ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проєкту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського економічно-соціального комітету (- 1),

Беручи до уваги висновок Комітету регіонів (- 2),

Діючи згідно зі звичайною законодавчою процедурою (- 3),

Оскільки:

(1) Критично важливі суб’єкти, як надавачі основних послуг, відіграють невід’ємну роль у технічному обслуговуванні життєво важливих громадських функцій або економічній діяльності на внутрішньому ринку в економіці Союзу, яка стає дедалі більш незалежною. Таким чином, важливо створити рамку Союзу з метою як посилення стійкості критично важливих суб’єктів на внутрішньому ринку шляхом установлення гармонізованих мінімальних правил, так і надання їм допомоги у формі послідовних і цільових заходів із підтримки та нагляду.

(2) Директива Ради 2008/114/ЄС (- 4) передбачає процедуру проєктування європейської критичної інфраструктури в енергетичному і транспортному секторах, порушення роботи або знищення якої мало би значний транскордонний вплив на принаймні дві держави-члени. Зазначена директива зосереджена виключно на захисті такої інфраструктури. Однак результати оцінювання Директиви 2008/114/ЄС, проведеного у 2019 році, показало, що з огляду на дедалі більше взаємопов’язаний і транскордонний характер операцій із використанням критичної інфраструктури самі лише захисні заходи стосовно окремих активів є недостатніми для запобігання всім порушенням. Таким чином, необхідно переорієнтувати підхід на забезпечення кращого врахування ризиків, кращого визначення та узгодження ролей та обов’язків критично важливих суб’єктів як надавачів послуг, які є важливими для функціонування внутрішнього ринку, а також ухвалення правил Союзу з метою посилення стійкості критично важливих суб’єктів. Критично важливі суб’єкти мають бути здатними посилювати свою здатність запобігати інцидентам, що можуть порушити надання основних послуг, захищати від них, реагувати на них, протистояти їм, пом’якшувати, нейтралізувати їхні наслідки, врегульовувати їх або відновлюватися від них.

(3) Хоча низка заходів на рівні ЄС, як-то Європейська програма захисту критичної інфраструктури, та на національному рівні спрямовані на підтримку захисту критичної інфраструктури в Союзі, слід докласти більше зусиль, щоб краще підготувати суб’єкти, які експлуатують таку інфраструктуру, до подолання ризиків для їхньої діяльності, які можуть призвести до порушення надання основних послуг. Слід також докласти більше зусиль для кращого оснащення таких суб’єктів, оскільки ландшафт загроз є динамічним і демонструє еволюцію гібридних і терористичних загроз, а також зростання взаємозалежності між інфраструктурою і секторами. Крім того, зростає фізичний ризик через стихійні лиха та зміну клімату, що збільшує частоту та масштаби екстремальних погодних явищ і призводить до довгострокових змін середніх кліматичних умов, які можуть призвести до зменшення пропускної спроможності, ефективності та строку експлуатації певних видів інфраструктури, якщо не запровадити заходів із адаптації до клімату. Крім того, внутрішній ринок характеризується фрагментарністю в частині визначення критично важливих суб’єктів, оскільки відповідні сектори та категорії суб’єктів не в усіх державах-членах послідовно визнані критично важливими. Таким чином, ця Директива має досягти високого рівня гармонізації секторів і категорій суб’єктів, які належить до сфери її застосування.

(4) Хоча певні сектори економіки, як-то енергетика та транспорт, уже регулюють секторальні правові акти Союзу, такі правові акти містять положення, які стосуються лише окремих аспектів стійкості суб’єктів, що працюють у цих секторах. З метою комплексного вирішення питання стійкості тих суб’єктів, які є критично важливими для належного функціонування внутрішнього ринку, ця Директива створює всеосяжну рамку, що врегульовує питання стійкості критично важливих суб’єктів до всіх загроз: як природних, так і антропогенних, випадкових або навмисних.

(5) Зростання взаємозалежності між інфраструктурою та секторами є результатом дедалі більш транскордонної та взаємозалежної мережі надання послуг із використанням ключової інфраструктури по всьому Союзу в секторах енергетики, транспорту, банківської справи, постачання питної води, водовідведення, виробництва, перероблення та розподілу харчових продуктів, охорони здоров’я, космосу, інфраструктури фінансового ринку та цифрової інфраструктури, а також у деяких аспектах сектора публічного адміністрування. Космічний сектор належить до сфери застосування цієї Директиви в частині надання певних послуг, які залежать від наземної інфраструктури, що перебуває у власності, під управлінням та в експлуатації або держав-членів, або приватних сторін; таким чином, інфраструктура, що перебуває у власності, під управлінням або в експлуатації Союзу або від його імені як частина його космічної програми, не належить до сфери застосування цієї Директиви.

Що стосується енергетичного сектора та, зокрема, методів виробництва й передавання електроенергії (в частині постачання електроенергії), існує розуміння того, що, де це вважають доцільним, виробництво електроенергії може включати частини передавання електроенергії атомних електростанцій, але виключає безпосередньо ядерні елементи, на які поширюється дія договорів і права Союзу, в тому числі відповідних правових актів Союзу, що стосуються атомної енергетики. Процес визначення критично важливих суб’єктів у продовольчому секторі має адекватно відображати характер внутрішнього ринку в цьому секторі та широкі правила Союзу, що стосуються загальних принципів і вимог харчового права та безпечності харчових продуктів. Таким чином, для забезпечення пропорційного підходу та адекватного відображення ролі й важливості таких суб’єктів на національному рівні, критично важливими суб’єктами мають бути визначені серед суб’єктів господарювання, чия діяльність пов’язана з харчовими продуктами, незалежно від того, чи є вони прибутковими, публічними чи приватними, лише ті, що займаються виключно логістикою та оптовою торгівлею, а також масштабним промисловим виробництвом та переробленням та мають значну частку ринку, яка спостерігається на національному рівні. Така взаємозалежність означає, що будь-яке порушення в наданні основних послуг, навіть таке, що спочатку обмежене одним суб’єктом або одним сектором, може мати каскадні наслідки в ширшому масштабі, що потенційно може призвести до далекосяжного й довгострокового негативного впливу на надання послуг на всьому внутрішньому ринку. Великі кризи, як-то пандемія COVID-19, продемонстрували вразливість наших дедалі більш взаємозалежних суспільств до потужних малоймовірних ризиків.

(6) До суб’єктів, які беруть участь у наданні основних послуг, дедалі частіше висувають різні вимоги, передбачені національним правом. Той факт, що деякі держави-члени мають менш суворі вимоги щодо безпеки таких суб’єктів, не тільки призводить до різних рівнів стійкості, але й створює ризик негативного впливу на підтримку життєво важливих суспільних функцій або економічної діяльності по всьому Союзу, а також призводить до перешкод для належного функціонування внутрішнього ринку. Інвестори та компанії можуть покладатися критично важливі суб’єкти, які є стійкими, і довіряти їм, а надійність і довіра є наріжними каменями належного функціонування внутрішнього ринку. Подібні типи суб’єктів вважають критично важливими в одних державах-членах, але не в інших, а до тих, що визначенні критично важливими, в різних державах-членах висувають різні вимоги. Це призводить до додаткового й непотрібного адміністративного тягаря для компаній, що здійснюють транскордонну діяльність, зокрема для компаній, що працюють у державах-членах із суворішими вимогами. Таким чином, рамки Союзу також матимуть ефект вирівнювання правил гри для критично важливих суб’єктів по всьому Союзу.

(7) Необхідно встановити гармонізовані мінімальні правила для забезпечення надання основних послуг на внутрішньому ринку, посилення стійкості критично важливих суб’єктів та покращення транскордонної співпраці між компетентними органами. Важливо, щоб такі правила були розраховані на майбутнє з точки зору їх розробки та впровадження, а також передбачали необхідну гнучкість. Також вкрай важливо підвищити спроможність критично важливих суб’єктів надавати основні послуги в умовах різноманітних ризиків.

(8) Для досягнення високого рівня стійкості держави-члени мають визначити критично важливі суб’єкти, до яких застосовуватимуться особливі вимоги та нагляд і яким надаватиметься особлива підтримка й наставництво в умовах існування всіх відповідних ризиків.

