адаптованих до основних і важливих суб’єктів, потрібно належним чином враховувати розбіжності у впливах ризиків на основні та важливі суб’єкти, такі як критичність суб’єкта, ризиків, у тому числі суспільних ризиків, яких він зазнає, розмір суб’єкта та ймовірність виникнення інцидентів та їхню тяжкість, у тому числі їхні соціально-економічні наслідки.

(83) Основні та важливі суб’єкти мають забезпечувати безпеку мережевих та інформаційних систем, які вони використовують у своїй діяльності. Це, в першу чергу, приватні мережеві та інформаційні системи, якими управляє внутрішній ІТ-персонал основних і важливих суб’єктів або безпеку яких забезпечують сторонні організації. Заходи управління ризиками та обов’язки щодо звітування у сфері кібербезпеки, передбачені цією Директивою, мають застосовуватися до відповідних основних і важливих суб’єктів незалежно від того, чи ці суб’єкти підтримують роботу своїх мережевих та інформаційних систем внутрішньо, чи віддають їх підтримку на підряд стороннім організаціям.

(84) Зважаючи на транскордонний характер надавачів послуг DNS, реєстрів TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, операторів електронних торговельних майданчиків, електронних пошукових систем і платформ послуг соціальних мереж, а також надавачів довірчих послуг, вони мають підпадати під високий ступінь гармонізації на рівні Союзу. Відтак, імплементацію заходів управління ризиками кібербезпеки стосовно цих суб’єктів потрібно стимулювати імплементаційним актом.

(85) Подолання ризиків, пов’язаних із ланцюгом постачання того чи іншого суб’єкта та його взаєминами з постачальниками, такими як надавачі послуг зберігання та обробки даних або надавачі керованих послуг безпеки та редактори ПЗ, є особливо важливим з огляду на поширеність інцидентів, у ході яких суб’єкти ставали жертвами кібератак, а зловмисникам вдавалося скомпрометувати безпеку мережевих та інформаційних систем суб’єкта, експлуатуючи вразливості сторонніх продуктів і послуг. Тому основні та важливі суб’єкти мають оцінювати і враховувати загальну якість і стійкість продуктів і послуг, закладені в них заходи управління ризиками кібербезпеки та кібербезпекові практики їхніх постачальників і надавачів послуг, у тому числі процедури захищеної розробки. Потрібно особливо заохочувати основних і важливих суб’єктів інкорпорувати заходи управління ризиками кібербезпеки в договірні домовленості зі своїми прямими постачальниками і надавачами послуг. Ці суб’єкти мають брати до уваги ризики, пов’язані з іншими рівнями постачальників і надавачів послуг.

(86) З-поміж надавачів послуг, особливо важливу роль у допомозі суб’єктам у їхніх зусиллях із запобігання, виявлення або усунення наслідків інцидентів відіграють надавачі керованих послуг безпеки у таких сферах як реагування на інциденти, тестування проникненням, аудит стану безпеки та консультації. Однак, самі надавачі керованих послуг безпеки також ставали цілями кібератак і внаслідок своєї тісної інтеграції в діяльність суб’єктів становлять особливий ризик. Відтак, основні та важливі суб’єкти мають вкрай сумлінно ставитися до вибору надавачів керованих послуг безпеки.

(87) Компетентні органи в контексті своїх наглядових завдань також можуть скористатися послугами у сфері кібербезпеки, такими як аудити стану безпеки, тестування проникненням або реагування на інциденти.

(88) Основні та важливі суб’єкти також мають усувати ризики, пов’язані з взаємодією та стосунками з іншими стейкхолдерами в межах ширшої екосистеми, в тому числі стосовно протидії промисловому шпіонажу та захисту комерційної таємниці. Зокрема, ці суб’єкти мають вжити належних заходів для забезпечення того, щоб їхня співпраця академічними та науково-дослідними установами узгоджувалася з їхніми політиками у сфері кібербезпеки та відповідала належним практикам щодо безпечного доступу й поширенню інформації загалом і захисту інтелектуальної власності зокрема.

Аналогічно, враховуючи важливість і цінність даних для діяльності основних і важливих суб’єктів, покладаючись на послуги перетворення даних та аналізу даних від третіх сторін, ці суб’єкти мають вживати усіх належних заходів управління ризиками кібербезпеки.

(89) Основні та важливі суб’єкти мають застосовувати увесь спектр базових практик кібергігієни, таких як принципи нульової довіри, оновлення програмного забезпечення, конфігурація пристрою, сегментація мережі, управління ідентифікацією та доступом або обізнаність користувачів, організовувати навчання для персоналу і підвищувати обізнаність щодо кіберзагроз, фішингу чи методів соціальної інженерії. Більше того, цим суб’єктам потрібно оцінити власні кібербезпекові спроможності та, у відповідних випадках, провадити інтеграцію технологій підвищення кібербезпеки на кшталт штучного інтелекту або систем машинного навчання, щоб вдосконалити свої спроможності та безпеку мережевих та інформаційних систем.

(90) Для подальшого усунення ключових ризиків ланцюгів постачання і допомоги основним і важливим суб’єктам, що здійснюють діяльність у секторах, охоплених цією Директивою, в належному управлінні ризиками, пов’язаними з ланцюгами постачання і постачальниками, Група співпраці у співпраці з ENISA і, залежно від випадку, після консультацій із відповідними, в тому числі галузевими, стейкхолдерами, має здійснювати скоординоване оцінювання ризиків безпеки критичних ланцюгів постачання, за аналогією до здійснюваних для мереж 5G на виконання Рекомендації Комісії (ЄС) 2019/534 (- 19), з метою ідентифікації актуальних загроз і вразливостей для кожного сектора, послуги ІКТ, системи ІКТ чи продукту ІКТ. Таке скоординоване оцінювання ризиків має визначати заходи, плани нейтралізації та найкращі практики протидії критичним залежностям, потенційним єдиним точкам відмови, загрозам, вразливостям та іншим ризикам, пов’язаним із ланцюгами постачання, та має досліджувати шляхи подальшого сприяння їхньому ширшому застосуванню з боку основних і важливих суб’єктів. Потенційні нетехнічні фактори ризику, такі як неналежний вплив третьої країни на постачальників і надавачів послуг, зокрема у разі альтернативних моделей управління, включають приховані вразливості або бекдори та потенційні системні перебої постачання, зокрема у разі технологічного блокування або залежності від одного провайдера.

(91) Скоординоване оцінювання ризиків критичних ланцюгів постачання, зважаючи на особливості відповідного сектора, має враховувати як технічні, так і, де це є доречним, нетехнічні чинники, в тому числі визначені в Рекомендації (ЄС) 2019/534, в скоординованому оцінюванні ЄС ризиків кібербезпеки мереж 5G та в Наборі інструментів ЄС з кібербезпеки 5G, погоджених Групою співпраці. Для ідентифікації ланцюгів постачання, для яких потрібно застосувати скоординоване оцінювання ризиків, потрібно враховувати такі критерії: (i) інтенсивність використання та ступінь залежності основних і важливих суб’єктів від конкретних критичних послуг ІКТ, систем ІКТ або продуктів ІКТ; (ii) важливість конкретних критичних послуг ІКТ, систем ІКТ або продуктів ІКТ для виконання критичних або чутливих функцій, у тому числі обробки персональних даних; (iii) наявність альтернативних послуг ІКТ, систем ІКТ або продуктів ІКТ; (iv) стійкість усього ланцюга постачання послуг ІКТ, систем ІКТ або продуктів ІКТ до руйнівних подій упродовж їхнього життєвого циклу; і (v) для нових послуг ІКТ, систем ІКТ або продуктів ІКТ - їхню потенційну майбутню значущість для діяльності суб’єктів. Більше того, особливий акцент має бути зроблено на послугах ІКТ, системах ІКТ або продуктах ІКТ, які підпадають під особливі вимоги, що походять із третіх країн.

(92) Для того щоб спростити зобов’язання, покладені на постачальників електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг та надавачів довірчих послуг, та пов’язані з безпекою їхніх мережевих та інформаційних систем, а також щоб надати можливість цим суб’єктам і компетентним органам згідно з Директивою Європейського Парламенту і Ради (ЄС) 2018/1972 (- 20) і Регламентом (ЄС) № 910/2014, відповідно, скористатися нормативно-правовою базою, встановленою цією Директивою, в тому числі призначенням групи CSIRT, відповідальної за врегулювання інцидентів, участю зацікавлених компетентних органів у діяльності Групи співпраці та мережі CSIRT, ці суб’єкти мають підпадати під сферу застосування цієї Директиви. Таким чином, відповідні положення, встановлені Регламентом (ЄС) № 910/2014 і Директивою (ЄС) 2018/1972, стосовно накладання на ці типи суб’єктів вимог до безпеки та нотифікації, має бути видалено. Встановлені цією Директивою правила, що стосуються обов’язків щодо звітування, не мають обмежувати сферу застосування Регламенту (ЄС) 2016/679 та Директиви 2002/58/ЄС.

(93) Зобов’язання щодо кібербезпеки, встановлені у цій Директиві, потрібно вважати такими, що доповнюють вимоги, накладені на надавачів довірчих послуг Регламентом (ЄС) № 910/2014. Від надавачів довірчих послуг потрібно вимагати вживати усіх належних і пропорційних заходів, щоб керувати ризиками для їхніх послуг, у тому числі стосовно клієнтів і залежних третіх сторін, та повідомляти про інциденти відповідно до цієї Директиви. Такі обов’язки щодо кібербезпеки та звітування також мають стосуватися фізичного захисту надаваних послуг. Вимоги до кваліфікованих надавачів довірчих послуг, встановлені у статті 24 Регламенту (ЄС) № 910/2014, продовжують застосовуватися.

