(1) Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 4  było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa.

(2) Od momentu wejścia w życie dyrektywy (UE) 2016/1148 poczyniono znaczne postępy w podnoszeniu poziomu cyberodporności Unii. Przegląd tej dyrektywy pokazał, że stanowiła ona katalizator zmian w instytucjonalnym i regulacyjnym podejściu do cyberbezpieczeństwa w Unii oraz spowodowała znaczącą zmianę w sposobie myślenia. Dzięki tej dyrektywie utworzono ramy krajowe w zakresie bezpieczeństwa sieci i systemów informatycznych poprzez przyjęcie krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych i określenie krajowych zdolności oraz wdrożenie środków regulacyjnych obejmujących niezbędną infrastrukturę i podmioty wskazane przez poszczególne państwa członkowskie. Dyrektywa (UE) 2016/1148 przyczyniła się także do współpracy na poziomie Unii dzięki ustanowieniu Grupy Współpracy oraz sieci krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego. Pomimo tych osiągnięć przegląd dyrektywy (UE) 2016/1148 ujawnił tkwiące w niej braki, które uniemożliwiają skuteczne zaradzenie obecnym i pojawiającym się wyzwaniom w zakresie cyber- bezpieczeństwa.

(3) Wraz z szybko postępującą transformacją cyfrową i siecią wzajemnych połączeń w społeczeństwie, w tym w kontekście wymiany transgranicznej, sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. Zmiana ta doprowadziła do ewolucji krajobrazu cyberzagrożeń, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ incydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. W rezultacie incydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz

powodować poważne szkody dla gospodarki i społeczeństwa Unii. Dlatego gotowość i skuteczność w obszarze cyberbezpieczeństwa stają się coraz ważniejsze dla prawidłowego funkcjonowania rynku wewnętrznego niż kiedykolwiek wcześniej. Ponadto w wielu sektorach krytycznych cyberbezpieczeństwo należy do kluczowych czynników umożliwiających udany przebieg transformacji cyfrowej i pełne wykorzystanie ekonomicznych i społecznych korzyści wynikających z cyfryzacji.

(4) Podstawę prawną dyrektywy (UE) 2016/1148 stanowił art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), którego celem jest ustanowienie i zapewnienie funkcjonowania rynku wewnętrznego przez usprawnienie środków służących zbliżeniu przepisów krajowych. Wymogi w zakresie cyberbezpieczeństwa nałożone na podmioty świadczące usługi lub prowadzące działalność kluczową z ekonomicznego punktu widzenia różnią się znacznie - swoim rodzajem i poziomem szczegółowości, a także metodami nadzoru - w zależności od państwa członkowskiego. Rozbieżności te pociągają za sobą dodatkowe koszty i powodują trudności dla podmiotów, które oferują towary lub usługi transgranicznie. Wymogi nałożone przez jedno państwo członkowskie, które różnią się od wymogów nałożonych przez inne państwo członkowskie lub nawet są z nimi sprzeczne, mogą w istotny sposób wpływać na taką transgraniczną działalność. Ponadto ewentualne nieodpowiednie zaprojektowanie lub wdrożenie wymogów dotyczących cyberbezpieczeństwa prawdopodobnie wywrze negatywny wpływ na poziom cyberbezpieczeństwa innych państw członkowskich, w szczególności z uwagi na intensywność wymiany transgranicznej. Z przeglądu dyrektywy (UE) 2016/1148 wynika, że istnieją znaczne rozbieżności w jej wdrażaniu przez państwa członkowskie, w tym pod względem jej zakresu, którego ustalenie w znacznej mierze pozostawiono do uznania państw członkowskich. W dyrektywie (UE) 2016/1148 zapewniono państwom członkowskim bardzo duży margines swobody także w odniesieniu do wdrażania ustanowionych w niej obowiązków dotyczących bezpieczeństwa i zgłaszania incydentów. W rezultacie obowiązki te zostały wdrożone na poziomie krajowym w bardzo różny sposób. Podobne rozbieżności we wdrażaniu wystąpiły w odniesieniu do przepisów dyrektywy (UE) 2016/1148 dotyczących nadzoru i egzekwowania prawa.

(5) Wszystkie te rozbieżności pociągają za sobą fragmentację rynku wewnętrznego i mogą szkodliwie wpływać na jego funkcjonowanie, oddziałując w szczególności na transgraniczne świadczenie usług i poziom cyberodporności ze względu na stosowanie zróżnicowanych środków. Ostatecznie rozbieżności te mogą prowadzić do większej podatności niektórych państw członkowskich na cyberzagrożenia, co może wywołać reperkusje dla całej Unii. Celem niniejszej dyrektywy jest wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie przepisów minimalnych dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w poszczególnych państwach członkowskich, zaktualizowanie wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpie- czeństwa oraz wprowadzenie skutecznych środków naprawczych i środków egzekwowania, które są kluczowe dla skutecznego egzekwowania tych obowiązków. Dyrektywę (UE) 2016/1148 należy zatem uchylić i zastąpić niniejszą dyrektywą.

(6) Wraz z uchyleniem dyrektywy (UE) 2016/1148 należy rozszerzyć zakres stosowania przepisów przez poszczególne sektory na większą część gospodarki, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym. W szczególności niniejsza dyrektywa ma na celu wyeliminowanie niedociągnięć wynikających z rozróżnienia operatorów usług kluczowych i dostawców usług cyfrowych, które okazało się nieaktualne, ponieważ nie odzwierciedla znaczenia danych sektorów lub usług dla działalności społecznej i gospodarczej na rynku wewnętrznym.

(7) Na podstawie dyrektywy (UE) 2016/1148 państwa członkowskie były odpowiedzialne za identyfikację podmiotów spełniających kryteria pozwalające na uznanie ich za operatorów usług kluczowych. Aby wyeliminować znaczne rozbieżności pod tym względem między państwami członkowskimi oraz zapewnić wszystkim podmiotom objętym regulacją pewność prawa w odniesieniu do środków zarządzania ryzykiem w cyberbezpieczeństwie i do obowiązków dotyczących zgłaszania incydentów, należy ustanowić jednolite kryterium określające, które podmioty są objęte zakresem stosowania niniejszej dyrektywy. Kryterium to powinno przewidywać stosowanie zasady wielkościowej przewidującej, że zakres stosowania niniejszej dyrektywy obejmuje wszystkie podmioty, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia Komisji 2003/361/WE 5  lub które przekraczają pułapy dla średnich przedsiębiorstw określone w ust. 1 tego artykułu oraz które działają w sektorach objętych tą dyrektywą lub świadczą objęte nią rodzaje usług lub prowadzą objętą nią działalność. Państwa członkowskie powinny również zapewnić objęcie zakresem niniejszej dyrektywy niektórych małych przedsiębiorstw i mikroprzedsiębiorstw zgodnie z definicją w art. 2 ust. 2 i 3 tego załącznika, które spełniają szczególne kryteria wskazujące na kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów lub rodzajów usług.

(8) Wyłączenie podmiotów administracji publicznej z zakresu stosowania niniejszej dyrektywy powinno mieć zastosowanie do podmiotów, które prowadzą działalność głównie w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności, lub egzekwowania prawa, w tym działania związane z zapobieganiem przestępstwom, prowadzeniem postępowań w ich sprawie, wykrywaniem ich i ściganiem. Jednakże podmioty administracji publicznej, których działalność jedynie w niewielkim stopniu wiąże się z tymi obszarami, nie są wyłączone z zakresu stosowania niniejszej dyrektywy. Do celów niniejszej dyrektywy podmioty posiadające kompetencje regulacyjne nie są uznawane za prowadzące działalność w obszarze egzekwowania prawa i dlatego nie są wyłączone z tej przyczyny z zakresu stosowania niniejszej dyrektywy. Podmioty administracji publicznej ustanowione wspólnie z państwem trzecim zgodnie z umową międzynarodową są wyłączone z zakresu stosowania niniejszej dyrektywy. Niniejsza dyrektywa nie ma zastosowania do misji dyplomatycznych i konsularnych państw członkowskich w państwach trzecich ani do ich sieci i systemów informatycznych, o ile takie systemy znajdują się na terenie misji lub są eksploatowane na potrzeby użytkowników w państwie trzecim.

(9) Państwa członkowskie powinny móc stosować niezbędne środki zapewniające ochronę podstawowych interesów bezpieczeństwa narodowego, gwarantujące porządek publiczny i bezpieczeństwo publiczne oraz umożliwiające zapobieganie przestępstwom, prowadzenie postępowań w ich sprawie, ich wykrywanie i ściganie. W tym celu państwa członkowskie powinny móc zwolnić określone podmioty, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobieganie przestępstwom, prowadzenie postępowań w ich sprawie, ich wykrywanie i ściganie, z niektórych obowiązków określonych w niniejszej dyrektywie w odniesieniu do tych działań. Jeżeli dany podmiot świadczy usługi wyłącznie na rzecz podmiotu administracji publicznej, który jest wyłączony z zakresu stosowania niniejszej dyrektywy, państwa członkowskie powinny móc zwolnić ten podmiot z niektórych obowiązków określonych w niniejszej dyrektywie w odniesieniu do tych usług. Ponadto żadne państwo członkowskie nie powinno mieć obowiązku udzielania informacji, których ujawnienie jest sprzeczne z podstawowymi interesami jego bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności. W tym kontekście należy wziąć pod uwagę unijne lub krajowe przepisy o ochronie informacji niejawnych, umowy dotyczące zachowania poufności oraz nieformalne porozumienia dotyczące zachowania poufności, takie jak kod poufności TLP (Traffic Light Protocol). Kod poufności TLP należy rozumieć jako narzędzie służące informowaniu o ograniczeniach w dalszym rozpowszechnianiu informacji. Jest on wykorzystywany w niemal wszystkich zespołach reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) oraz w niektórych centrach analizy i wymiany informacji.

(10) Mimo iż niniejsza dyrektywa ma zastosowanie do podmiotów prowadzących działalność w zakresie wytwarzania energii elektrycznej w elektrowniach jądrowych, niektóre rodzaje takiej działalności mogą być powiązane z bezpieczeństwem narodowym. W takim przypadku państwo członkowskie powinno móc wykonywać swoje obowiązki dotyczące ochrony bezpieczeństwa narodowego w odniesieniu do tej działalności, w tym działalności w łańcuchu wartości sektora jądrowego, zgodnie z Traktatami.

(11) Niektóre podmioty prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobieganie przestępstwom, prowadzenie postępowań w ich sprawie, wykrywanie ich i ściganie, a jednocześnie świadczą usługi zaufania. Dostawców usług zaufania, którzy są objęci zakresem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 6 , należy objąć zakresem stosowania niniejszej dyrektywy, aby zapewnić poziom wymogów bezpieczeństwa i nadzoru identyczny z określonym wcześniej w tym rozporządzeniu w odniesieniu do dostawców usług zaufania. W związku z wyłączeniem niektórych konkretnych usług z zakresu stosowania rozporządzenia (UE) nr 910/2014 niniejsza dyrektywa nie powinna mieć zastosowania do świadczenia usług zaufania wykorzystywanych wyłącznie w obrębie zamkniętych systemów wynikających z prawa krajowego lub z porozumień zawartych przez określoną grupę uczestników.

(12) Operatorzy świadczący usługi pocztowe zdefiniowani w dyrektywie Parlamentu Europejskiego i Rady 97/67/WE 7 , w tym dostawcy usług kurierskich, powinni podlegać niniejszej dyrektywie, jeżeli świadczą usługi na co najmniej jednym z etapów łańcucha doręczania przesyłek pocztowych, a w szczególności przyjmowania, sortowania, transportu lub doręczania, w tym odbioru przesyłek, przy uwzględnieniu stopnia ich zależności od sieci i systemów informatycznych. Usługi transportowe, które nie są świadczone w związku z jednym z wymienionych etapów, powinny być wyłączone z zakresu usług pocztowych.

(13) Zważywszy na intensyfikację i coraz większe wyrafinowanie cyberzagrożeń, państwa członkowskie powinny starać się zapewnić osiągnięcie wysokiego poziomu cyberbezpieczeństwa przez podmioty wyłączone z zakresu stosowania niniejszej dyrektywy oraz wspierać wdrażanie równoważnych środków zarządzania ryzykiem w cyberbezpieczeństwie, które odzwierciedlają wrażliwy charakter tych podmiotów.

(14) Do przetwarzania danych osobowych na podstawie niniejszej dyrektywy mają zastosowanie unijne przepisy dotyczące ochrony danych oraz unijne przepisy dotyczące prywatności. W szczególności niniejsza dyrektywa nie narusza rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 8  i dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady 9 . Niniejsza dyrektywa nie powinna zatem wpływać między innymi na zadania i uprawnienia organów właściwych do spraw monitorowania zgodności z obowiązującymi unijnymi przepisami dotyczącymi ochrony danych i unijnymi przepisami dotyczącymi ochrony prywatności.

(15) Podmioty, które są objęte zakresem stosowania niniejszej dyrektywy w celu przestrzegania środków zarządzania ryzykiem w cyberbezpieczeństwie i obowiązków dotyczących zgłaszania incydentów, należy podzielić na dwie kategorie - podmioty kluczowe i podmioty ważne, w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla ich sektorów lub dla rodzaju świadczonych przez nie usług, a także od ich wielkości. W związku z tym właściwe organy powinny w stosownych przypadkach należycie uwzględniać odpowiednie sektorowe oszacowania ryzyka lub wskazówki. Należy zróżnicować systemy nadzoru i egzekwowania między tymi dwiema kategoriami podmiotów, aby zapewnić odpowiednią równowagę między wymogami i obowiązkami związanymi z ryzykiem a obciążeniem administracyjnym wynikającym z nadzoru nad zgodnością z przepisami.

(16) Stosując art. 6 ust. 2 załącznika do zalecenia 2003/361/WE, państwa członkowskie mogą uwzględnić stopień niezależności podmiotu w stosunku do jego przedsiębiorstw partnerskich lub powiązanych, aby uniknąć uznawania podmiotów, które mają przedsiębiorstwa partnerskie lub które są przedsiębiorstwami powiązanymi, za podmioty kluczowe lub ważne, gdyby było to nieproporcjonalne. W szczególności państwa członkowskie mogą uwzględnić fakt, że dany podmiot jest niezależny od przedsiębiorstw partnerskich lub powiązanych pod względem sieci i systemów informatycznych, z których korzysta przy świadczeniu usług, a także pod względem świadczonych przez siebie usług. Na tej podstawie, w stosownych przypadkach, państwa członkowskie mogą uznać, że taki podmiot nie kwalifikuje się jako średnie przedsiębiorstwo na podstawie art. 2 załącznika do zalecenia 2003/361/WE, ani nie przekracza określonych dla średniego przedsiębiorstwa pułapów, określonych w ust. 1 tego artykułu, jeżeli po uwzględnieniu stopnia niezależności tego podmiotu nie zostałby on uznany za kwalifikujący się jako średnie przedsiębiorstwo lub przekraczający te pułapy, w przypadku gdy uwzględniono tylko jego własne dane. Nie wpływa to na określone w niniejszej dyrektywie obowiązki przedsiębiorstw partnerskich i powiązanych, które są objęte zakresem jej stosowania.

(17) Państwa członkowskie powinny mieć możliwość decydowania, że za podmioty kluczowe należy uznać podmioty zidentyfikowane przed wejściem w życie niniejszej dyrektywy jako operatorzy usług kluczowych zgodnie z dyrektywą (UE) 2016/1148.

(18) W celu zapewnienia przejrzystego przeglądu podmiotów objętych zakresem stosowania niniejszej dyrektywy, państwa członkowskie powinny utworzyć wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. W tym celu państwa członkowskie powinny zobowiązać podmioty do przekazywania właściwym organom co najmniej następujących informacji: nazwy, adresu i aktualnych danych kontaktowych, w tym adresów poczty elektronicznej, zakresów adresów IP i numerów telefonicznych podmiotu oraz, w stosownych przypadkach, odpowiedniego sektora i podsektora, o których mowa w załącznikach, a także, w stosownych przypadkach, wykazu państw członkowskich, w których dany podmiot świadczy usługi objęte zakresem stosowania niniejszej dyrektywy. W tym celu Komisja, z pomocą Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), powinna bez zbędnej zwłoki podać wytyczne i wzory na potrzeby obowiązku przekazywania informacji. Aby ułatwić utworzenie i aktualizację wykazu podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen, państwa członkowskie powinny móc ustanowić mechanizmy krajowe umożliwiające podmiotom samodzielną rejestrację. Jeżeli rejestry istnieją na poziomie krajowym, państwa członkowskie mogą decydować o odpowiednich mechanizmach umożliwiających identyfikację podmiotów objętych zakresem stosowania niniejszej dyrektywy.