(9) Враховуючи важливість кібербезпеки для стійкості критично важливих суб’єктів та в інтересах узгодженості за можливості слід забезпечити узгоджений підхід до цієї Директиви та Директиви Європейського Парламенту і Ради (ЄС) 2022/2555 (- 5). З огляду на більшу частоту та особливі характеристики кіберризиків Директива (ЄС) 2022/2555 встановлює комплексні вимоги до широкого кола суб’єктів щодо забезпечення їхньої кібербезпеки. Оскільки питання кібербезпеки достатньою мірою врегульовані в Директиві (ЄС) 2022/2555, питання, охоплені зазначеною директивою, мають бути виключені зі сфери застосування цієї Директиви без обмеження особливого режиму для суб’єктів у секторі цифрової інфраструктури.

(10) Якщо положення секторальних правових актів Союзу вимагають від критично важливих суб’єктів вживати заходів для посилення їхньої стійкості та якщо такі вимоги визнано державами-членами як такі, що є принаймні еквівалентними відповідним обов’язкам, встановленим у цій Директиві, відповідні положення цієї Директиви не мають застосовуватися для уникнення дублювання та непотрібного тягаря. У такому випадку мають застосовуватися відповідні положення таких правових актів Союзу. Якщо відповідні положення цієї Директиви не застосовуються, положення про нагляд та правозастосування, встановлені в цій Директиві, також не мають застосовуватися.

(11) Ця Директива не впливає на компетенцію держав-членів та їхніх органів з точки зору адміністративної автономії або їхньої відповідальності за забезпечення національної безпеки й оборони або на їхні повноваження щодо забезпечення інших основних державних функцій, зокрема щодо громадської безпеки, територіальної цілісності та підтримування правопорядку. Вилучення суб’єктів публічної адміністрації зі сфери застосування цієї Директиви має стосуватися суб’єктів, які здійснюють діяльність переважно у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі розслідування, виявлення кримінальних правопорушень та притягнення до відповідальності за їх вчинення. Однак суб’єкти публічної адміністрації, чия діяльність лише незначною мірою пов’язана з цими сферами, належать до сфери застосування цієї Директиви. Для цілей цієї Директиви суб’єктів із регулятивними компетенціями не вважають такими, що здійснюють діяльність у сфері правоохоронної діяльності, тому їх не виключають на цій підставі зі сфери застосування цієї Директиви. Суб’єкти публічної адміністрації, створені спільно з третьою країною відповідно до міжнародної угоди, виключені зі сфери застосування цієї Директиви. Цю Директиву не застосовують до дипломатичних і консульських представництв держав-членів у третіх країнах.

Певні критично важливі суб’єкти здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони або правоохоронної діяльності, включно з розслідуванням, виявленням кримінальних правопорушень та притягненням відповідальності за їх вчинення, або надають послуги виключно суб’єктам публічної адміністрації, які здійснюють діяльність переважно в цих сферах. З огляду на відповідальність держав-членів за забезпечення національної безпеки та оборони держави-члени повинні мати можливість ухвалити рішення про повне або часткове незастосування обов’язків критично важливих суб’єктів, встановлених у цій Директиві, до таких критично важливих суб’єктів, якщо послуги, які вони надають, або діяльність, яку вони здійснюють, переважно пов’язані зі сферами національної безпеки, громадської безпеки, оборони або правоохоронної діяльності, включно з розслідуванням, виявленням кримінальних правопорушень та притягненням до відповідальності за їх вчинення. Критично важливі суб’єкти, чиї послуги або діяльність лише незначною мірою пов’язані з цими сферами, належать до сфери застосування цієї Директиви. Жодна держава-член не повинна бути зобов’язана надавати інформацію, розкриття якої суперечило би суттєвим інтересам її національної безпеки. Слід враховувати правила Союзу або національні правила щодо захисту секретної інформації та угоди про нерозголошення.

(12) Щоб не ставити під загрозу національну безпеку або безпеку та комерційні інтереси критично важливих суб’єктів, доступ до чутливої інформації, обмін нею та поводження з нею мають здійснюватися зважено, з особливою увагою до використовуваних каналів передавання та потужностей для зберігання інформації.

(13) Для забезпечення комплексного підходу до забезпечення стійкості критично важливих суб’єктів кожна держава-член повинна мати стратегію посилення стійкості критично важливих суб’єктів ("стратегія"). Така стратегія має визначати стратегічні цілі та інструменти політики, які належить реалізувати. В інтересах узгодженості та ефективності така стратегія має бути розроблена таким чином, щоб органічно інтегрувати існуючі політики, спираючись, за можливості, на відповідні існуючі національні та секторальні стратегії, плани або аналогічні документи. Для досягнення комплексного підходу держави-члени мають забезпечити, щоб їхні стратегії встановлювали рамку політики щодо посилення координації між компетентними органами згідно з цією Директивою та компетентними органами згідно з Директивою (ЄС) 2022/2555 в контексті обміну інформацією щодо ризиків для кібербезпеки, кіберзагроз та кіберінцидентів, а також ризиків, загроз та інцидентів, не пов’язаних із кібербезпекою, і в контексті виконання наглядових завдань. При впровадженні своїх стратегій держави-члени мають належним чином враховувати гібридний характер загроз для критично важливих суб’єктів.

(14) Держави-члени мають повідомляти Комісії свої стратегії та суттєві оновлення до них, зокрема щоб Комісія могла оцінити правильність застосування цієї Директиви в частині підходів політики до забезпечення стійкості критично важливих суб’єктів на національному рівні. За необхідності такі стратегії можуть передавати як секретну інформацію. Комісія має скласти зведений звіт про стратегії, повідомлені державами-членами, який слугуватиме основою для обміну досвідом з метою виявлення найкращих практик та питань, що становлять спільний інтерес, в рамках Групи з питань стійкості критично важливих суб’єктів. Зважаючи на чутливий характер агрегованої інформації, включеної до такого зведеного звіту, незалежно від того, чи така інформація є секретною, Комісія має поводитися з таким зведеним звітом із належним рівнем обізнаності щодо безпеки критично важливих суб’єктів, держав-членів і Союзу. Такий зведений звіт і стратегії мають бути захищені від незаконних або зловмисних дій і бути доступними лише для уповноважених осіб для досягнення цілей цієї Директиви. Повідомлення про стратегії та суттєві оновлення до них має також допомагати Комісії зрозуміти розвиток підходів до забезпечення стійкості критично важливих суб’єктів та сприяти моніторингу впливу й доданої цінності цієї Директиви, яку Комісії належить періодично переглядати.

(15) Дії держав-членів, спрямовані на виявлення та сприяння забезпеченню стійкості критично важливих суб’єктів, мають ґрунтуватися на підході, який оснований на оцінці ризиків і який зосереджений на суб’єктах, що мають найбільше значення для виконання життєво важливих суспільних функцій або здійснення економічної діяльності. Для забезпечення такого цілеспрямованого підходу кожна держава-член в рамках гармонізованої системи має виконати оцінювання відповідних природних і антропогенних ризиків, у тому числі тих, що мають міжсекторальний або транскордонний характер, які можуть вплинути на надання основних послуг, у тому числі ризики нещасних випадків, стихійних лих, надзвичайних ситуацій у сфері громадського здоров’я, як-то пандемій та гібридних загроз, або інших антагоністичних загроз, у тому числі терористичних злочинів, кримінального проникнення і саботажу ("оцінювання ризиків державою-членом"). Оцінюючи ризики, держави-члени мають брати до уваги результати інших загальних або секторальних оцінювань ризиків, проведених відповідно до інших правових актів Союзу, а також враховувати ступінь взаємозалежності секторів, у тому числі їх залежності від секторів в інших державах-членах і третіх країнах. Результати оцінювань ризиків державами-членами мають використовуватися з метою визначення критично важливих суб’єктів та надання допомоги таким суб’єктам у виконанні їхніх вимог щодо забезпечення стійкості. Ця Директива застосовується лише до держав-членів та критично важливих суб’єктів, що здійснюють діяльність у межах Союзу. Тим не менше, досвід і знання, отримані компетентними органами, зокрема завдяки оцінюванню ризиків, і Комісією, зокрема через різні форми підтримки і співпраці, можуть бути використані, де це доречно, і відповідно до застосовних правових інструментів на користь третіх країн, зокрема тих, що є безпосередніми сусідами Союзу, шляхом сприяння існуючій співпраці з питань забезпечення стійкості.