(94) Держави-члени можуть призначити на роль компетентних органів для довірчих послуг наглядові органи, визначені згідно з Регламентом (ЄС) № 910/2014, щоб забезпечити тяглість поточних практик і спиратися на знання і досвід, здобуті в ході застосування вказаного Регламенту. У такому разі компетентні органи згідно з цією Директивою мають тісно і своєчасно співпрацювати зі згаданими наглядовими органами шляхом обміну релевантною інформацією, щоб забезпечити дієвий нагляд і відповідність надавачів довірчих послуг вимогам, встановленим цією Директивою та Регламентом (ЄС) № 910/2014. Там, де це застосовно, група CSIRT чи компетентний орган за цією Директивою має негайно інформувати наглядовий орган за Регламентом (ЄС) № 910/2014 про будь-яку зафіксовану значну кіберзагрозу чи інцидент, що впливає на довірчі послуги, а також про будь-які порушення положень цієї Директиви надавачем довірчих послуг. В цілях звітування держави-члени можуть, якщо застосовно, використовувати систему "єдиного вікна", створену для досягнення уніфікованого та автоматичного звітування про інциденти як наглядовому органу за Регламентом (ЄС) № 910/2014, так і групі CSIRT або компетентному органу за цією Директивою.

(95) У відповідних випадках і для уникнення невиправданих збоїв наявні національні настанови, ухвалені з метою транспозиції правил, що стосуються заходів безпеки, встановлених у статтях 40 і 41 Директиви (ЄС) 2018/1972, потрібно враховувати при транспозиції цієї Директиви, спираючись таким чином на знання та навички, що стосуються заходів безпеки і нотифікації про інциденти, уже отримані в ході виконання Директиви (ЄС) 2018/1972. ENISA може також розробити інструкції щодо вимог до безпеки і обов’язків щодо звітування для постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, щоб прискорити гармонізацію та перехід і щоб мінімізувати збої. Держави-члени можуть призначити на роль компетентних органів для електронних комунікацій національні регуляторні органи, визначені згідно з Директивою (ЄС) 2018/1972, щоб забезпечити тяглість поточних практик і спиратися на знання і досвід, здобуті внаслідок імплементації вказаної Директиви.

(96) З огляду на зростання важливості послуг міжособистісної комунікації без використання нумерації, визначених у Директиві (ЄС) 2018/1972, необхідно забезпечити, щоб на такі послуги також поширювалися відповідні безпекові вимоги, враховуючи їхній специфічний характер і економічну важливість. У міру розширення поверхні атаки послуги міжособистісної комунікації без використання нумерації, такі як сервіси обміну повідомленнями, стають поширеними векторами атак. Зловмисники використовують платформи для комунікації та приваблення жертв до відкриття скомпрометованих вебсторінок, таким чином збільшуючи ймовірність інцидентів, пов’язаних із використанням персональних даних, та, у ширшому сенсі, безпекою мережевих та інформаційних систем. Постачальники послуг міжособистісної комунікації без використання нумерації мають забезпечувати рівень безпеки мережевих та інформаційних систем, що відповідає ризикам, які виникають. З огляду на те, що постачальники послуг міжособистісної комунікації без використання нумерації зазвичай не вдаються до фактичного контролю над передачею сигналів по мережах, ступінь ризику для таких послуг у певному сенсі може вважатися нижчим, ніж для традиційних електронних комунікаційних послуг. Те саме стосується послуг міжособистісної комунікації, визначених у Директиві (ЄС) 2018/1972, котрі використовують нумерацію і котрі не здійснюють фактичного контролю над передачею сигналів.

(97) Внутрішній ринок більш ніж будь-коли залежить від функціонування мережі інтернет. Послуги майже всіх основних і важливих суб’єктів залежні від послуг, надаваних через інтернет. Для того, щоб забезпечити безперебійне надання послуг, надаваних основними і важливими суб’єктами, важливо, щоб усі постачальники публічних електронних комунікаційних мереж мали в наявності належні заходи управління ризиками кібербезпеки та повідомляли про значні інциденти, що її стосуються. Держави-члени мають забезпечити підтримання безпеки публічних електронних комунікаційних мереж і захист своїх життєво важливих безпекових інтересів від саботажу та шпіонажу. Оскільки міжнародний зв’язок підвищує і прискорює конкурентну цифровізацію Союзу та його економіки, потрібно повідомляти про інциденти, що зачіпають підводні комунікаційні кабелі, групі CSIRT або, якщо застосовно, компетентному органу. Національна стратегія кібербезпеки має, у відповідних випадках, враховувати кібербезпеку підводних комунікаційних кабелів і включати мапування потенційних ризиків кібербезпеки та заходів їх пом’якшення, щоб забезпечити найвищий рівень їхнього захисту.

(98) Щоб гарантувати безпеку публічних електронних комунікаційних мереж і загальнодоступних електронних комунікаційних послуг, потрібно просувати використання технологій шифрування, зокрема наскрізного шифрування, а також концепцій безпеки, орієнтованих на дані, таких як картографія, сегментація, тегування, політика доступу і керування доступом, а також рішення щодо автоматизованого доступу. Там, де це необхідно, використання шифрування, зокрема наскрізного шифрування, має бути обов’язковим для постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг відповідно до принципів безпеки та приватності за замовчуванням та за призначенням для цілей цієї Директиви. Використання наскрізного шифрування має бути узгоджено з повноваженнями держав-членів щодо забезпечення захисту своїх суттєвих безпекових інтересів та громадської безпеки, а також щоби уможливити запобігання, розслідування, розкриття та переслідування кримінальних правопорушень відповідно до закону. Однак, це не має послаблювати наскрізне шифрування, яке є критичною технологією дієвого захисту даних та забезпечення приватності й захищеності комунікацій.

(99) Щоб гарантувати безпеку публічних електронних комунікаційних мереж і загальнодоступних електронних комунікаційних послуг та щоб запобігти зловживанням і маніпуляціям із ними, потрібно сприяти використанню стандартів захищеної маршрутизації, щоб забезпечити цілісність і стійкість функцій маршрутизації по всій екосистемі постачальників послуги доступу до мережі Інтернет.

(100) Щоб зберегти функціональність і цілісність мережі інтернет та щоб сприяти безпечності та стійкості DNS, відповідних стейкхолдерів, у тому числі суб’єктів приватного сектору, надавачів загальнодоступних електронних комунікаційних послуг, зокрема надавачів послуг доступу до мережі Інтернет, та провайдерів електронних пошукових систем потрібно заохочувати до запровадження стратегії диверсифікації розпізнавання DNS. Більше того, держави-члени мають заохочувати розвиток і використання публічного та захищеного європейського сервісу розпізнавання DNS.

(101) Ця Директива встановлює багатоетапний підхід до звітування про значні інциденти, щоб досягти оптимального балансу між, з одного боку, швидким повідомленням, яке допомагає зменшити потенційне розповсюдження значних інцидентів і дає змогу основним і важливим суб’єктам звернутися по допомогу, та, з іншого боку, ґрунтовним звітуванням, яке дозволяє виносити цінні висновки з окремих інцидентів і з часом поліпшує кіберстійкість окремих суб’єктів і цілих секторів. У зв’язку з цим ця Директива має включати звітування про інциденти які, згідно з первинним оцінюванням, проведеним відповідним суб’єктом, можуть призвести до серйозних збоїв у роботі сервісів або завдати фінансових втрат цьому суб’єкту чи вплинути на інших фізичних або юридичних осіб, спричинивши значну матеріальну чи нематеріальну шкоду. Таке первинне оцінювання має враховувати, з-поміж іншого, постраждалі мережеві та інформаційні системи, зокрема їхню важливість для надання суб’єктом послуг, серйозність і технічні характеристики кіберзагрози та будь-які глибинні вразливості, які вона експлуатує, а також попередній досвід суб’єкта з подібними інцидентами. Такі показники як ступінь впливу на функціонування сервісу, тривалість інциденту чи число постраждалих отримувачів або послуг можуть відігравати важливу роль у визначенні, наскільки тяжким є операційний збій сервісу.

(102) Коли основні та важливі суб’єкти дізнаються про значний інцидент, вони мають обов’язково подати раннє попередження без невиправданої затримки, але в будь-якому разі упродовж 24 годин. За цим раннім попередженням має слідувати сповіщення про інцидент. Суб’єкти, яких це стосується, мають подати сповіщення про інцидент без невиправданої затримки, але в будь-якому разі впродовж 72 годин після того, як їм стало відомо про значний інцидент, з метою, зокрема, оновлення інформації, поданої у ранньому попередженні та зазначення первинного оцінювання значного інциденту, в тому числі його тяжкості та впливу, а також, за наявності, індикаторів компрометації. Заключний звіт потрібно подати не пізніше, ніж через один місяць після сповіщення про інцидент. Раннє попередження має включати лише інформацію, необхідну, щоб дати CSIRT або, якщо застосовно, компетентному органу знати про значний інцидент і, якщо потрібно, дозволити відповідному суб’єкту звернутися по допомогу. Таке раннє попередження, якщо застосовно, має вказувати, чи є підозра, що значний інцидент викликаний незаконними чи зловмисними діями, і чи ймовірно, що він матиме транскордонні наслідки. Державам-членам потрібно забезпечити, щоб обов’язок подавати раннє попередження або наступне сповіщення про інцидент не відволікав ресурси суб’єкта, що сповіщає, від діяльності, пов’язаної з врегулюванням інцидентів, якій має бути надано пріоритет, щоб запобігти відволіканню ресурсів на обов’язки щодо звітування про інциденти від реагування на значні інциденти або компрометуванню зусиль суб’єкта у цьому напрямку будь-яким іншим чином. Якщо на момент подання заключного звіту інцидент усе ще триває, держави-члени мають забезпечити, щоб суб’єкти, яких це стосується, надали звіт про поточний стан у цей термін, а заключний звіт - впродовж одного місяця опрацювання ними значного інциденту.