(19) Państwa członkowskie powinny być odpowiedzialne za poinformowanie Komisji co najmniej o liczbie podmiotów kluczowych i ważnych dla każdego sektora i podsektora, o których mowa w załącznikach, a także przekazanie jej odpowiednich informacji o liczbie zidentyfikowanych podmiotów i o tym, na podstawie którego przepisu - spośród ustanowionych w niniejszej dyrektywie - zostały one zidentyfikowane oraz rodzaju świadczonej przez te podmioty usługi. Zachęca się państwa członkowskie, aby wymieniały z Komisją informacje o podmiotach kluczowych i ważnych oraz - w przypadku incydentu dotyczącego cyberbezpieczeństwa na dużą skalę - odpowiednie informacje takie jak nazwa danego podmiotu.

(20) Komisja powinna, we współpracy z Grupą Współpracy i po konsultacji z odpowiednimi zainteresowanymi stronami, podać wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorstw i małych przedsiębiorstw, do celów oceny, czy są one objęte zakresem stosowania niniejszej dyrektywy. Komisja powinna też zapewnić, aby mikroprzedsiębiorstwa i małe przedsiębiorstwa objęte zakresem stosowania niniejszej dyrektywy otrzymywały odpowiednie wytyczne. Komisja powinna - z pomocą państw członkowskich - udostępniać mikro- przedsiębiorstwom i małym przedsiębiorstwom informacje w tym zakresie.

(21) Komisja może wydawać wytyczne, aby pomóc państwom członkowskim w prawidłowym wdrażaniu przepisów niniejszej dyrektywy dotyczących zakresu jej stosowania oraz w ocenie proporcjonalności środków do zastosowania na podstawie niniejszej dyrektywy, w szczególności w odniesieniu do podmiotów o złożonych modelach biznesowych lub środowiskach operacyjnych, gdzie podmiot może jednocześnie spełniać kryteria bycia podmiotem kluczowym i podmiotem ważnym lub może jednocześnie prowadzić działania, z których jedne są objęte zakresem stosowania niniejszej dyrektywy, a inne są z niego wyłączone.

(22) Niniejsza dyrektywa określa poziom odniesienia dla środków zarządzania ryzykiem w cyberbezpieczeństwie i dla obowiązków dotyczących zgłaszania incydentów w sektorach, które wchodzą w zakres jej stosowania. Aby uniknąć fragmentacji przepisów o cyberbezpieczeństwie zawartych w aktach prawnych Unii, jeżeli kolejne sektorowe akty prawne Unii regulujące środki zarządzania ryzykiem w cyberbezpieczeństwie i obowiązki w zakresie zgłaszania incydentów zostaną uznane za niezbędne do zapewnienia wysokiego poziomu cyberbezpieczeństwa w całej Unii, Komisja powinna ocenić, czy takie przepisy można określić w akcie wykonawczym na podstawie niniejszej dyrektywy. Gdyby taki akt wykonawczy nie był odpowiedni do tego celu, do zapewnienia wysokiego poziomu cyberbezpieczeństwa w całej Unii można wykorzystać sektorowe akty prawne Unii, przy pełnym uwzględnieniu specyfiki i złożoności danych sektorów. W związku z tym niniejsza dyrektywa nie stanowi przeszkody dla przyjęcia kolejnych sektorowych aktów prawnych Unii regulujących środki zarządzania ryzykiem w cyberbezpieczeństwie i obowiązki w zakresie zgłaszania incydentów, należycie uwzględniających potrzebę kompleksowych i spójnych ram dotyczących cyberbezpieczeństwa. Niniejsza dyrektywa nie narusza istniejących uprawnień wykonawczych, które powierzono Komisji w wielu sektorach, w tym w sektorach transportu i energetyki.

(23) Jeżeli sektorowy akt prawny Unii zawiera przepisy wymagające od podmiotów kluczowych lub ważnych, aby przyjęły środki zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszały poważne incydenty, i jeżeli wymogi te są co najmniej równoważne pod względem skutku obowiązkom określonym w niniejszej dyrektywie, wówczas te przepisy, w tym dotyczące nadzoru i egzekwowania prawa, powinny mieć zastosowanie do takich podmiotów. Jeżeli sektorowy akt prawny Unii nie obejmuje wszystkich podmiotów w danym sektorze wchodzących w zakres stosowania niniejszej dyrektywy, odnośne przepisy niniejszej dyrektywy powinny nadal mieć zastosowanie do podmiotów nieobjętych tym aktem.

(24) Jeżeli przepisy sektorowego aktu prawnego Unii wymagają, aby podmioty kluczowe lub ważne spełniały obowiązki w zakresie zgłaszania incydentów, które są co najmniej równoważne pod względem skutku obowiązkom w zakresie zgłaszania incydentów określonym w niniejszej dyrektywie, należy zapewnić spójność i skuteczność postępowania w przypadku zgłoszeń incydentów. W tym celu przepisy dotyczące zgłaszania incydentów sektorowego aktu prawnego Unii powinny zapewniać CSIRT, właściwym organom lub pojedynczym punktom kontaktowym do spraw cyberbezpieczeństwa (pojedynczym punktom kontaktowym) na podstawie niniejszej dyrektywy natychmiastowy dostęp do zgłoszeń incydentów zgodnie z sektorowym aktem prawnym Unii. W szczególności taki natychmiastowy dostęp można zapewnić, jeżeli zgłoszenia incydentów są przekazywane bez zbędnej zwłoki CSIRT, właściwemu organowi lub pojedynczemu punktowi kontaktowemu) na podstawie niniejszej dyrektywy. W stosownych przypadkach państwa członkowskie powinny wprowadzić mechanizm automatycznego i bezpośredniego zgłaszania incydentów, zapewniający systematyczną i natychmiastową wymianę informacji z CSIRT, właściwymi organami lub pojedynczymi punktami kontaktowymi dotyczącą postępowania w przypadku takich zgłoszeń incydentów. W celu uproszczenia zgłaszania incydentów oraz wdrożenia mechanizm automatycznego i bezpośredniego zgłaszania incydentów, państwa członkowskie mogą, zgodnie z sektorowym aktem prawnym Unii, korzystać z pojedynczego punktu zgłaszania incydentów.

(25) Sektorowe akty prawne Unii, które przewidują środki zarządzania ryzykiem w cyberbezpieczeństwie lub obowiązki w zakresie zgłaszania incydentów, które są co najmniej równoważne pod względem skutku obowiązkom określonym w niniejszej dyrektywie, mogą przewidywać, że właściwe organy na podstawie takich aktów wykonują swoje uprawnienia dotyczące nadzoru i egzekwowania prawa w odniesieniu do takich środków lub obowiązków z pomocą właściwych organów na podstawie niniejszej dyrektywy. Odpowiednie właściwe organy mogą w tym celu przyjąć ustalenia dotyczące współpracy. W takich ustaleniach dotyczących współpracy można określić między innymi procedury dotyczące koordynacji działań nadzorczych, w tym procedury dochodzeń i kontroli na miejscu zgodnie z prawem krajowym, oraz mechanizm wymiany między właściwymi organami istotnych informacji na temat nadzoru i egzekwowania prawa, obejmujący dostęp do informacji związanych z cyberprzestrzenią, o które właściwe organy zwracają się na podstawie niniejszej dyrektywy.

(26) Jeżeli sektorowe akty prawne Unii zobowiązują lub motywują podmioty do zgłaszania poważnych cyberzagrożeń, państwa członkowskie powinny również zachęcać do przekazywania informacji o poważnych cyberzagrożeniach CSIRT, właściwym organom lub pojedynczym punktom kontaktowym na podstawie niniejszej dyrektywy, tak by organy te miały lepszy obraz cyberzagrożeń i mogły skutecznie i terminowo reagować w przypadku wystąpienia poważnych cyberzagrożeń.

(27) Przyszłe sektorowe akty prawne Unii powinny należycie uwzględniać definicje oraz ramy nadzoru i egzekwowania prawa określone w niniejszej dyrektywie.

(28) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 10  należy uznać za sektorowy akt prawny Unii powiązany z niniejszą dyrektywą w odniesieniu do podmiotów finansowych. Zamiast przepisów niniejszej dyrektywy zastosowanie powinny mieć przepisy rozporządzenia (UE) 2022/2554 dotyczące zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT), zarządzania incydentami związanymi z ICT, a w szczególności zgłaszania poważnych incydentów związanych z ICT, a także testowania operacyjnej odporności cyfrowej, mechanizmów wymiany informacji oraz ryzyka związanego z zewnętrznymi dostawcami ICT. Do podmiotów finansowych objętych rozporządzeniem (UE) 2022/2554 państwa członkowskie nie powinny zatem stosować przepisów niniejszej dyrektywy dotyczących zarządzania ryzykiem w cyberbezpieczeństwie i obowiązków w zakresie zgłaszania incydentów oraz nadzoru i egzekwowania prawa. Jednocześnie istotne jest, aby utrzymać silne relacje i skuteczną wymianę informacji z sektorem finansowym na podstawie niniejszej dyrektywy. W tym celu rozporządzenie (UE) 2022/2554 umożliwia Europejskim Urzędom Nadzoru oraz właściwym organom na podstawie tego rozporządzenia udział w działaniach Grupy Współpracy oraz wymianę informacji i współpracę z pojedynczymi punktami kontaktowymi, a także z CSIRT i właściwymi organami na podstawie niniejszej dyrektywy. Właściwe organy na podstawie rozporządzenia (UE) 2022/2554 powinny także przekazywać dane na temat poważnych incydentów związanych z ICT i, w odpowiednich przypadkach, poważnych cyberzagrożeń także CSIRT, właściwym organom lub pojedynczym punktom kontaktowym na podstawie niniejszej dyrektywy. Można to osiągnąć przez zapewnienie natychmiastowego dostępu do zgłoszeń incydentów i ich bezpośrednie przekazywanie bezpośrednio lub za pośrednictwem pojedynczego punktu. Ponadto państwa członkowskie powinny w dalszym ciągu uwzględniać sektor finansowy w swoich strategiach cyberbezpieczeństwa, a CSIRT mogą objąć go swoimi działaniami.

(29) Aby uniknąć luk w obowiązkach lub powielania obowiązków dotyczących cyberbezpieczeństwa nałożonych na podmioty w sektorze lotnictwa, organy krajowe na podstawie rozporządzeń Parlamentu Europejskiego i Rady (WE) nr 300/2008 11  i (UE) 2018/1139 12  oraz właściwe organy na podstawie niniejszej dyrektywy powinny współpracować przy wdrażaniu środków zarządzania ryzykiem w cyberbezpieczeństwie oraz przy nadzorowaniu przestrzegania tych środków na poziomie krajowym. Spełnienie przez podmiot wymogów bezpieczeństwa określonych w rozporządzeniach (WE) nr 300/2008 i (UE) 2018/1139 oraz w odpowiednich aktach delegowanych i wykonawczych przyjętych na podstawie tych rozporządzeń może zostać uznane przez właściwe organy na podstawie niniejszej dyrektywy za spełnienie odpowiednich wymogów określonych w niniejszej dyrektywie.

(30) Zważywszy na powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym podmiotów, należy zapewnić spójność podejścia między dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2557 13  a niniejszą dyrektywą. W tym celu podmioty zidentyfikowane jako podmioty krytyczne na mocy dyrektywy (UE) 2022/2557 powinny być uznawane za podmioty kluczowe na podstawie niniejszej dyrektywy. Ponadto każde państwo członkowskie powinno zapewnić, aby w jego krajowej strategii dotyczącej cyberbezpieczeństwa przewidziano ramy polityki umożliwiające zwiększoną koordynację w obrębie tego państwa członkowskiego między jego właściwymi organami na podstawie niniejszej dyrektywy i tymi na podstawie dyrektywy (UE) 2022/2557 w kontekście wymiany informacji na temat ryzyka, cyberzagrożeń i incydentów, a także ryzyka, cyberzagrożeń i incydentów poza cyberprzestrzenią, a także wykonywania zadań nadzorczych. Właściwe organy na podstawie niniejszej dyrektywy i te na podstawie dyrektywy (UE) 2022/2557 powinny ze sobą współpracować i wymieniać się informacjami bez zbędnej zwłoki, w szczególności w odniesieniu do identyfikacji podmiotów krytycznych, ryzyka, zagrożenia i incydentów w cyberprzestrzeni oraz ryzyka, zagrożeń i incydentów poza cyberprzestrzenią wpływających na podmioty krytyczne, co obejmuje środki dotyczące cyberbezpieczeństwa i środki fizyczne stosowane przez podmioty krytyczne, a także wyniki działań nadzorczych przeprowadzonych wobec takich podmiotów.

Ponadto aby usprawnić działania nadzorcze między właściwymi organami na podstawie niniejszej dyrektywy oraz tymi na podstawie dyrektywy (UE) 2022/2557 oraz zminimalizować obciążenie administracyjne podmiotów, których to dotyczy, te właściwe organy powinny starać się zharmonizować wzory zgłoszeń incydentów i procesy nadzorcze. W stosownych przypadkach właściwe organy działające na podstawie dyrektywy (UE) 2022/2557 powinny móc zwrócić się do właściwych organów na podstawie niniejszej dyrektywy, aby wykonały swoje uprawnienia nadzorcze i wykonawcze w stosunku do podmiotu, który został zidentyfikowany jako podmiot krytyczny na podstawie dyrektywy (UE) 2022/2557. Właściwe organy na podstawie niniejszej dyrektywy i te na podstawie dyrektywy (UE) 2022/2557 powinny, w miarę możliwości w czasie rzeczywistym, współpracować i prowadzić wymianę informacji w tym celu.

(31) Podmioty należące do sektora infrastruktury cyfrowej opierają się zasadniczo na sieciach i systemach informatycznych, w związku z czym obowiązki nałożone na te podmioty na mocy niniejszej dyrektywy powinny w kompleksowy sposób odnosić się do bezpieczeństwa fizycznego takich systemów, w ramach środków zarządzania ryzykiem w cyberbezpieczeństwie stosowanych przez te podmioty i ich obowiązków w zakresie zgłaszania incydentów. Ponieważ kwestie te są objęte niniejszą dyrektywą, obowiązki określone w rozdziałach III, IV i VI dyrektywy (UE) 2022/ 2557 nie mają zastosowania do takich podmiotów.

(32) Utrzymywanie i zachowanie wiarygodnego, odpornego i bezpiecznego systemu nazw domen (DNS) należy do kluczowych czynników umożliwiających utrzymanie integralności internetu oraz ma istotne znaczenie dla jego nieprzerwanego i stabilnego działania, od którego zależą gospodarka cyfrowa i społeczeństwo cyfrowe. Dlatego niniejsza dyrektywa powinna mieć zastosowanie do rejestrów nazw domen najwyższego poziomu (TLD) i do dostawców usług DNS, których należy rozumieć jako podmioty dostarczające dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen dla użytkowników końcowych internetu lub autorytatywne usługi rozpoznawania nazw domen na użytek osób trzecich. Niniejsza dyrektywa nie powinna mieć zastosowania do głównych serwerów nazw (ang. root name servers).

(33) Usługi chmurowe powinny obejmować usługi cyfrowe umożliwiające administrowanie na żądanie skalowalnym i elastycznym zbiorem rozproszonych zasobów obliczeniowych do wspólnego wykorzystywania oraz szeroki dostęp zdalny do tego zbioru, w tym gdy takie zasoby są rozmieszczone w kilku lokalizacjach. Zasoby obliczeniowe obejmują zasoby takie jak sieci, serwery lub inna infrastruktura, systemy operacyjne, oprogramowanie, pamięć masowa, aplikacje i usługi. Do modeli usług chmurowych należą m.in. infrastruktura jako usługa (IaaS), platforma jako usługa (PaaS), oprogramowanie jako usługa (SaaS) oraz sieć jako usługa (NaaS). Modele rozmieszczenia usług chmurowych powinny obejmować chmury prywatne, zbiorowe, publiczne i hybrydowe. Modele usług chmurowych i modele rozmieszczenia oznaczają to samo co usługi i modele ich realizacji zdefiniowane w normie ISO/IEC 17788:2014. Zdolność użytkowników usług chmurowych do jednostronnego zapewnienia sobie możliwości obliczeniowych, takich jak czas serwera lub magazyn sieciowy, bez żadnej interakcji z udziałem człowieka ze strony dostawcy usług chmurowych można określić jako administrowanie na żądanie.

Terminu "szeroki dostęp zdalny" używa się do opisu sytuacji, gdy zasoby chmurowe są udostępniane przez sieć, a dostęp do nich jest możliwy za pośrednictwem mechanizmów sprzyjających wykorzystywaniu różnorodnych platform typu thin client lub thick client, w tym telefonów komórkowych, tabletów, laptopów oraz stacji roboczych. Termin "skalowalne" odnosi się do zasobów komputerowych, które są elastycznie przydzielane przez dostawcę usługi niezależnie od położenia geograficznego zasobów w reakcji na fluktuacje zapotrzebowania. Terminu "elastyczny zbiór" używa się do opisu zasobów obliczeniowych, które są dostarczane i uwalniane według zapotrzebowania, aby szybko zwiększać i zmniejszać dostępne zasoby w zależności od obciążenia. Terminu "wspólnie wykorzystywane" używa się do opisu zasobów obliczeniowych udostępnianych wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa jest świadczona z tego samego sprzętu elektronicznego. Terminu "rozproszone" używa się do opisu zasobów obliczeniowych zlokalizowanych na różnych komputerach lub urządzeniach połączonych w sieć, które komunikują się ze sobą i koordynują swoją pracę przez przekazywanie komunikatów.