(16) Щоб забезпечити застосовність до всіх відповідних суб’єктів вимог щодо забезпечення стійкості, визначених у цій Директиві, та зменшити розбіжності в цьому питанні, важливо встановити гармонізовані правила, які би давали змогу в узгоджений спосіб визначати критично важливі суб’єкти на всій території Союзу, водночас даючи змогу державам-членам адекватно відображати роль і важливість таких суб’єктів на національному рівні. Застосовуючи критерії, викладені в цій Директиві, кожна держава-член має визначити суб’єкти, які надають одну або декілька основних послуг, функціонують на її території і мають критичну інфраструктуру, розташовану на її території. Вважають, що суб’єкт функціонує на території держави-члена, в якій він здійснює діяльність, необхідну для надання відповідної основної послуги або відповідних основних послуг, і в якій розташована його критична інфраструктура, яку він використовує для надання такої послуги або таких послуг. Якщо жоден суб’єкт не відповідає таким критеріям у державі-члені, така держава-член не має бути зобов’язана визначати критично важливий суб’єкт у відповідному секторі або підсекторі. В інтересах дієвості, ефективності, послідовності та правової визначеності слід встановити відповідні правила щодо повідомлення суб’єктів про те, що вони були визначені як критично важливі суб’єкти.

(17) Держави-члени мають подавати Комісії у спосіб, що відповідає цілям цієї Директиви, список основних послуг, кількість критично важливих суб’єктів, визначених у кожному із секторів і підсекторів, визначених у додатку, а також стосовно основної послуги або основних послуг, надаваним кожним суб’єктом, та, у відповідних випадках, порогові значення. Має бути передбачена можливість представлення порогових значень як таких або в агрегованій формі, тобто інформація може бути усереднена за географічним районом, роками, секторами, підсекторами або іншими критеріями, а також може включати інформацію про діапазон наданих показників.

(18) Слід установити критерії для визначення значущості руйнівного впливу, спричиненого інцидентом. Такі критерії мають ґрунтуватися на критеріях, визначених у Директиві Європейського Парламенту і Ради (ЄС) 2016/1148 (- 6), для отримання вигоди від зусиль, докладених державами-членами для визначення операторів основних послуг, означених у цій Директиві, та досвіду, набутого в цьому питанні. Великі кризи, як-то пандемія COVID-19, показали важливість забезпечення безпеки ланцюга постачання та продемонстрували, як його порушення може мати негативний економічний та соціальний вплив у великій кількості секторів та в транскордонній площині. Тому державам-членам слід також враховувати, наскільки це можливо, вплив на ланцюг постачання при визначенні ступеня залежності інших секторів і підсекторів від основних послуг, надаваних критично важливими суб’єктами.

(19) Відповідно до застосовного права Союзу та національного права, зокрема Регламенту Європейського Парламенту і Ради (ЄС) 2019/452 (- 7), який встановлює рамку щодо скринінгу прямих іноземних інвестицій в Союзі, слід визнати потенційну загрозу, яку становить іноземна власність на об’єкти критичної інфраструктури в межах Союзу, оскільки від належного функціонування критичної інфраструктури залежать послуги, економіка, а також вільне пересування та безпека громадян Союзу.

(20) Директива (ЄС) 2022/2555 вимагає від суб’єктів, які належать до сектора цифрової інфраструктури та які можуть бути визначені як критично важливі суб’єкти відповідно до цієї Директиви, вживати належних і пропорційних технічних, операційних та організаційних заходів для управління ризиками, що становлять загрозу безпеці мережевих та інформаційних систем, а також повідомляти про значні інциденти та кіберзагрози. Оскільки загрози безпеці мережевих та інформаційних систем можуть мати різне походження, Директива (ЄС) 2022/2555 застосовує комплексний підхід, який охоплює всі загрози та спрямований на забезпечення стійкості мережевих та інформаційних систем, а також фізичних компонентів і середовища таких систем.

З огляду на те, що вимоги, встановлені в Директиві (ЄС) 2022/2555, щонайменше еквівалентні відповідним обов’язкам, встановленим у цій Директиві, обов’язки, встановлені у статті 11 і главах III, IV та VI цієї Директиви, не мають застосовуватися до суб’єктів, що належать до сектора цифрової інфраструктури, для уникнення дублювання та непотрібного адміністративного тягаря. Однак, враховуючи важливість послуг, надаваних суб’єктами, що належать до сектора цифрової інфраструктури, критично важливим суб’єктам у всіх інших секторах, держави-члени мають визначити, на основі критеріїв і з використанням процедури, передбаченої цією Директивою, суб’єктів сектора цифрової інфраструктури критично важливими суб’єктами. Відповідно, мають застосовуватися стратегії, оцінки ризиків держава-членів та заходи підтримки, визначені у главі II цієї Директиви. Держави-члени повинні мати можливість ухвалювати або зберігати положення національного права для досягнення вищого рівня стійкості таких критично важливих суб’єктів за умови, що такі положення узгоджені із застосовним правом Союзу.

(21) Право Союзу у сфері фінансових послуг встановлює комплексні вимоги до фінансових суб’єктів щодо управління всіма ризиками, яких вони зазнають, у тому числі операційними ризиками, та щодо забезпечення безперервної діяльності. Таке право включає регламенти Європейського Парламенту і Ради (ЄС) № 648/2012 (- 8), (ЄС) № 575/2013 (- 9) та (ЄС) № 600/2014 (- 10) і директиви Європейського Парламенту і Ради 2013/36/ЄС (- 11) та 2014/65/ЄС (- 12). Ця правова рамка доповнена Регламентом Європейського Парламенту і Ради (ЄС) 2022/2554 (- 13), який встановлює вимоги, застосовні до фінансових суб’єктів щодо управління ризиками, пов’язаними з інформаційно-комунікаційними технологіями (ІКТ), у тому числі щодо захисту фізичної інфраструктури ІКТ. Оскільки, таким чином, стійкість таких суб’єктів всебічно врегульована, стаття 11 і глави III, IV та VI цієї Директиви не мають застосовуватися до таких суб’єктів для уникнення дублювання та непотрібного адміністративного тягаря.

Однак, враховуючи важливість послуг, надаваних суб’єктами, що належать до фінансового сектора, критично важливим суб’єктам у всіх інших секторах, держави-члени мають визначити, на основі критеріїв і з використанням процедури, передбаченої цією Директивою, суб’єктів фінансового сектора критично важливими суб’єктами. Відповідно, мають застосовуватися стратегії, оцінки ризиків держава-членів та заходи підтримки, визначені у главі II цієї Директиви. Держави-члени повинні мати можливість ухвалювати або зберігати положення національного права для досягнення вищого рівня стійкості таких критично важливих суб’єктів за умови, що такі положення узгоджені із застосовним правом Союзу.

(22) Держави-члени мають визначити або створити органи, уповноважені здійснювати нагляд за застосуванням і, за необхідності, забезпечувати дотримання правил цієї Директиви, а також забезпечувати, щоб такі органи мали достатні повноваження та ресурси. З огляду на відмінності в національних структурах врядування, з метою захисту існуючих секторальних механізмів або наглядових і регуляторних органів Союзу, а також для уникнення дублювання держави-члени повинні мати можливість визначати або створювати декілька компетентних органів. Якщо держави-члени визначають або створюють декілька компетентних органів, вони мають чітко розмежовувати відповідні завдання таких органів і забезпечувати їхню безперебійну та дієву співпрацю. Усі компетентні органи мають також співпрацювати в ширшому розумінні з іншими відповідними органами як на рівні Союзу, так і на національному рівні.

(23) З метою сприяння транскордонній співпраці та комунікації, а також для забезпечення дієвої імплементації цієї Директиви кожна держава-член має, без обмеження вимог секторальних правових актів Союзу, визначити один єдиний контактний пункт, який би відповідав за координацію питань, пов’язаних із забезпеченням стійкості критично важливих суб’єктів і транскордонною співпрацею на рівні Союзу ("єдиний контактний пункт"), у відповідних випадках у межах компетентного органу. Кожен єдиний контактний пункт має підтримувати зв’язок і координувати комунікацію, у відповідних випадках із компетентними органами своєї держави-члена, з єдиними контактними пунктами інших держав-членів і з Групою з питань стійкості критично важливих суб’єктів.

