(2016/C 218/01)(Dz.U.UE C z dnia 16 czerwca 2016 r.)
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,
uwzględniając wniosek Komisji Europejskiej,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,
uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 1 ,
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą 2 ,
a także mając na uwadze, co następuje:
Sieci oraz systemy i usługi informatyczne pełnią ważną rolę w społeczeństwie. Ich niezawodność i bezpieczeństwo mają zasadnicze znaczenie dla działalności gospodarczej i społecznej, a w szczególności dla funkcjonowania rynku wewnętrznego.
(2) Skala, częstotliwość oraz wpływ incydentów w zakresie bezpieczeństwa stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Systemy te mogą się również stać obiektem umyślnych szkodliwych działań, mających na celu uszkodzenie lub przerwanie ich działania. Tego typu incydenty mogą utrudniać prowadzenie działalności gospodarczej, powodować znaczne straty finansowe, podważać zaufanie użytkowników oraz powodować poważne straty w gospodarce Unii.
(3) Sieci i systemy informatyczne, a przede wszystkim Internet, odgrywają istotną rolę w ułatwianiu transgranicznego przepływu towarów, usług i osób. Ze względu na ponadnarodowy charakter tych systemów, ich znaczne zakłócenia - niezależnie od tego, czy umyślne czy nieumyślne, oraz niezależnie od tego, gdzie występują - mogą mieć wpływ zarówno na poszczególne państwa członkowskie, jak i na całą na Unię. Bezpieczeństwo sieci i systemów informatycznych ma zatem zasadnicze znaczenie dla sprawnego funkcjonowania rynku wewnętrznego.
(4) Kontynuując poczynione w ramach Europejskiego Forum Państw Członkowskich znaczące postępy w zakresie prowadzenia dyskusji i wymiany doświadczeń dotyczących dobrych praktyk w dziedzinie polityki, w tym opracowanie zasad europejskiej współpracy na wypadek kryzysów w cyberprzestrzeni, należy utworzyć grupę współpracy, złożoną z przedstawicieli państw członkowskich, Komisji oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (zwanej dalej "ENISA") w celu wspierania i ułatwiania współpracy strategicznej między państwami członkowskimi w zakresie bezpieczeństwa sieci i systemów informatycznych. Aby grupa ta była skuteczna i dostępna dla wszystkich, konieczne jest, aby wszystkie państwa członkowskie posiadały minimalne zdolności i strategię zapewniające wysoki poziom bezpieczeństwa sieci i systemów informatycznych na ich terytorium. Ponadto wymogi dotyczące bezpieczeństwa i zgłaszania incydentów powinny mieć zastosowanie do operatorów usług kluczowych oraz do dostawców usług cyfrowych, aby propagować kulturę zarządzania ryzykiem i zapewnić zgłaszanie najpoważniejszych incydentów.
(5) Obecne zdolności nie są wystarczające do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii. Państwa członkowskie bardzo się różnią pod względem poziomu gotowości, co powoduje niejednolite podejście w ramach Unii. Prowadzi to do nierównego poziomu ochrony konsumentów i przedsiębiorców oraz negatywnie wpływa na ogólny poziom bezpieczeństwa sieci i systemów informatycznych w Unii. Z kolei brak wspólnych wymogów dotyczących operatorów usług kluczowych i dostawców usług cyfrowych uniemożliwia ustanowienie całościowego i skutecznego mechanizmu współpracy na poziomie Unii. Uczelnie i ośrodki badań naukowych mają do odegrania zasadniczą rolę w pobudzaniu badań, rozwoju i innowacyjności w tych obszarach.
(6) Skuteczne reagowanie na wyzwania związane z zapewnieniem bezpieczeństwa sieci i systemów informatycznych wymaga zatem przyjęcia całościowego podejścia na poziomie Unii, obejmującego wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych. Niemniej jednak operatorom usług kluczowych i dostawcom usług cyfrowych nie uniemożliwia się wdrażania bardziej rygorystycznych środków bezpieczeństwa niż te przewidziane w niniejszej dyrektywie.
(7) W celu uwzględnienia wszystkich istotnych incydentów i ryzyk niniejsza dyrektywa powinna mieć zastosowanie zarówno do operatorów usług kluczowych, jak i dostawców usług cyfrowych. Obowiązki nakładane na operatorów usług kluczowych i dostawców usług cyfrowych nie powinny jednak mieć zastosowania do przedsiębiorstw udostępniających publiczne sieci łączności lub świadczących publicznie dostępne usługi łączności elektronicznej w rozumieniu dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady 3 , które podlegają szczegółowym wymogom w zakresie bezpieczeństwa i integralności ustanowionym w tej dyrektywie, ani nie powinny mieć zastosowania do dostawców usług zaufania w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 4 , którzy podlegają wymogom w zakresie bezpieczeństwa określonym w tym rozporządzeniu.
(8) Niniejsza dyrektywa pozostaje bez uszczerbku dla możliwości podjęcia przez każde z państw członkowskich środków niezbędnych do zapewnienia ochrony podstawowych interesów jego bezpieczeństwa, do ochrony porządku publicznego i bezpieczeństwa publicznego oraz do umożliwienia prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw. Zgodnie z art. 346 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) żadne państwo członkowskie nie ma obowiązku udzielania informacji, których ujawnienie uznaje za sprzeczne z podstawowymi interesami jego bezpieczeństwa. W tym kontekście zastosowanie mają decyzja Rady 2013/488/UE 5 oraz umowy o nieujawnianiu lub nieformalne umowy o nieujawnianiu, takie jak reguły poufności TLP (Traffic Light Protocol).
(9) Niektóre sektory gospodarki są już regulowane lub mogą być w przyszłości regulowane sektorowymi aktami prawnymi Unii, które zawierają przepisy związane z bezpieczeństwem sieci i systemów informatycznych. W każdym przypadku gdy wspomniane akty prawne Unii zawierają przepisy nakładające wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych lub zgłoszeń incydentów, przepisy te należy stosować, o ile zawierają wymogi, które są co najmniej równoważne pod względem skutku obowiązkom zawartym w niniejszej dyrektywie. Państwa członkowskie powinny zatem stosować przepisy takiego sektorowego aktu prawnego Unii, w tym przepisy odnoszące się do jurysdykcji, i nie powinny prowadzić procedury identyfikowania operatorów usług kluczowych zgodnie z definicją zawartą w niniejszej dyrektywie. W tym kontekście państwa członkowskie powinny przekazywać Komisji informacje dotyczące stosowania takich przepisów szczególnych. Przy ustalaniu, czy wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych oraz zgłaszania incydentów zawarte w sektorowych aktach prawnych Unii są równoważne wymogom zawartym w niniejszej dyrektywie, należy uwzględniać wyłącznie przepisy odpowiednich aktów prawnych Unii i ich stosowanie w państwach członkowskich.
(10) W sektorze transportu wodnego wymogi w zakresie bezpieczeństwa dla przedsiębiorców, statków, obiektów portowych, portów i systemów ruchu statków obejmują zgodnie z aktami prawnymi Unii wszystkie działania, w tym również systemy radiowe i telekomunikacyjne, systemy komputerowe i sieci. Część obowiązkowych procedur postępowania obejmuje zgłaszanie wszystkich incydentów i powinna zatem być traktowana jako przepisy szczególne, o ile wymogi te są co najmniej równoważne odpowiednim przepisom niniejszej dyrektywy.