(34) Zważywszy na pojawianie się innowacyjnych technologii i nowych modeli biznesowych, oczekuje się, że w odpowiedzi na zmieniające się potrzeby klientów nowe modele usług chmurowych i modele rozmieszczenia zaistnieją na rynku wewnętrznym. W tym kontekście usługi chmurowe mogą być świadczone w sposób wysoce rozproszony, jeszcze bliżej miejsca generowania lub gromadzenia danych, co będzie wiązać się z przejściem od modelu tradycyjnego do modelu wysoce rozproszonego (przetwarzanie danych na obrzeżach sieci).

(35) Usługi oferowane przez dostawców usług ośrodka przetwarzania danych nie zawsze muszą być świadczone w postaci usług chmurowych. Przetwarzanie danych nie zawsze musi zatem stanowić element infrastruktury usług chmurowych. W celu zarządzania ogółem ryzyka dla bezpieczeństwa sieci i systemów informatycznych niniejsza dyrektywa powinna zatem obejmować dostawców usług ośrodka przetwarzania danych niebędących usługami chmurowymi. Do celów niniejszej dyrektywy termin "usługa ośrodka przetwarzania danych" powinien obejmować świadczenie usługi, w skład której wchodzą struktury lub grupy struktur służące scentralizowanemu hostingowi, wzajemnym połączeniom i eksploatacji sprzętu informatycznego i sieciowego służącego do przechowywania, przetwarzania i transportu danych wraz z całością obiektów i infrastruktury zapewniających dystrybucję energii elektrycznej i kontrolę środowiskową. Terminu "usługa ośrodka przetwarzania danych" nie należy stosować w odniesieniu do wewnętrznych, korporacyjnych ośrodków przetwarzania danych będących własnością danego podmiotu i eksploatowanych przez niego na własne potrzeby.

(36) Działania badawcze odgrywają kluczową rolę w rozwoju nowych produktów i procesów. Wiele z tych działań jest prowadzonych przez podmioty, które udostępniają, rozpowszechniają lub wykorzystują wyniki swoich badań do celów handlowych. Podmioty te mogą zatem być ważnymi uczestnikami łańcuchów wartości, co sprawia, że bezpieczeństwo ich sieci i systemów informatycznych stanowi integralną część ogólnego cyberbezpieczeństwa rynku wewnętrznego. Organizacje badawcze należy rozumieć jako obejmujące podmioty, które koncentrują zasadniczą część swojej działalności na prowadzeniu badań stosowanych lub eksperymentalnych prac rozwojowych w rozumieniu

Podręcznika Frascati Organizacji Współpracy Gospodarczej i Rozwoju z 2015 r.: Wytyczne dotyczące gromadzenia i prezentowania danych z badań i eksperymentalnych prac rozwojowych z myślą o wykorzystaniu ich wyników do celów handlowych, takich jak wytwarzanie lub rozwój produktu lub procesu, świadczenie usługi lub jego wprowadzanie do obrotu.

(37) Coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług, wykorzystującej kluczową infrastrukturę w całej Unii w sektorach takich jak energetyka, transport, infrastruktura cyfrowa, woda pitna i ścieki, zdrowie, niektóre aspekty administracji publicznej, a także przestrzeni kosmicznej, jeżeli chodzi o świadczenie niektórych usług zależnych od naziemnej infrastruktury, która jest własnością państw członkowskich albo podmiotów prywatnych oraz jest przez nie zarządzana i obsługiwana, a zatem nieobejmującej infrastruktury, która jest własnością Unii lub podmiotów działających w jej imieniu lub jest zarządzana lub obsługiwana przez Unię lub podmioty działające w jej imieniu w ramach jej programu kosmicznego. Wspomniane współzależności oznaczają, że każde zakłócenie, nawet początkowo ograniczające się do jednego podmiotu lub jednego sektora, może wywołać szerzej zakrojony efekt kaskadowy, którego potencjalne negatywne skutki dla świadczenia usług na całym rynku wewnętrznym mogą być dalekosiężne i długotrwałe. Nasilone cyberataki podczas pandemii COVID-19 uwydatniły podatność coraz bardziej współzależnych społeczeństw w obliczu ryzyka o niskim prawdopodobieństwie wystąpienia.

(38) Z uwagi na różnice w krajowych strukturach zarządzania oraz aby zabezpieczyć obowiązujące już ustalenia sektorowe lub unijne organy nadzorcze i regulacyjne, państwa członkowskie powinny móc wyznaczyć lub ustanowić co najmniej jeden właściwy organ odpowiedzialny za cyberbezpieczeństwo i zadania nadzorcze na podstawie niniejszej dyrektywy.

(39) Aby ułatwić współpracę i komunikację transgraniczną między organami oraz umożliwić skuteczne wprowadzenie w życie niniejszej dyrektywy, niezbędne jest, by każde państwo członkowskie wyznaczyło pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z bezpieczeństwem sieci i systemów informatycznych oraz współpracą transgraniczną na poziomie Unii.

(40) Pojedyncze punkty kontaktowe powinny zapewniać skuteczną współpracę transgraniczną z właściwymi organami innych państw członkowskich oraz, w stosownych przypadkach, z Komisją i ENISA. Pojedynczym punktom kontaktowym należy zatem powierzyć zadanie przekazywania zgłoszeń poważnych incydentów mających skutki transgraniczne pojedynczym punktom kontaktowym innych państw członkowskich, których dany incydent dotyczy, na wniosek CSIRT lub właściwego organu. Na poziomie krajowym pojedyncze punkty kontaktowe powinny umożliwiać sprawną współpracę międzysektorową z innymi właściwymi organami. Pojedyncze punkty kontaktowe mogłyby być również odbierać stosowne informacje na temat incydentów dotyczących podmiotów finansowych przekazywane przez właściwe organy na mocy rozporządzenia (UE) 2022/2554 i powinny być w stanie przekazywać te informacje, stosownie do przypadku, CSIRT lub właściwym organom na podstawie niniejszej dyrektywy.

(41) Państwa członkowskie powinny być odpowiednio wyposażone, zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych, aby zapobiegać incydentom i ryzyku, wykrywać je, reagować na nie i przywracać normalne działanie po ich wystąpieniu oraz łagodzić ich skutki. Państwa członkowskie powinny zatem ustanowić lub wyznaczyć co najmniej jeden CSIRT na podstawie niniejszej dyrektywy oraz zapewnić im odpowiednie zasoby i możliwości techniczne. CSIRT powinny spełniać wymogi określone w niniejszej dyrektywie, aby zagwarantować efektywne i kompatybilne zdolności w zakresie postępowania z incydentami i ryzykiem oraz zapewnić skuteczną współpracę na poziomie Unii. Państwa członkowskie powinny móc wyznaczyć jako CSIRT również istniejące zespoły reagowania na incydenty komputerowe (CERT). Aby zwiększyć zaufanie między podmiotami a CSIRT, jeżeli dany CSIRT funkcjonuje w ramach właściwego organu, państwa członkowskie powinny móc rozważyć funkcjonalne rozdzielenie zadań operacyjnych wykonywanych przez CSIRT - w szczególności odnoszących się do przekazywania informacji i do wspomagania podmiotów - od działań nadzorczych właściwych organów.

(42) Zadaniem CSIRT jest obsługa incydentów. Obejmuje ono przetwarzanie dużych ilości danych, w niektórych przypadkach danych szczególnie chronionych. Państwa członkowskie powinny zapewnić, aby CSIRT dysponowały infrastrukturą służącą do wymiany i przetwarzania informacji, a także odpowiednio wyposażonym personelem, co zapewni poufność i wiarygodność ich operacji. CSIRT mogłyby również przyjąć kodeksy postępowania w tym zakresie.

(43) Jeżeli chodzi o dane osobowe, CSIRT powinny być w stanie zapewnić zgodnie z rozporządzeniem (UE) 2016/679 - na wniosek kluczowego lub ważnego podmiotu, proaktywne skanowanie sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. W odpowiednim przypadku państwa członkowskie powinny dążyć do zapewnienia równego poziomu zdolności technicznych wszystkich sektorowych CSIRT. Państwa członkowskie powinny móc zwrócić się do ENISA o pomoc przy tworzeniu CSIRT.

(44) CSIRT powinny mieć zdolność do monitorowania - na wniosek podmiotu kluczowego lub ważnego -jego aktywów połączonych z internetem, zarówno w należących do niego obiektach, jak i poza nimi, aby zidentyfikować i zrozumieć ogólne ryzyko organizacyjne tego podmiotu związane z nowo zidentyfikowanymi naruszeniami bezpieczeństwa w łańcuchach dostaw lub z podatnościami krytycznymi. Podmiot należy zachęcać do informowania CSIRT o tym, czy korzysta z uprzywilejowanego interfejsu zarządzania, ponieważ mogłoby to wpłynąć na szybkość podejmowania działań łagodzących.

(45) Z uwagi na znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa CSIRT powinny móc uczestniczyć w międzynarodowych sieciach współpracy, niezależnie od współpracy w sieci CSIRT ustanowionej na mocy niniejszej dyrektywy. Dlatego w celu wykonywania swoich zadań CSIRT i właściwe organy powinny mieć możliwość wymiany informacji, w tym danych osobowych, z krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego lub z właściwymi organami państw trzecich, pod warunkiem że spełnione są warunki określone w unijnym prawie dotyczącym ochrony danych w odniesieniu do przekazywania danych osobowych do państw trzecich, między innymi warunki określone w art. 49 rozporządzenia (UE) 2016/679.

(46) Zasadnicze znaczenie ma zapewnienie zasobów do realizacji celów niniejszej dyrektywy oraz do umożliwienia właściwym organom i CSIRT wykonywania ustanowionych w niej zadań. Państwa członkowskie mogą wprowadzić na poziomie krajowym mechanizm finansowania, aby pokryć niezbędne wydatki związane z wykonywaniem zadań przez podmioty publiczne odpowiedzialne za cyberbezpieczeństwo w danym państwie członkowskim na podstawie niniejszej dyrektywy. Taki mechanizm powinien być zgodny z prawem Unii, proporcjonalny i niedyskryminujący, a także powinien uwzględniać różne podejścia do świadczenia bezpiecznych usług.

(47) Sieć CSIRT powinna nadal przyczyniać się do zwiększania zaufania i pewności oraz do wspierania szybkiej i skutecznej współpracy operacyjnej między państwami członkowskimi. W celu zacieśnienia współpracy operacyjnej na szczeblu Unii sieć CSIRT powinna rozważyć zaproszenie do udziału w jej pracach organów i agencji Unii zaangażowanych w politykę cyberbezpieczeństwa, takich jak Europol.

(48) W celu osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa krajowe strategie cyberbezpieczeństwa wymagane na podstawie niniejszej dyrektywy powinny składać się ze spójnych ram określających strategiczne cele i priorytety w obszarze cyberbezpieczeństwa oraz sposób zarządzania służący ich osiągnięciu. Strategie te mogą składać się z jednego lub większej liczby aktów ustawodawczych lub nieustawodawczych.

(49) Polityka cyberhigieny stanowi podstawę pozwalającą chronić infrastrukturę sieci i systemów informatycznych, bezpieczeństwo sprzętu, oprogramowania i aplikacji internetowych oraz dane przedsiębiorstw lub użytkowników końcowych wykorzystywane przez podmioty. Polityka cyberhigieny obejmująca wspólny podstawowy zestaw praktyk - w tym aktualizacje oprogramowania i sprzętu, zmianę haseł, zarządzanie nowymi instalacjami, ograniczanie kont dostępu na poziomie administratora oraz tworzenie kopii zapasowych danych - umożliwia utworzenie proaktyw- nych ram gotowości oraz zapewnienie ogólnego bezpieczeństwa i ochrony w razie incydentów lub cyberzagrożeń. ENISA powinna monitorować i analizować politykę państw członkowskich dotyczącą cyberhigieny.

(50) Świadomość zagadnień cyberbezpieczeństwa i cyberhigiena mają zasadnicze znaczenie dla podniesienia poziomu cyberbezpieczeństwa w Unii, w szczególności w świetle rosnącej liczby urządzeń podłączonych do internetu, które są coraz częściej wykorzystywane w cyberatakach. Należy dołożyć starań, aby zwiększyć ogólną świadomość ryzyka związanego z takimi urządzeniami, zaś oceny na poziomie Unii mogłyby pomóc w zapewnieniu wspólnego rozumienia takich zagrożeń na rynku wewnętrznym.

(51) Państwa członkowskie powinny zachęcać do korzystania z innowacyjnych technologii, w tym sztucznej inteligencji, których stosowanie mogłoby poprawić wykrywanie cyberataków i zapobieganie im, umożliwiając skuteczniejsze przekierowywanie zasobów na cyberataki. W krajowych strategiach cyberbezpieczeństwa państwa członkowskie powinny zatem zachęcać do działań badawczo-rozwojowych mających ułatwiać korzystanie z takich technologii, w szczególności technologii związanych z automatycznymi lub półautomatycznymi narzędziami w dziedzinie cyberbezpieczeństwa, oraz, w stosownych przypadkach, wymianę danych potrzebnych do szkolenia użytkowników takiej technologii i do jej doskonalenia. Stosowanie innowacyjnych technologii, w tym sztucznej inteligencji, powinno być zgodne z unijnymi przepisami o ochronie danych, w tym z zasadami ochrony danych zakładającymi dokładność danych, minimalizację danych, uczciwość i przejrzystość oraz z wymogami bezpieczeństwa danych, takimi jak najnowocześniejsze dostępne szyfrowanie. Należy w pełni wykorzystywać wymogi dotyczące uwzględniania ochrony danych w fazie projektowania, a które zostały określone jako domyślne w rozporządzeniu (UE) 2016/679

(52) Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na oprogramowaniu otwartym mogą przyczyniać się do zwiększenia otwartości i pozytywnie wpływać na skuteczność innowacji przemysłowych. Standardy otwarte ułatwiają interoperacyjność między narzędziami bezpieczeństwa, z korzyścią dla bezpieczeństwa zainteresowanych stron z branży. Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na otwartym oprogramowaniu mogą umożliwić pozyskanie szerszej społeczności programistów, umożliwiając dywersyfikację dostawców. Otwarte oprogramowanie może prowadzić do bardziej przejrzystego procesu weryfikacji narzędzi związanych z cyberbezpieczeństwem oraz do kierowanego przez społeczność procesu wykrywania podatności. Państwa członkowskie powinny zatem móc promować wykorzystywanie otwartego oprogramowania i otwartych standardów przez prowadzenie polityki związanej z wykorzystywaniem otwartych danych i otwartego oprogramowania na zasadzie bezpieczeństwa dzięki przejrzystości. Polityka wspierająca wprowadzenie i zrównoważone wykorzystywanie narzędzi z zakresu cyberbezpieczeństwa opartych na otwartym oprogramowaniu ma szczególne znaczenie dla małych i średnich przedsiębiorstw ponoszących znaczne koszty wdrożenia, które można by zminimalizować przez ograniczenie zapotrzebowania na konkretne aplikacje lub narzędzia.

(53) W miastach usługi użyteczności publicznej w coraz większym stopniu łączą się z sieciami cyfrowymi, aby poprawić sieci cyfrowe transportu miejskiego, usprawnić zaopatrzenie w wodę i unieszkodliwianie odpadów oraz zwiększyć efektywność oświetlenia i ogrzewania budynków. Te cyfrowe usługi użyteczności publicznej są narażone na cybera- taki, a skuteczny cyberatak grozi obywatelom szkodami na dużą skalę ze względu na wzajemne powiązanie tych usług. W ramach krajowych strategii cyberbezpieczeństwa państwa członkowskie powinny opracować politykę uwzględniającą rozwój takich połączonych z siecią lub inteligentnych miast oraz ich potencjalny wpływ na społeczeństwo.

(54) W ostatnich latach Unia doświadcza gwałtownego wzrostu liczby cyberataków z użyciem oprogramowania typu "ransomware", w których złośliwe oprogramowanie szyfruje dane i systemy oraz domaga się okupu za ich odblokowanie. Coraz większa częstotliwość i dotkliwość cyberataków z użyciem oprogramowania typu "ransomware" może wynikać z szeregu czynników, takich jak różne wzorce ataków, przestępcze modele biznesowe typu "oprogramowanie wymuszające okup jako usługa" i kryptowaluty, żądania okupu oraz wzrost liczby ataków w łańcuchu dostaw. W ramach krajowych strategii cyberbezpieczeństwa państwa członkowskie powinny opracować politykę odnoszącą się do wzrostu liczby cyberataków z wykorzystaniem oprogramowania typu "ransomware".