(24) Компетентні органи відповідно до цієї Директиви та компетентні органи відповідно до Директиви (ЄС) 2022/2555 мають співпрацювати та обмінюватися інформацією щодо ризиків для кібербезпеки, кіберзагроз та кіберінцидентів, а також щодо не пов’язаних із кібербезпекою ризиків, загроз та інцидентів, що впливають на критично важливі суб’єкти, а також щодо відповідних заходів, ужитих компетентними органами відповідно до цієї Директиви та компетентними органами відповідно до Директиви (ЄС) 2022/2555. Важливо, щоб держави-члени забезпечили, щоб вимоги, передбачені цією Директивою та Директивою (ЄС) 2022/2555, впроваджувалися у взаємодоповнювальний спосіб і щоб критично важливі суб’єкти не зазнавали адміністративного тягаря, який виходить за межі необхідного для досягнення цілей цієї Директиви та Директиви (ЄС) 2022/2555.

(25) Держави-члени мають надавати підтримку критично важливим суб’єктам, у тому числі тим, що кваліфікуються як малі або середні підприємства, у посиленні їхньої стійкості на виконання обов’язків держав-членів, встановлених у цій Директиві, без обмеження власної юридичної відповідальності критично важливих суб’єктів за забезпечення виконання таких обов’язків, таким чином запобігаючи надмірному адміністративному тягарю. Держави-члени можуть, зокрема, розробляти інструктивні матеріали й методології, підтримувати організацію практичних сесій для випробування стійкості критично важливих суб’єктів, а також надавати консультації та проводити навчання персоналу критично важливих суб’єктів. Якщо це необхідно і виправдано цілями суспільного інтересу, держави-члени можуть надавати фінансові ресурси і мають сприяти добровільному обміну інформацією та належними практиками між критично важливими суб’єктами, без обмеження застосування правил щодо конкуренції, встановлених у Договорі про функціонування Європейського Союзу (ДФЄС).

(26) З метою посилення стійкості критично важливих суб’єктів, визначених державами-членами, та зменшення адміністративного тягаря для таких критично важливих суб’єктів компетентні органи мають консультуватися між собою, у відповідних випадках із метою забезпечення узгодженого застосування цієї Директиви. Такі консультації мають проводитися на запит будь-якого зацікавленого компетентного органу і мають бути спрямовані на забезпечення конвергентного підходу до взаємопов’язаних критично важливих суб’єктів, які використовують критичну інфраструктуру, що має фізичне сполучення між двома або декількома державами-членами, належать до одних і тих самих груп або корпоративних структур або які були визначені в одній державі-члені і надають основні послуги іншим державам-членам або в інших державах-членах.

(27) Якщо положення права Союзу або національного права вимагають від критично важливих суб’єктів оцінювати ризики, що стосуються цілей цієї Директиви, та вживати заходів для забезпечення власної стійкості, такі вимоги мають бути належним чином враховані з метою забезпечення нагляду за дотриманням критично важливими суб’єктами положень цієї Директиви.

(28) Критично важливі суб’єкти повинні мати всебічне розуміння відповідних ризиків, яких вони зазнають, та бути зобов’язаними аналізувати такі ризики. Для цього вони мають за необхідності проводити оцінювання ризиків з огляду на їхні конкретні обставини та еволюцію таких ризиків, але в будь-якому випадку кожні чотири роки, щоб оцінювати всі відповідні ризики, які можуть порушити надання ними основних послуг ("оцінювання ризиків критично важливим суб’єктом"). Якщо критично важливі суб’єкти виконали інші оцінювання ризиків або склали документи на виконання обов’язків, встановлених в інших правових актах, які є релевантними для їхнього оцінювання ризиків критично важливими суб’єктами, вони повинні мати можливість використовувати такі оцінки й документи для виконання вимог, встановлених у цій Директиві щодо оцінювання ризиків критично важливим суб’єктом. Компетентний орган повинен мати можливість визнати існуючі результати виконаного критично важливим суб’єктом оцінювання ризиків, в яких визначено відповідні ризики та відповідний ступінь залежності, такими, що повністю або частково відповідають обов’язкам, встановленим у цій Директиві.

(29) Критично важливі суб’єкти мають вживати технічних, безпекових та організаційних заходів, які є доцільними та пропорційними з огляду на ризики, яких вони зазнають, з метою запобігати інциденту, захищати від нього, реагувати на нього, протистояти йому, пом’якшувати, нейтралізувати його наслідки, врегульовувати його або відновлюватися від нього. Хоча критично важливі суб’єкти мають вживати таких заходів відповідно до цієї Директиви, деталі та обсяг таких заходів мають відображати різні ризики, які кожен критично важливий суб’єкт визначив у рамках свого оцінювання ризиків критично важливою установою, а також специфіку такого суб’єкта у належний і пропорційний спосіб. Для сприяння узгодженому підходу Союзу Комісія має за результатами консультацій із Групою з питань стійкості критично важливих суб’єктів ухвалити незобов’язальні настанови для подальшого визначення технічних, безпекових та організаційних заходів. Держави-члени мають забезпечити, щоб кожен критично важливий суб’єкт призначив зв’язкового офіцера або еквівалентного фахівця контактною особою в компетентних органах.

(30) В інтересах дієвості та підзвітності критично важливі суб’єкти мають описати заходи, яких вони вживають, з рівнем деталізації, який є достатнім для досягнення цілей дієвості та підзвітності, з урахуванням виявлених ризиків у плані забезпечення стійкості або в документі чи документах, який(- і) є еквівалентним(-и) плану забезпечення стійкості, та застосовувати такий план на практиці. Якщо критично важливий суб’єкт уже вжив технічних, безпекових та організаційних заходів та склав документи відповідно до інших правових актів, які є релевантними для заходів із посилення стійкості відповідно до цієї Директиви, він повинен мати можливість, з метою уникнення дублювання, використовувати такі заходи й документи для виконання вимог щодо заходів із забезпечення стійкості відповідно до цієї Директиви. Для уникнення дублювання компетентний орган повинен мати можливість визнати вжиті критично важливим суб’єктом існуючі заходи із забезпечення стійкості, які стосуються його обов’язку вживати технічних, безпекових та організаційних заходів відповідно до цієї Директиви, такими, що повністю або частково відповідають вимогам цієї Директиви.

(31) Регламенти Європейського Парламенту і Ради (ЄС) № 725/2004 (- 14) та (ЄС) № 300/2008 (- 15), а також Директива Європейського Парламенту і Ради 2005/65/ЄС (- 16) встановлюють вимоги, застосовні до суб’єктів у секторах авіаційного та морського транспорту для запобігання інцидентам, спричиненим незаконними діями, а також для протистояння наслідкам таких інцидентів і їх пом’якшення. Хоча заходи, що вимагаються відповідно до цієї Директиви, є ширшими з точки зору розглядуваних ризиків і типів заходів, яких належить вжити, критично важливі суб’єкти в цих секторах повинні відобразити у своєму плані забезпечення стійкості або еквівалентних документах заходи, вжиті відповідно до таких правових актів Союзу. Критично важливі суб’єкти також мають враховувати Директиву Європейського Парламенту і Ради 2008/96/ЄС (- 17), яка запроваджує оцінювання стану доріг у масштабах всієї мережі для картування ризиків виникнення нещасних випадків та цільового інспектування дорожньої безпеки з метою виявлення небезпечних умов, дефектів і проблем, що підвищують ризик нещасних випадків і травматизму, за результатами відвідування існуючих доріг або ділянок доріг. Забезпечення захисту та стійкості критично важливих суб’єктів є надзвичайно важливим для залізничного сектора, і при впровадженні заходів із забезпечення стійкості відповідно до цієї Директиви критично важливим суб’єктам рекомендовано дотримуватися незобов’язальних настанов і документів, що відображають належні практики, які розроблено в рамках секторальних напрямків роботи, як-то Платформи безпеки залізничних пасажирських перевезень ЄС, створеної Рішенням Комісії 2018/C 232/03 (- 18).