(11) Identyfikując operatorów w sektorze transportu wodnego, państwa członkowskie powinny, z myślą o zapewnieniu poszczególnym operatorom morskim spójnego podejścia, uwzględniać obecne i przyszłe międzynarodowe zasady i wytyczne opracowane w szczególności przez Międzynarodową Organizację Morską.
(12) Regulacje i nadzór w sektorach bankowości i infrastruktury rynków finansowych są w dużym stopniu zharmonizowane na poziomie Unii poprzez zastosowanie pierwotnego i wtórnego prawa Unii oraz norm opracowanych wspólnie z europejskimi organami nadzoru. W ramach unii bankowej stosowanie i nadzorowanie tych wymogów zapewniane jest przez jednolity mechanizm nadzorczy. W odniesieniu do państw członkowskich, które nie są częścią unii bankowej, zapewniane jest to przez odpowiednie bankowe organy regulacyjne państw członkowskich. W innych obszarach regulacji sektora finansowego Europejski System Nadzoru Finansowego również zapewnia wysoki stopień uspójnienia i konwergencji praktyk nadzorczych. Europejski Urząd Nadzoru Giełd i Papierów Wartościowych pełni również funkcję bezpośredniego nadzoru nad niektórymi podmiotami, a mianowicie agencjami ratingowymi i repozytoriami transakcji.
(13) Ryzyko operacyjne jest istotną częścią regulacji ostrożnościowej i nadzoru w sektorach bankowości i infrastruktury rynków finansowych. Obejmuje wszystkie operacje, w tym bezpieczeństwo, integralność i odporność sieci i systemów informatycznych. Wymogi w odniesieniu do tych systemów, które często wykraczają poza wymogi przewidziane w niniejszej dyrektywie, zawarte są w szeregu aktów prawnych Unii i obejmują: przepisy dotyczące warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi oraz przepisy dotyczące wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, w tym również wymogi dotyczące ryzyka operacyjnego; przepisy dotyczące rynków instrumentów finansowych, które obejmują wymogi dotyczące oceny ryzyka dla firm inwestycyjnych i rynków regulowanych; przepisy dotyczące instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji, które obejmują wymogi dotyczące ryzyka operacyjnego dla kontrahentów centralnych i repozytoriów transakcji; oraz przepisy dotyczące usprawnienia rozrachunku papierów wartościowych w Unii i dotyczące centralnych depozytów papierów wartościowych, które obejmują wymogi dotyczące ryzyka operacyjnego. Ponadto wymogi dotyczące zgłaszania incydentów są częścią normalnej praktyki nadzorczej w sektorze finansowym i są często włączane do podręczników dotyczących nadzoru. Państwa członkowskie powinny uwzględniać te przepisy i wymogi przy stosowaniu przepisów szczególnych.
(14) Jak zauważył Europejski Bank Centralny w swojej opinii z dnia 25 lipca 2014 r. 6 , niniejsza dyrektywa nie wpływa na system regulujący w ramach prawa Unii nadzór Eurosystemu nad systemami płatności i rozrachunku. Organy odpowiedzialne za taki nadzór powinny wymieniać doświadczenia w sprawach dotyczących bezpieczeństwa sieci i systemów informatycznych z właściwymi organami w ramach niniejszej dyrektywy. To samo stosuje się do członków Europejskiego Systemu Banków Centralnych spoza strefy euro sprawujących taki nadzór nad systemami płatności i rozrachunku na podstawie krajowych przepisów ustawowych i wykonawczych.
(15) Internetowa platforma handlowa umożliwia konsumentom i przedsiębiorcom handlowym zawieranie umów sprzedaży lub umów o świadczenie usług online z przedsiębiorcami handlowymi i jest ostatecznym miejscem zawierania tych umów. W przypadku gdy możliwe jest ostateczne zawarcie umowy nie powinna ona obejmować usług online, które spełniają wyłącznie funkcję pośredniczącą wobec usług stron trzecich. Nie powinna zatem obejmować usług online, które porównują cenę poszczególnych produktów lub usług różnych przedsiębiorców handlowych, a następnie przekierowują użytkownika do preferowanego przedsiębiorcy handlowego w celu zakupu produktu. Usługi komputerowe świadczone przez internetową platformę handlową mogą obejmować przetwarzanie transakcji, agregowanie danych lub profilowanie użytkowników. Sklepy z aplikacjami, które działają jako sklepy internetowe umożliwiające cyfrową dystrybucję aplikacji lub oprogramowania stron trzecich, należy traktować jako rodzaj internetowej platformy handlowej.
(16) Wyszukiwarka internetowa za pomocą zapytania na jakikolwiek temat umożliwia użytkownikowi wykonywanie przeszukań zasadniczo wszystkich stron internetowych. Alternatywnie wyszukiwanie może zostać zawężone do stron internetowych w konkretnym języku. Definicja wyszukiwarki internetowej zawarta w niniejszej dyrektywie nie powinna obejmować funkcji wyszukiwania, które ograniczają się do treści na konkretnej stronie internetowej, bez względu na to, czy funkcja wyszukiwania jest zapewniana przez wyszukiwarkę zewnętrzną. Nie powinna również obejmować usług online, które porównują cenę poszczególnych produktów lub usług różnych przedsiębiorców handlowych, a następnie przekierowują użytkownika do preferowanego przedsiębiorcy handlowego, aby tam dokonał zakupu produktu.
(17) Usługi przetwarzania w chmurze obejmują szeroki zakres działań, które mogą być realizowane według różnych modeli. Do celów niniejszej dyrektywy pojęcie "usługi przetwarzania w chmurze" obejmuje usługi, które umożliwiają dostęp do skalowalnego i elastycznego zbioru zasobów komputerowych do wspólnego wykorzystywania. Pojęcie "zasoby obliczeniowe" obejmuje zasoby takie jak: sieci, serwery lub inną infrastrukturę, pamięć, aplikacje i usługi. Pojęcia "skalowalne" odnosi się do zasobów komputerowych, które są elastycznie przydzielane przez dostawcę usługi niezależnie od położenia geograficznego zasobów, jako reakcja na fluktuacje zapotrzebowania. Pojęcia "elastyczny zbiór" używa się do opisu tych zasobów obliczeniowych, które są przydzielane i uwalniane zależnie do zapotrzebowania, aby szybko zwiększać i zmniejszać dostępne zasoby w zależności od obciążenia. Pojęcia "wspólne wykorzystywanie" używa się do opisu tych zasobów obliczeniowych, które udostępniane są wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa ta jest świadczona z tego samego sprzętu elektronicznego.
(18) Funkcją punktów wymiany ruchu internetowego (IXP) jest międzysystemowe łączenie sieci. IXP nie zapewnia dostępu do sieci ani nie działa jako realizator tranzytu czy operator infrastruktury tranzytu. IXP nie świadczy też innych usług niezwiązanych z połączeniem międzysystemowym, chociaż nie uniemożliwia to operatorowi IXP świadczenia także takich usług. IXP służy temu, aby łączyć ze sobą sieci, które są technicznie i organizacyjnie rozdzielone. Pojęcia "system autonomiczny" używa się do opisu sieci technicznie niezależnej.