(55) Partnerstwa publiczno-prywatne (PPP) w dziedzinie cyberbezpieczeństwa mogą stanowić właściwe ramy służące wymianie wiedzy, dzieleniu się dobrymi praktykami oraz osiągnięciu wspólnego poziomu porozumienia wśród zainteresowanych stron. Państwa członkowskie powinny promować politykę wspierającą tworzenie PPP w dziedzinie cyberbezpieczeństwa. W ramach takiej polityki należy sprecyzować między innymi zakres i zainteresowane strony, model zarządzania, dostępne warianty finansowania oraz interakcje między uczestniczącymi zainteresowanymi stronami w odniesieniu do PPP. PPP mogą wykorzystywać wiedzę specjalistyczną podmiotów z sektora prywatnego, aby pomagać właściwym organom w opracowywaniu usług i procesów zgodnie z najnowszym stanem wiedzy, obejmujących wymianę informacji, wczesne ostrzeganie, ćwiczenia w zakresie cyberzagrożeń i incydentów, zarządzanie kryzysowe i planowanie odporności.

(56) W krajowych strategiach cyberbezpieczeństwa państwa członkowskie powinny uwzględniać szczególne potrzeby małych i średnich przedsiębiorstw związane z cyberbezpieczeństwem. W całej Unii małe i średnie przedsiębiorstwa stanowią znaczny odsetek rynku przemysłu oraz gospodarki i często mają trudności, by dostosować się do nowych praktyk biznesowych w coraz bardziej cyfrowym świecie i do środowiska cyfrowego, z pracownikami pracującymi z domów, a działalnością gospodarczą w coraz większym stopniu prowadzoną w internecie. Niektóre małe i średnie przedsiębiorstwa mierzą się ze szczególnymi wyzwaniami w zakresie cyberbezpieczeństwa, takimi jak niska świadomość zagadnień cyberbezpieczeństwa, brak zdalnych zabezpieczeń informatycznych, wysokie koszty rozwiązań dotyczących cyberbezpieczeństwa oraz zwiększony poziom zagrożeń, np. oprogramowanie wymuszające okup, w związku z czym powinny otrzymywać wskazówki i pomoc. Małe i średnie przedsiębiorstwa coraz częściej stają się celem ataków w łańcuchu dostaw ze względu na ich niewystarczający poziom zarządzania ryzykiem w cyberbezpieczeństwie i zarządzania w razie ataków oraz fakt, że mają one ograniczony dostęp do zasobów na potrzeby bezpieczeństwa. Takie ataki w łańcuchu dostaw wpływają nie tylko na małe i średnie przedsiębiorstwa i działalność każdego z nich z osobna, lecz także mogą mieć efekt kaskadowy w postaci większych ataków na zaopatrywane przez nie podmioty. Państwa członkowskie powinny, za pośrednictwem krajowych strategii cyberbezpieczeństwa, pomagać małym i średnim przedsiębiorstwom w reagowaniu na wyzwania dotyczące łańcuchów dostaw. Państwa członkowskie powinny posiadać punkt kontaktowy dla małych i średnich przedsiębiorstw na szczeblu krajowym lub regionalnym, który zapewniałby wskazówki i pomoc małym i średnim przedsiębiorstwom albo kierowałby je do właściwych organów udzielających wskazówek i pomocy w sprawach związanych z cyberbezpieczeństwem. Państwa członkowskie zachęca się również, aby oferowały usługi takie jak konfiguracja stron internetowych i funkcje logowania małym przedsiębiorstwom i mikroprzedsiębiorstwom, które nie posiadają tych zdolności.

(57) W ramach krajowych strategii cyberbezpieczeństwa będących częścią szerszej strategii obronnej państwa członkowskie powinny przyjąć politykę promowania aktywnej cyberobrony. W przeciwieństwie do działania reaktywnego aktywna cyberobrona polega na aktywnym zapobieganiu naruszeniom bezpieczeństwa sieci, ich wykrywaniu, monitorowaniu, analizowaniu i ograniczaniu, w połączeniu z wykorzystaniem zdolności rozmieszczonych w sieci, która padła ofiarą ataku, i poza tą siecią. Może to obejmować bezpłatne usługi lub narzędzia, w tym kontrole samoobsługowe, narzędzia wykrywania i usługi usuwania oferowane przez państwa członkowskie niektórym podmiotom. Zdolność do szybkiego i automatycznego przekazywania i rozumienia informacji i analiz dotyczących zagrożeń, do ostrzegania o aktywności w cyberprzestrzeni i do reagowania ma krytyczne znaczenie dla spójności wysiłków na rzecz skutecznego zapobiegania atakom na sieci i systemy informatyczne, ich wykrywania, eliminowania i blokowania. Aktywna cyberobrona opiera się na strategii, która wyklucza środki ofensywne.

(58) Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie sieci i systemy informatyczne lub administrują nimi, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności. Ponieważ podatności często są wykrywane i ujawniane przez osoby trzecie, producent lub dostawca produktów ICT lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29147 zawierają wskazówki odnoszące się do postępowania w przypadku podatności i do ujawniania podatności. Wzmocnienie koordynacji między zgłaszającymi osobami fizycznymi i osobami prawnymi a producentami lub dostawcami produktów ICT lub usług ICT jest szczególnie ważne, aby usprawnić dobrowolne zasady ramowe dotyczące ujawniania podatności. Skoordynowane ujawnianie podatności to ustrukturyzowany proces, w ramach którego podatności są zgłaszane producentowi lub dostawcy potencjalnie podatnych produktów ICT lub usług ICT w sposób umożliwiający im zdiagnozowanie i wyeliminowanie danej podatności, zanim dotyczące jej szczegółowe informacje zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Skoordynowane ujawnianie podatności powinno także obejmować koordynację między zgłaszającymi osobami fizycznymi lub osobami prawnymi a producentem lub dostawcą potencjalnie podatnych produktów ICT lub usług ICT w odniesieniu do harmonogramu eliminowania podatności i podawania ich do wiadomości publicznej.

(59) Komisja, ENISA i państwa członkowskie powinny nadal wspierać dostosowanie do norm międzynarodowych i istniejących dobrych praktyk branżowych w dziedzinie zarządzania ryzykiem w cyberbezpieczeństwie, na przykład w takich dziedzinach jak oceny bezpieczeństwa łańcucha dostaw, wymiana informacji i ujawnianie podatności.

(60) Państwa członkowskie we współpracy z ENISA powinny podjąć działania w celu ułatwienia skoordynowanego ujawniania podatności przez ustanowienie odpowiedniej polityki krajowej. W ramach polityki krajowej państwa członkowskie powinny w miarę możliwości dążyć do wyeliminowania problemów, z którymi mierzą się osoby prowadzące badania kwestii podatności, w tym ich potencjalnego narażenia na odpowiedzialność karną, zgodnie prawem krajowym. W związku z tym, że osoby fizyczne i prawne wyszukujące podatności mogą w niektórych państwach członkowskich być narażone na odpowiedzialność karną i cywilną, zachęca się państwa członkowskie do przyjęcia wytycznych przewidujących odstąpienie od postępowania cywilnego lub karnego wobec osób prowadzących badania kwestii podatności i bezpieczeństwa informacji oraz zwolnienie ich z odpowiedzialności cywilnej lub karnej za te działania.

(61) Państwa członkowskie powinny wyznaczyć jeden ze swoich CSIRT do pełnienia roli koordynatora, występującego w razie potrzeby w charakterze zaufanego pośrednika między zgłaszającymi osobami fizycznymi lub prawnymi a producentami lub dostawcami produktów ICT lub usług ICT, na które podatność może mieć wpływ. Zadania CSIRT wyznaczonego do roli koordynacyjnej powinny obejmować identyfikację danych podmiotów i kontaktowanie się z nimi, udzielanie pomocy osobom fizycznym i prawnym zgłaszającym podatność, negocjowanie harmonogramu ujawniania oraz zarządzanie podatnościami, których skutki dotykają wielu podmiotów (wielostronne skoor- dynowane ujawnianie podatności). Jeżeli zgłoszona podatność może mieć znaczący wpływ na podmioty w więcej niż jednym państwie członkowskim, CSIRT wyznaczone na koordynatorów powinny w stosownych przypadkach współpracować w ramach sieci CSIRT.

(62) Dostęp do prawidłowych i terminowych informacji na temat podatności dotyczących produktów ICT i usług ICT pozwala usprawnić zarządzanie ryzykiem w cyberbezpieczeństwie. Ważnym narzędziem dla podmiotów i użytkowników ich usług, ale również dla właściwych organów i CSIRT są źródła publicznie dostępnych informacji na temat podatności. Z tego powodu ENISA powinna ustanowić europejską bazę danych dotyczących podatności, w której podmioty, niezależnie czy są objęte zakresem stosowania niniejszej dyrektywy oraz ich dostawcy sieci i systemów informatycznych, jak również właściwe organy i CSIRT, mogłyby na zasadzie dobrowolności ujawniać i rejestrować publicznie znane podatności, aby umożliwić użytkownikom wprowadzanie odpowiednich środków ograniczających ryzyko. Celem tej bazy danych jest reagowanie na wyjątkowe wyzwania wynikające z ryzyka dla podmiotów unijnych. Ponadto ENISA powinna ustanowić właściwą procedurę dotyczącą procesu publikacji, aby dać podmiotom czas na zastosowanie środków ograniczających ich podatność i najnowocześniejszych dostępnych środków zarządzania ryzykiem w cyberbezpieczeństwie, a także zbiorów danych nadających się do odczytu maszynowego i odpowiednich interfejsów. Aby wspierać kulturę ujawniania podatności, ujawnianie nie powinno mieć negatywnych skutków dla zgłaszającej osoby fizycznej lub osoby prawnej.

(63) Choć istnieją podobne rejestry podatności lub bazy danych dotyczących podatności, są one prowadzone i obsługiwane przez podmioty, które nie mają miejsca prowadzenia działalności w Unii. Europejska baza danych dotyczących podatności obsługiwana przez ENISA zapewniłaby lepszą przejrzystość w odniesieniu do procesu publikacji poprzedzającego publiczne ujawnienie podatności, a także odporność w przypadku zakłócenia lub przerwy w świadczeniu podobnych usług. Aby w miarę możliwości uniknąć powielania podejmowanych działań i dążyć do komplementarności, ENISA powinna zbadać możliwość zawarcia umów o ustrukturyzowanej współpracy z podobnymi rejestrami lub bazami danych podlegającymi jurysdykcji państw trzecich. ENISA powinna w szczególności zbadać możliwość ścisłej współpracy z operatorami systemu wspólnych podatności i zagrożeń (CVE).

(64) Grupa Współpracy powinna wspierać i ułatwiać współpracę strategiczną i wymianę informacji między państwami członkowskimi, a także zwiększać wśród nich zaufanie i pewność. Co dwa lata Grupa Współpracy powinna opracowywać program prac. Program ten powinien obejmować działania, które mają zostać podjęte przez Grupę Współpracy z myślą o realizacji jej celów i zadań. Aby uniknąć potencjalnych zakłóceń w pracy Grupy Współpracy, ramy czasowe opracowania pierwszego programu prac wprowadzonego na podstawie niniejszej dyrektywy należy zharmonizować z ramami czasowymi ostatniego programu prac opracowanego na podstawie dyrektywy (UE) 2016/1148.

(65) Opracowując wytyczne, Grupa Współpracy powinna stale ewidencjonować rozwiązania i doświadczenia krajowe, oceniać wpływ wyników prac Grupy Współpracy na podejścia krajowe, omawiać wyzwania w zakresie wdrażania i formułować konkretne zalecenia - w szczególności dotyczące łatwiejszej harmonizacji aktów transponujących niniejszą dyrektywę w państwach członkowskich - które należy uwzględnić w ramach lepszego wdrażania istniejących przepisów. Grupa Współpracy mogłaby też ewidencjonować rozwiązania krajowe, aby promować kompatybilność rozwiązań w dziedzinie cyberbezpieczeństwa mających zastosowanie do każdego z poszczególnych sektorów w całej Unii. Jest to szczególnie istotne dla sektorów o charakterze międzynarodowym lub transgranicznym.

(66) Grupa Współpracy powinna pozostać elastycznym forum i być w stanie reagować na zmieniające się i nowe priorytety i wyzwania dotyczące polityki, przy jednoczesnym uwzględnieniu dostępności zasobów. Mogłaby ona organizować regularne wspólne spotkania z odpowiednimi zainteresowanymi stronami z sektora prywatnego z całej Unii, aby omawiać działania realizowane przez Grupę Współpracy oraz zbierać dane i informacje na temat pojawiających się wyzwań dotyczących polityki. Ponadto Grupa Współpracy powinna prowadzić regularne oceny aktualnej sytuacji związanej z cyberzagrożeniami lub incydentami, np. obejmującymi wykorzystanie oprogramowania typu "ransomware". Aby zacieśnić współpracę na szczeblu unijnym, Grupa Współpracy powinna rozważyć zaproszenie do uczestnictwa w swoich pracach właściwych instytucji, organów, urzędów i agencji Unii zaangażowanych w politykę cyberbezpieczeństwa, takich jak Parlament Europejski, Europol, Europejska Rada Ochrony Danych, Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego ustanowiona rozporządzeniem (UE) 2018/1139 oraz Agencja Unii Europejskiej ds. Programu Kosmicznego ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/696 14 .

(67) Właściwe organy i CSIRT powinny móc uczestniczyć w programach wymiany dla urzędników z innych państw członkowskich - w konkretnych ramach i, w stosownych przypadkach, pod warunkiem posiadania poświadczenia bezpieczeństwa przez urzędników uczestniczących w takich programach wymiany - z myślą o usprawnieniu współpracy i zwiększeniu zaufania między państwami członkowskimi. Właściwe organy powinny podejmować działania niezbędne do zapewnienia urzędnikom z innych państw członkowskich możliwości skutecznego angażowania się w działalność przyjmującego właściwego organu lub przyjmującego CSIRT.

(68) Państwa członkowskie powinny wnosić wkład w ustanowienie unijnych ram reagowania w sytuacji kryzysu cybernetycznego, o których mowa w zaleceniu Komisji (UE) 2017/1584 15 , poprzez istniejące sieci współpracy, w szczególności Europejska sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), sieć CSIRT i Grupę Współpracy. EU-CyCLONe i sieć CSIRT powinny współpracować w oparciu o uzgodnienia proceduralne, które określają szczegóły tej współpracy i unikać powielania zadań. W regulaminie EU-CyCLONe należy bardziej szczegółowo określić tryb funkcjonowania tej sieci, w tym role sieci, sposoby współpracy, interakcje z innymi odpowiednimi podmiotami i wzory formularzy na potrzeby wymiany informacji, a także środki komunikacji. W odniesieniu do zarządzania kryzysowego na szczeblu unijnym odpowiednie strony powinny opierać się na zintegrowanych uzgodnieniach UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych na podstawie decyzji wykonawczej Rady (UE) 2018/1993 16  (uzgodnienia IPCR). W tym celu Komisja powinna wykorzystywać międzysektorowy proces koordynacji na wysokim szczeblu w sytuacji kryzysowej ARGUS. Jeżeli sytuacja kryzysowa wiąże się z istotnymi kwestiami z zakresu polityki zewnętrznej lub wspólnej polityki bezpieczeństwa i obrony, należy uruchomić mechanizm reagowania kryzysowego Europejskiej Służby Działań Zewnętrznych.

(69) Zgodnie z załącznikiem do zalecenia (UE) 2017/1584 incydent w cyberbezpieczeństwie na dużą skalę powinien oznaczać incydent, który powoduje poziom zakłóceń przekraczający zdolność danego państwa członkowskiego do reakcji lub który ma znaczący wpływ na co najmniej dwa państwa członkowskie. W zależności od przyczyny i wpływu incydenty na dużą skalę mogą przerodzić się w prawdziwe kryzysy uniemożliwiające prawidłowe funkcjonowanie rynku wewnętrznego lub stanowiące poważne zagrożenie dla bezpieczeństwa publicznego i ryzyko dla bezpieczeństwa podmiotów lub obywateli w kilku państwach członkowskich lub w całej Unii. Biorąc pod uwagę szeroki zakres oraz, w większości przypadków, transgraniczny charakter takich incydentów, państwa członkowskie i odpowiednie instytucje, organy, urzędy i agencje Unii powinny współpracować na poziomie technicznym, operacyjnym i politycznym w celu odpowiedniej koordynacji reakcji w całej Unii.

(70) Incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę na poziomie Unii wymagają skoordynowanych działań w celu zapewnienia szybkiej i skutecznej reakcji ze względu na wysoki stopień współzależności między sektorami i państwami członkowskimi. Dostępność sieci i systemów informatycznych odpornych na cyberzagroże- nia oraz dostępność, poufność i integralność danych mają zasadnicze znaczenie dla bezpieczeństwa Unii oraz dla ochrony jej obywateli, przedsiębiorstw i instytucji przed incydentami i cyberzagrożeniami, a także dla zwiększenia zaufania osób fizycznych i organizacji do zdolności Unii do promowania i ochrony globalnej, otwartej, wolnej, stabilnej i bezpiecznej cyberprzestrzeni opartej na prawach człowieka, podstawowych wolnościach, demokracji i praworządności.