(32) Ризик того, що працівники критично важливих суб’єктів або їхні підрядники зловживатимуть, наприклад, своїми правами доступу в організації критично важливого суб’єкта з метою заподіяння шкоди, викликає дедалі більше занепокоєння. Тому держави-члени мають визначити умови, за яких критично важливим суб’єктам дозволено, у належним чином обґрунтованих випадках і з урахуванням результатів оцінювань ризиків державами-членами, подавати запити про проведення перевірок анкетних даних осіб, які належать до певних категорій їхнього персоналу. Слід забезпечити, щоб відповідні органи оцінювали такі запити в межах розумних строків та опрацьовували їх відповідно до національного права і національних процедур, а також відповідно до застосовного права Союзу, в тому числі про захист персональних даних. Щоб підтвердити ідентифікаційні дані особи, яка підлягає перевірці анкетних даних, державам-членам доцільно вимагати посвідчення особи, як-то паспорт, національне посвідчення особи або цифрову форму ідентифікації, відповідно до застосовного права.

Перевірка анкетних даних має включати перевірку інформації про судимості відповідної особи. Держави-члени мають використовувати Європейську систему інформації про судимості згідно з процедурами, визначеними в Рамковому рішенні Ради 2009/315/ЮВС (- 19) та, у відповідних випадках, коли це застосовно, в Регламенті Європейського Парламенту і Ради (ЄС) 2019/816 (- 20), для отримання інформації з реєстрів судимостей, які ведуть інші держави-члени. Держави-члени можуть також, у відповідних випадках, коли це застосовно, використовувати Шенгенську інформаційну систему другого покоління (SIS II), створену Регламентом Європейського Парламенту і Ради (ЄС) 2018/1862 (- 21), розвідувальні дані та будь-яку іншу наявну об’єктивну інформацію, яка може бути необхідною для визначення придатності до роботи на посаді відповідної особи, щодо якої критично важливий суб’єкт запитує перевірку анкетних даних.

(33) Слід створити механізм повідомлення про певні інциденти, який дасть змогу компетентним органам швидко та адекватно реагувати на інциденти, а також мати повне уявлення про вплив, характер, причину та можливі наслідки інцидентів, з якими мають справу критично важливі суб’єкти. Критично важливі суб’єкти мають без необґрунтованої затримки повідомляти компетентні органи про інциденти, які суттєво порушують або можуть суттєво порушити надання основних послуг. Крім випадків, коли вони не мають операційної можливості це зробити, критично важливі суб’єкти мають подавали початкове повідомлення не пізніше ніж через 24 години після того, як їм стане відомо про інцидент. Таке початкове повідомлення має містити лише ту інформацію, яка є суворо необхідною для того, щоб компетентний орган дізнався про інцидент і зміг за потреби звернутися по допомогу. У такому повідомленні має бути за можливості вказана ймовірна причина інциденту. Держави-члени мають забезпечити, щоб вимога подавати таке початкове повідомлення не відволікала ресурси критично важливого суб’єкта від діяльності, пов’язаної зі врегулюванням інциденту, яка має бути пріоритетною. Після такого початкового повідомлення у відповідних випадках має бути поданий детальний звіт не пізніше ніж через місяць після інциденту. Такий детальний звіт має доповнювати початкове повідомлення і надавати повніший огляд інциденту.

(34) Стандартизація має залишатися насамперед обумовленим ринком процесом. Однак досі можуть виникати ситуації, в яких доречно вимагати дотримання конкретних стандартів. Держави-члени мають у випадках, коли це корисно, заохочувати використання європейських або міжнародних стандартів і технічних специфікацій, які стосуються заходів із забезпечення безпеки і стійкості, застосовні до критично важливих суб’єктів.

(35) Хоча критично важливі суб’єкти, як правило, функціонують як частина дедалі взаємопов’язанішої мережі надання послуг та інфраструктури і часто надають основні послуги в декількох державах- членах, деякі з таких критично важливих суб’єктів мають особливе значення для Союзу та його внутрішнього ринку, оскільки вони надають основні послуги не менше шести державам-членам і в не менше шести державах-членах, а отже, можуть користуватися конкретною підтримкою на рівні Союзу. Тому слід встановити правила щодо дорадчих місій стосовно таких критично важливих суб’єктів, що мають особливе значення для Європи. Такі правила не обмежують правил щодо нагляду та правозастосуванням, визначеним у цій Директиві.

(36) На обґрунтований запит Комісії або однієї чи декількох держав-членів, яким або в яких надаються основні послуги, якщо необхідна додаткова інформація для надання консультацій критично важливому суб’єкту щодо виконання ним своїх обов’язків відповідно до цієї Директиви або для оцінювання виконання критично важливим суб’єктом, що має особливе значення для Європи, таких обов’язків, держава-член, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом, має надати Комісії певну інформацію, визначену в цій Директиві. За погодженням із державою-членом, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом, Комісія повинна мати можливість організувати дорадчу місію для оцінювання заходів, запроваджених таким суб’єктом. Щоб забезпечити належне проведення таких дорадчих місій, слід установити додаткові правила, зокрема щодо організації та проведення таких дорадчих місій, подальших дій, яких належить вжити, та обов’язків для відповідних критично важливих суб’єктів, що мають особливе значення для Європи. Дорадча місія має, без обмеження потреби в дотриманні державою-членом, в якій проводиться дорадча місія, та відповідним критично важливим суб’єктом правил, встановлених у цій Директиві, здійснюватися згідно з детальними нормами права такої держави-члена, наприклад, щодо точних умов, які необхідно виконати для отримання доступу до відповідних приміщень або документів, та щодо судового захисту. Конкретні експертні знання, необхідні для таких дорадчих місій, можуть, у відповідних випадках, бути запитані через Координаційний центр реагування на надзвичайні ситуації, створений Рішенням Європейського Парламенту і Ради № 1313/2013/ЄС (- 22).

(37) З метою підтримки Комісії та сприяння співпраці між державами-членами й обміну інформацією, в тому числі найкращими практиками, з питань, що стосуються цієї Директиви, слід створити Групу з питань стійкості критично важливих суб’єктів як групу експертів Комісії. Держави-члени мають докладати зусиль для забезпечення дієвої та ефективної співпраці між призначеними представниками своїх компетентних органів у Групі з питань стійкості критично важливих суб’єктів, у тому числі, у відповідних випадках, шляхом призначення представників, які мають допуск до секретної інформації. Група з питань стійкості критично важливих суб’єктів має розпочати виконання своїх завдань якомога швидше, щоб забезпечити додаткові засоби для належної співпраці протягом періоду транспонування цієї Директиви. Група з питань стійкості критично важливих суб’єктів має взаємодіяти з іншими відповідними секторальними експертними робочими групами.

(38) Група з питань стійкості критично важливих суб’єктів має співпрацювати з Групою з питань співпраці, створеною відповідно до Директиви (ЄС) 2022/2555, для підтримки всеосяжних рамок щодо забезпечення кіберстійкості та інших видів стійкості критично важливих суб’єктів. Група з питань стійкості критично важливих суб’єктів та Група з питань співпраці, створена відповідно до Директиви (ЄС) 2022/2555, повинні вести регулярний діалог для сприяння співпраці між компетентними органами відповідно до цієї Директиви та компетентними органами відповідно до Директиви (ЄС) 2022/2555, а також для сприяння обміну інформацією, зокрема з питань, що стосуються обох груп.

(39) Для досягнення цілей цієї Директиви та без обмеження юридичної відповідальності держав-членів і критично важливих суб’єктів за забезпечення дотримання їхніх відповідних обов’язків, встановлених у цій Директиві, Комісія має, якщо вважає це доцільним, надавати підтримку компетентним органам і критично важливим суб’єктам для сприяння виконанню ними своїх відповідних обов’язків. Надаючи підтримку державам-членам і критично важливим суб’єктам у виконанні обов’язків за цією Директивою, Комісія має спиратися на існуючі структури й інструменти, як-то передбачені Механізмом цивільного захисту Союзу, запровадженого Рішенням № 1313/2013/ЄС, та Європейською референтною мережею з питань захисту критичної інфраструктури. Крім того, вона має інформувати держави-члени про ресурси, доступні на рівні Союзу, як-то Фонд внутрішньої безпеки, створений Регламентом Європейського Парламенту і Ради (ЄС) 2021/1149 (- 23), програму "Горизонт Європа", запроваджену Регламентом Європейського Парламенту і Ради (ЄС) 2021/695 (- 24), або інші інструменти, які є релевантними для забезпечення стійкості критично важливих суб’єктів.