(19) Państwa członkowskie powinny być odpowiedzialne za określanie, które podmioty spełniają kryteria definicji operatora usług kluczowych. Aby zapewnić spójne podejście, definicja operatora usług kluczowych powinna być stosowana w sposób spójny przez wszystkie państwa członkowskie. W tym celu niniejsza dyrektywa przewiduje: ocenę podmiotów działających w poszczególnych sektorach i podsektorach; sporządzenie wykazu usług kluczowych; rozpatrzenie wspólnego wykazu czynników międzysektorowych w celu ustalenia, czy ewentualny incydent mógłby mieć istotny skutek zakłócający; proces konsultacji z udziałem odnośnych państw członkowskich w przypadku podmiotów świadczących usługi w więcej niż jednym państwie członkowskim; a także wsparcie ze strony grupy współpracy w procesie identyfikacji operatorów. W celu zapewnienia, aby ewentualne zmiany na rynku były odpowiednio odzwierciedlane, państwa członkowskie powinny poddawać wykaz zidentyfikowanych operatorów regularnemu przeglądowi i w razie potrzeby go aktualizować. Ponadto państwa członkowskie powinny przekazywać Komisji informacje niezbędne do oceny, w jakim stopniu ta wspólna metodologia pozwoliła na spójne stosowanie definicji przez państwa członkowskie.
(20) W procesie identyfikowania operatorów usług kluczowych państwa członkowskie powinny dokonywać oceny - co najmniej w odniesieniu do każdego podsektora, o którym mowa w niniejszej dyrektywie - tego, które usługi muszą być uznane za kluczowe dla utrzymania krytycznej działalności społecznej i gospodarczej, oraz tego, czy podmioty zaliczone do sektorów i podsektorów, o których mowa w niniejszej dyrektywie, oraz świadczące te usługi, spełniają kryteria identyfikacji operatorów. Oceniając, czy podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wystarczy zbadać, czy podmiot ten świadczy usługę ujętą w wykazie usług kluczowych. Ponadto należy wykazać, że świadczenie usługi kluczowej zależy od sieci i systemów informatycznych. Poza tym przy ocenie, czy incydent mógłby mieć istotny zakłócający skutek dla świadczenia usługi, państwa członkowskie powinny uwzględnić szereg czynników międzysektorowych, a także, w stosownych przypadkach, czynniki sektorowe.
(21) Na potrzeby identyfikacji operatorów usług kluczowych, posiadanie jednostki organizacyjnej w państwie członkowskim wiąże się z koniecznością prowadzenia działalności w sposób efektywny i rzeczywisty poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy podmiot zależny posiadający osobowość prawną, nie jest w tym względzie czynnikiem decydującym.
(22) Możliwe jest świadczenie przez podmioty działające w sektorach i podsektorach, o których mowa w niniejszej dyrektywie, zarówno usług kluczowych, jak i usług innych niż kluczowe. Na przykład w sektorze transportu lotniczego, porty lotnicze świadczą usługi, które państwo członkowskie mogłoby uważać za kluczowe, takie jak zarządzanie drogami startowymi, ale również szereg usług, które mogłyby być uważane za usługi inne niż kluczowe, takie jak zapewnianie powierzchni handlowych. Operatorzy usług kluczowych powinni podlegać szczegółowym wymogom w zakresie bezpieczeństwa jedynie w odniesieniu do tych usług, które uznaje się za kluczowe. Na potrzeby identyfikacji operatorów państwa członkowskie powinny zatem ustanowić wykaz usług, które uważają za kluczowe.
(23) Wykaz usług powinien zawierać wszystkie usługi świadczone na terytorium danego państwa członkowskiego, które spełniają wymogi w ramach niniejszej dyrektywy. Państwa członkowskie powinny móc uzupełniać istniejący wykaz o nowe usługi. Wykaz usług powinien służyć jako punkt odniesienia dla państw członkowskich, umożliwiający identyfikację operatorów usług kluczowych. Jego celem jest identyfikacja rodzajów usług kluczowych w każdym z sektorów, o których mowa w niniejszej dyrektywie, co odróżniłoby je od działań innych niż kluczowe, za które podmiot działający w danym sektorze mógłby być odpowiedzialny. Wykaz usług ustanowiony przez każde z państw członkowskich stanowiłby dalszy wkład w ocenę praktyk regulacyjnych poszczególnych państw członkowskich z myślą o zapewnieniu ogólnego poziomu spójności procesu identyfikacji wśród państw członkowskich.
(24) Na potrzeby procesu identyfikacji, w przypadku gdy podmiot świadczy usługę kluczową w dwóch lub większej liczbie państw członkowskich, te państwa członkowskie powinny podjąć między sobą dwustronne lub wielostronne rozmowy. Ten proces konsultacji ma w zamierzeniu pomóc im w ocenie krytycznego charakteru danego operatora, jeżeli chodzi o wpływ transgraniczny, umożliwiając tym samym każdemu z zaangażowanych państw członkowskich przedstawienie swoich uwag dotyczących ryzyk związanych ze świadczonymi usługami. Zainteresowane państwa członkowskie powinny wzajemnie uwzględniać swoje poglądy w ramach tego procesu oraz powinny móc zwrócić się w tym zakresie o pomoc do grupy współpracy.
(25) W wyniku procesu identyfikacji państwa członkowskie powinny przyjąć środki krajowe w celu określenia, które podmioty podlegają obowiązkom dotyczącym bezpieczeństwa sieci i systemów informatycznych. Rezultat ten można by osiągnąć poprzez przyjęcie wykazu zawierającego wszystkich operatorów usług kluczowych lub poprzez przyjęcie środków krajowych zawierających obiektywne kryteria ilościowe, takie jak efekt końcowy działalności operatora lub liczba użytkowników, które umożliwiają określenie, które podmioty są objęte obowiązkami dotyczącymi bezpieczeństwa sieci i systemów informatycznych. Środki krajowe, już istniejące czy też przyjęte w kontekście niniejszej dyrektywy, powinny obejmować wszystkie środki prawne, środki administracyjne oraz polityki umożliwiające identyfikację operatorów usług kluczowych na mocy niniejszej dyrektywy.
(26) Aby określić w przybliżeniu znaczenie - w odniesieniu do danego sektora - zidentyfikowanych operatorów usług kluczowych, państwa członkowskie powinny wziąć pod uwagę liczbę i wielkość tych operatorów, na przykład pod względem udziału w rynku lub wolumenu produkcji lub transportu, bez obowiązku ujawniania informacji, które mogłyby ujawnić, którzy operatorzy zostali zidentyfikowani.
(27) W celu określenia, czy incydent mógłby mieć istotny skutek zakłócający dla świadczenia usługi kluczowej, państwa członkowskie powinny wziąć pod uwagę szereg różnych czynników, takich jak liczba użytkowników zależnych od korzystania z tej usługi do celów prywatnych lub zawodowych. Korzystanie z tej usługi może mieć charakter bezpośredni, niebezpośredni lub odbywać się za pomocą pośrednictwa. Oceniając wpływ, jaki incydent ten mógłby mieć, pod względem skali i czasu trwania, na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne, państwa członkowskie powinny również oszacować czas, jaki może upłynąć, zanim przerwanie usługi zaczęłoby wywierać negatywny wpływ.