(103) Якщо застосовно, основні та важливі суб’єкти мають без невиправданої затримки повідомляти отримувачам своїх послуг про будь-які заходи чи засоби захисту, які вони можуть вжити для пом’якшення ризиків, викликаних значною кіберзагрозою. Ці суб’єкти, у відповідних випадках і зокрема за ймовірності реалізації значної кіберзагрози, також мають інформувати отримувачів послуг про саму загрозу. Вимогу інформування цих отримувачів про значні кіберзагрози має бути задоволено з максимальною ефективністю, але не має звільняти ці суб’єкти від обов’язку вживати, власним коштом, належних і негайних заходів для запобігання чи усунення наслідків таких загроз і відновлення нормального рівня безпеки сервісу. Надання такої інформації про значні кіберзагрози отримувачам послуг має бути безкоштовним і сформульованим легко зрозумілою мовою.

(104) Постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг мають реалізувати безпеку за замовчуванням та за призначенням та інформувати отримувачів їхніх послуг про значні кіберзагрози і про заходи, яких вони можуть вжити, щоб забезпечити захист своїх пристроїв та комунікацій, наприклад шляхом використання специфічних типів програмного забезпечення чи технологій шифрування.

(105) Проактивний підхід до кіберзагроз - це життєво важливий компонент управління ризиками кібербезпеки, який має надавати змогу компетентним органам результативно запобігати реалізації кіберзагроз у вигляді інцидентів, які можуть спричинити матеріальну чи нематеріальну шкоду. Надзвичайно важливе значення для цього має сповіщення про кіберзагрози. З цією метою суб’єктів спонукають добровільно повідомляти про кіберзагрози.

(106) Щоб спростити надання інформації, необхідної згідно з цією Директивою, а також щоб зменшити адміністративний тягар для суб’єктів, державам-членам потрібно забезпечити технічні засоби, такі як "єдине вікно", автоматизовані системи, онлайн-форми, зручні для користувача інтерфейси, шаблони, виділені платформи для використання суб’єктами, незалежно від того, чи підпадають вони під сферу застосування цієї Директиви, щоб подавати релевантну інформацію для звітування. Фінансування Союзу на підтримку імплементації цієї Директиви, зокрема у рамках програми "Цифрова Європа", запровадженої Регламентом Європейського Парламенту і Ради (ЄС) 2021/694 (- 21), може включати підтримку для точок "єдиного вікна". Більше того, суб’єкти часто перебувають у ситуації, коли про той чи інший інцидент, через його особливості, необхідно повідомляти різним органам як наслідок нотифікаційних обов’язків, передбачених різними правовими інструментами. Такі випадки створюють додатковий адміністративний тягар і можуть також призвести до невизначеностей стосовно формату і процедур таких сповіщень. Там, де запроваджено систему "єдиного вікна", держави-члени також спонукають використовувати цю систему "єдиного вікна" для сповіщень про інциденти безпеки, передбачених іншими правовими документами Союзу, такими як Регламент (ЄС) 2016/679 і Директива 2002/58/ЄС. Використання такої системи "єдиного вікна" для звітування про інциденти безпеки згідно з Регламентом (ЄС) 2016/679 і Директивою 2002/58/ЄС не має впливати на застосування положень Регламенту (ЄС) 2016/679 і Директиви 2002/58/ЄС, зокрема тих, що стосуються незалежності органів, вказаних у них. ENISA у співпраці з Групою співпраці має розробити спільні шаблони сповіщень з допомогою настанов, щоб спростити і оптимізувати інформацію для звітування згідно з правом Союзу та зменшити адміністративний тягар для суб’єктів, що звітують.

(107) У разі підозри, що інцидент пов’язаний із серйозною злочинною діяльністю відповідно до національного права або права Союзу, держави-члени мають заохочувати основних і важливих суб’єктів, на підставі застосовних кримінально-процесуальних норм права Союзу, повідомляти відповідним правоохоронним органам про інциденти, щодо серйозного злочинного характеру яких виникає підозра. У відповідних випадках і без обмеження правил захисту персональних даних, застосовуваних до діяльності Європолу, бажано, щоб координації компетентних органів та правоохоронних органів різних держав-членів сприяли Європейський центр боротьби з кіберзлочинністю (ЕСЗ) та ENISA.

(108) У багатьох випадках персональні дані викрадають у результаті інцидентів. У цьому контексті компетентні органи мають співпрацювати і обмінюватися інформацією щодо всіх релевантних питань з органами, вказаними в Регламенті (ЄС) 2016/679 та Директиві 2002/58/ЄС.

(109) Ведення достовірних і вичерпних баз даних реєстрації доменних імен (даних WHOIS) і надання законного доступу до таких даних має важливе значення для забезпечення захищеності, стабільності та стійкості DNS, яка в свою чергу сприяє підвищенню спільного рівня кібербезпеки на всій території Союзу. Із цією конкретною метою потрібно зобов’язати реєстри TLD-імен і суб’єктів надання послуг реєстрації доменних імен обробляти певні дані, необхідні для досягнення цієї мети. Така обробка має становити правове зобов’язання у розумінні пункту (c) статті 6 (1) Регламенту (ЄС) 2016/679. Це зобов’язання не обмежує можливості збирати дані реєстрації доменних імен для інших цілей, наприклад на підставі договірних домовленостей або правових вимог, встановлених іншими актами національного права або права Союзу. Це зобов’язання має на меті забезпечити вичерпний і достовірний набір реєстраційних даних і не має призводити до кількаразового збирання одних і тих самих даних. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають співпрацювати одне з одним, щоб уникнути дублювання цього завдання.

(110) Наявність і своєчасна доступність даних реєстрації доменних імен для легітимних запитувачів доступу є вкрай важливими для запобігання і протидії зловживанням DNS, а також для запобігання, виявлення і реагування на інциденти. Під легітимними запитувачами доступу слід розуміти будь-яких фізичних або юридичних осіб, які роблять відповідний запит згідно з національним правом або правом Союзу. До них можуть належати органи, які є компетентними згідно з цією Директивою, і органи, які є компетентними згідно з правом Союзу чи національним правом у сфері запобігання, розслідування чи притягнення до відповідальності за скоєння кримінальних правопорушень, а також групи CERT або CSIRT. Потрібно зобов’язати реєстри TLD-імен і суб’єктів надання послуг реєстрації доменних імен уможливити законний доступ до конкретних даних реєстрації доменних імен, які необхідні для цілей запиту на отримання доступу, легітимним запитувачам доступу згідно з правом Союзу чи національним правом. Запит легітимних запитувачів доступу має супроводжуватися обґрунтуванням причин, які дозволяють оцінити необхідність доступу до цих даних.

(111) Щоб забезпечити наявність достовірних і вичерпних даних реєстрації доменних імен, реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають збирати і гарантувати цілісність і доступність даних реєстрації доменних імен. Зокрема, реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають запровадити політики і процедури збирання і утримання достовірних і вичерпних даних реєстрації доменних імен, а також не допускати і коригувати неточні реєстраційні дані у відповідності з правом Союзу щодо захисту даних. Ці політики і процедури мають, наскільки можливо, враховувати стандарти, розроблені багатосторонніми структурами врядування на міжнародному рівні. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають ухвалити та імплементувати пропорційні процедури для верифікації даних реєстрації доменних імен. Ці процедури мають відображати найкращі практики, застосовувані в цій галузі, й, наскільки можливо, прогрес, досягнутий у сфері електронної ідентифікації. Приклади процедур верифікації можуть включати заходи контролю ex ante, здійснювані під час реєстрації, та заходи контролю ex post, здійснювані після реєстрації. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають, зокрема, верифікувати щонайменше один засіб зв’язку з реєстрантом.

(112) Потрібно зобов’язати реєстри TLD-імен і суб’єктів надання послуг реєстрації доменних імен оприлюднювати наявні дані реєстрації доменних імен, які не підпадають під сферу застосування права Союзу щодо захисту даних, такі як дані стосовно юридичних осіб, згідно з преамбулою Регламенту (ЄС) 2016/679. Щодо юридичних осіб, реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають оприлюднювати щонайменше назву реєстранта і контактний номер телефону. Також потрібно публікувати контактну адресу електронної пошти за умови, що вона не містить жодних персональних даних, таких як у разі поштових псевдонімів або функціональних облікових записів. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен також мають уможливити законний доступ до конкретних даних реєстрації доменних імен, які стосуються фізичних осіб, легітимним запитувачам доступу згідно з правом Союзу щодо захисту даних. Держави-члени мають вимагати від реєстрів TLD-імен і суб’єктів надання послуг реєстрації доменних імен реагування без невиправданої затримки на запити щодо розкриття даних реєстрації доменних імен від легітимних запитувачів доступу. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають запровадити політики і процедури публікації та розкриття реєстраційних даних, у тому числі угод про рівень обслуговування для роботи з запитами на отримання доступу від легітимних запитувачів доступу. Ці політики і процедури мають, наскільки можливо, враховувати будь-які настанови і стандарти, розроблені багатосторонніми структурами врядування на міжнародному рівні. Процедура доступу може включати використання інтерфейсу, порталу чи іншого технічного інструменту для забезпечення ефективної системи запитів та отримання доступу до реєстраційних даних. З метою просування гармонізованих практик по всьому внутрішньому ринку Комісія може, без обмеження компетенцій Європейської ради із захисту даних, надавати настанови стосовно таких процедур, які враховують, наскільки можливо, стандарти, розроблені багатосторонніми структурами врядування на міжнародному рівні. Держави-члени мають забезпечити, щоб усі типи доступу до особистих і неособистих даних реєстрації доменних імен були безкоштовними.