(40) Держави-члени мають забезпечити, щоб їхні компетентні органи мали певні конкретні повноваження для належного застосування та забезпечення виконання цієї Директиви стосовно критично важливих суб’єктів, якщо такі суб’єкти належать до їхньої юрисдикції, як зазначено в цій Директиві. Такі повноваження мають включати, зокрема, повноваження проводити інспекції та аудити, повноваження здійснювати нагляд, повноваження вимагати від критично важливих суб’єктів надання інформації та доказів, що стосуються заходів, вжитих ними на виконання своїх обов’язків, а також, за необхідності, повноваження видавати приписи щодо усунення виявлених порушень. Видаючи такі приписи, держави-члени не мають вимагати вжиття заходів, які виходять за межі того, що є необхідним і пропорційним для забезпечення дотримання вимог відповідними критично важливими суб’єктами, беручи до уваги, зокрема, серйозність порушення та економічну спроможність відповідного критично важливого суб’єкта. Загалом такі повноваження мають супроводжуватися належними та дієвими гарантіями, які мають бути визначені в національному праві відповідно до Хартії фундаментальних прав Європейського Союзу. Оцінюючи дотримання критично важливим суб’єктом своїх обов’язків, встановлених у цій Директиві, компетентні органи відповідно до цієї Директиви повинні мати можливість звернутися до компетентних органів відповідно до Директиви (ЄС) 2022/2555 із запитом про здійснення своїх наглядових та правозастосовчих повноважень стосовно суб’єкта відповідно до цієї Директиви, якого визначено критично важливим суб’єктом відповідно до цієї Директиви. Для цього компетентні органи відповідно до цієї Директиви та компетентні органи відповідно до Директиви (ЄС) 2022/2555 мають співпрацювати та обмінюватися інформацією.

(41) Щоб застосувати цю Директиву в дієвий та узгоджений спосіб, Комісії слід делегувати повноваження ухвалювати акти відповідно до статті 290 ДФЄС для доповнення цієї Директиви шляхом складення переліку основних послуг. Компетентні органи мають використовувати такий список для цілей оцінювання ризиків державами-членами та визначення критично важливих суб’єктів відповідно до цієї Директиви. З огляду на мінімальний підхід до гармонізації цієї Директиви, такий список не є повним, і держави-члени можуть доповнювати його додатковими основними послугами на національному рівні з метою врахування національних особливостей у наданні основних послуг. Особливо важливо, щоб Комісія проводила належні консультації під час своєї підготовчої роботи, у тому числі на експертному рівні, та щоб такі консультації проводили згідно з принципами, встановленими у Міжінституційній угоді про краще законотворення від 13 квітня 2016 року (- 25). Зокрема, для забезпечення рівної участі в підготовці делегованих актів Європейський Парламент і Рада отримують усі документи одночасно з експертами держав-членів, а їхні експерти мають систематичний доступ до засідань груп експертів Комісії, які займаються підготовкою делегованих актів.

(42) Щоб забезпечити однакові умови імплементації цієї Директиви, слід надати Комісії виконавчі повноваження. Такі повноваження мають здійснюватися згідно з Регламентом Європейського Парламенту і Ради (ЄС) № 182/2011(- 26).

(43) Оскільки держави-члени не можуть достатньою мірою досягти цілей цієї Директиви, а саме забезпечення безперешкодного надання послуг, які є критично важливими для підтримки життєво важливих суспільних функцій або економічної діяльності, на внутрішньому ринку та посилення стійкості критично важливих суб’єктів, що надають такі послуги, а радше, з огляду на наслідки дії, такі цілі можуть бути краще досягнуті на рівні Союзу, Союз може ухвалювати інструменти відповідно до принципу субсидіарності, визначеного у статті 5 Договору про Європейський Союз. Згідно з принципом пропорційності, визначеним у зазначеній статті 5, ця Директива не виходить за межі необхідного для досягнення таких цілей.

(44) Було проведено консультації з Європейським інспектором із захисту даних відповідно до статті 42(1) Регламенту Європейського Парламенту і Ради (ЄС) № 2018/1725 (- 27), який 11 серпня 2021 року надав свій висновок.

(45) Таким чином, Директиву 2008/114/ЄС слід скасувати,

УХВАЛИЛИ ЦЮ ДИРЕКТИВУ:

1. Ця Директива:

(a) встановлює обов’язки держав-членів щодо вжиття конкретних заходів, спрямованих на забезпечення надання послуг, які є важливими для підтримання життєво важливих суспільних функцій або економічної діяльності у сфері застосування статті 114 ДФЄС, безперешкодно на внутрішнього ринку, зокрема обов’язки з визначення критично важливих суб’єктів, а також підтримувати критично важливі суб’єкти у задоволенні покладених на них обов’язків;

(b) встановлює обов’язки критично важливих суб’єктів, спрямовані на посилення їхньої стійкості та здатності надавати послуги, згадані в пункті (a), на внутрішньому ринку;

(c) встановлює правила:

(i) щодо нагляду за критично важливими суб’єктами;

(ii) щодо правозастосування;

(iii) щодо визначення критично важливих суб’єктів, що мають особливе значення для Європи, та щодо дорадчих місій для оцінювання заходів, які такі суб’єкти запровадили для виконання своїх обов’язків відповідно до глави III;

(d) встановлює спільні процедури співпраці та звітування щодо застосування цієї Директиви;

(e) встановлює заходи з метою досягнення високого рівня стійкості критично важливих суб’єктів, щоб забезпечити надання основних послуг у межах Союзу та для покращення функціонування внутрішнього ринку.

2. Ця Директива не застосовується до питань, охоплених Директивою (ЄС) 2022/2555, без обмеження статті 8 цієї Директиви. З огляду на пов’язаність фізичної безпеки та кібербезпеки критично важливих суб’єктів держави-члени повинні забезпечити узгоджену імплементацію цієї Директиви та Директиви (ЄС) 2022/2555.

3. Якщо положення секторальних правових актів Союзу вимагають від критично важливих суб’єктів вживати заходів для посилення їхньої стійкості та якщо такі вимоги визнано державами-членами як такі, що є принаймні еквівалентними відповідним обов’язкам, встановленим у цій Директиві, відповідні положення цієї Директиви, в тому числі положення про нагляд та правозастосування, встановлені у главі VI, не застосовуються.

4. Без обмеження статті 346 ДФЄС, інформацією, яка є конфіденційною відповідно до правил Союзу чи національних правил, як-то правил щодо комерційної таємниці, належить обмінюватися з Комісією та іншими відповідними органами згідно з цією Директивою тільки у випадках, коли такий обмін необхідний для застосування цієї Директиви. Обсяг інформації, що підлягає обміну, повинен бути обмежений до рівня, який є доцільним та пропорційним із точки зору мети такого обміну. Обмінюючись інформацією, належить зберігати її конфіденційність та захищати безпекові та комерційні інтереси критично важливих суб’єктів, поважаючи при цьому безпеку держав-членів.

5. Ця Директива не обмежує відповідальності держав-членів за забезпечення національної безпеки й оборони та їхніх повноважень щодо забезпечення інших основних функцій держави, у тому числі забезпечення територіальної цілісності та підтримання правопорядку.

6. Цю Директиву не застосовують до суб’єктів публічної адміністрації, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони та правоохоронної діяльності, включно з розслідуванням, виявленням кримінальних правопорушень та притягненням відповідальності за їх вчинення.

7. Держави-члени можуть вирішити, що стаття 11 і глави III, IV та VI повністю або частково не повинні застосовуватися до конкретних критично важливих суб’єктів, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, включно з розслідуванням, виявленням кримінальних правопорушень та притягнення до відповідальності за їх вчинення, або які надають послуги виключно суб’єктам публічної адміністрації, згаданим у параграфі 6 цієї статті.

8. Обов’язки, встановлені в цій Директиві, не передбачають надання інформації, розкриття якої суперечитиме суттєвим інтересам національної безпеки, громадської безпеки чи оборони держав-членів.