(71) EU-CyCLONe powinna pośredniczyć między poziomem technicznym i politycznym podczas incydentów i sytuacji kryzysowych w cyberbezpieczeństwie na dużą skalę oraz zacieśnić współpracę na szczeblu operacyjnym i wspierać proces decyzyjny na szczeblu politycznym. We współpracy z Komisją, uwzględniając kompetencje Komisji w dziedzinie zarządzania kryzysowego, EU-CyCLONe powinna opierać się na ustaleniach sieci CSIRT i wykorzystywać własne zdolności do sporządzania analizy skutków incydentów i sytuacji kryzysowych w cyberbezpieczeństwie na dużą skalę.

(72) Cyberataki mają charakter transgraniczny, a poważne incydenty mogą zakłócać i uszkadzać krytyczną infrastrukturę informatyczną, od której zależy sprawne funkcjonowanie rynku wewnętrznego. Zalecenie (UE) 2017/1584 odnosi się do roli wszystkich właściwych podmiotów. Ponadto Komisja odpowiada, w ramach Unijnego Mechanizmu Ochrony Ludności ustanowionego decyzją Parlamentu Europejskiego i Rady nr 1313/2013/UE 17 , za ogólne działania dotyczące gotowości, w tym zarządzanie Centrum Koordynacji Reagowania Kryzysowego i wspólnym systemem łączności i informacji w sytuacjach nadzwyczajnych, utrzymywanie i dalszy rozwój zdolności w zakresie świadomości i analizy sytuacyjnej oraz tworzenie zdolności do mobilizacji i wysyłania zespołów ekspertów w razie wniosku o pomoc ze strony państwa członkowskiego lub państwa trzeciego oraz zarządzanie tymi zdolnościami. Komisja odpowiada też za przedstawianie sprawozdań analitycznych dotyczących uzgodnień IPCR na podstawie decyzji wykonawczej (UE) 2018/1993, w tym w odniesieniu do analizy sytuacyjnej i gotowości w zakresie cyberbezpieczeń- stwa, a także do analizy sytuacyjnej i reagowania kryzysowego w następujących obszarach: rolnictwo, niekorzystne warunki pogodowe, mapowanie i prognozowanie konfliktów, systemy wczesnego ostrzegania w przypadku klęsk żywiołowych, stany zagrożenia zdrowia, nadzór nad chorobami zakaźnymi, zdrowie roślin, incydenty chemiczne, bezpieczeństwo żywności i pasz, zdrowie zwierząt, migracja, cła, zagrożenia jądrowe i radiologiczne i energetyka.

(73) Unia może, w stosownych przypadkach, zawierać umowy międzynarodowe, zgodnie z art. 218 TFUE, z państwami trzecimi lub organizacjami międzynarodowymi, umożliwiając i organizując ich udział w niektórych działaniach Grupy Współpracy, sieci CSIRT oraz EU-CyCLONe. Umowy takie powinny gwarantować interesy Unii i odpowiednią ochronę danych. Nie powinno to wykluczać prawa państw członkowskich do współpracy z państwami trzecimi przy zarządzaniu podatnościami i zarządzaniu ryzykiem w cyberbezpieczeństwie, ułatwianiu zgłaszania i ogólnej wymianie informacji zgodnie z prawem Unii.

(74) Aby ułatwić skuteczne wdrażanie niniejszej dyrektywy między innymi w odniesieniu do zarządzania podatnościami, środków zarządzania ryzykiem w cyberprzestrzeni, obowiązków w zakresie zgłaszania incydentów oraz mechanizmów wymiany informacji na temat cyberbezpieczeństwa, państwa członkowskie mogą współpracować z państwami trzecimi i podejmować działania uznane za odpowiednie do tego celu, obejmujące wymianę informacji dotyczących cyberzagrożeń, incydentów, podatności, narzędzi i metod, taktyki, technik i procedur, gotowości i ćwiczeń dotyczących zarządzania kryzysowego w dziedzinie cyberbezpieczeństwa, szkolenia, budowania zaufania i ustrukturyzowanych mechanizmów wymiany informacji.

(75) Należy wprowadzić oceny wzajemne aby pomóc w wyciąganiu wniosków ze wspólnych doświadczeń, wzmocnić wzajemne zaufanie i osiągnąć wysoki wspólny poziom cyberbezpieczeństwa. Efektem ocen wzajemnych mogą być wartościowe spostrzeżenia i zalecenia służące wzmocnieniu ogólnych zdolności w zakresie cyberbezpieczeństwa, tworzące kolejną funkcjonalną ścieżkę wymiany dobrych praktyk między państwami członkowskimi i przyczyniające się do zwiększenia poziomu dojrzałości państw członkowskich w dziedzinie cyberbezpieczeństwa. Ponadto w ocenach wzajemnych należy uwzględniać wyniki podobnych mechanizmów, takich jak system oceny wzajemnej sieci CSIRT, oraz należy zapewniać wartość dodaną i unikać powielania działań. Stosowanie ocen wzajemnych powinno pozostawać bez uszczerbku dla unijnych lub krajowych przepisów dotyczących ochrony informacji poufnych lub niejawnych.

(76) Grupa Współpracy powinna ustanowić metodykę oceny własnej dla państw członkowskich, starając się uwzględnić takie czynniki jak: poziom wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie i obowiązków sprawozdawczych, poziom zdolności i skuteczność wykonywania zadań przez właściwe organy, zdolności operacyjne CSIRT, poziom wdrożenia wzajemnej pomocy, poziom wdrożenia mechanizmów wymiany informacji o cyberbezpieczeństwie lub szczególne kwestie o charakterze transgranicznym lub międzysektorowym. Należy zachęcać państwa członkowskie, aby regularnie przeprowadzały ocenę własną oraz przedstawiały i omawiały wyniki swojej oceny własnej na forum Grupy Współpracy.

(77) Odpowiedzialność za zapewnienie bezpieczeństwa sieci i systemów informatycznych w dużym stopniu spoczywa na podmiotach kluczowych i ważnych. Należy wspierać i rozwijać kulturę zarządzania ryzykiem, obejmującą szacowanie ryzyka i wdrażanie środków zarządzania ryzykiem w cyberbezpieczeństwie odpowiednich dla danego ryzyka.

(78) Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny uwzględniać stopień zależności podmiotu kluczowego lub ważnego od sieci i systemów informatycznych i obejmować środki mające na celu identyfikację ryzyka wystąpienia incydentów, zapobieganie incydentom, wykrywanie ich, reagowanie na nie i przywracanie normalnego działanie po ich wystąpieniu oraz łagodzenie ich skutków. Bezpieczeństwo sieci i systemów informatycznych powinno obejmować bezpieczeństwo danych przechowywanych, przekazywanych i przetwarzanych. Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny umożliwiać analizę systemową z uwzględnieniem czynnika ludzkiego, aby dawać kompletny obraz bezpieczeństwa sieci i systemu informatycznego.

(79) Ponieważ zagrożenia bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, środki zarządzania ryzykiem w cyberbezpieczeństwie powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia, mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed zdarzeniami takimi jak kradzież, pożar, powódź, awaria telekomunikacyjna bądź awaria zasilania lub nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji należącej do podmiotu kluczowego lub ważnego, jej uszkodzenie i ingerencja w nią, które to zdarzenia mogłyby naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub też usług oferowanych przez sieci i systemy informatyczne lub dostępnych za pośrednictwem sieci i systemów informatycznych. Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny zatem dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi, zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000. W związku z tym w ramach swoich środków zarządzania ryzykiem w cyberbezpieczeństwie podmioty kluczowe i ważne powinny zająć się również bezpieczeństwem zasobów ludzkich i prowadzić odpowiednią politykę kontroli dostępu. Środki te powinny być zgodne z dyrektywą (UE) 2022/2557.

(80) W celu wykazania zgodności ze środkami zarządzania ryzykiem w cyberbezpieczeństwie i w razie braku odpowiednich europejskich programów certyfikacji cyberbezpieczeństwa przyjętych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 18  państwa członkowskie powinny, w porozumieniu z Grupą Współpracy i Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa, promować stosowanie odpowiednich norm europejskich i międzynarodowych przez podmioty kluczowe i ważne lub mogą wymagać od podmiotów korzystania z certyfikowanych produktów ICT, usług ICT i procesów ICT.

(81) Aby uniknąć nakładania nieproporcjonalnie dużych obciążeń finansowych i administracyjnych na podmioty kluczowe i ważne, środki zarządzania ryzykiem w cyberbezpieczeństwie powinny być proporcjonalne do ryzyka, jakie zagraża danym sieciom i systemom informatycznym, przy czym należy uwzględniać najnowszy stan wiedzy na temat takich środków oraz, w stosownych przypadkach, normy europejskie i międzynarodowe, a także koszt ich wdrożenia.

(82) Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny być proporcjonalne do stopnia narażenia podmiotu kluczowego lub ważnego na ryzyko oraz do wpływu społecznego i gospodarczego, jaki wywarłby incydent. Przy ustanawianiu środków zarządzania ryzykiem w cyberprzestrzeni dostosowanych do podmiotów kluczowych i ważnych należy odpowiednio uwzględnić odmienne czynniki narażenia na ryzyko w przypadku podmiotów kluczowych i ważnych, takie jak krytyczność danego podmiotu, ryzyko, w tym ryzyko społeczne, na które jest on narażony, wielkość podmiotu oraz prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne i gospodarcze.

(83) Podmioty kluczowe i ważne powinny zapewniać bezpieczeństwo sieci i systemów informatycznych, których używają w swojej działalności. Systemy te to przede wszystkim prywatne sieci i systemy informatyczne, którymi zarządza własny personel informatyczny podmiotów kluczowych i ważnych lub w których zapewnienie bezpieczeństwa zlecono na zewnątrz. Środki zarządzania ryzykiem w cyberbezpieczeństwie i obowiązki dotyczące zgłaszania incydentów określone w niniejszej dyrektywie powinny mieć zastosowanie do właściwych podmiotów kluczowych i ważnych bez względu na to, czy te podmioty zapewniają utrzymanie swoich sieci i systemów informatycznych, czy też zlecają ich utrzymanie na zewnątrz.

(84) Zważywszy na ich transgraniczny charakter, dostawcy usług DNS, podmioty świadczące usługi rejestracji nazw domen dla TLD, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa, dostawcy internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych, oraz dostawcy usług zaufania powinni podlegać daleko idącej harmonizacji na poziomie Unii. Wdrażanie środków zarządzania ryzykiem w cyberbezpieczeństwie w odniesieniu do tych podmiotów należy zatem ułatwić za pomocą aktu wykonawczego.

(85) Zaradzenie ryzyku wynikającemu z łańcucha dostaw danego podmiotu i jego powiązań z dostawcami - takimi jak dostawcy usług przechowywania i przetwarzania danych lub dostawcy usług zarządzanych w zakresie bezpieczeństwa oraz edytorzy oprogramowania - jest szczególnie istotne z uwagi na częstość incydentów, w których podmioty są ofiarami cyberataków i w których agresorzy są w stanie złamać zabezpieczenia sieci i systemów informatycznych danego podmiotu, wykorzystując podatności występujące w produktach i usługach osób trzecich. Dlatego podmioty kluczowe i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług oraz środków zarządzania ryzykiem w cyberbezpieczeństwie stanowiący ich część, a także praktyki dotyczące cyberbezpieczeństwa stosowane przez dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania. Podmioty kluczowe i ważne należy w szczególności zachęcać, aby włączały środki zarządzania ryzykiem w cyberbezpieczeństwie do ustaleń umownych z bezpośrednimi dostawcami i usługodawcami. Podmioty te mogłyby rozważyć ryzyko pochodzące od dostawców i usługodawców z innych poziomów.

(86) Wśród dostawców usług szczególnie ważną rolę w pomaganiu podmiotom w działaniach mających na celu zapobieganie incydentom, wykrywanie ich, reagowanie na nie lub przywracanie normalnego działania po ich wystąpieniu odgrywają dostawcy usług zarządzanych w zakresie bezpieczeństwa zajmujący się obszarami takimi jak reagowanie na incydenty, testy penetracyjne, audyty bezpieczeństwa i doradztwo. Dostawcy usług zarządzanych w zakresie bezpieczeństwa również sami padają jednak ofiarą cyberataków, a ponieważ ich działalność jest ściśle zintegrowana z operacjami podmiotów, stanowią oni szczególne ryzyko. Dlatego przy wyborze dostawcy usług zarządzanych w zakresie bezpieczeństwa podmioty kluczowe i ważne powinny dochować szczególnej staranności.

(87) Właściwe organy, w kontekście swoich zadań nadzorczych, mogą również korzystać z usług cyberbezpieczeństwa takich jak audyty bezpieczeństwa, testy penetracyjne lub reagowanie na incydenty.

(88) Podmioty kluczowe i ważne powinny również ograniczać ryzyko wynikające z ich interakcji i powiązań z innymi zainteresowanymi stronami w szerszym ekosystemie, w tym w związku z przeciwdziałaniem szpiegostwu przemysłowemu i ochroną tajemnic handlowych. W szczególności podmioty te powinny wprowadzać odpowiednie środki zapewniające, aby ich współpraca z instytucjami akademickimi i badawczymi przebiegała zgodnie z ich polityką cyberbezpieczeństwa i z uwzględnieniem dobrych praktyk dotyczących ogólnie bezpiecznego dostępu do informacji i ich rozpowszechniania, a w szczególności ochrony własności intelektualnej. Podobnie, zważywszy na znaczenie i wartość danych dla działalności podmiotów, jeżeli podmioty kluczowe i ważne wykorzystują usługi przekształcania danych i analizy danych oferowane przez osoby trzecie, wówczas podmioty te powinny stosować odpowiednie środki zarządzania ryzykiem w cyberbezpieczeństwie.

(89) Podmioty kluczowe i ważne powinny przyjąć szeroki wachlarz podstawowych praktyk dotyczących cyberhigieny, takich jak zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników, organizować szkolenia dla pracowników oraz szerzyć wiedzę na temat cyberzagrożeń, phishingu lub technik inżynierii społecznej. Ponadto podmioty te powinny ocenić własne zdolności w zakresie cyberbezpieczeństwa i w stosownych przypadkach dążyć do integracji technologii poprawiających cyberbezpieczeństwo, takich jak systemy oparte na sztucznej inteligencji lub uczeniu maszynowym, aby poprawić swoje zdolności oraz wzmocnić bezpieczeństwo sieci i systemów informatycznych.

(90) Aby w większym stopniu ograniczyć kluczowe ryzyka w łańcuchu dostaw i pomóc podmiotom kluczowym i ważnym działającym w sektorach objętych niniejszą dyrektywą w odpowiednim zarządzaniu ryzykiem związanym z łańcuchami dostaw i dostawcami, Grupa Współpracy, we współpracy z Komisją i ENISA oraz, w stosownych przypadkach, po konsultacji z właściwymi zainteresowanymi stronami, w tym z przemysłu, powinna przeprowadzić skoordynowane oszacowanie ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw, jak miało to miejsce w przypadku sieci 5G w następstwie zalecenia Komisji (UE) 2019/534 19 , w celu identyfikacji w każdym sektorze krytycznych usług ICT, systemów ICT lub produktów ICT, istotnych zagrożeń i podatności. W takich skoordynowanych oszacowaniach ryzyka dla bezpieczeństwa należy określić środki, plany ograniczania ryzyka i najlepsze praktyki dotyczące przeciwdziałania krytycznym zależnościom, potencjalnym pojedynczym punktom awarii, zagrożeniom, podatnościom i innemu ryzyku związanemu z łańcuchem dostaw, a także zbadać sposoby dalszego zachęcania podmiotów kluczowych i ważnych do ich szerszego stosowania. Potencjalne pozatechniczne czynniki ryzyka, takie jak nadmierny wpływ państwa trzeciego na dostawców i usługodawców, w szczególności w przypadku alternatywnych modeli zarządzania, obejmują ukryte podatności lub backdoory oraz potencjalne systemowe zakłócenia dostaw, w szczególności w przypadku blokady technologicznej lub zależności od dostawcy.

(91) W świetle specyfiki danego sektora w skoordynowanych oszacowaniach ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw należy uwzględnić zarówno czynniki techniczne, jak i - w stosownych przypadkach - pozatechniczne, w tym te określone w zaleceniu (UE) 2019/534, w unijnym skoordynowanym oszacowaniu ryzyka dotyczącym cyberbezpieczeństwa sieci 5G oraz w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G uzgodnionym przez Grupę Współpracy. Aby zidentyfikować łańcuchy dostaw, które należy poddać skoordynowanemu oszacowaniu ryzyka dla bezpieczeństwa, należy wziąć pod uwagę następujące kryteria: (i) zakres, w jakim podmioty kluczowe i ważne wykorzystują konkretne krytyczne usługi ICT, systemy ICT lub produkty ICT i są od nich zależne; (ii) znaczenie konkretnych krytycznych usług ICT, systemów ICT lub produktów ICT dla wykonywania krytycznych lub wrażliwych funkcji, w tym przetwarzania danych osobowych; (iii) dostępność alternatywnych usług ICT, systemów ICT lub produktów ICT; (iv) odporność całego łańcucha dostaw usług ICT, systemów ICT lub produktów ICT, w ciągu ich cyklu życia, na zdarzenia powodujące zakłócenia; (v) w przypadku pojawiających się usług ICT, systemów ICT lub produktów ICT - ich potencjalne przyszłe znaczenie dla działalności podmiotów. Ponadto szczególny nacisk należy położyć na usługi ICT, systemy ICT lub produkty ICT podlegające specjalnym wymogom pochodzącym z państw trzecich.