(113) Суб’єктів, які підпадають під сферу застосування цієї Директиви, слід вважати такими, що підпадають під юрисдикцію держави-члена, у якій їх засновано. Однак, постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг слід вважати такими, що підпадають під юрисдикцію держави-члена, у якій вони надають свої послуги. Надавачів послуг DNS, реєстри TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, а також операторів електронних торговельних майданчиків, електронних пошукових систем і платформ послуг соціальних мереж слід вважати такими, що підпадають під юрисдикцію держави-члена, в якій вони мають головний осідок на території Союзу. Суб’єкти публічної адміністрації мають підпадати під юрисдикцію держави-члена, яка їх заснувала. Якщо суб’єкт надає послуги або заснований більш ніж у одній державі-члені, він має підпадати під окрему і одночасну юрисдикцію кожної з цих держав-членів. Компетентні органи цих держав-членів мають співпрацювати, надавати один одному взаємну допомогу і, у відповідних випадках, здійснювати спільні наглядові дії. Коли держави-члени здійснюють юрисдикцію, вони не мають вживати примусових заходів або накладати штрафні санкції більше одного разу за той самий вчинок, за принципом ne bis in idem.

(114) Щоб врахувати транскордонний характер послуг і операцій надавачів послуг DNS, реєстри TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, а також операторів електронних торговельних майданчиків, електронних пошукових систем і платформ послуг соціальних мереж, юрисдикцію над цими суб’єктами повинна мати лише одна держава-член. Юрисдикцію має бути визнано за державою-членом, в якій відповідний суб’єкт має свій головний осідок на території Союзу. Критерій осідку для цілей цієї Директиви передбачає дієве здійснення діяльності на основі стабільної організації. Правова форма такої організації - чи то через відділення, чи то через філію зі статусом юридичної особи - не є у цьому зв’язку визначальним фактором. Дотримання цього критерію не має залежати від того, чи мережеві та інформаційні системи фізично розташовані в даному місці; факт наявності та використання таких систем сам по собі не становить такий головний осідок і, таким чином, не є вирішальним критерієм визначення головного осідку. Слід вважати, що головний осідок розташований у державі-члені, в якій у Союзі здебільшого ухвалюють рішення, пов’язані із заходами управління ризиками кібербезпеки. Зазвичай це відповідає місцю розташування центральної адміністрації суб’єкта на території Союзу. Якщо таку державу-члена неможливо визначити або якщо такі рішення ухвалюють не в Союзі, слід вважати, що головний осідок розташований у державі-члені, де здійснюють кібероперації. Якщо таку державу-члена неможливо визначити, слід вважати, що головний осідок розташований у державі-члені, де у суб’єкта є осідок із найбільшою кількістю співробітників в Союзі. Якщо послуги здійснює група підприємств, головний осідок підприємства, що здійснює контроль, слід вважати головним осідком групи підприємств.

(115) Якщо загальнодоступні послуги розпізнавання рекурсивних доменних імен надає постачальник публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг лише як частину послуги доступу до мережі Інтернет, слід вважати, що цей суб’єкт підпадає під юрисдикцію усіх держав-членів, у яких він надає свої послуги.

(116) Якщо надавач послуг DNS, реєстр TLD-імен, суб’єкт надання послуг реєстрації доменних імен, надавач послуг хмарних обчислень, надавач послуг центру обробки даних, провайдер мережі доставки контенту, надавач керованих послуг, надавач керованих послуг безпеки, оператор електронного торговельного майданчика, електронної пошукової системи чи платформи послуг соціальних мереж, заснований не в Союзі, пропонує послуги в Союзі, він має призначити представника в Союзі. Для того щоб визначити, чи такий суб’єкт пропонує послуги на території Союзу, необхідно впевнитися, чи планує цей суб’єкт надавати послуги особам в одній чи декількох державах-членах. Слід вважати, що однієї доступності на території Союзу вебсайту, електронної адреси чи інших контактних даних суб’єкта чи посередника, або використання мови, загалом використовуваної у третій країні, де заснований цей суб’єкт, недостатньо для підтвердження такого наміру. Однак, такі чинники, як використання мови або валюти, загалом використовуваної в одній або декількох державах-членах з можливістю замовлення послуг цією мовою, або згадування клієнтів чи користувачів в Союзі, можуть вказувати на очевидність планів суб’єкта пропонувати послуги на території Союзу. Представник має діяти від імені суб’єкта, а компетентні органи або групи CSIRT мають бути здатними звертатися до такого представника. Представник має бути чітко призначений письмовим дорученням суб’єкта діяти від імені останнього щодо зобов’язань останнього відповідно до цієї Директиви, у тому числі звітування про інциденти.

(117) Щоб забезпечити чітке уявлення про надавачів послуг DNS, реєстри TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, операторів електронних торговельних майданчиків, провайдерів електронних пошукових систем і платформ послуг соціальних мереж, які надають послуги на території Союзу і які підпадають під сферу застосування цієї Директиви, ENISA має створити і вести реєстр таких суб’єктів на підставі інформації, отриманої державами-членами, у застосовних випадках - через національні механізми, запроваджені для забезпечення самостійної реєстрації суб’єктів. Єдині контактні пункти мають передавати ENISA цю інформацію та будь-які зміни до неї. З метою забезпечення достовірності та вичерпності інформації для внесення до реєстру, держави-члени можуть подавати ENISA інформацію про ці суб’єкти, наявну в будь-яких національних реєстрах. ENISA та держави-члени мають вжити заходів для полегшення інтероперабельності таких реєстрів, водночас забезпечуючи захист конфіденційної чи секретної інформації. ENISA має створити відповідні протоколи класифікації та управління інформацією, щоб забезпечити захищеність і конфіденційність розкритої інформації та обмежити доступ, зберігання та передачу цієї інформації цільовими користувачами.

(118) Якщо згідно з цією Директивою відбувається обмін, повідомлення чи надання іншим чином інформації, яка є секретною відповідно до права Союзу чи національного права, має бути застосовано відповідні правила поводження із секретною інформацією. Крім того, ENISA потрібно мати в наявності інфраструктуру, процедури та правила поводження з чутливою і секретною інформацією відповідно до застосовних правил безпеки для захисту засекреченої ЄС інформації.

(119) Оскільки кіберзагрози стають усе складнішими і комплекснішими, вдале виявлення таких загроз і заходи з їх запобігання значною мірою залежать від регулярного обміну розвідданими щодо загроз і вразливостей між суб’єктами. Обмін інформацією сприяє підвищенню рівня обізнаності щодо кіберзагроз, яка в свою чергу посилює спроможність суб’єктів запобігати реалізації таких загроз у вигляді інцидентів та дає змогу суб’єктам краще локалізувати вплив інцидентів та ефективніше відновлюватися. За відсутності керівних настанов на рівні Союзу такий обмін розвідданими, як видається, був загальмований рядом чинників, зокрема невизначеністю щодо сумісності з правилами конкуренції та відповідальності.

(120) Держави-члени мають заохочувати і допомагати суб’єктам спільно користуватися своїми індивідуальними знаннями і практичним досвідом на стратегічному, тактичному і операційному рівнях з метою посилення своїх спроможностей належного запобігання, виявлення, реагування чи відновлення після інцидентів або мінімізації їхнього впливу. Таким чином, необхідно забезпечити можливості для виникнення на рівні Союзу механізмів добровільного обміну інформацією щодо кібербезпеки. З цією метою держави-члени мають активно допомагати суб’єктам і заохочувати їх, наприклад тих, що надають послуги і проводять дослідження у сфері кібербезпеки а також відповідних суб’єктів, що не підпадають під сферу застосування цієї Директиви, брати участь у таких механізмах обміну інформацією щодо кібербезпеки. Ці механізми має бути запроваджено відповідно до правил конкуренції Союзу та права Союзу щодо захисту даних.