(28) Aby określić, czy incydent mógłby mieć istotny skutek zakłócający dla świadczenia usługi kluczowej, oprócz czynników międzysektorowych należy uwzględnić także czynniki sektorowe. W odniesieniu do dostawców energii takie czynniki mogłyby obejmować wielkość lub udział w krajowej produkcji energii; w odniesieniu do dostawców ropy naftowej - dzienną wielkość dostaw; w odniesieniu do transportu lotniczego, w tym portów lotniczych i przewoźników lotniczych, transportu kolejowego i portów morskich - udział w wolumenie ruchu krajowego i roczną liczbę pasażerów lub przewozów towarowych; w odniesieniu do bankowości lub infrastruktury rynków finansowych - ich znaczenie systemowe na podstawie sumy aktywów lub stosunek tej sumy aktywów do PKB; w odniesieniu do sektora ochrony zdrowia - roczną liczbę pacjentów objętych opieką usługodawcy; w odniesieniu do produkcji, uzdatniania i dostaw wody - jej ilości, a także liczbę i rodzaje zaopatrywanych użytkowników - w tym na przykład szpitale, służba publiczna, organizacje lub osoby indywidualne - oraz istnienie alternatywnych źródeł wody na tym samym obszarze geograficznym.
(29) Aby osiągnąć i utrzymać wysoki poziom bezpieczeństwa sieci i systemów informatycznych, każde państwo członkowskie powinno posiadać krajową strategię w zakresie bezpieczeństwa sieci i systemów informatycznych określającą cele strategiczne i konkretne działania z zakresu polityki, które należy wdrożyć.
(30) Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania, państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ krajowy odpowiedzialny za wykonywanie zadań związanych z bezpieczeństwem sieci i systemów informatycznych operatorów usług kluczowych i dostawców usług cyfrowych na mocy niniejszej dyrektywy.
(31) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wprowadzenia w życie niniejszej dyrektywy, niezbędne jest, aby każde państwo członkowskie, bez uszczerbku dla sektorowych ustaleń regulacyjnych, wyznaczyło krajowy pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z bezpieczeństwem sieci i systemów informatycznych oraz współpracę transgraniczną na poziomie Unii. Właściwym organom i pojedynczym punktom kontaktowym należy zapewnić wystarczające zasoby techniczne, finansowe i ludzkie, aby mogły skutecznie i efektywnie wykonywać powierzone im zadania i osiągnąć w ten sposób cele niniejszej dyrektywy. Ponieważ niniejsza dyrektywa ma na celu poprawę funkcjonowania rynku wewnętrznego poprzez budowanie zaufania i pewności, organy państw członkowskich muszą być w stanie skutecznie współpracować z podmiotami gospodarczymi i posiadać odpowiednią strukturę.
(32) Właściwe organy lub Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (zwane dalej "CSIRT") powinny odbierać zgłoszenia incydentów. Pojedyncze punkty kontaktowe nie powinny bezpośrednio odbierać żadnych zgłoszeń incydentów, chyba że działają również jako właściwy organ lub CSIRT. Właściwy organ lub CSIRT powinny jednak móc zlecić pojedynczemu punktowi kontaktowemu przekazywanie zgłoszeń incydentów pojedynczym punktom kontaktowym innych państw członkowskich, których incydent dotyczy.
(33) Aby zapewnić efektywne przekazywanie informacji państwom członkowskim i Komisji, pojedynczy punkt kontaktowy powinien przedkładać grupie współpracy sprawozdania podsumowujące, które powinny być zanonimizowane w celu zachowania poufności zgłoszeń oraz tożsamości operatorów usług kluczowych i dostawców usług cyfrowych, ponieważ informacje dotyczące tożsamości zgłaszających podmiotów nie są wymagane do wymiany najlepszych praktyk w grupie współpracy. Sprawozdanie podsumowujące powinno zawierać informacje na temat liczby otrzymanych zgłoszeń, a także informacje o charakterze zgłoszonych incydentów, takie jak rodzaje naruszeń bezpieczeństwa, ich kluczowość lub czas ich trwania.
(34) Państwa członkowskie powinny zostać odpowiednio wyposażone, zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych, w celu zapobiegania incydentom i ryzykom dotyczącym sieci i systemów informatycznych, wykrywania ich, reagowania na nie i łagodzenia ich skutków. Państwa członkowskie powinny zatem zapewnić dobrze funkcjonujące CSIRT, zwane również zespołami reagowania na incydenty komputerowe (zwane dalej "CERT"), które spełniają zasadnicze wymogi w celu zagwarantowania efektywnych i kompatybilnych zdolności w zakresie postępowania z incydentami i ryzykami oraz zapewnienia skutecznej współpracy na poziomie Unii. Aby wszystkie rodzaje operatorów usług kluczowych i dostawców usług cyfrowych korzystały z tych zdolności i współpracy, państwa członkowskie powinny zapewnić, aby wszystkie rodzaje obejmował wyznaczony CSIRT. Z uwagi na znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa CSIRT powinny mieć możliwość uczestniczenia w międzynarodowych sieciach współpracy, niezależnie od współpracy w ramach sieci CSIRT ustanowionej na mocy niniejszej dyrektywy.
(35) Ponieważ większość sieci i systemów informatycznych eksploatowana jest przez podmioty prywatne, niezbędna jest współpraca między sektorem publicznym a sektorem prywatnym. Operatorów usług kluczowych i dostawców usług cyfrowych należy zachęcać do tworzenia własnych nieformalnych mechanizmów współpracy w celu zapewniania bezpieczeństwa sieci i systemów informatycznych. Grupa współpracy powinna móc, w stosownych przypadkach, zapraszać odpowiednie zainteresowane strony do dyskusji. W celu skutecznego zachęcania do dzielenia się informacjami oraz najlepszymi praktykami konieczne jest zapewnienie, aby operatorzy usług kluczowych i dostawcy usług cyfrowych uczestniczący w takich wymianach nie ponosili konsekwencji wynikających z samego faktu współpracy.
(36) ENISA powinna wspierać państwa członkowskie i Komisję poprzez udostępnianie wiedzy specjalistycznej i doradztwo oraz poprzez ułatwianie wymiany najlepszych praktyk. W szczególności przy stosowaniu niniejszej dyrektywy Komisja powinna konsultować się z ENISA, a państwa członkowskie powinny móc konsultować się z ENISA. Aby budować zdolności i wiedzę wśród państw członkowskich, grupa współpracy powinna również służyć jako narzędzie wymiany najlepszych praktyk, dyskusji na temat zdolności i gotowości państw członkowskich oraz - na zasadzie dobrowolności - aby pomóc jej członkom w ocenie krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych, w budowaniu potencjału i ocenie ćwiczeń z zakresu bezpieczeństwa sieci i systemów informatycznych.
(37) W stosownych przypadkach państwa członkowskie powinny mieć możliwość wykorzystania lub dostosowania istniejących struktur organizacyjnych lub strategii przy stosowaniu niniejszej dyrektywy.