(92) Aby uprościć obowiązki nałożone na dostawców publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej oraz dostawców usług zaufania w odniesieniu do bezpieczeństwa ich sieci i systemów informatycznych, a także zapewnić tym podmiotom i właściwym organom na podstawie odpowiednio dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 20  oraz rozporządzenia (UE) nr 910/2014 możliwość korzystania z ram prawnych ustanowionych na podstawie niniejszej dyrektywy, co obejmuje wyznaczanie CSIRT odpowiedzialnego za obsługę incydentów oraz uczestnictwo właściwych organów w działaniach Grupy Współpracy i w sieci CSIRT, podmioty te powinny być objęte zakresem stosowania niniejszej dyrektywy. W związku z tym należy uchylić odpowiednie przepisy określone w rozporządzeniu (UE) nr 910/2014 i w dyrektywie (UE) 2018/1972, na których podstawie na te rodzaje podmiotów nałożono wymogi w zakresie bezpieczeństwa i zgłaszania incydentów. Przepisy dotyczące obowiązków w zakresie zgłaszania incydentów określone w niniejszej dyrektywie nie powinny naruszać rozporządzenia (UE) 2016/679 i dyrektywy 2002/58/WE.

(93) Obowiązki dotyczące cyberbezpieczeństwa określone w niniejszej dyrektywie należy uznać za uzupełniające względem wymogów nałożonych na dostawców usług zaufania na podstawie rozporządzenia (UE) nr 910/2014. Dostawcy usług zaufania powinni być zobowiązani do podjęcia wszelkich odpowiednich i proporcjonalnych środków w celu zarządzania ryzykiem, na jakie narażone są ich usługi, w tym w odniesieniu do klientów i ufających stron trzecich, oraz do zgłaszania incydentów na podstawie niniejszej dyrektywy. Takie obowiązki w zakresie cyber- bezpieczeństwa i zgłaszania incydentów powinny również dotyczyć fizycznej ochrony świadczonych usług. Wymogi dotyczące dostawców kwalifikowanych usług zaufania określone w art. 24 rozporządzenia (UE) nr 910/ 2014 nadal mają zastosowanie.

(94) Państwa członkowskie mogą powierzyć rolę właściwych organów do spraw usług zaufania organom nadzorczym na podstawie rozporządzenia (UE) nr 910/2014, aby zapewnić ciągłość obecnych praktyk oraz wykorzystać wiedzę i doświadczenie zdobyte podczas stosowania tego rozporządzenia. W takim przypadku, właściwe organy działające na podstawie niniejszej dyrektywy powinny ściśle i terminowo współpracować z tymi organami nadzorczymi przez wymianę odpowiednich informacji, aby zapewnić skuteczny nadzór nad dostawcami usług zaufania i przestrzeganie przez nich wymogów określonych w niniejszej dyrektywie i w rozporządzeniu (UE) nr 910/2014. W stosownych przypadkach CSIRT lub właściwy organ na podstawie niniejszej dyrektywy powinien niezwłocznie poinformować organ nadzorczy na podstawie rozporządzenia (UE) nr 910/2014 o każdym zgłoszonym poważnym cyberzagroże- niu lub incydencie mającym wpływ na usługi zaufania, a także o każdym przypadku naruszenia niniejszej dyrektywy przez dostawcę usług zaufania. W celu zgłoszeń państwa członkowskie mogą korzystać, w stosownych przypadkach, z pojedynczego punktu zgłaszania utworzonego w celu zapewnienia wspólnego i automatycznego zgłaszania incydentów zarówno organowi nadzorczemu na podstawie rozporządzenia (UE) nr 910/2014, jak i CSIRT lub właściwemu organowi na podstawie niniejszej dyrektywy.

(95) W stosownych przypadkach i aby uniknąć niepotrzebnych zakłóceń, przy transpozycji niniejszej dyrektywy należy uwzględniać istniejące wytyczne krajowe przyjęte w celu transpozycji przepisów art. 40 i 41 dyrektywy (UE) 2018/1972 dotyczących środków bezpieczeństwa, bazując na wiedzy i umiejętnościach już zdobytych w związku z dyrektywą (UE) 2018/1972 w odniesieniu do środków bezpieczeństwa i zgłaszania incydentów. ENISA może również opracować wskazówki dotyczące wymogów dotyczących bezpieczeństwa i obowiązku zgłaszania incydentów dla dostawców publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej, aby ułatwić harmonizację i proces przejścia oraz zminimalizować zakłócenia. Państwa członkowskie na mocy dyrektywy (UW) 2018/1972 mogą powierzyć rolę właściwych organów do spraw łączności elektronicznej krajowym organom regulacyjnym, aby zapewnić ciągłość obecnych praktyk oraz wykorzystać wiedzę i doświadczenie zdobyte w wyniku wdrożenia tej dyrektywy.

(96) Zważywszy na rosnące znaczenie usług łączności interpersonalnej niewykorzystujących numerów zdefiniowanych w dyrektywie (UE) 2018/1972, należy zapewnić, aby usługi te podlegały również odpowiednim wymogom w zakresie bezpieczeństwa z uwagi na ich szczególny charakter i istotną rolę w gospodarce. Ponieważ obszar podatny na ataki stale się rozszerza, usługi łączności interpersonalnej niewykorzystujące numerów, takie jak komunikatory, stają się powszechnymi wektorami ataku. Cyberprzestępcy wykorzystują platformy do komunikacji i nakłaniania ofiar do otwierania niezabezpieczonych stron internetowych, co zwiększa prawdopodobieństwo incydentów związanych z wykorzystaniem danych osobowych, a tym samym naruszających bezpieczeństwo sieci i systemów informatycznych. Dostawcy usług łączności interpersonalnej niewykorzystujących numerów powinni zatem również zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do stwarzanego ryzyka. Zważywszy, że dostawcy usług łączności interpersonalnej niewykorzystujących numerów zazwyczaj nie sprawują rzeczywistej kontroli nad transmisją sygnałów w sieciach, stopień ryzyka zachodzącego w przypadku takich usług można uznać za niższy pod pewnymi względami niż w przypadku tradycyjnych usług łączności elektronicznej. To samo ma zastosowanie do dostawców usług łączności interpersonalnej zgodnie z definicją w dyrektywie (UE) 2018/1972 wykorzystujących numery, którzy nie sprawują rzeczywistej kontroli nad transmisją sygnałów.

(97) Rynek wewnętrzny jest bardziej niż kiedykolwiek uzależniony od funkcjonowania internetu. Usługi niemal wszystkich podmiotów kluczowych i ważnych zależą od usług świadczonych przez internet. Aby zapewnić sprawne świadczenie usług przez podmioty kluczowe i ważne, wszyscy dostawcy publicznych sieci łączności elektronicznej powinni dysponować odpowiednimi środkami zarządzania ryzykiem w cyberbezpieczeństwie i zgłaszać poważne incydenty w tym zakresie. Państwa członkowskie powinny zapewnić utrzymanie bezpieczeństwa publicznych sieci łączności elektronicznej oraz ochronę ich żywotnych interesów bezpieczeństwa przed sabotażem i szpiegostwem. Ponieważ łączność międzynarodowa wzmacnia i przyspiesza konkurencyjną cyfryzację Unii i jej gospodarki, incydenty mające wpływ na podmorskie kable komunikacyjne powinny być zgłaszane CSIRT lub, w stosownych przypadkach, właściwemu organowi. Krajowe strategie cyberbezpieczeństwa powinny, w stosownych przypadkach, uwzględniać cyberbezpieczeństwo podmorskich kabli komunikacyjnych i obejmować mapowanie potencjalnych zagrożeń cyberbezpieczeństwa oraz środki łagodzące w celu zapewnienia najwyższego poziomu ich ochrony.

(98) Aby zagwarantować bezpieczeństwo publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej, należy promować korzystanie z technologii szyfrowania, w szczególności szyfrowania end-to- end, a także koncepcje bezpieczeństwa skoncentrowane na danych, takie jak kartografia, segmentacja, tagowanie, polityka dostępu i zarządzanie dostępem oraz automatyczne decyzje o dostępie. W razie konieczności korzystanie z szyfrowania, w szczególności szyfrowania end-to-end, należy uczynić obowiązkowym dla dostawców publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej zgodnie z zasadami uwzględniania bezpieczeństwa i prywatności w sposób domyślny i na etapie projektowania do celów niniejszej dyrektywy. Korzystanie z szyfrowania end-to-end należy pogodzić z uprawnieniami państw członkowskich do tego, by zapewniać ochronę swoich podstawowych interesów związanych z bezpieczeństwem oraz bezpieczeństwa publicznego, a także umożliwiać zapobieganie przestępstwom, prowadzenie postępowań w ich sprawie oraz ich wykrywanie i ściganie zgodnie z prawem Unii. Nie powinno to jednak osłabiać szyfrowania end-to-end, które jest technologią kluczową dla skutecznej ochrony danych oraz dla prywatności i bezpieczeństwa łączności.

(99) Aby zagwarantować bezpieczeństwo oraz przeciwdziałać nadużyciom i manipulacjom w publicznych sieciach łączności elektronicznej i w publicznie dostępnych usługach łączności elektronicznej, należy promować stosowanie interoperacyjnych bezpiecznych standardów routingu w celu zapewnienia integralności i niezawodności funkcji routingu w całym środowisku dostawców usług dostępu do internetu.

(100) Aby zagwarantować funkcjonalność i integralność internetu oraz promować bezpieczeństwo i odporność DNS, należy zachęcać właściwe zainteresowane strony, w tym unijne podmioty w sektorze prywatnym, dostawców publicznie dostępnych usług łączności elektronicznej, w szczególności dostawców usług dostępu do internetu, a także dostawców wyszukiwarek internetowych do przyjęcia strategii dywersyfikacji rozwiązywania nazw DNS. Państwa członkowskie powinny również sprzyjać rozwijaniu i korzystaniu z publicznej i bezpiecznej europejskiej usługi resolwera DNS.

(101) W niniejszej dyrektywie określono wieloetapowe podejście do zgłaszania poważnych incydentów, aby zapewnić odpowiednią równowagę między szybkim zgłaszaniem, które pomaga zahamować potencjalne rozprzestrzenianie się poważnych incydentów i pozwala podmiotom kluczowym i ważnym zwrócić się o pomoc, a szczegółowym zgłaszaniem, które umożliwia wyciągnięcie cennych wniosków z poszczególnych incydentów i z czasem poprawia cyberodporność poszczególnych podmiotów i całych sektorów. W tym względzie niniejsza dyrektywa powinna obejmować zgłaszanie incydentów, które - w oparciu o wstępną ocenę przeprowadzoną przez dany podmiot - mogą doprowadzić do dotkliwych zakłóceń operacyjnych w usługach bądź do strat finansowych tego podmiotu lub dotknąć inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe. W takiej ocenie wstępnej należy wziąć pod uwagę między innymi sieci i systemy informatyczne, których dotyczy incydent, a w szczególności ich znaczenie dla świadczenia usług danego podmiotu, dotkliwość i charakterystykę techniczną cyberza- grożenia oraz bazowe podatności, które są wykorzystywane, a także doświadczenia podmiotu z podobnymi incydentami. Wskaźniki takie jak zakres skutków dla funkcjonowania usługi, czas trwania incydentu lub liczba dotkniętych nim odbiorców usług mogą odegrać ważną rolę w ustaleniu, czy zakłócenie operacyjne usługi jest dotkliwe.

(102) Jeżeli podmioty kluczowe lub ważne dowiedzą się o poważnym incydencie, powinny mieć obowiązek wydania wczesnego ostrzeżenia bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin. Po tym wczesnym ostrzeżeniu powinno nastąpić zgłoszenie incydentu. Dane podmioty powinny przekazać zgłoszenie incydentu bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia informacji o poważnym incydencie, aby w szczególności zaktualizować informacje zawarte we wczesnym ostrzeżeniu oraz wstępnie ocenić poważny incydent, w tym jego dotkliwość i skutki, a także oznaki naruszenia integralności systemu, jeśli występują. Sprawozdanie końcowe należy złożyć nie później niż miesiąc po zgłoszeniu incydentu. Wczesne ostrzeżenie powinno zawierać tylko informacje niezbędne do tego, by powiadomić CSIRT lub, w stosownych przypadkach, właściwy organ o wystąpieniu incydentu i umożliwić danemu podmiotowi zwrócenie się o pomoc w razie potrzeby. Takie wczesne ostrzeżenie, w stosownych przypadkach, powinno wskazywać, czy istnieje podejrzenie, że poważny incydent jest spowodowany czynami niezgodnymi z prawem lub popełnionymi w złym zamiarze, oraz czy może on mieć skutki transgraniczne. Państwa członkowskie powinny zapewnić, aby obowiązek takiego wczesnego ostrzeżenia lub późniejszego zgłoszenia incydentu nie powodował przekierowania zasobów podmiotu zgłaszającego przeznaczonych na obsługę incydentów, które powinno być traktowane priorytetowo, tak by zapobiec sytuacji, w której obowiązki dotyczące zgłaszania incydentów powodowałyby przekierowanie zasobów przeznaczonych na reagowanie na poważne incydenty albo w inny sposób utrudniałyby działania danego podmiotu w tym zakresie. Jeżeli incydent trwa w chwili składania sprawozdania końcowego, państwa członkowskie powinny zapewnić, aby dane podmioty przedstawiły w tym czasie sprawozdanie z postępów, a sprawozdanie końcowe w ciągu jednego miesiąca od rozwiązania przez nie poważnego incydentu.

(103) W stosownych przypadkach podmioty kluczowe i ważne powinny niezwłocznie informować odbiorców swoich usług o działaniach lub środkach zaradczych, które mogą oni podjąć, aby ograniczyć ryzyko wynikające z poważnego cyberzagrożenia. W stosownych przypadkach, a w szczególności gdy prawdopodobne jest wystąpienie poważnego cyberzagrożenia, podmioty te powinny poinformować również odbiorców swoich usług o samym zagrożeniu. Wymóg informowania tych odbiorców o poważnych cyberzagrożeniach powinien być spełniany na zasadzie najlepszych starań, lecz nie powinien zwalniać tych podmiotów z obowiązku zastosowania na własny koszt odpowiednich i natychmiastowych środków w celu zapobieżenia lub zaradzenia takim zagrożeniom oraz przywrócenia normalnego poziomu bezpieczeństwa danej usługi. Informacji na temat poważnych cyberzagrożeń należy udzielać bezpłatnie i powinny one być zredagowane w przystępnym języku.

(104) Dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej powinni uwzględniać bezpieczeństwo na etapie projektowania i domyślnie oraz informować odbiorców swoich usług o poważnych cyberzagrożeniach i o środkach, które odbiorcy mogą zastosować w celu ochrony bezpieczeństwa swoich urządzeń i połączeń, na przykład przez wykorzystanie szczególnych rodzajów oprogramowania lub technologii szyfrowania.

(105) Proaktywne podejście do cyberzagrożeń jest istotnym elementem zarządzania ryzykiem w cyberbezpieczeństwie, które powinny umożliwiać właściwym organom skuteczne zapobieganie przeradzaniu się cyberzagrożeń w incydenty mogące spowodować znaczne szkody majątkowe lub niemajątkowe. W związku z tym zgłaszanie cyberzagrożeń ma kluczowe znaczenie. Dlatego zachęca się podmioty do dobrowolnego zgłaszania cyberzagrożeń.

(106) Aby uprościć zgłaszanie informacji wymaganych na podstawie niniejszej dyrektywy, a także zmniejszyć obciążenie administracyjne podmiotów, państwa członkowskie powinny zapewnić środki techniczne, takie jak pojedynczy punkt zgłaszania incydentów, systemy zautomatyzowane, formularze internetowe, interfejsy przyjazne dla użytkowników, szablony, specjalne platformy do użytku podmiotów - bez względu na to, czy są one objęte zakresem stosowania niniejszej dyrektywy - na potrzeby przekazywania odpowiednich informacji, które należy zgłosić. Finansowanie unijne wspierające wdrażanie niniejszej dyrektywy, w szczególności w ramach programu "Cyfrowa Europa" ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/694 21 , mogłoby obejmować wsparcie dla pojedynczych punktów zgłaszania incydentów. Ponadto podmioty znajdują się często w sytuacji, w której konkretny incydent, ze względu na jego cechy, należy zgłosić różnym organom w wyniku istnienia obowiązków w zakresie zgłaszania przewidzianych w różnych instrumentach prawnych. Takie przypadki powodują dodatkowe obciążenie administracyjne, a ponadto mogą rodzić niepewność dotyczącą formatu i procedur dokonywania takich zgłoszeń. Jeżeli utworzony został pojedynczy punkt zgłaszania incydentów, państwa członkowskie zachęca się również do korzystania z tego pojedynczego punktu zgłaszania incydentów bezpieczeństwa zgodnie z wymogami innych unijnych aktów prawnych, takich jak rozporządzenie (UE) 2016/679 i dyrektywa 2002/58/WE. Korzystanie z takiego pojedynczego punktu zgłaszania incydentów bezpieczeństwa na podstawie rozporządzenia (UE) 2016/679 i dyrektywy 2002/58/WE nie powinno mieć wpływu na stosowanie przepisów rozporządzenia (UE) 2016/679 i dyrektywy 2002/58/WE, w szczególności przepisów dotyczących niezależności organów, o których mowa w tych aktach. ENISA, we współpracy z Grupą Współpracy, powinna opracować wspólne wzory zgłoszeń w formie wytycznych służących ułatwieniu i usprawnieniu przekazywania informacji, które należy zgłosić na podstawie prawa Unii oraz zmniejszeniu obciążenia administracyjnego podmiotów zgłaszających.