(121) Опрацювання персональних даних, необхідною та пропорційною мірою для цілей забезпечення основними та важливими суб’єктами безпеки мережевих та інформаційних систем, можна вважати законним на підставі того, що таке опрацювання відповідає правовому зобов’язанню, покладеному на контролера відповідно до вимог пункту (c) статті 6 (1) і статті 6(3) Регламенту (ЄС) 2016/679. Опрацювання персональних даних також може бути необхідне в законних інтересах основних і важливих суб’єктів, а також надавачів технологій і послуг безпеки, що діють від імені цих суб’єктів, відповідно до пункту (f) статті 6 (1) Регламенту (ЄС) 2016/679, у тому числі коли таке опрацювання необхідне для механізмів обміну інформацією щодо кібербезпеки або добровільного сповіщення релевантної інформації згідно з цією Директивою. Заходи, що стосуються запобігання, виявлення, ідентифікації, локалізації, аналізу інцидентів та реагування на них, заходи з підвищення обізнаності щодо конкретних кіберзагроз, обмін інформацією в контексті усунення вразливостей та скоординованого оприлюднення інформації про вразливості, добровільний обмін інформацією про ці інциденти, кіберзагрози та вразливості, індикатори компрометації, тактики, методи і процедури, інформування про інциденти кібербезпеки та інструменти конфігурації можуть потребувати опрацювання певних категорій персональних даних, таких як IP-адреси, уніфіковані локатори ресурсів (URL), доменні імена, адреси електронної пошти та, якщо вони розкривають персональні дані, відмітки часу. Опрацювання персональних даних компетентними органами, єдиними контактними пунктами і групами CSIRT може становити правове зобов’язання або вважатися необхідним для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера, згідно з пунктом (c) або (e) статті 6(1) та статтею 6(3) Регламенту (ЄС) 2016/679, або ж у законних інтересах основних і важливих суб’єктів, як зазначено у пункті (f) статті 6(1) цього Регламенту. До того ж, національне право може встановлювати правила, що дозволяють компетентним органам, єдиним контактним пунктам і групам CSIRT, необхідною та пропорційною мірою для забезпечення безпеки мережевих та інформаційних систем основних і важливих суб’єктів, опрацьовувати особливі категорії персональних даних відповідно до статті 9 Регламенту (ЄС) 2016/679, зокрема передбачивши доречні та конкретні інструменти захисту фундаментальних прав і інтересів фізичних осіб, в тому числі технічні обмеження повторного використання таких даних і використання сучасних засобів захисту і збереження приватності, таких як використання псевдонімів або шифрування у тих випадках, коли анонімізація може мати значний вплив на досягнення поставлених цілей.

(122) Для посилення наглядових повноважень і заходів, які допомагають забезпечити дієве дотримання вимог ця Директива має передбачити мінімальний перелік наглядових заходів і засобів, з допомогою яких компетентні органи можуть здійснювати нагляд за основними і важливими суб’єктами. Крім того, ця Директива має встановити диференціацію наглядового режиму між основними і важливими суб’єктами з метою забезпечення справедливого балансу обов’язків цих суб’єктів і компетентних органів. Таким чином, до основних суб’єктів має бути застосовано комплексний наглядовий режим ex ante і ex post, тоді як до важливих суб’єктів має бути застосовано полегшений наглядовий режим виключно ex post. Тому від важливих суб’єктів не потрібно вимагати систематичної документації дотримання заходів управління ризиками кібербезпеки, а компетентні органи мають застосовувати реактивний ex post-підхід до здійснення нагляду і відтак не мають загального обов’язку наглядати за цими суб’єктами. Нагляд ex post за важливими суб’єктами може бути ініційовано доказом, свідченням або інформацією, доведеними до відома компетентних органів, які на думку цих органів свідчать про потенційні порушення цієї Директиви. Наприклад, такий доказ, свідчення або інформація може бути надана компетентним органам іншими органами, суб’єктами, громадянами, ЗМІ чи іншими джерелами загальнодоступної інформації, або може з’явитися в результаті іншої діяльності, здійснюваної компетентними органами на виконання своїх обов’язків.

(123) Виконання наглядових завдань компетентними органами не має невиправдано перешкоджати господарській діяльності відповідного суб’єкта. Якщо компетентні органи виконують свої наглядові завдання стосовно основних суб’єктів, у включно зі здійсненням інспекцій на місцях і дистанційного нагляду, розслідуванням порушень цієї Директиви та проведенням аудитів стану безпеки чи сканування стану безпеки, вони мають мінімізувати вплив на господарську діяльність відповідного суб’єкта.

(124) При здійсненні нагляду ex ante компетентні органи мають бути здатні визначати пріоритетність застосування наглядових заходів і засобів у своєму розпорядженні у пропорційний спосіб. Це передбачає, що компетентні органи можуть визначати таку пріоритетність на підставі методологій нагляду, які мають відповідати ризик-орієнтованому підходу. Зокрема, такі методології можуть включати критерії чи еталонні параметри класифікації основних суб’єктів за категоріями ризику та відповідні наглядові заходи і засоби, рекомендовані для кожної категорії ризику, такі як використання, частота або типи інспекцій на місцях, цільових аудитів стану безпеки або сканувань стану безпеки, тип інформації, яку слід вимагати, та рівень деталізації такої інформації. Такі методології нагляду також можуть супроводжувати робочі програми, а також їх можуть оцінювати і переглядати на регулярній основі, у тому числі щодо таких аспектів, як розподілення ресурсів і потреби. Стосовно суб’єктів публічної адміністрації, наглядові повноваження має бути реалізовано у відповідності з національною законодавчою та інституційною базою.

(125) Компетентні органи мають забезпечити, виконання своїх наглядових завдань стосовно основних і важливих суб’єктів кваліфікованими фахівцями, які мають необхідні навички для виконання цих завдань, зокрема щодо проведення інспекцій на місцях і дистанційного нагляду, в тому числі визначення слабких місць у базах даних, апаратному забезпеченні, мережевих екранах, шифруванні та мережах. Ці інспекції та цей нагляд потрібно здійснювати в об’єктивний спосіб.

(126) У належним чином обґрунтованих випадках, коли відомо про значну кіберзагрозу або невідворотний ризик, компетентний орган має бути здатен ухвалювати негайні правозастосовні рішення з метою запобігання чи реагування на інцидент.

(127)Щоб зробити правозастосування дієвим, потрібно встановити мінімальний перелік виконавчих повноважень, які можуть бути застосовані за порушення заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки, передбачених цією Директивою, заклавши чіткі та узгоджені рамки такого правозастосування на всій території Союзу. Потрібно належним чином враховувати специфіку, тяжкість і тривалість порушення цієї Директиви, завдану матеріальну чи нематеріальну шкоду, умисний чи ненавмисний характер порушення, дії, яких було вжито для запобігання чи пом’якшення матеріальної чи нематеріальної шкоди, ступінь відповідальності чи будь-які відповідні попередні порушення, рівень співпраці з компетентним органом та будь-який інший обтяжувальний або пом’якшувальний фактор. Правозастосовні заходи, в тому числі адміністративні штрафи, мають бути пропорційними, а на їх накладення мають поширюватися належні процесуальні гарантії згідно із загальними принципами права Союзу та Хартії фундаментальних прав Європейського Союзу ("Хартії"), в тому числі право на дієвий засіб правового захисту і чесний суд, презумпція невинуватості та права на забезпечення захисту.

(128) Ця Директива не вимагає від держав-членів передбачати кримінальної або цивільної відповідальності для фізичних осіб, відповідальних за забезпечення дотримання тим чи іншим суб’єктом вимог цієї Директиви, за шкоду, заподіяну третім особам внаслідок порушення цієї Директиви.

(129) Щоб забезпечити дієве виконання обов’язків, встановлених у цій Директиві, кожен компетентний орган повинен мати повноваження накладати адміністративні штрафи або вимагати їх накладення.

(130) Якщо адміністративний штраф накладено на основного чи важливого суб’єкта, який є підприємством, підприємство потрібно розуміти як підприємство згідно зі статтями 101 і 102 ДФЄС для цих цілей. Якщо адміністративний штраф накладено на особу, яка не є підприємством, компетентний орган має враховувати загальний рівень доходу в державі-члені, а також економічне становище цієї особи під час визначення необхідного розміру штрафу. Саме держави-члени мають визначити, чи мають органи публічної влади підлягати накладенню адміністративних штрафів та якою мірою. Накладення адміністративного штрафу не впливає на застосування інших повноважень компетентних органів або інших санкцій, встановлених національними правилами, що транспонують цю Директиву.

(131) Держави-члени мають бути здатні встановлювати норми щодо кримінальних покарань за порушення національних правил, що транспонують цю Директиву. Проте призначення кримінальних покарань за порушення таких національних правил та пов’язаних адміністративних санкцій не повинні призводити до порушення принципу "ne bis in idem", як його тлумачить Суд Європейського Союзу.

(132) Якщо ця Директива не гармонізує адміністративні санкції чи, за необхідності в інших випадках, наприклад, у разі серйозного порушення цієї Директиви, держави-члени повинні забезпечувати застосування системи, що передбачає дієві, пропорційні та стримувальні санкції. Сутність таких санкцій, кримінальних чи адміністративних, має визначати національне право.

(133) Щоб і надалі посилювати дієвість і стримувальність правозастосовних заходів, застосовних до порушень цієї Директиви, компетентним органам потрібно надати повноваження тимчасово призупиняти або вимагати тимчасового призупинення сертифікації чи авторизації щодо частини або всіх відповідних послуг або видів діяльності, надаваних або здійснюваних основним суб’єктом, та вимагати накладення тимчасової заборони на виконання управлінських функцій будь-якою фізичною особою, яка здійснює управлінські повноваження на рівні головного виконавчого директора або законного представника. З огляду на їхню серйозність та вплив на діяльність суб’єктів і зрештою на користувачів, такі тимчасові призупинення чи заборони потрібно застосовувати лише пропорційно до тяжкості порушення і з урахуванням обставин кожного окремого випадку, у тому числі умисний чи ненавмисний характер порушення та дії, яких було вжито для запобігання чи пом’якшення матеріальної чи нематеріальної шкоди. Такі тимчасові призупинення чи заборони потрібно застосовувати лише як крайній захід, а саме лише після того, як вичерпано усі інші доречні правозастосовні заходи, встановлені у цій Директиві, і лише до того, як відповідний суб’єкт вживе необхідних заходів для усунення недоліків або виконання вимог компетентного органу, щодо яких було застосовано такі тимчасові призупинення чи заборони. На накладення тимчасових призупинень або заборон мають поширюватися належні процесуальні гарантії згідно із загальними принципами права Союзу та Хартії, в тому числі право на дієвий засіб правового захисту і чесний суд, презумпція невинуватості та права на забезпечення захисту.