9. Ця Директива не обмежує дію права Союзу про захист персональних даних, зокрема Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 (- 28) і Директиви Європейського Парламенту і Ради 2002/58/ЄС (- 29).

Для цілей цієї Директиви застосовують такі терміни та означення:

(1) "критично важливий суб’єкт" означає публічний або приватний суб’єкт, визначений державою-членом відповідно до статті 6 як такий, що належить до однієї з категорій, визначених у третьому стовпці в таблиці у додатку;

(2) "стійкість" означає здатність критично важливого суб’єкта запобігати інциденту, захищати від нього, реагувати на нього, протистояти йому, пом’якшувати, нейтралізувати його наслідки, врегульовувати його або відновлюватися від нього;

(3) "інцидент" означає подію, яка потенційно може суттєво порушити або яка порушує надання основних послуг, у тому числі коли це стосується національних систем, що забезпечують верховенство права;

(4) "критична інфраструктура" означає актив, об’єкт, обладнання, мережу чи систему або частину такого активу, об’єкта, обладнання, мережі або системи, що є необхідною(-им) для надання основних послуг;

(5) "основна послуга" означає послугу, яка є критично важливою для підтримування життєво важливих суспільних функцій, економічної діяльності, громадського здоров’я та громадської безпеки або довкілля;

(6) "ризик" означає можливість втрати або порушення внаслідок інциденту, виражену як поєднання масштабу такої втрати або порушення та ймовірності виникнення інциденту;

(7) "оцінювання ризику" означає загальний процес визначення характеру і масштабу ризику шляхом виявлення й аналізу потенційних відповідних загроз, вразливостей і небезпечних факторів, які можуть призвести до інциденту, а також шляхом оцінювання потенційної втрати або потенційного порушення надання основної послуги внаслідок такого інциденту;

(8) "стандарт" означає стандарт у розумінні пункту (1) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) № 1025/2012 (- 30);

(9) "технічна специфікація" означає технічну специфікацію в розумінні пункту (4) статті 2 Регламенту (ЄС) № 1025/2012;

(10) "суб’єкт публічного адміністрування" означає суб’єкт, визнаний таким у державі-члені відповідно до національного права, за винятком органів судової влади, парламентів або центральних банків, який відповідає таким критеріям:

(a) його створено з метою задоволення потреб, що становлять загальний інтерес, і він не має промислового або комерційного характеру;

(b) він має правосуб’єктність або наділений правом згідно із законом діяти від імені іншого суб’єкта з правосуб’єктністю;

(c) він отримує фінансування переважно від органів державної влади або від інших органів центрального рівня, які регулюються публічним правом, перебуває під управлінським наглядом зазначених органів або має адміністративну, наглядову раду чи раду правління, в якій більше половини членів призначають органи державної влади або інші органи центрального рівня, які регулюються публічним правом;

(d) він уповноважений адресувати фізичним або юридичним особам адміністративні чи регуляторні рішення, що впливають на їхні права у сфері транскордонного руху осіб, товарів, послуг або капіталу.

Ця Директива не перешкоджає державам-членам ухвалювати чи зберігати положення національного права з метою досягнення вищого рівня стійкості критично важливих суб’єктів за умови, що такі положення узгоджені з обов’язками держав-членів, встановленими у праві Союзу.

1. За результатами консультацій, які, наскільки це можливо з практичної точки зору, відкриті для відповідних стейкхолдерів, кожна держава-член повинна до 17 січня 2026 року ухвалити стратегію посилення стійкості критично важливих суб’єктів ("стратегія"). Така стратегія повинна визначати стратегічні цілі та інструменти політики, спираючись на релевантні існуючі національні і секторальні стратегії, плани чи подібні документи, з метою досягнення та підтримування високого рівня стійкості з боку критично важливих суб’єктів та охоплення принаймні секторів, визначених у додатку.

2. Кожна стратегія повинна містити принаймні такі елементи:

(a) стратегічні цілі та пріоритети для посилення загальної стійкості критично важливих суб’єктів із урахуванням транскордонної і міжсекторальної залежності та взаємозалежності;

(b) рамка управління для досягнення таких стратегічних цілей і пріоритетів, включно з описом ролей та обов’язків різних органів, критично важливих суб’єктів та інших сторін, що беруть участь у реалізації цієї стратегії;

(c) опис заходів, необхідних для посилення загальної стійкості критично важливих суб’єктів, включно з описом оцінювання ризиків, згаданого у статті 5;

(d) опис процесу, за допомогою якого визначають критично важливі суб’єкти;

(e) опис процесу підтримки критично важливих суб’єктів відповідно до цієї глави, включно із заходами для посилення співпраці між публічним сектором, з одного боку, і приватним сектором і публічними й приватними суб’єктами, з іншого боку;

(f) перелік основних органів і відповідних стейкхолдерів, крім критично важливих суб’єктів, що беруть участь у реалізації стратегії;

(g) рамка політики щодо координації між компетентними органами згідно з цією Директивою ("компетентні органи") та компетентними органами згідно з Директивою (ЄС) 2022/2555 з метою обміну інформацією щодо ризиків для кібербезпеки, кіберзагроз та кіберінцидентів, а також не пов’язаних із кібербезпекою ризиків, загроз та інцидентів та виконання наглядових завдань;

(h) опис уже запроваджених заходів, спрямованих на сприяння виконанню обов’язків відповідно до глави III цієї Директиви малими й середніми підприємствами у розумінні додатка до Рекомендації Комісії 2003/361/ЄС (- 31), які відповідна держава-член визначила як критично важливі суб’єкти.

За результатами консультацій, які, наскільки це можливо з практичної точки зору, відкриті для відповідних стейкхолдерів, держави-члени повинні оновлювати свої стратегії принаймні один раз на чотири роки.

3. Держави-члени повинні надавати свої стратегії та їхні суттєві оновлення Комісії впродовж трьох місяців із моменту їх ухвалення.

1. Комісія уповноважена до 17 листопада 2023 року ухвалити делегований акт відповідно до статті 23 на доповнення цієї Директиви шляхом установлення неповного списку основних послуг у секторах і підсекторах, визначених у додатку. Компетентні органи повинні використовувати такий список основних послуг для цілей оцінювання ризиків ("оцінювання ризиків державою-членом") до 17 січня 2026 року, після того за необхідності та принаймні один раз на чотири роки. Компетентні органи повинні використовувати оцінки ризиків держав-членів для цілей визначення критично важливих суб’єктів відповідно до статті 6 та надання допомоги таким критично важливим суб’єктам у вжитті заходів відповідно до статті 13.

Оцінки ризиків держав-членів повинні враховувати відповідні природні та антропогенні ризики, в тому числі ті, що мають міжсекторальний або транскордонний характер, нещасні випадки, стихійні лиха, надзвичайні ситуації у сфері громадського здоров’я та гібридні загрози чи інші антагоністичні загрози, у тому числі терористичні злочини, як передбачено в Директиві Європейського Парламенту і Ради (ЄС) 2017/541 (- 32).

2. При оцінюванні ризиків держави-члени повинні враховувати принаймні таке:

(a) результати загального оцінювання ризиків, виконаного відповідно до статті 6(1) Рішення 1313/2013/ЄС;

(b) результати інших релевантних оцінювань ризиків, виконаних відповідно до вимог відповідних секторальних правових актів Союзу, у тому числі регламентів Європейського Парламенту і Ради (ЄС) 2017/1938 (- 33) та (ЄС) 2019/941 (- 34) і директив Європейського Парламенту і Ради 2007/60/ЄС (- 35) та 2012/18/ЄС (- 36);

(c) відповідні ризики, що виникають у зв’язку зі ступенем взаємозалежності секторів, визначених у додатку, у тому числі у зв’язку зі ступенем їхньої залежності від суб’єктів, розташованих у межах інших держав-членів і третіх країн, а також зі впливом, який суттєве порушення роботи в одному секторі може мати на інші сектори, в тому числі будь-які значні ризики для громадян і внутрішнього ринку;

(d) будь-яка інформація про інциденти, повідомлені відповідно до статті 15.

Для цілей пункту (c) першого підпараграфа, держави-члени повинні співпрацювати з компетентними органами інших держав-членів та компетентними органами третіх країн, залежно від випадку.