(107) W razie podejrzenia, że incydent ma związek z poważnymi przestępstwami w rozumieniu prawa Unii lub prawa krajowego, państwa członkowskie powinny zachęcać podmioty kluczowe i ważne, w oparciu o mające zastosowanie przepisy z zakresu postępowania karnego zgodnie z prawem Unii, do zgłaszania odpowiednim organom ścigania incydentów noszących znamiona poważnego przestępstwa. W stosownych przypadkach i bez uszczerbku dla przepisów o ochronie danych osobowych mających zastosowanie do Europolu pożądane jest, aby koordynację między właściwymi organami i organami ścigania z różnych państw członkowskich ułatwiały Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) oraz ENISA.

(108) W wielu przypadkach istnieje niebezpieczeństwo naruszenia danych osobowych w wyniku incydentów. W tym kontekście właściwe organy powinny współpracować oraz wymieniać się informacjami dotyczącymi wszystkich istotnych kwestii z organami, o których mowa w rozporządzeniu (UE) 2016/679 i dyrektywie 2002/58/WE.

(109) Prowadzenie prawidłowych i kompletnych baz danych dotyczących rejestracji nazw domen (dane WHOIS) oraz zapewnienie zgodnego z prawem dostępu do takich danych jest niezbędne do zapewnienia bezpieczeństwa, stabilności i odporności DNS, co z kolei przyczynia się do wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. W tym konkretnym celu rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny być zobowiązane do przetwarzania niektórych danych niezbędnych do osiągnięcia tego celu. Takie przetwarzanie powinno stanowić obowiązek prawny w rozumieniu art. 6 ust. 1 lit. c) rozporządzenia (UE) 2016/679. Obowiązek ten pozostaje bez uszczerbku dla możliwości gromadzenia danych dotyczących rejestracji nazw domen do innych celów, na przykład na podstawie ustaleń umownych lub wymogów prawnych ustanowionych w innych przepisach prawa Unii lub prawa krajowego. Obowiązek ten ma na celu stworzenie kompletnego i dokładnego zbioru danych rejestracyjnych i nie powinien skutkować gromadzeniem tych samych danych wielokrotnie. Rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny ze sobą współpracować, aby uniknąć powielania tego zadania.

(110) Dostępność danych dotyczących rejestracji nazw domen dla wnioskodawców ubiegających się o prawnie uzasadniony dostęp, a także możliwość uzyskania przez nich szybkiego dostępu do tych danych mają zasadnicze znaczenie dla zapobiegania nadużywaniu DNS i zwalczania ich, a także dla zapobiegania incydentom oraz ich wykrywania i reagowania na nie. Przez wnioskodawcę ubiegającego się o prawnie uzasadniony dostęp należy rozumieć osobę fizyczną lub prawną występującą z wnioskiem na podstawie prawa Unii lub prawa krajowego. Mogą to być organy właściwe na mocy niniejszej dyrektywy oraz organy właściwe na mocy prawa Unii lub prawa krajowego do spraw zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania, a także CERT lub CSIRT. Rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny być zobowiązane umożliwić wnioskodawcom ubiegającym się o prawnie uzasadniony dostęp uzyskanie zgodnego z prawem dostępu do konkretnych danych dotyczących rejestracji nazw domen niezbędnych do celów wniosku o uzyskanie dostępu zgodnie z prawem Unii i prawem krajowym. Do wniosku osób ubiegających się o prawnie uzasadniony dostęp należy dołączyć uzasadnienie pozwalające ocenić konieczność dostępu do danych.

(111) W celu zapewnienia dostępności prawidłowych i kompletnych danych dotyczących rejestracji nazw domen rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny gromadzić dane dotyczące rejestracji nazw domen oraz zapewniać ich integralność i dostępność. W szczególności rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny ustanowić polityki i procedury na potrzeby gromadzenia i utrzymywania prawidłowych i kompletnych danych dotyczących rejestracji nazw domen, a także przeciwdziałać powstawaniu nieprawidłowych danych rejestracyjnych i poprawiać je zgodnie z unijnymi przepisami o ochronie danych. W tych politykach i procedurach należy w miarę możliwości uwzględniać normy opracowane przez struktury zarządzania z udziałem wielu zainteresowanych stron na poziomie międzynarodowym. Rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny przyjąć i stosować wyważone procedury weryfikacji danych dotyczących rejestracji nazw domen. Procedury te powinny odzwierciedlać najlepsze praktyki stosowane w branży oraz, w miarę możliwości, postępy w dziedzinie identyfikacji elektronicznej. Wśród przykładów procedur weryfikacji można wymienić kontrole ex ante przeprowadzane w momencie rejestracji oraz kontrole ex post przeprowadzane po rejestracji. Rejestry nazw TLD oraz podmioty świadczące usługi rejestracji nazw domen powinny w szczególności zweryfikować co najmniej jeden ze sposobów kontaktu z rejestrującym.

(112) Rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny być zobowiązane podawać do wiadomości publicznej dane dotyczące rejestracji nazw domen nieobjęte zakresem stosowania unijnych przepisów o ochronie danych, takie jak dane dotyczące osób prawnych, zgodnie z preambułą rozporządzenia (UE) 2016/679. W przypadku osób prawnych rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny podawać do wiadomości publicznej co najmniej nazwę rejestrującego i kontaktowy numer telefonu. Należy również podawać kontaktowy adres poczty elektronicznej, pod warunkiem że nie zawiera on żadnych danych osobowych, tak jak w przypadku aliasów poczty elektronicznej lub skrzynek funkcyjnych. Rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny ponadto umożliwiać wnioskodawcom ubiegającym się o prawnie uzasadniony dostęp uzyskanie takiego dostępu do konkretnych danych dotyczących rejestracji nazw domen, odnoszących się do osób fizycznych, zgodnie z unijnymi przepisami o ochronie danych. Państwa członkowskie powinny wymagać, aby rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen odpowiadały bez zbędnej zwłoki na wnioski o ujawnienie danych dotyczących rejestracji nazw domen składane przez wnioskodawców ubiegających się o prawnie uzasadniony dostęp. Rejestry nazw TLD i podmioty świadczące usługi rejestracji nazw domen powinny ustanowić polityki i procedury na potrzeby publikacji i ujawniania danych rejestracyjnych, w tym umowy o gwarantowanym poziomie usług regulujące rozpatrywanie wniosków o dostęp składanych przez wnioskodawców ubiegających się o prawnie uzasadniony dostęp. W tych politykach i procedurach należy w miarę możliwości uwzględnić wskazówki i normy opracowane przez struktury zarządzania z udziałem wielu zainteresowanych stron na poziomie międzynarodowym. Procedura uzyskiwania dostępu może obejmować wykorzystanie interfejsu, portalu lub innego narzędzia technicznego w celu zapewnienia skutecznego systemu umożliwiającego składanie wniosków o dostęp do danych rejestracyjnych i uzyskiwanie do nich dostępu. W celu promowania zharmonizowanych praktyk na całym rynku wewnętrznym Komisja może, bez uszczerbku dla kompetencji Europejskiej Rady Ochrony Danych, podać wytyczne dotyczące takich procedur, uwzględniające w miarę możliwości normy opracowane przez struktury zarządzania z udziałem wielu zainteresowanych stron na poziomie międzynarodowym. Państwa członkowskie powinny zapewnić, aby każdy rodzaj dostępu do danych osobowych i nieosobowych dotyczących rejestracji domen był bezpłatny.

(113) Podmioty objęte zakresem stosowania niniejszej dyrektywy należy uznać za podlegające jurysdykcji państwa członkowskiego, w którym mają miejsce prowadzenia działalności. Jednak dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej należy uznać za podlegających jurysdykcji państwa członkowskiego, w którym świadczą usługi. Należy uznać, że dostawcy usług DNS, rejestry nazw TLD, podmioty świadczące usługi rejestracji nazw domen, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa, a także dostawcy internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych podlegają jurysdykcji państwa członkowskiego, w którym mają główne miejsce prowadzenia działalności w Unii. Podmioty administracji publicznej powinny podlegać jurysdykcji państwa członkowskiego, które je ustanowiło. Jeżeli podmiot świadczy usługi lub ma miejsce prowadzenia działalności w więcej niż jednym państwie członkowskim, powinien podlegać odrębnej i równoczesnej jurysdykcji każdego z tych państw członkowskich. Właściwe organy tych państw członkowskich powinny ze sobą współpracować, zapewniać sobie wzajemną pomoc oraz, w stosownych przypadkach, prowadzić wspólne działania nadzorcze. W przypadku gdy państwa członkowskie sprawują jurysdykcję, nie powinny one nakładać środków egzekwowania przepisów lub kar za to samo zachowanie więcej niż jeden raz, zgodnie z zasadą ne bis in idem.

(114) Aby uwzględnić transgraniczny charakter usług i działalności dostawców usług DNS, rejestrów nazw TLD, podmiotów świadczących usługi rejestracji nazw domen, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, a także dostawców internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych, takie podmioty powinny podlegać jurysdykcji wyłącznie jednego państwa członkowskiego. Jurysdykcja powinna należeć do państwa członkowskiego, w którym dany podmiot ma główne miejsce prowadzenia działalności w Unii. Kryterium miejsca prowadzenia działalności do celów niniejszej dyrektywy oznacza faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy podmiot zależny mający osobowość prawną, nie jest w tym względzie czynnikiem decydującym. Spełnienie tego kryterium nie powinno zależeć od tego, czy sieci i systemy informatyczne są fizycznie zlokalizowane w danym miejscu; fizyczne położenie i wykorzystanie takich systemów nie stanowią same w sobie takiego głównego miejsca prowadzenia działalności i nie są zatem przesądzającymi kryteriami pozwalającymi ustalić główne miejsce prowadzenia działalności. Należy uznać, że główne miejsce prowadzenia działalności znajduje się w państwie członkowskim, w którym głównie podejmuje się w Unii decyzje związane ze środkami zarządzania ryzykiem w cyberbezpieczeństwie. Będzie ono zazwyczaj odpowiadać miejscu centralnej administracji podmiotów w Unii. Jeżeli nie można ustalić takiego państwa członkowskiego lub jeżeli takich decyzji nie podejmuje się w Unii, należy uznać, że główne miejsce prowadzenia działalności znajduje się w państwie członkowskim, w którym prowadzone są działania w zakresie cyberbezpieczeństwa. Jeżeli nie można ustalić takiego państwa członkowskiego, należy uznać, że główne miejsce prowadzenia działalności znajduje się w państwie członkowskim, w którym dany podmiot prowadzi działalność z największą liczbą pracowników w Unii. Jeżeli usługi świadczy grupa przedsiębiorstw, za główne miejsce prowadzenia działalności grupy przedsiębiorstw należy uznać główne miejsce prowadzenia działalności przedsiębiorstwa sprawującego kontrolę.

(115) W przypadku gdy dostawca publicznych sieci łączności elektronicznej lub dostawca publicznie dostępnych usług łączności elektronicznej świadczy publicznie dostępną rekurencyjną usługę DNS jedynie w ramach usługi dostępu do internetu, dany podmiot należy uznać za podlegający jurysdykcji wszystkich państw członkowskich, w których świadczy usługi.

(116) Jeżeli dostawca usług DNS, rejestr nazw TLD, podmiot świadczący usługi rejestracji nazw domen, dostawca usług chmurowych, dostawca usług ośrodka przetwarzania danych, dostawca sieci dostarczania treści, dostawca usług zarządzanych, dostawca usług zarządzanych w zakresie bezpieczeństwa, a także dostawca internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych, który nie ma miejsca prowadzenia działalności w Unii, oferuje usługi w Unii, powinien on wyznaczyć przedstawiciela. Aby stwierdzić, czy podmiot oferuje usługi w Unii, należy ustalić, czy dany podmiot zamierza oferować usługi osobom w co najmniej jednym państwie członkowskim. Należy uznać, że do stwierdzenia takiego zamiaru nie wystarczy sama dostępność w Unii strony internetowej lub adresu poczty elektronicznej i innych danych kontaktowych podmiotu lub pośrednika ani posługiwanie się językiem powszechnie stosowanym w państwie trzecim, w którym podmiot ma miejsce prowadzenia działalności. Jednakże czynniki takie jak posługiwanie się językiem lub walutą powszechnie stosowanymi w jednym lub większej liczbie państw członkowskich oraz możliwość zamówienia usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii, mogą potwierdzać oczywistość zamiaru oferowania przez podmiot usług w Unii. Przedstawiciel powinien występować w imieniu podmiotu, a właściwe organy lub CSIRT powinny móc zwracać się do przedstawiciela. Przedstawiciel powinien zostać wyznaczony wyraźnie za pomocą udzielonego przez podmiot pisemnego upoważnienia do występowania w jego imieniu w zakresie jego obowiązków ustanowionych w niniejszej dyrektywie, w tym zgłaszania incydentów.

(117) Aby zapewnić jasny obraz dostawców usług DNS, rejestrów nazw TLD, podmiotów świadczących usługi rejestracji nazw domen, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, a także dostawców internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych, świadczących w całej Unii usługi podlegające zakresowi stosowania niniejszej dyrektywy, ENISA powinna utworzyć i prowadzić rejestr takich podmiotów, w oparciu o informacje otrzymane przez państwa członkowskie, w stosownych przypadkach za pośrednictwem mechanizmów krajowych ustanowionych dla podmiotów celem ich rejestracji. Pojedyncze punkty kontaktowe powinny przekazywać ENISA informacje i powiadamiać ją o wszelkich ich zmianach. W celu zapewnienia dokładności i kompletności informacji, które powinny być zawarte w tym rejestrze, państwa członkowskie mogą przekazywać ENISA informacje na temat tych podmiotów dostępne we wszelkich rejestrach krajowych. ENISA i państwa członkowskie powinny podjąć środki w celu ułatwienia interoperacyjności takich rejestrów i zapewnić jednocześnie ochronę informacji poufnych lub niejawnych. ENISA powinna ustanowić odpowiednie protokoły klasyfikacji informacji i zarządzania informacjami, aby zapewnić bezpieczeństwo i poufność ujawnianych informacji oraz ograniczyć dostęp do takich informacji, ich przechowywanie i przekazywanie docelowym użytkownikom.

(118) Gdy dochodzi do wymiany, zgłoszenia lub innego rodzaju udostępnienia na podstawie niniejszej dyrektywy informacji, które są niejawne zgodnie z prawem Unii lub prawem krajowym, należy stosować odpowiednie przepisy dotyczące postępowania z informacjami niejawnymi. Ponadto ENISA powinna dysponować infrastrukturą, procedurami i zasadami umożliwiającymi przetwarzanie informacji szczególnie chronionych i niejawnych zgodnie z obowiązującymi przepisami bezpieczeństwa w zakresie ochrony informacji niejawnych UE.

(119) Biorąc pod uwagę, że cyberzagrożenia stają się coraz bardziej złożone i zaawansowane, skuteczne wykrywanie takich zagrożeń i środki zapobiegania im zależą w dużej mierze od regularnej wymiany między podmiotami danych wywiadowczych na temat zagrożeń i podatności. Wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń, co z kolei zwiększa zdolność podmiotów do zapobiegania przeradzaniu się takich zagrożeń w incydenty oraz umożliwia podmiotom skuteczniejsze ograniczanie skutków incydentów oraz sprawniejsze przywracanie normalnego działania. Wydaje się, że wobec braku wytycznych na poziomie Unii różne czynniki, w szczególności niepewność co do zgodności z regułami konkurencji i przepisami dotyczącymi odpowiedzialności, ograniczają taką wymianę danych wywiadowczych.

(120) Należy zachęcać podmioty do wspólnego wykorzystywania ich indywidualnej wiedzy i praktycznego doświadczenia na szczeblu strategicznym, taktycznym i operacyjnym - a państwa członkowskie powinny im w tym pomagać - w celu wzmocnienia zdolności podmiotów w zakresie odpowiedniego zapobiegania incydentom, wykrywania ich, reagowania na nie lub przywracania normalnego działania lub łagodzenia skutków incydentów. Należy zatem umożliwić powstawanie na poziomie Unii mechanizmów dobrowolnej wymiany informacji o cyberbezpieczeństwie. W tym celu państwa członkowskie powinny aktywnie wspierać podmioty, takie jak podmioty świadczące usługi i prowadzące badania w zakresie cyberbezpieczeństwa, jak również odpowiednie podmioty nieobjęte zakresem niniejszej dyrektywy, i zachęcać je do uczestnictwa w takich mechanizmach wymiany informacji o cyberbezpieczeń- stwie. Mechanizmy te należy ustanowić zgodnie z unijnymi regułami konkurencji i unijnymi przepisami o ochronie danych.