(134) З метою забезпечення виконання суб’єктами своїх обов’язків, встановлених у цій Директиві, держави-члени мають співпрацювати і допомагати одна одній у здійсненні наглядових і правозастосовних заходів, зокрема у випадках, коли суб’єкт надає послуги в більш ніж одній державі-члені або коли його мережеві та інформаційні системи розташовані не в тій державі-члені, де він надає послуги. Під час надання допомоги компетентний орган, що отримав запит, має вдаватися до наглядових і правозастосовних заходів у відповідності з національним правом. Щоб забезпечити безперешкодне функціонування взаємодопомоги згідно з цією Директивою, компетентні органи мають використовувати Групу співпраці як форум для обговорення випадків і конкретних запитів про допомогу.

(135) Щоб забезпечити дієвий нагляд і правозастосування, зокрема в ситуації з транскордонним компонентом, держава-член, що отримала запит про взаємодопомогу, має в межах цього запиту вжити відповідні наглядові та правозастосовні заходи стосовно суб’єкта, який є предметом цього запиту і надає послуги чи має мережеву та інформаційну систему на території цієї держави-члена.

(136) Ця Директива має встановити правила співпраці між компетентними органами та наглядовими органами за Регламентом (ЄС) 2016/679 для боротьби з порушеннями цієї Директиви, пов’язаними з персональними даними.

(137) Ця Директива має бути націлена на забезпечення високого рівня відповідальності за заходи управління ризиками і обов’язки щодо звітування у сфері кібербезпеки на рівні основних і важливих суб’єктів. Таким чином, керівні органи основних і важливих суб’єктів мають затвердити заходи управління ризиками кібербезпеки та здійснювати нагляд за їх реалізацією.

(138) Щоб досягти високого спільного рівня кібербезпеки на всій території Союзу на засадах цієї Директиви, повноваження ухвалювати акти відповідно до статті 290 ДФЄС має бути делеговано Комісії в частині доповнення цієї Директиви шляхом зазначення категорій основних і важливих суб’єктів, від котрих вимагатиметься використовувати певні сертифіковані продукти ІКТ, послуги ІКТ і процеси ІКТ, або отримати сертифікат за європейською схемою сертифікації кібербезпеки. Особливо важливо, щоб Комісія проводила належні консультації під час своєї підготовчої роботи, у тому числі на експертному рівні, та щоб такі консультації проводили згідно з принципами, встановленими у Міжінституційній угоді про краще законотворення від 13 квітня 2016 року (- 22). Зокрема, для забезпечення рівної участі в підготовці делегованих актів Європейський Парламент і Рада отримують усі документи одночасно з експертами держав-членів, а їхні експерти мають систематичний доступ до засідань груп експертів Комісії, які займаються підготовкою делегованих актів.

(139) Для того, щоб забезпечити єдині умови для імплементації цієї Директиви, необхідно покласти на Комісію виконавчі повноваження для встановлення процедурного порядку та умов, необхідних для функціонування Групи співпраці, технічних і методологічних, а також секторальних вимог до заходів управління ризиками кібербезпеки; та для подальшого визначення типу інформації, формату і процедури сповіщень про інцидент, кіберзагрозу та "потенційну помилку", повідомлень про значні кіберзагрози, а також випадків, у яких інцидент слід вважати значним. Такі повноваження потрібно здійснювати відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 182/2011 (- 23).

(140) Комісія має періодично переглядати цю Директиву після консультацій із стейкхолдерами, зокрема щодо визначення доцільності пропозицій щодо внесення змін і доповнень з огляду на зміни соціальних, політичних, технологічних або ринкових умов. В рамках цих переглядів Комісія має оцінювати значущість розміру відповідних суб’єктів, а також секторів, підсекторів і типів суб’єктів, визначених у додатках до цієї Директиви, для функціонування економіки і суспільства в плані кібербезпеки. Комісія має оцінювати, між іншим, чи провайдери, що підпадають під сферу застосування цієї Директиви, визначені провайдерами дуже великих онлайн-платформ у розумінні статті 33 Регламенту Європейського Парламенту і Ради (ЄС) 2022/2065 (- 24), можуть бути ідентифіковані як основні суб’єкти за цією Директивою.

(141) Ця Директива створює для ENISA нові завдання, таким чином посилюючи його роль, і може також привести до того, що ENISA необхідно буде виконувати поточні завдання згідно з Регламентом (ЄС) 2019/881 на вищому рівні, ніж раніше. Щоб забезпечити наявність у ENISA необхідних фінансових і людських ресурсів для виконання поточних і нових завдань, а також відповідність будь-якому вищому рівню виконання цих завдань, що випливає з його посиленої ролі, потрібно відповідним чином збільшити його бюджет. До того ж, щоб забезпечити ефективне використання ресурсів, потрібно надати ENISA більшої гнучкості у спосіб, що дає йому змогу розподіляти ресурси внутрішньо з метою дієвого виконання своїх завдань і відповідності очікуванням.

(142) Оскільки держави-члени не можуть достатньо досягти мети цієї Директиви, а саме досягнення високого спільного рівня кібербезпеки на всій території Союзу, однак, через наслідки дій, її можна краще досягнути на рівні Союзу, Союз може ухвалювати інструменти відповідно до принципу субсидіарності, як викладено в статті 5 Договору про функціонування Європейського Союзу. Згідно з принципом пропорційності, що визначений у згаданій статті, ця Директива не виходить за межі необхідного для досягнення такої цілі.

(143) Ця Директива поважає фундаментальні права та дотримується принципів, визнаних Хартією, зокрема права на повагу особистого життя та комунікацій, захисту персональних даних, свободи підприємництва, права власності, права на дієвий засіб правового захисту і чесний суд, презумпції невинуватості та прав на забезпечення захисту. Право на дієвий засіб правового захисту поширюється на отримувачів послуг, надаваних основними та важливими суб’єктами. Цю Директиву потрібно імплементувати відповідно до таких прав і принципів.

(144) Було проведено консультації з Європейським інспектором із захисту даних відповідно до статті 42(1) Регламенту Європейського Парламенту і Ради (ЄС) 2018/1725 (- 25), який 11 березня 2021 року надав свій висновок (- 26),

УХВАЛИЛИ ЦЮ ДИРЕКТИВУ:

1. Ця Директива встановлює інструменти, що мають на меті досягти високого спільного рівня кібербезпеки на всій території Союзу задля того, або покращити функціонування внутрішнього ринку.

2. З цією метою ця Директива встановлює:

(a) обов’язки, що вимагають від держав-членів ухвалити національні стратегії кібербезпеки і призначити чи створити компетентні органи, органи управління кіберкризами, єдині контактні пункти з питань кібербезпеки (єдині контактні пункти) та групи для реагування на інциденти в сфері комп’ютерної безпеки (CSIRT);

(b) заходи управління ризиками та обов’язки щодо звітування у сфері кібербезпеки для суб’єктів типу, зазначеного в додатку I або II, а також для суб’єктів, визначених критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557;

(c) правила і обов’язки щодо обміну інформацією щодо кібербезпеки;

(d) наглядові та правозастосовні обов’язки держав-членів.

1. Цю Директиву застосовують до публічних або приватних суб’єктів типу, зазначеного в додатку I або II, які належать до середніх підприємств згідно зі статтею 2 додатка до Рекомендації Комісії 2003/361/ЄС або перевищують верхні межі для середніх підприємств, передбачені параграфом 1 цієї статті, та надають послуги чи здійснюють діяльність в межах Союзу.

Статтю 3(4) додатка до вказаної Рекомендації не застосовують для цілей цієї Директиви.

2. Незалежно від їхнього розміру, цю Директиву також застосовують до суб’єктів типу, зазначеного в додатку I або II, за умови, що:

(a) послуги надають:

(i) постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг;

(ii) надавачі довірчих послуг;

(iii) реєстри доменних імен верхнього рівня та надавачі послуг системи доменних імен;

(b) суб’єкт є єдиним у державі-члені надавачем послуги, яка є суттєвою для підтримки критичної соціальної або економічної діяльності;

(c) перебої у наданні послуги цим суб’єктом можуть мати значний вплив на суспільну безпеку, громадську безпеку чи громадське здоров’я;

(d) перебої у наданні послуги цим суб’єктом можуть спричинити значний системний ризик, зокрема для секторів, де такі перебої можуть мати транскордонний вплив;

(e) суб’єкт є критично важливим внаслідок своєї специфічної важливості на національному чи регіональному рівні для певного сектору чи типу послуг, або ж для інших взаємозалежних секторів у державі-члені;

(f) суб’єкт є суб’єктом публічної адміністрації:

(i) центрального уряду, визначеного державою-членом відповідно до національного права; або

(ii) на місцевому рівні, як визначено державою-членом відповідно до національного права, що за результатами ризик-орієнтованого оцінювання надає послуги, перебої у наданні яких можуть мати значний вплив на суспільну або економічну діяльність.