(38) Odpowiednie zadania grupy współpracy i ENISA są współzależne i uzupełniają się. ENISA powinna na ogół wspomagać grupę współpracy w wykonywaniu jej zadań, zgodnie z celem ENISA określonym w rozporządzeniu (UE) nr 526/2013 Parlamentu Europejskiego i Rady 7 , a mianowicie w celu pomagania instytucjom, organom, urzędom i agencjom Unii oraz państwom członkowskim w realizacji polityki niezbędnej do spełniania wymogów prawnych i regulacyjnych w zakresie bezpieczeństwa sieci i systemów informatycznych określonych w obowiązujących i przyszłych aktach prawnych Unii. W szczególności ENISA powinna udzielać pomocy w tych dziedzinach, które odpowiadają jej własnym zadaniom, określonym w rozporządzeniu (UE) nr 526/2013, a mianowicie w zakresie analizy strategii w zakresie bezpieczeństwa sieci i systemów informatycznych, wspierania organizacji i prowadzenia unijnych ćwiczeń z zakresu bezpieczeństwa sieci i systemów informatycznych oraz wymiany informacji i najlepszych praktyk w zakresie podnoszenia świadomości i szkoleń. ENISA powinna być także włączona w opracowywanie wytycznych dotyczących sektorowych kryteriów określania istotności wpływu incydentu.
(39) W celu promowania zaawansowanych systemów bezpieczeństwa sieci i systemów informatycznych grupa współpracy powinna, w stosownych przypadkach, współpracować z odpowiednimi instytucjami, organami, urzędami i agencjami Unii, aby wymieniać się wiedzą i najlepszymi praktykami oraz doradzać w sprawie aspektów bezpieczeństwa sieci i systemów informatycznych, które mogłyby mieć wpływ na ich pracę, przestrzegając jednocześnie istniejących ustaleń w zakresie wymiany informacji zastrzeżonych. Współpracując z organami ścigania w kwestiach dotyczących bezpieczeństwa sieci i systemów informatycznych, które mogłyby mieć wpływ na jej pracę, grupa współpracy powinna uwzględniać istniejące kanały informacji i ustanowione sieci.
(40) Informacje na temat incydentów są coraz cenniejsze dla ogółu społeczeństwa i przedsiębiorstw, w szczególności dla małych i średnich przedsiębiorstw. W niektórych przypadkach takie informacje, skoncentrowane głównie na incydentach i wydarzeniach o wymiarze krajowym, są już dostępne za pośrednictwem stron internetowych na poziomie krajowym w języku danego kraju. W związku z tym, że przedsiębiorstwa w coraz większym stopniu działają transgranicznie, a obywatele korzystają z usług online, informacje dotyczące incydentów powinny być przekazywane w formie zagregowanej na poziomie Unii. Zachęca się Sekretariat sieci CSIRT do prowadzenia strony internetowej lub wskazania specjalnej podstrony na istniejącej stronie internetowej, koncentrującej się szczególnie na interesach i potrzebach przedsiębiorców, gdzie ogólne informacje dotyczące poważnych incydentów na terytorium Unii byłyby udostępnione ogółowi społeczeństwa. Zachęca się CSIRT uczestniczące w sieci CSIRT do przekazywania na zasadzie dobrowolności informacji do celów publikowania na tej stronie internetowej, niezawierających informacji poufnych lub szczególnie chronionych.
(41) W przypadku gdy informacje uznaje się za poufne zgodnie z unijnymi i krajowymi przepisami dotyczącymi tajemnicy przedsiębiorstwa, w trakcie wykonywania czynności i realizacji celów określonych w niniejszej dyrektywie należy zapewnić taką poufność.
(42) Dla sprawdzenia gotowości i współpracy państw członkowskich w odniesieniu do bezpieczeństwa sieci i systemów informatycznych, istotne znaczenie mają ćwiczenia w zakresie cyberbezpieczeństwa, które symulują scenariusze incydentów w czasie rzeczywistym. Cykl ćwiczeń CyberEurope koordynowany przez ENISA z udziałem państw członkowskich stanowi użyteczne narzędzie do takiego sprawdzenia i opracowywania zaleceń dotyczących tego, jak z czasem należy usprawniać sposoby postępowania w przypadku incydentu na poziomie Unii. Zważywszy, że państwa członkowskie nie są obecnie objęte jakimkolwiek obowiązkiem planowania ćwiczeń lub brania w nich udziału, utworzenie sieci CSIRT na mocy niniejszej dyrektywy powinno umożliwić państwom członkowskim udział w ćwiczeniach w oparciu o odpowiednie wybory w zakresie planowania i strategii. Grupa współpracy ustanowiona na mocy niniejszej dyrektywy powinna prowadzić dyskusje na temat strategicznych decyzji dotyczących ćwiczeń, w szczególności - lecz nie wyłącznie - w zakresie regularności ćwiczeń i opracowywania scenariuszy. ENISA powinna zgodnie ze swoim mandatem wspierać organizację i prowadzenie ogólnounijnych ćwiczeń poprzez udostępnienie swojej wiedzy specjalistycznej i doradztwa grupie współpracy i sieci CSIRT.
(43) Ze względu na globalny charakter problemów związanych z bezpieczeństwem sieci i systemów informatycznych istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu poprawy norm bezpieczeństwa i wymiany informacji oraz w celu promowania wspólnego całościowego podejścia do kwestii bezpieczeństwa.
(44) Odpowiedzialność za zapewnienie bezpieczeństwa sieci i systemów informatycznych w dużym stopniu spoczywa na operatorach usług kluczowych i dostawcach usług cyfrowych. Za pomocą odpowiednich wymogów regulacyjnych i dobrowolnych praktyk branżowych należy wspierać i rozwijać kulturę zarządzania ryzykiem, obejmującą przeprowadzanie ocen ryzyka i wdrażanie środków bezpieczeństwa odpowiednich dla danego ryzyka. Stworzenie wiarygodnych równych warunków działania ma również kluczowe znaczenie dla skutecznego funkcjonowania grupy współpracy i sieci CSIRT, w celu zapewnienia skutecznej współpracy ze strony wszystkich państw członkowskich.
(45) Niniejsza dyrektywa ma zastosowanie wyłącznie do tych administracji publicznych, które zostały zidentyfikowane jako operatorzy usług kluczowych. Państwa członkowskie pozostają jednak odpowiedzialne za zapewnienie bezpieczeństwa sieci i systemów informatycznych administracji publicznych niewchodzących w zakres stosowania niniejszej dyrektywy.
(46) Środki w zakresie zarządzania ryzykiem obejmują środki mające na celu identyfikację wszelkich ryzyk incydentów, zapobieganie incydentom, wykrywanie ich i postępowanie z nimi, a także łagodzenia ich wpływu. Bezpieczeństwo sieci i systemów informatycznych obejmuje bezpieczeństwo danych przechowywanych, przekazywanych i przetwarzanych.
(47) Właściwe organy powinny zachować możliwość przyjmowania krajowych wytycznych dotyczących okoliczności, w których operatorzy usług kluczowych są zobowiązani do zgłaszania incydentów.
(48) Wielu przedsiębiorców w Unii na potrzeby świadczenia swoich usług jest zależnych od dostawców usług cyfrowych. Ponieważ niektóre usługi cyfrowe mogłyby być ważnym zasobem dla ich użytkowników, w tym dla operatorów usług kluczowych, a użytkownicy ci nie zawsze mogą mieć dostępne alternatywy, niniejsza dyrektywa powinna mieć także zastosowanie do dostawców takich usług. Bezpieczeństwo, ciągłość i wiarygodność rodzaju usług cyfrowych, o którym mowa w niniejszej dyrektywie, ma istotne znaczenie dla sprawnego funkcjonowania wielu przedsiębiorców. Zakłócenie takich usług cyfrowych mogłoby uniemożliwić świadczenie innych usług, które są od nich zależne, i mogłoby w związku z tym mieć wpływ na kluczową działalność gospodarczą i społeczną w Unii. Takie usługi cyfrowe mogłyby mieć zatem kluczowe znaczenie dla sprawnego funkcjonowania przedsiębiorców zależnych od tych usług, a także dla uczestnictwa takich przedsiębiorców w rynku wewnętrznym i handlu transgranicznym w Unii. Za dostawców usług cyfrowych podlegających niniejszej dyrektywie uważa się tych dostawców, którzy oferują usługi cyfrowe, od których zależnych jest w coraz większym stopniu wielu przedsiębiorców w Unii.