3. Держави-члени повинні надавати доступ до відповідних елементів оцінок ризиків держав-членів, у відповідних випадках через свої єдині контактні пункти, критично важливим суб’єктам, яких вони визначили відповідно до статті 6. Держави-члени повинні забезпечити, щоб інформація, надана критично важливим підприємствам, допомагала їм у виконанні їхніх оцінювань ризиків відповідно до статті 12 та у вжитті заходів для забезпечення їхньої стійкості відповідно до статті 13.

4. Протягом трьох місяців із моменту виконання державою-членом оцінювання ризиків держава-член повинна надати Комісії відповідну інформацію про типи ризиків, виявлених за результатами оцінювання ризиків державою-членом, та про результати такого оцінювання ризиків із розподілом за секторами й підсекторами, визначеними в додатку.

5. Комісія повинна у співпраці з державами-членами розробити добровільну форму спільної звітності для цілей досягнення відповідності положенням параграфа 4.

1. До 17 липня 2026 року кожна держава-член повинна визначити критично важливі суб’єкти в секторах і підсекторах, визначених у додатку.

2. Якщо держава-член визначає критично важливі суб’єкти відповідно до параграфа 1, вона повинна враховувати результати оцінювання ризиків державою-членом та її стратегію і застосовувати всі зазначені нижче критерії:

(a) суб’єкт надає одну або декілька основних послуг;

(b) суб’єкт здійснює діяльність на території такої держави-члена, і його критична інфраструктура розташована на території такої держави-члена; та

(c) інцидент мав би значні негативні наслідки, визначені у статті 7(1), для надання таким суб’єктом однієї або декількох основних послуг або для надання інших основних послуг у визначених у додатку секторах, які залежать від такого суб’єкта або таких основних послуг.

3. Кожна держава-член повинна встановити список критично важливих суб’єктів, визначених відповідно до параграфа 2, та забезпечити повідомлення таких критично важливих суб’єктів про те, що їх визначено критично важливими суб’єктами, протягом одного місяця з моменту такого визначення. Держави-члени повинні поінформувати такі критично важливі суб’єкти про їхні обов’язки відповідно до глав III та IV, а також про дату, з якої до них застосовні такі обов’язки, без обмеження положень статті 8. Держави-члени повинні поінформувати критично важливі суб’єкти в секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку, про те, що вони не мають обов’язків відповідно до глав III та IV, крім випадків, коли національними інструментами передбачено інше.

Для відповідних критично важливих суб’єктів глава III повинна почати застосовуватися через 10 місяців після дати повідомлення, згаданого в першому підпараграфі цього параграфа.

4. Держави-члени повинні забезпечити, щоб їхні компетентні органи відповідно до цієї Директиви повідомляли компетентні органи відповідно до Директиви (ЄС) 2022/2555 про критично важливі суб’єкти, яких вони визначили відповідно до цієї статті, протягом одного місяця з моменту такого визначення. У такому повідомленні повинно бути вказано, у відповідних випадках, що відповідні критично важливі суб’єкти є суб’єктами в секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку до цієї Директиви, та не мають обов’язків відповідно до глав III та IV цієї Директиви.

5. Держави-члени повинні за необхідності та в будь-якому випадку принаймні кожні чотири роки переглядати та, у відповідних випадках, оновлювати список визначених критично важливих суб’єктів, згаданий у параграфі 3. Якщо такі оновлення призводять до визначення додаткових критично важливих суб’єктів, параграфи 3 та 4 повинні застосовуватися до таких додаткових критично важливих суб’єктів. Крім того, держави-члени повинні забезпечити, щоб суб’єкти, які більше не визначені як критично важливі суб’єкти за результатами будь-якого такого оновлення, отримували відповідне повідомлення про це і про те, що на них більше не поширюються обов’язки відповідно до глави III з дати отримання такого повідомлення.

6. Комісія повинна у співпраці з державами-членами розробити рекомендації та незобов’язальні настанови для надання підтримки державам-членам у визначенні критично важливих суб’єктів.

1. При визначенні того, наскільки значними є негативні наслідки, згадані в пункті (c) статті 6(2), держави-члени повинні враховувати такі критерії:

(a) кількість користувачів, які покладаються на основну послугу, яку надає відповідний суб’єкт;

(b) ступінь залежності інших секторів і підсекторів, визначених у додатку, від відповідної основної послуги;

(c) вплив, який можуть мати інциденти, з точки зору ступеню й тривалості, на економічну та суспільну діяльність, довкілля, громадську безпеку та безпеку або на здоров’я населення;

(d) ринкова частка суб’єкта на ринку відповідної основної послуги або відповідних основних послуг;

(e) географічний район, на який може вплинути інцидент, у тому числі будь-який транскордонний вплив, із урахуванням вразливості, пов’язаної зі ступенем ізоляції певних типів географічних районів, як-то острівних регіонів, віддалених регіонів або гірських районів;

(f) важливість суб’єкта для підтримки достатнього рівня основної послуги з урахуванням доступності альтернативних засобів для надання такої основної послуги.

2. Після визначення критично важливих суб’єктів відповідно до статті 6(1) кожна держава-член повинна невідкладно подавати Комісії зазначену нижче інформацію:

(a) список основних послуг у такій державі-члені за наявності будь-яких додаткових основних послуг порівняно зі списком основних послуг, згаданим у статті 5(1);

(b) кількість критично важливих суб’єктів у кожному секторі та підсекторі, визначеному в додатку, та стосовно кожної основної послуги;

(c) будь-які порогові значення, застосовані для визначення одного чи декількох критеріїв у параграфі 1.

Порогові значення, згадані в пункті (c) першого підпараграфа, можуть бути представлені як такі в агрегованій формі.

Держави-члени повинні в подальшому подавати інформацію, згадану в першому підпараграфі, за необхідності та принаймні один раз на чотири роки.

3. Комісія повинна за результатами консультацій із Групою з питань стійкості критично важливих суб’єктів, згаданою у статті 19, ухвалити незобов’язальні настанови для сприяння застосуванню критеріїв, згаданих у параграфі 1 цієї статті, з урахуванням інформації, згаданої в параграфі 2 цієї статті.

Держави-члени повинні забезпечити, щоб стаття 11 і глави III, IV та VI не застосовувалися до критично важливих суб’єктів, яких вони визначили в секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку. Держави-члени можуть ухвалити або зберігати положення національного права для досягнення вищого рівня стійкості таких критично важливих суб’єктів за умови, що такі положення узгоджені із застосовним правом Союзу.

1. Кожна держава-член повинна визначити або створити один або декілька компетентних органів, відповідальних за коректне застосування та, за необхідності, забезпечення застосування правил, визначених у цій Директиві, на національному рівні.

Що стосується критично важливих суб’єктів у секторах, визначених у пунктах 3 та 4 таблиці в додатку до цієї Директиви, компетентні органи повинні, в принципі, бути компетентними органами, згаданими у статті 46 Регламенту (ЄС) 2022/2554. Що стосується критично важливих суб’єктів у секторі, визначеному в пункті 8 таблиці в додатку до цієї Директиви, компетентні органи повинні, в принципі, бути компетентними органами відповідно до Директиви (ЄС) 2022/2555. Держави-члени можуть визначити інший компетентний орган у секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку до цієї Директиви, відповідно до існуючих національних рамок.

Якщо держави-члени визначають або створюють декілька компетентних органів, вони повинні чітко визначити завдання кожного з відповідних органів та забезпечити, щоб вони дієво співпрацювали для виконання своїх завдань відповідно до цієї Директиви, в тому числі в частині визначення й діяльності єдиного контактного пункту, згаданого в параграфі 2.

2. Кожна держава-член повинна визначити або створити один єдиний контактний пункт для виконання функції зв’язку для цілей забезпечення транскордонної співпраці з єдиними контактними пунктами інших держав-членів і Групи з питань стійкості критично важливих суб’єктів, згаданої у статті 19 ("єдиний контактний пункт"). У відповідних випадках держава-член повинна визначити свій єдиний контактний пункт у межах компетентного органу. У відповідних випадках держава-член може передбачити, що її єдиний контактний пункт повинен виконувати функцію зв’язку з Комісією та забезпечувати співпрацю з третіми країнами.