3. Цю Директиву застосовують до суб’єктів, визначених критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557, незалежно від їхнього розміру.

4. Цю Директиву застосовують до суб’єктів, що надають послуги реєстрації доменних імен, незалежно від їхнього розміру.

5. Держави-члени можуть передбачити застосування цієї Директиви до:

(a) суб’єктів публічної адміністрації місцевого рівня;

(b) закладів освіти, зокрема якщо вони здійснюють критичну науково-дослідну діяльність.

6. Ця Директива не обмежує відповідальності держав-членів за забезпечення національної безпеки та їхніх повноважень щодо захисту інших основних функцій держави, у тому числі забезпечення територіальної цілісності та підтримання правопорядку.

7. Цю Директиву не застосовують до суб’єктів публічної адміністрації, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень.

8. Держави-члени можуть звільняти конкретних суб’єктів, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень, або які надають послуги виключно суб’єктам публічної адміністрації, зазначеним у параграфі 7 цієї статті, від зобов’язань, встановлених у статті 21 або 23 щодо цієї діяльності або послуг. У таких випадках наглядові та правозастосовні заходи, зазначені в главі VII, не буде застосовано у зв’язку з цими конкретними видами діяльності або послугами. Якщо суб’єкти здійснюють діяльність чи надають послуги виключно зазначеного у цьому параграфі типу, держави-члени можуть вирішити звільнити цих суб’єктів від обов’язків, встановлених у статтях 3 і 27.

9. Параграфи 7 і 8 не застосовують, якщо суб’єкт виступає надавачем довірчих послуг.

10. Цю Директиву не застосовують до суб’єктів, яких держави-члени виключили зі сфери застосування Регламенту (ЄС) 2022/2554 згідно із статтею 2(4) зазначеного Регламенту.

11. Зобов’язання, встановлені у цій Директиві, не передбачають надання інформації, розкриття якої суперечитиме суттєвим інтересам національної безпеки, громадської безпеки чи оборони держав-членів.

12. Цю Директиву застосовують без обмеження дії Регламенту (ЄС) 2016/679, Директиви 2002/58/ЄС, директив Європейського Парламенту і Ради 2011/93/ЄС (- 27) і 2013/40/ЄС (- 28) та Директиви (ЄС) 2022/2557.

13. Без обмеження статті 346 ДФЄС, інформацією, яка є конфіденційною відповідно до правил Союзу чи національних правил, таких як правила щодо комерційної таємниці, обмінюються з Комісією та іншими відповідними органами згідно з цією Директивою тільки у випадках, коли такий обмін необхідний для застосування цієї Директиви. Обсяг інформації для обміну обмежують до рівня, доцільного та пропорційного цілі цього обміну. Обмінюючись інформацією, необхідно зберігати її конфіденційність та захищати безпекові та комерційні інтереси відповідних суб’єктів.

14. Суб’єкти, компетентні органи, єдині контактні пункти та групи CSIRT опрацьовують персональні дані в обсязі, необхідному для цілей цієї Директиви та відповідно до Регламенту (ЄС) 2016/679, зокрема таке опрацювання регулюється статтею 6 згаданого Регламенту.

Опрацювання персональних даних відповідно до цієї Директиви постачальниками публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг здійснюється згідно з правом Союзу щодо захисту даних і правом Союзу щодо приватності, зокрема з Директивою 2002/58/ЄС.

1. Для цілей цієї Директиви основними суб’єктами вважають такі суб’єкти:

(a) суб’єкти типу, зазначеного в додатку I, які перевищують верхні межі для середніх підприємств, передбачені статтею 2(1) додатка до Рекомендації 2003/361/ЄС;

(b) кваліфіковані надавачі довірчих послуг і реєстри доменних імен верхнього рівня, а також надавачі послуг DNS, незалежно від розміру;

(c) постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, які належать до середніх підприємств згідно зі статтею 2 додатка до Рекомендації Комісії 2003/361/ЄС;

(d) суб’єкти публічної адміністрації, зазначенні в пункті (f)(i) статті 2(2);

(e) будь-які інші суб’єкти типу, зазначеного в додатку I або II, які визначені державою-членом основними суб’єктами відповідно до пунктів (b)-(e) статті 2(2).

(f) суб’єкти, визначені критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557, як вказано в статті 2(3) цієї Директиви;

(g) якщо це передбачено державою-членом, суб’єкти, яких ця держава-член до 16 січня 2023 року визначила операторами основних послуг відповідно до Директиви (ЄС) 2016/1148 або національного права.

2. Для цілей цієї Директиви суб’єкти типу, зазначеного в додатку I або II, які не належать до основних суб’єктів відповідно до параграфа 1 цієї статті, необхідно вважати важливими суб’єктами. До таких належать суб’єкти, які визначені державою-членом важливими суб’єктами відповідно до пунктів (b)-(e) статті 2(2).

3. До 17 квітня 2025 року держави-члени повинні створити перелік основних і важливих суб’єктів, а також суб’єктів, що надають послуги реєстрації доменних імен. Держави-члени повинні переглядати та, за доцільності, оновлювати цей перелік на регулярній основі та щонайменше кожні два роки з цієї дати.

4. З метою формування переліку, зазначеного в параграфі 3, держави-члени вимагатимуть від суб’єктів, згаданих у цьому параграфі, подавати до компетентних органів принаймні таку інформацію:

(a) назву суб’єкта;

(b) адресу та актуальну контактну інформацію, в тому числі адреси електронної пошти, діапазон ІР-адрес і номери телефону;

(c) якщо застосовно, відповідний сектор і підсектор, зазначений у додатку I або II; та

(d) якщо застосовно, перелік держав-членів, у яких вони надають послуги, що підпадають під сферу дії цієї Директиви.

Суб’єкти, зазначені в параграфі 3, повинні негайно сповіщати про будь-які зміни в контактних даних, поданих відповідно до першого підпараграфа цього параграфа: в будь-якому разі впродовж двох тижнів з дати настання цих змін.

Комісія, за сприяння Агентства Європейського Союзу з питань кібербезпеки (ENISA), повинна, без невиправданої затримки, надати настанови та шаблони, що стосуються зобов’язань, викладених у цьому параграфі.

Держави-члени можуть формувати національні механізми для забезпечення самостійної реєстрації суб’єктів.

5. До 17 квітня 2025 року та кожні два роки потому компетентні органи сповіщають:

(a) Комісію та Групу співпраці про кількість основних і важливих суб’єктів, внесених до переліку згідно з параграфом 3, для кожного сектора і підсектора, зазначеного у додатку I або II; та

(b) Комісію про релевантну інформацію щодо кількості основних і важливих суб’єктів, визначених згідно з пунктами (b)-(e) статті 2(2), сектор і підсектор, зазначений у додатку I або II, до якого вони належать, тип послуг, які вони надають, та положення, з-поміж викладених у пунктах (b)-(e) статті 2(2), на підставі якого їх було визначено.

6. До 17 квітня 2025 року та на вимогу Комісії держави-члени можуть повідомляти Комісії назви основних і важливих суб’єктів, зазначених у пункті (b) параграфа 5.

1. Якщо секторальні правові акти Союзу вимагають від основних або важливих суб’єктів запровадження заходів управління ризиками кібербезпеки або сповіщення про значні інциденти, і якщо такі вимоги принаймні рівноцінні за своєю дією обов’язкам, встановленим у цій Директиві, до таких суб’єктів не застосовують відповідні положення цієї Директиви, в тому числі положення щодо нагляду та забезпечення виконання, викладені в главі VII. Якщо секторальні правові акти Союзу не охоплюють усіх суб’єктів у певному секторі, які підпадають під сферу застосування цієї Директиви, відповідні положення цієї Директиви і надалі застосовують до суб’єктів, не охоплених цими секторальними правовими актами Союзу.

2. Вимоги, викладені в параграфі 1 цієї статті, вважають рівноцінними за своєю дією обов’язкам, встановленим цією Директивою, якщо:

(a) заходи управління ризиками кібербезпеки як мінімум рівноцінні за своєю дією встановленим у статті 21(1) і (2); або

(b) секторальний правовий акт Союзу передбачає негайний доступ, у відповідних випадках автоматичний і прямий, до сповіщень про інциденти з боку груп CSIRT, компетентних органів або єдиних контактних пунктів згідно з цією Директивою та якщо вимоги щодо сповіщень про значні інциденти є принаймні рівноцінними за своєю дією встановленим у статті 23(1)-(6) цієї Директиви.

3. Комісія до 17 липня 2023 року надає настанови, що роз’яснюють застосування параграфів 1 і 2. Комісія регулярно переглядає такі настанови. Під час підготовки таких настанов Комісія враховує будь-які спостереження Групи співпраці та ENISA.

Ця Директива не перешкоджає державам-членам ухвалювати чи зберігати положення, які забезпечують вищий рівень кібербезпеки за умови, що такі положення узгоджуються із зобов’язаннями держав-членів відповідно до права Союзу.