(49) Dostawcy usług cyfrowych powinni zapewnić poziom bezpieczeństwa współmierny do stopnia ryzyka, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług cyfrowych, ze względu na znaczenie tych usług dla działalności innych przedsiębiorców w Unii. W praktyce stopień ryzyka dla operatorów usług kluczowych - które są często istotne dla utrzymania krytycznej działalności społecznej i gospodarczej - jest wyższy niż dla dostawców usług cyfrowych. Wymogi w zakresie bezpieczeństwa dotyczące dostawców usług cyfrowych powinny być zatem mniejsze. Dostawcom usług cyfrowych należy pozostawić swobodę podejmowania środków, które uznają za odpowiednie do zarządzania ryzykami, na jakie może być narażone bezpieczeństwo ich sieci i systemów informatycznych. Z powodu transgranicznego charakteru usług cyfrowych, ich dostawcy powinni podlegać bardziej zharmonizowanemu podejściu na poziomie Unii. Akty wykonawcze powinny ułatwić uszczegółowienie i wdrażanie takich środków.
(50) Mimo iż producenci sprzętu i twórcy oprogramowania nie są operatorami usług kluczowych ani dostawcami usług cyfrowych, niemniej jednak ich produkty zwiększają bezpieczeństwo sieci i systemów informatycznych. Odgrywają oni zatem ważną rolę w umożliwianiu operatorom usług kluczowych i dostawcom usług cyfrowych zabezpieczenia ich sieci i systemów informatycznych. Taki sprzęt i oprogramowanie są już objęte obowiązującymi przepisami dotyczącymi odpowiedzialności za produkt.
(51) Środki techniczne i organizacyjne nakładane na operatorów usług kluczowych i dostawców usług cyfrowych nie powinny wiązać się z koniecznością projektowania, opracowywania lub produkowania w określony sposób określonego dostępnego w handlu produktu technologii teleinformatycznych.
(52) Operatorzy usług kluczowych i dostawcy usług cyfrowych powinni zapewniać bezpieczeństwo sieci i systemów informatycznych, których używają. Dotyczy to przede wszystkim prywatnych sieci i systemów informatycznych, które są zarządzane przez ich własny personel informatyczny lub dla których zapewnienie bezpieczeństwa zlecono na zewnątrz. Wymogi w zakresie bezpieczeństwa i zgłaszania incydentów powinny mieć zastosowanie do odpowiednich operatorów usług kluczowych i dostawców usług cyfrowych bez względu na to, czy oni sami zapewniają obsługę swoich sieci i systemów informatycznych, czy też zlecają tę obsługę innym podmiotom.
(53) Aby uniknąć nakładania nieproporcjonalnie dużych obciążeń finansowych i administracyjnych na operatorów usług kluczowych i dostawców usług cyfrowych, wymogi powinny być proporcjonalne do ryzyka związanego z daną siecią oraz danym systemem informatycznym oraz powinny uwzględniać najnowszy stan wiedzy na temat takich środków. W przypadku dostawców usług cyfrowych wymogi te nie powinny mieć zastosowania do mikroprzedsiębiorstw ani małych przedsiębiorstw.
(54) W przypadku gdy administracje publiczne państw członkowskich korzystają z usług oferowanych przez dostawców usług cyfrowych, w szczególności usług przetwarzania w chmurze, mogłyby one wymagać od dostawców takich usług dodatkowych środków bezpieczeństwa oprócz tych, które normalnie oferowaliby dostawcy usług cyfrowych zgodnie z wymogami niniejszej dyrektywy. Powinny one mieć możliwość określenia takich wymogów w drodze zobowiązań umownych.
(55) Definicje internetowych platform handlowych, wyszukiwarek internetowych i usług przetwarzania w chmurze zawarte w niniejszej dyrektywie stosuje się specjalnie na potrzeby niniejszej dyrektywy oraz bez uszczerbku dla jakichkolwiek innych instrumentów.
(56) Niniejsza dyrektywa nie powinna uniemożliwiać państwom członkowskim przyjmowania środków krajowych zobowiązujących podmioty sektora publicznego do zapewnienia szczególnych wymogów w zakresie bezpieczeństwa, w przypadku gdy zawierają one umowy na usługi przetwarzania w chmurze. Takie środki krajowe powinny mieć zastosowanie do danego podmiotu sektora publicznego, a nie do dostawcy usług przetwarzania w chmurze.
(57) Biorąc pod uwagę podstawowe różnice między operatorami usług kluczowych, w szczególności ich bezpośredni związek z infrastrukturą fizyczną, a dostawcami usług cyfrowych, w szczególności ich transgraniczny charakter, należy przyjąć w niniejszej dyrektywie zróżnicowane podejście do poziomu harmonizacji względem tych dwóch grup podmiotów. W odniesieniu do usług kluczowych państwa członkowskie powinny móc identyfikować odpowiednich operatorów i nakładać wymogi bardziej rygorystyczne od tych określonych w niniejszej dyrektywie. Państwa członkowskie nie powinny identyfikować dostawców usług cyfrowych, ponieważ niniejsza dyrektywa powinna mieć zastosowanie do wszystkich dostawców usług cyfrowych objętych jej zakresem stosowania. Ponadto niniejsza dyrektywa oraz akty wykonawcze przyjęte na jej podstawie powinny zapewniać wysoki poziom harmonizacji względem dostawców usług cyfrowych w odniesieniu do wymogów w zakresie bezpieczeństwa i zgłaszania incydentów. Powinno to umożliwić jednolite traktowanie dostawców usług cyfrowych na terytorium Unii w sposób proporcjonalny do ich charakteru i stopnia ryzyka, z którym mogliby się zetknąć.
(58) Niniejsza dyrektywa nie powinna uniemożliwiać państwom członkowskim nakładania wymogów w zakresie bezpieczeństwa i zgłaszania incydentów na podmioty niebędące dostawcami usług cyfrowych objętymi zakresem stosowania niniejszej dyrektywy, bez uszczerbku dla obowiązków państw członkowskich wynikających z prawa Unii.
(59) Właściwe organy powinny zwracać należytą uwagę na zabezpieczenie nieformalnych i zaufanych kanałów wymiany informacji. Decyzje o informowaniu społeczeństwa o incydentach zgłoszonych właściwym organom należy podejmować przy zachowaniu należytej równowagi między interesem publicznym, zgodnie z którym społeczeństwo powinno być informowane o zagrożeniach, a ryzykiem utraty reputacji i poniesienia szkód handlowych, na jakie narażeni są operatorzy usług kluczowych i dostawcy usług cyfrowych zgłaszający incydenty. Wykonując obowiązki w zakresie zgłaszania incydentów, właściwe organy i CSIRT powinny zwracać szczególną uwagę na potrzebę zachowania ścisłej poufności w odniesieniu do informacji dotyczących podatności produktów, do czasu udostępnienia odpowiednich poprawek w zakresie bezpieczeństwa.
(60) Dostawcy usług cyfrowych powinni podlegać łagodnym i reaktywnym działaniom nadzorczym ex post, uzasadnionym przez charakter ich usług i działań. Zainteresowany właściwy organ powinien zatem podejmować działania wyłącznie wtedy, gdy otrzymał dowód - na przykład od samego dostawcy usług cyfrowych, innego właściwego organu, w tym właściwego organu innego państwa członkowskiego, lub od użytkownika usługi - że dostawca usług cyfrowych nie spełnia wymogów niniejszej dyrektywy, w szczególności w wyniku wystąpienia incydentu. Właściwy organ nie powinien zatem mieć ogólnego obowiązku nadzorowania dostawców usług cyfrowych.
(61) Właściwe organy powinny mieć środki niezbędne do wykonywania swoich obowiązków, w tym uprawnieniami do uzyskiwania informacji wystarczających do oceny poziomu bezpieczeństwa sieci i systemów informatycznych.
(62) Incydenty mogą być wynikiem przestępstw, w odniesieniu do których zapobieganie, prowadzenie postępowania przygotowawczego i ściganie jest wspierane przez koordynację i współpracę między operatorami usług kluczowych, dostawcami usług cyfrowych, właściwymi organami i organami ścigania. W razie podejrzenia, że incydent ma związek z poważnymi przestępstwami w rozumieniu prawa Unii lub prawa krajowego, państwa członkowskie powinny zachęcać operatorów usług kluczowych i dostawców usług cyfrowych, aby zgłaszali odpowiednim organom ścigania incydenty noszące znamiona poważnego przestępstwa. W stosownych przypadkach pożądane jest, aby koordynacja między właściwymi organami a organami ścigania z różnych państw członkowskich była ułatwiana dzięki Europejskiemu Centrum ds. Walki z Cyberprzestępczością (EC3) oraz dzięki ENISA.
(63) W wielu przypadkach istnieje niebezpieczeństwo naruszenia danych osobowych w wyniku incydentów. W tym kontekście właściwe organy oraz organy ochrony danych powinny ze sobą współpracować oraz wymieniać się informacjami dotyczącymi wszystkich istotnych kwestii w celu rozwiązywania problemów związanych z wszelkimi przypadkami naruszeń danych osobowych w wyniku incydentów.
(64) Jurysdykcję w odniesieniu do dostawców usług cyfrowych należy powierzyć tylko jednemu państwu członkowskiemu, w którym dany dostawca usług cyfrowych ma główną jednostkę organizacyjną w Unii, która co do zasady odpowiada miejscu, gdzie dostawca usług ma siedzibę zarządu w Unii. Pojęcie "jednostka organizacyjna" zakłada skuteczne i faktycznie prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy podmiot zależny posiadający osobowość prawną, nie jest w tym względzie czynnikiem decydującym. Kryterium to nie powinno zależeć od tego, czy sieć i systemy informatyczne są fizycznie zlokalizowane w danym miejscu; fizyczne położenie i wykorzystanie takich systemów nie stanowią same w sobie takiej głównej jednostki organizacyjnej i nie są zatem kryteriami określania głównej jednostki organizacyjnej.
(65) W przypadku gdy dostawca usług cyfrowych nieposiadający jednostki organizacyjnej w Unii oferuje usługi w Unii, dostawca taki powinien wyznaczyć przedstawiciela. Aby stwierdzić, czy dostawca usług cyfrowych oferuje usługi w Unii, należy upewnić się, czy jest oczywiste, że dany dostawca usług cyfrowych zamierza oferować usługi osobom w jednym lub większej liczbie państw członkowskich. Do ustalenia takiego zamiaru nie wystarczy sama dostępność w Unii strony internetowej dostawcy usług cyfrowych lub pośrednika lub adresu poczty elektronicznej i innych danych kontaktowych ani posługiwanie się językiem powszechnie stosowanym w państwie trzecim, w którym dostawca usług cyfrowych posiada jednostkę organizacyjną. Jednakże czynniki takie jak posługiwanie się językiem lub walutą powszechnie stosowanymi w jednym lub większej liczbie państw członkowskich oraz możliwość zamówienia usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii, mogą potwierdzać oczywistość zamiaru oferowania przez dostawcę usług cyfrowych usług w Unii. Przedstawiciel powinien występować w imieniu dostawcy usług cyfrowych, a właściwe organy lub CSIRT powinny móc kontaktować się z przedstawicielem. Przedstawiciel powinien zostać wyznaczony w sposób wyraźny za pomocą pisemnego upoważnienia dostawcy usług cyfrowych do występowania w jego imieniu w zakresie jego obowiązków wynikających z niniejszej dyrektywy, w tym zgłaszania incydentów.
(66) Normalizacja wymogów w zakresie bezpieczeństwa jest procesem napędzanym przez rynek. W celu zapewnienia zbieżnego stosowania norm bezpieczeństwa, państwa członkowskie powinny zachęcać do zgodności lub zbieżności z określonymi normami w celu zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na poziomie Unii. ENISA powinna pomagać państwom członkowskim za pomocą porad i wytycznych. W tym celu pomocne mogłoby być opracowanie zharmonizowanych norm, czego należy dokonać zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1025/2012 8 .
(67) Podmioty nieobjęte zakresem stosowania niniejszej dyrektywy mogą mieć do czynienia z incydentami mającymi istotny wpływ na usługi, które są przez nie świadczone. W przypadku gdy podmioty te uznają, że w interesie publicznym leży zgłoszenie wystąpienia takich incydentów, powinny mieć taką możliwość na zasadzie dobrowolności. Zgłoszenia te powinny być rozpatrywane przez właściwy organ lub CSIRT w przypadku gdy ich rozpatrywanie nie stanowi nieproporcjonalnego czy nadmiernego obciążenia dla danych państw członkowskich.
(68) W celu zapewnienia jednolitych warunków wykonywania niniejszej dyrektywy, należy powierzyć Komisji uprawnienia wykonawcze w celu określenia procedur niezbędnych do funkcjonowania grupy współpracy oraz wymogów dotyczących bezpieczeństwa i zgłaszania incydentów mających zastosowanie do dostawców usług cyfrowych. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 9 . Przyjmując akty wykonawcze dotyczące procedur niezbędnych do funkcjonowania grupy współpracy, Komisja powinna w jak największym stopniu uwzględnić opinię ENISA.
(69) Przyjmując akty wykonawcze dotyczące wymogów w zakresie bezpieczeństwa i zgłaszania incydentów w odniesieniu do dostawców usług cyfrowych, Komisja powinna w jak największym stopniu uwzględnić opinię ENISA oraz konsultować się z zainteresowanymi stronami. Ponadto zachęca się Komisję, aby uwzględniała następujące zagadnienia: w odniesieniu do bezpieczeństwa systemów i obiektów - bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo dostaw, kontrolę dostępu do sieci i systemów informatycznych oraz integralność sieci i systemów informatycznych; w odniesieniu do postępowania w przypadku incydentu - procedury postępowania w przypadku incydentu, zdolności wykrywania incydentów, zgłaszanie incydentów i informowanie o nich; w odniesieniu do zarządzania ciągłością działalności - strategię ciągłości usług i plany awaryjne, zdolności w zakresie przywracania gotowości do pracy po katastrofie; oraz w odniesieniu do monitorowania, prowadzenia audytu i testowania - polityki monitorowania i prowadzenia dzienników systemowych, ćwiczenia w zakresie planów awaryjnych, testowanie sieci i systemów informatycznych, oceny bezpieczeństwa i monitorowanie zgodności.