Для цілей цієї Директиви застосовують такі терміни та означення:

(1) "мережева та інформаційна система" означає:

(a) електронну комунікаційну мережу в розумінні пункту (1) статті 2 Директиви (ЄС) 2018/1972;

(b) будь-який пристрій чи групу взаємно поєднаних чи пов’язаних пристроїв, один або більше з яких, відповідно до програми, здійснює автоматичне опрацювання цифрових даних; або

(с) цифрові дані, що їх зберігають, опрацьовують, видобувають або передають за допомогою елементів, вказаних в пунктах (a) та (b), для цілей їхньої експлуатації, використання, захисту та технічного обслуговування;

(2) "безпека мережевих та інформаційних систем" означає здатність мережевих та інформаційних систем витримувати - на певному рівні впевненості - будь-яку подію, що ставить під загрозу доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих цими мережевими та інформаційними системами або доступних за їх допомогою;

(3) "кібербезпека" означає кібербезпеку в розумінні пункту (1) статті 2 Регламенту (ЄС) 2019/881;

(4) "національна стратегія кібербезпеки" означає узгоджені рамки держави-члена, що передбачають стратегічні цілі та пріоритети в сфері кібербезпеки, та врядування, спрямоване на досягнення їх у цій державі-члені;

(5) "близька хиба" означає подію, що могла б порушити доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих мережевими та інформаційними системами або доступних за їх допомогою, але її реалізації вдалося запобігти або вона не була реалізована;

(6) "інцидент" означає подію, яка порушує доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих мережевими та інформаційними системами або доступних за їх допомогою;

(7) "масштабний інцидент кібербезпеки" означає інцидент, котрий призводить до збою такого рівня, який перевищує спроможність держави-члена реагувати на нього, або котрий має значний вплив принаймні на дві держави-члени;

(8) "врегулювання інцидентів" означає будь-які дії та процедури, призначені запобігти, виявити, проаналізувати та стримати або відреагувати на інцидент і відновитися після нього;

(9) "ризик" означає можливість втрати або збою внаслідок інциденту, виражену як поєднання масштабу такої втрати або збою та ймовірності виникнення інциденту;

(10) "кіберзагроза" означає кіберзагрозу в розумінні пункту (8) статті 2 Регламенту (ЄС) 2019/881;

(11) "значна кіберзагроза" означає кіберзагрозу, яку за технічними характеристиками можна вважати такою, що має потенціал мати серйозний вплив на мережеві та інформаційні системи суб’єкта або на користувачів послуг цього суб’єкта шляхом завдання значної матеріальної чи нематеріальної шкоди.

(12) "продукт ІКТ" означає продукт ІКТ у розумінні пункту (12) статті 2 Регламенту (ЄС) 2019/881;

(13) "послуга ІКТ" означає послугу ІКТ у розумінні пункту (13) статті 2 Регламенту (ЄС) 2019/881;

(14) "процес ІКТ" означає процес ІКТ у розумінні пункту (14) статті 2 Регламенту (ЄС) 2019/881;

(15) "вразливість" означає слабкість, сприйнятливість або недолік продуктів ІКТ або послуг ІКТ, які можуть бути використані при створенні кіберзагрози;

(16) "стандарт" означає стандарт у розумінні пункту (1) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) № 1025/2012 (- 29);

(17) "технічна специфікація" означає технічну специфікацію в розумінні пункту (4) статті 2 Регламенту (ЄС) № 1025/2012;

(18) "точка обміну інтернет-трафіком" означає мережеве устатковання, яке уможливлює взаємоз’єднання більше ніж двох незалежних мереж (автономних систем), насамперед з метою полегшення обміну інтернет-трафіком; яке забезпечує взаємоз’єднання лише для автономних систем і яке не вимагає від інтернет-трафіку, що проходить між будь-якою парою автономних систем-учасників, проходити через будь-яку третю автономну систему, а також не змінює такий трафік і не втручається у нього іншим чином;

(19) "система доменних імен" або "DNS" означає ієрархічну розподілену систему присвоєння імен, яка уможливлює ідентифікацію сервісів і ресурсів мережі Інтернет, дозволяючи пристроям кінцевих користувачів користуватися послугами маршрутизації та підключення в Інтернеті, щоб дістатися до цих сервісів і ресурсів;

(20) "надавач послуг DNS" означає суб’єкта, який надає:

(a) загальнодоступні послуги розпізнавання рекурсивних доменних імен для кінцевих користувачів мережі Інтернет; або

(b) послуги авторитативного розпізнавання доменних імен для використання третіми сторонами, за винятком серверів кореневих імен;

(21) "реєстр доменних імен верхнього рівня" або "реєстр TLD-імен" означає суб’єкта, якому делеговано конкретний домен верхнього рівня (TLD), і який є відповідальним за адміністрування цього TLD, у тому числі за реєстрацію доменних імен у цьому TLD і технічну експлуатацію TLD, в тому числі роботу його серверів імен, ведення баз даних і розподіл зональних файлів TLD по серверам імен, незалежно від того, чи суб’єкт здійснює ці операції самостійно, чи віддає на субпідряд, але виключаючи ситуації, коли реєстр використовує імена TLD лише для власних потреб;

(22) "суб’єкт надання послуг реєстрації доменних імен" означає реєстратора чи агента, що діє від імені реєстраторів, такого як провайдер чи продавець послуг приватної чи проксі-реєстрації;

(23) "цифрова послуга" означає послугу в розумінні пункту (b) статті 1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (- 30);

(24) "довірча послуга" означає довірчу послугу в розумінні пункту (16) статті 3 Регламенту (ЄС) № 910/2014;

(25) "надавач довірчих послуг" означає надавача довірчих послуг у розумінні пункту (19) статті 3 Регламенту (ЄС) № 910/2014;

(26) "кваліфікована довірча послуга" означає кваліфіковану довірчу послугу в розумінні пункту (17) статті 3 Регламенту (ЄС) № 910/2014;

(27) "надавач кваліфікованих довірчих послуг" означає надавача кваліфікованих довірчих послуг у розумінні пункту (20) статті 3 Регламенту (ЄС) № 910/2014;

(28) "електронний торговельний майданчик" означає електронний торговельний майданчик у розумінні пункту (n) статті 2 Директиви Європейського Парламенту і Ради (ЄС) 2005/29/ЄС (- 31);

(29) "електронна пошукова система" означає електронну пошукову систему в розумінні пункту (5) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) 2019/1150 (- 32);

(30) "послуга хмарних обчислень" означає цифрову послугу, яка уможливлює адміністрування за запитом і широкий віддалений доступ до масштабовного та еластичного пулу обчислювальних ресурсів спільного користування, в тому числі там, де такі ресурси розподілено по декількох локаціях;

(31) "послуга центру обробки даних" означає сервіс, який охоплює структури чи групи структур, призначені для централізованого розміщення, взаємоз’єднання та експлуатації мережевого та IT-обладнання, що забезпечує надання послуг зберігання, обробки та транспортування даних, разом з усіма потужностями та інфраструктурою для енергорозподілу та екологічного контролю;

(32) "мережа доставки контенту" означає мережу географічно розподілених серверів, призначених для забезпечення високої доступності, досяжності або швидкої доставки цифрового контенту та послуг користувачам мережі Інтернет від імені надавачів контенту та послуг;

(33) "платформа послуг соціальних мереж" означає платформу, яка надає кінцевим користувачам можливість зв’язуватися, обмінюватися, знаходити і спілкуватися одне з одним з багатьох пристроїв, зокрема через чати, дописи, відео та рекомендації;

(34) "представник" означає фізичну або юридичну особу, засновану в Союзі, явним чином призначену діяти від імені надавача послуг DNS, реєстру TLD-імен, суб’єкта надання послуг реєстрації доменних імен, надавача послуг хмарних обчислень, надавача послуг центру обробки даних, провайдера мережі доставки контенту, надавача керованих послуг, надавача керованих послуг безпеки, оператора електронного торговельного майданчика, електронної пошукової системи чи платформи послуг соціальних мереж, заснованого не в Союзі, котра може приймати звернення компетентного органу або CSIRT замість самого суб’єкта щодо обов’язків цього суб’єкта відповідно до цієї Директиви;

(35) "суб’єкт публічного адміністрування" означає суб’єкта, визнаного таким в державі-члені відповідно до національного права, окрім судочинства, парламентів або центральних банків, який відповідає таким критеріям:

(a) він створений з метою задоволення потреб, що становлять загальний інтерес і не має промислового або комерційного характеру;

(b) він має правосуб’єктність або уповноважений законом діяти від імені іншого суб’єкта з правосуб’єктністю;

(c) він отримує фінансування переважно від держави, регіональних органів влади або інших органів публічного права, перебуває під управлінським контролем зазначених органів влади чи органів публічного права, або має адміністративну, керівну чи наглядову раду, більш ніж половину членів якої призначає держава, регіональні органи влади або інші органи публічного права;

(d) він має повноваження звертатися до фізичних або юридичних осіб із адміністративними чи регуляторними рішеннями, що впливають на їхні права в сфері транскордонного руху осіб, товарів, послуг або капіталу;

(36) "публічна електронна комунікаційна мережа" означає публічну електронну комунікаційну мережу в розумінні пункту (8) статті 2 Директиви (ЄС) 2018/1972;

(37) "електронна комунікаційна послуга" означає електронну комунікаційну послугу в розумінні пункту (4) статті 2 Директиви (ЄС) 2018/1972;

(38) "суб’єкт" означає фізичну або юридичну особу, створену та визнану як таку на підставі національного права місця заснування, яка може, діючи від свого імені, здійснювати права та виконувати обов’язки;

(39) "надавач керованих послуг" означає суб’єкта, який надає послуги, пов’язані із встановленням, керуванням, експлуатацією чи технічним обслуговуванням продуктів ІКТ, мереж, інфраструктури, застосунків чи будь-яких інших мережевих та інформаційних систем шляхом супроводу чи активного адміністрування, здійснюваного або в приміщеннях клієнта, або віддалено;