(70) Przy wykonywaniu niniejszej dyrektywy Komisja powinna w stosownych przypadkach współpracować z odpowiednimi komitetami sektorowymi oraz odpowiednimi podmiotami ustanowionymi na poziomie Unii w dziedzinie objętej zakresem stosowania niniejszej dyrektywy.
(71) Komisja powinna okresowo dokonywać przeglądu niniejszej dyrektywy, w drodze konsultacji z zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy konieczne jest wprowadzenie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych.
(72) Wymiana informacji dotyczących ryzyk i incydentów w ramach grupy współpracy i sieci CSIRT oraz zapewnienie zgodności z wymogami w zakresie zgłaszania incydentów właściwym organom krajowym lub CSIRT mogłyby oznaczać konieczność przetwarzania danych osobowych. Takie przetwarzanie powinno być zgodne z dyrektywą Parlamentu Europejskiego i Rady 95/46/WE 10 i rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 45/2001 11 . Przy stosowaniu niniejszej dyrektywy zastosowanie powinno mieć, w stosownych przypadkach, rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady 12 .
(73) Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 14 czerwca 2013 r. 13 .
(74) Ponieważ cel niniejszej dyrektywy, a mianowicie osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii, nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast ze względu na skutki działania możliwe jest lepsze jego osiągnięcie na poziomie Unii, Unia może podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule, niniejsza dyrektywa nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.
(75) Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w Karcie praw podstawowych Unii Europejskiej, a w szczególności z zasadami dotyczącymi prawa do poszanowania życia prywatnego i komunikowania się, prawa do ochrony danych osobowych i wolności prowadzenia działalności gospodarczej, prawa własności, prawa do skutecznego środka prawnego i prawa do bycia wysłuchanym. Niniejszą dyrektywę należy wprowadzać w życie zgodnie z tymi prawami i zasadami,
PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ:
1 Dz.U. C 271 z 19.9.2013, s. 133.
2 Stanowisko Parlamentu Europejskiego z dnia 13 marca 2014 r. oraz stanowisko Rady w pierwszym czytaniu z dnia 17 maja 2016 r. Stanowisko Parlamentu Europejskiego z dnia ...
3 Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) (Dz.U. L 108 z 24.4.2002, s. 33).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73).
5 Decyzja Rady 2013/488/UE z dnia 23 września 2013 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.U. L 274 z 15.10.2013, s. 1).
6 Dz.U. C 352 z 7.10.2014, s. 4.
7 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r. w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz uchylające rozporządzenie (WE) nr 460/2004 (Dz.U. L 165 z 18.6.2013, s. 41).
8 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję nr 1673/2006/WE Parlamentu Europejskiego i Rady (Dz.U. L 316 z 14.11.2012, s. 12).
9 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).
10 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).
11 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
12 Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43).
13 Dz.U. C 32 z 4.2.2014, s. 19.
14 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).
15 Dyrektywa 2011/93/UE Parlamentu Europejskiego i Rady z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).
16 Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z 14.8.2013, s. 8).
17 Dyrektywa (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiająca procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz.U. L 241 z 17.9.2015, s. 1).
18 Dyrektywa Parlamentu Europejskiego i Rady 2013/11/UE z dnia 21 maja 2013 r. w sprawie alternatywnych metod rozstrzygania sporów konsumenckich oraz zmiany rozporządzenia (WE) nr 2006/2004 i dyrektywy 2009/22/WE (dyrektywa w sprawie ADR w sporach konsumenckich) (Dz.U. L 165 z 18.6.2013, s. 63).
19 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).
20 Dyrektywa Parlamentu Europejskiego i Rady 2009/72/WE z dnia 13 lipca 2009 r. dotycząca wspólnych zasad rynku wewnętrznego energii elektrycznej i uchylająca dyrektywę 2003/54/WE (Dz.U. L 211 z 14.8.2009, s. 55).
21 Dyrektywa Parlamentu Europejskiego i Rady 2009/73/WE z dnia 13 lipca 2009 r. dotycząca wspólnych zasad rynku wewnętrznego gazu ziemnego i uchylająca dyrektywę 2003/55/WE (Dz.U. L 211 z 14.8.2009, s. 94).
22 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z 9.4.2008, s. 72).
23 Dyrektywa 2009/12/WE Parlamentu Europejskiego i Rady z dnia 11 marca 2009 r. w sprawie opłat lotniskowych (Dz.U. L 70 z 14.3.2009, s. 11).
24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1315/2013 z dnia 11 grudnia 2013 r. w sprawie unijnych wytycznych dotyczących rozwoju transeuropejskiej sieci transportowej i uchylające decyzję nr 661/2010/UE (Dz.U. L 348 z 20.12.2013, s. 1).
25 Rozporządzenie (WE) nr 549/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. ustanawiające ramy tworzenia Jednolitej Europejskiej Przestrzeni Powietrznej (Rozporządzenie ramowe) (Dz.U. L 96 z 31.3.2004, s. 1).
26 Dyrektywa Parlamentu Europejskiego i Rady 2012/34/UE z dnia 21 listopada 2012 r. w sprawie utworzenia jednolitego europejskiego obszaru kolejowego (Dz.U. L 343 z 14.12.2012, s. 32).
27 Rozporządzenie (WE) nr 725/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie podniesienia ochrony statków i obiektów portowych (Dz.U. L 129 z 29.4.2004, s. 6).
28 Dyrektywa 2005/65/WE Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie wzmocnienia ochrony portów (Dz.U. L 310 z 25.11.2005, s. 28).
29 Dyrektywa 2002/59/WE Parlamentu Europejskiego i Rady z dnia 27 czerwca 2002 r. ustanawiająca wspólnotowy system monitorowania i informacji o ruchu statków i uchylająca dyrektywę Rady 93/75/EWG (Dz.U. L 208 z 5.8.2002, s. 10).
30 Rozporządzenie delegowane Komisji (UE) 2015/962 z dnia 18 grudnia 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2010/40/UE w odniesieniu do świadczenia ogólnounijnych usług informacyjnych w czasie rzeczywistym dotyczących ruchu (Dz.U. L 157 z 23.6.2015, s. 21).
31 Dyrektywa Parlamentu Europejskiego i Rady 2010/40/UE z dnia 7 lipca 2010 r. w sprawie ram wdrażania inteligentnych systemów transportowych w obszarze transportu drogowego oraz interfejsów z innymi rodzajami transportu (Dz.U. L 207 z 6.8.2010, s. 1).
32 Rozporządzenie (UE) nr 575/2013 Parlamentu Europejskiego i Rady z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).
33 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349).
34 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1).
35 Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45).
36 Dyrektywa Rady 98/83/WE z dnia 3 listopada 1998 r. w sprawie jakości wody przeznaczonej do spożycia przez ludzi (Dz.U. L 330 z 5.12.1998, s. 32).