(121) Przetwarzanie danych osobowych, w zakresie, w jakim jest to konieczne i proporcjonalne do zapewnienia bezpieczeństwa sieci i systemów informatycznych przez podmioty kluczowe i ważne można uznać za zgodne z prawem na podstawie tego, że takie przetwarzanie jest zgodne z obowiązkiem prawnym, któremu podlega administrator, zgodnie z wymogami art. 6 ust. 1 lit. c) i art. 6 ust. 3 rozporządzenia (UE) 2016/679. Przetwarzanie danych osobowych może być również konieczne ze względu na uzasadnione interesy podmiotów kluczowych i ważnych, a także dostawców technologii i usług w zakresie bezpieczeństwa działających w imieniu tych podmiotów, zgodnie z art. 6 ust. 1 lit. f) rozporządzenia (UE) 2016/679, w tym w przypadku gdy takie przetwarzanie jest niezbędne w związku z mechanizmami wymiany informacji o cyberbezpieczeństwie lub do dobrowolnego zgłaszania odpowiednich informacji zgodnie z niniejszą dyrektywą. Środki związane z zapobieganiem incydentom, ich wykrywaniem i identyfikacją, ograniczaniem ich zasięgu i ich analizowaniem oraz reagowaniem na nie, środki zwiększające świadomość konkretnych cyberzagrożeń, wymianę informacji w kontekście usuwania oraz skoordynowanego ujawniania podatności, dobrowolną wymianę informacji na temat tych incydentów, a także na temat cyberzagrożeń i podatności, oznak naruszenia integralności systemu, taktyk, technik i procedur, ostrzeżeń dotyczących cyberbezpieczeństwa i narzędzi konfiguracji mogą wymagać przetwarzania pewnych kategorii danych osobowych, takich jak adresy IP, ujednolicone formaty adresowania zasobów (URL), nazwy domen, adresy poczty elektronicznej oraz znaczniki czasu, w przypadku gdy ujawniane są w nich dane osobowe. Przetwarzanie danych osobowych przez właściwe organy, pojedyncze punkty kontaktowe i CSIRT może stanowić obowiązek prawny lub może zostać uznane za niezbędne do wykonania zadania w interesie publicznym lub sprawowania władzy publicznej powierzonej administratorowi na podstawie art. 6 ust. 1 lit. c) lub e) i art. 6 ust. 3 rozporządzenia (UE) 2016/679 lub do realizacji uzasadnionego interesu podmiotów kluczowych i ważnych, o którym mowa w art. 6 ust. 1 lit. f) tego rozporządzenia. Ponadto w prawie krajowym można ustanowić przepisy umożliwiające właściwym organom, pojedynczym punktom kontaktowym i CSIRT - w zakresie, w jakim jest to konieczne i proporcjonalne do zapewnienia bezpieczeństwa sieci i systemów informatycznych podmiotów kluczowych i ważnych - przetwarzanie szczególnych kategorii danych osobowych zgodnie z art. 9 rozporządzenia (UE) 2016/679, w szczególności poprzez ustanowienie odpowiednich i konkretnych środków ochrony praw podstawowych i interesów osób fizycznych, w tym ograniczeń technicznych w zakresie ponownego wykorzystywania takich danych oraz stosowania najnowocześniejszych środków bezpieczeństwa i ochrony prywatności, takich jak pseudonimizacja lub szyfrowanie, jeżeli anonimizacja może mieć znaczący wpływ na zamierzony cel.

(122) Aby wzmocnić uprawnienia i środki nadzorcze, które pomagają zapewnić faktyczną zgodność z przepisami, w niniejszej dyrektywie należy przewidzieć minimalny wykaz działań i środków nadzorczych, za pomocą których właściwe organy mogą sprawować nadzór nad podmiotami kluczowymi i ważnymi. Ponadto w niniejszej dyrektywie należy wprowadzić rozróżnienie systemów nadzoru mających zastosowanie do podmiotów kluczowych i podmiotów ważnych w celu zapewnienia sprawiedliwej równowagi pod względem obowiązków zarówno po stronie tych podmiotów, jak i właściwych organów. W związku z tym podmioty kluczowe powinny być objęte kompleksowym systemem nadzoru ex ante i ex post, natomiast podmioty ważne należy objąć uproszczonym systemem nadzoru wyłącznie ex post. Od podmiotów ważnych nie należy zatem wymagać, aby systematycznie dokumentowały przestrzeganie środków zarządzania ryzykiem w cyberbezpieczeństwie, natomiast właściwe organy powinny sprawować nadzór w oparciu o podejście reaktywne w trybie ex post, a zatem nie powinny mieć ogólnego obowiązku prowadzenia nadzoru nad tymi podmiotami. Nadzór ex post nad podmiotami ważnymi może być uruchamiany w oparciu o przekazane właściwym organom dowody, wskazówki lub informacje, gdy na ich podstawie organy te uznają, że zachodzi możliwość naruszenia niniejszej dyrektywy. Takie dowody, wskazówki lub informacje mogą na przykład być w rodzaju tych, jakie są przekazywane właściwym organom przez inne organy, podmioty, obywateli, media lub inne źródła, lub mogą to być informacje dostępne publicznie lub mogą one wynikać z innych działań prowadzonych przez właściwe organy podczas wykonywania ich zadań.

(123) Wykonywanie zadań nadzorczych przez właściwe organy nie powinno niepotrzebnie utrudniać działalności prowadzonej przez dany podmiot. W przypadku gdy właściwe organy wykonują zadania nadzorcze w odniesieniu do podmiotów niezbędnych, w tym prowadzenie kontroli na miejscu i nadzoru zdalnego, badanie naruszeń niniejszej dyrektywy, przeprowadzanie audytów bezpieczeństwa lub skanowanie bezpieczeństwa, powinny one minimalizować wpływ tych czynności na działalność gospodarczą danego podmiotu.

(124) Podczas sprawowania nadzoru ex ante właściwe organy powinny mieć możliwość decydowania w proporcjonalny sposób o hierarchii priorytetów w stosowaniu działań i środków nadzorczych, którymi dysponują. Oznacza to, że właściwe organy mogą decydować o takim priorytetowym traktowaniu, stosując metodyki nadzorcze zgodne z podejściem opartym na analizie ryzyka. W szczególności metodyki takie mogłyby obejmować kryteria lub wartości odniesienia dotyczące klasyfikacji podmiotów ważnych pod względem kategorii ryzyka oraz odpowiednie działania i środki nadzorcze zalecane w zależności od kategorii ryzyka, takie jak stosowanie, częstotliwość lub rodzaj kontroli na miejscu, ukierunkowanych audytów bezpieczeństwa lub skanów bezpieczeństwa, rodzaj wymaganych informacji oraz poziom szczegółowości tych informacji. Takim metodykom nadzorczym mogłyby również towarzyszyć programy prac i mogłyby one podlegać regularnym ocenom i przeglądom, w tym w odniesieniu do takich aspektów jak przydział zasobów i potrzeby. W odniesieniu do podmiotów administracji publicznej uprawnienia nadzorcze powinny być wykonywane zgodnie z krajowymi ramami ustawodawczymi i instytucjonalnymi.

(125) Właściwe organy powinny zapewnić, aby ich zadania nadzorcze w odniesieniu do podmiotów kluczowych i ważnych wykonywali wyszkoleni specjaliści, którzy powinni mieć umiejętności niezbędne do wykonywania tych zadań, w szczególności jeśli chodzi o prowadzenie kontroli na miejscu i nadzoru zdalnego, w tym identyfikacji słabych punktów w bazach danych, sprzęcie, zaporach sieciowych, szyfrowaniu i sieciach. Te kontrole i ten nadzór powinny być prowadzone w sposób obiektywny.

(126) W należycie uzasadnionych przypadkach, gdy właściwy organ wie o poważnym cyberzagrożeniu lub o nadchodzącym ryzyku, powinien on mieć możliwość podjęcia natychmiastowej decyzji o środkach egzekwowania przepisów, aby zapobiec incydentowi lub zareagować na incydent.

(127) W celu zapewnienia skutecznego egzekwowania przepisów należy ustanowić minimalny wykaz uprawnień do egzekwowania, które mogą zostać wykonane w przypadku naruszenia przewidzianych w niniejszej dyrektywie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązków w zakresie zgłaszania incydentów, określając jasne i spójne ramy dotyczące takiego egzekwowania w całej Unii. Należy odpowiednio uwzględniać charakter, wagę oraz czas trwania naruszenia niniejszej dyrektywy, wyrządzone szkody majątkowe i niemajątkowe, to, czy naruszenie było umyślne lub wynikało z niedbalstwa, działania podjęte, aby zapobiec szkodom majątkowym lub niemajątkowym lub je ograniczyć, stopień odpowiedzialności lub mające znaczenie wcześniejsze naruszenia, stopień współpracy z właściwym organem oraz inne okoliczności obciążające lub łagodzące. Środki egzekwowania przepisów, w tym administracyjne kary pieniężne, powinny być proporcjonalne, a ich nakładanie powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej ("Karta"), w tym prawa do skutecznego środka prawnego i do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.

(128) Niniejsza dyrektywa nie wymaga od państw członkowskich ustanowienia odpowiedzialności karnej lub cywilnej osób fizycznych odpowiedzialnych za zapewnienie, aby podmiot przestrzegał niniejszej dyrektywy, za szkody poniesione przez osoby trzecie w wyniku naruszenia niniejszej dyrektywy.

(129) Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszej dyrektywie, każdy właściwy organ powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych.

(130) W przypadku nałożenia administracyjnej kary pieniężnej na podmiot będący przedsiębiorstwem, przez przedsiębiorstwo należy rozumieć do tych celów przedsiębiorstwo zgodnie z art. 101 i 102 TFUE. W przypadku nałożenia administracyjnej kary pieniężnej na osobę niebędącą przedsiębiorstwem, właściwy organ, ustalając właściwą wysokość kary pieniężnej, powinien brać pod uwagę ogólny poziom dochodów w danym państwie członkowskim oraz sytuację ekonomiczną tej osoby. Państwa członkowskie powinny określić, czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne. Nałożenie administracyjnej kary pieniężnej nie wpływa na korzystanie przez właściwe organy z innych uprawnień ani na nakładanie innych kar przewidzianych w przepisach krajowych transponujących niniejszą dyrektywę.

(131) Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie przepisów krajowych transponujących niniejszą dyrektywę. Jednak nałożenie sankcji karnych za naruszenie takich przepisów krajowych oraz nałożenie powiązanych kar administracyjnych nie powinno prowadzić do naruszenia zasady ne bis in idem, zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej.

(132) W sytuacjach, w których niniejsza dyrektywa nie harmonizuje kar administracyjnych, lub w razie potrzeby w innych przypadkach, na przykład w razie poważnego naruszenia niniejszej dyrektywy, państwa członkowskie powinny wdrożyć system przewidujący skuteczne, proporcjonalne i odstraszające kary. Charakter takich kar oraz to, czy są to sankcje karne czy kary administracyjne, należy określić w prawie krajowym.

(133) Aby jeszcze bardziej wzmocnić skuteczność i odstraszający charakter środków egzekwowania przepisów mających zastosowanie do naruszeń niniejszej dyrektywy, właściwe organy powinny być uprawnione do tymczasowego zawieszenia certyfikacji lub zezwolenia dotyczących części lub całości odpowiednich usług świadczonych przez podmiot niezbędny lub prowadzonej przezeń działalności oraz do żądania nałożenia tymczasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną wykonującą obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego. Z uwagi na dotkliwość takich kar i ich wpływ na działalność podmiotów, a ostatecznie na użytkowników, takie tymczasowe zawieszenia lub zakazy należy wyłącznie stosować proporcjonalnie do powagi naruszenia i z uwzględnieniem okoliczności danej sprawy, w tym tego, czy naruszenie było umyślne czy też wynikało z niedbalstwa, oraz działań podjętych, aby zapobiec szkodom majątkowym lub niemajątkowym lub je ograniczyć. Takie tymczasowe zawieszenia lub zakazy należy stosować wyłącznie w ostateczności, tj. po wyczerpaniu innych stosownych środków egzekwowania przepisów przewidzianych w niniejszej dyrektywie, i wyłącznie dopóki podmioty, których to dotyczy, nie podejmą niezbędnych działań w celu usunięcia nieprawidłowości lub nie spełnią wymagań właściwego organu, z których tytułu zastosowano takie tymczasowe zawieszenia lub zakazy. Nakładanie takich tymczasowych zawieszeń lub zakazów powinno stosować się z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą, w tym prawa do skutecznego środka prawnego i do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.

(134) Aby zapewnić wypełnianie przez podmioty obowiązków określonych w niniejszej dyrektywie, państwa członkowskie powinny współpracować ze sobą i pomagać sobie nawzajem w zakresie środków nadzoru i egzekwowania przepisów, w szczególności w przypadku gdy podmiot świadczy usługi w więcej niż jednym państwie członkowskim lub gdy jego sieci i systemy informatyczne znajdują się w państwie członkowskim innym niż państwo, w którym świadczy usługi. Udzielając pomocy, właściwy organ, do którego skierowano wniosek, powinien podjąć środki nadzoru lub egzekwowania przepisów zgodnie z prawem krajowym. W celu zapewnienia sprawnego funkcjonowania wzajemnej pomocy na mocy niniejszej dyrektywy właściwe organy powinny wykorzystywać Grupę Współpracy jako forum do omawiania spraw i konkretnych wniosków o pomoc.

(135) W celu zapewnienia skutecznego nadzoru i egzekwowania przepisów, w szczególności w sytuacjach o wymiarze transgranicznym, państwo członkowskie, które otrzymało wniosek o wzajemną pomoc, powinny - nie wykraczając poza zakres tego wniosku - podjąć odpowiednie środki nadzoru i egzekwowania przepisów w stosunku do podmiotu, który jest przedmiotem wniosku i który świadczy usługi lub ma sieć i system informatyczny na terytorium tego państwa członkowskiego.

(136) Niniejszą dyrektywą należy ustanowić reguły współpracy między właściwymi organami i organami nadzorczymi na mocy rozporządzenia (UE) 2016/679 w celu reagowania na naruszenia niniejszej dyrektywy związane z danymi osobowymi.

(137) Celem niniejszej dyrektywy powinno być zapewnienie wysokiego poziomu odpowiedzialności za środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów na poziomie podmiotów kluczowych i ważnych. W związku z tym organy zarządzające podmiotów kluczowych i ważnych powinny zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie oraz nadzorować ich stosowanie.

(138) W celu zapewnienia wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii na podstawie niniejszej dyrektywy należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE w odniesieniu do uzupełnienia niniejszej dyrektywy poprzez określenie, które kategorie podmiotów kluczowych i ważnych mają być zobowiązane do korzystania z niektórych certyfikowanych produktów ICT, usług ICT i procesów ICT lub uzyskania certyfikacji na podstawie europejskiego systemu certyfikacji cyberbezpieczeństwa. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonal- nym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 22 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(139) W celu zapewnienia jednolitych warunków wykonywania niniejszej dyrektywy należy powierzyć Komisji uprawnienia wykonawcze do określenia ustaleń proceduralnych niezbędnych do funkcjonowania Grupy Współpracy oraz wymogów technicznych, metodologicznych i sektorowych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie, oraz do doprecyzowania rodzaju zgłaszanych informacji, formatu i procedury powiadamiania o incydencie, cyberzagrożeniu i potencjalnym zdarzeniu dla cyberbezpieczeństwa oraz komunikatów o poważnych cyberzagrożeniach, a także doprecyzowania przypadków, w których incydent należy uznać za poważny. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 23 .

(140) Komisja powinna okresowo dokonywać przeglądu niniejszej dyrektywy, po konsultacji z zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy właściwe jest zaproponowanie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych. W ramach tych przeglądów Komisja powinna ocenić znaczenie wielkości danych podmiotów oraz sektorów, podsektorów i rodzajów podmiotu, o którym mowa w załącznikach do niniejszej dyrektywy, dla funkcjonowania gospodarki i społeczeństwa w kontekście cyberbezpieczeństwa. Komisja powinna ocenić między innymi, czy dostawcy objęci zakresem niniejszej dyrektywy wyznaczeni jako bardzo duże platformy internetowe w rozumieniu art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 24  mogą zostać wskazani jako podmioty kluczowe na mocy niniejszej dyrektywy.

(141) Niniejsza dyrektywa przydziela ENISA nowe zadania, zwiększając tym samym jej rolę, i może również spowodować, że ENISA będzie zobowiązana do wykonywania obecnych zadań powierzonych jej na mocy rozporządzenia (UE) 2019/881 na wyższym niż dotychczas poziomie. Aby zapewnić ENISA niezbędne zasoby finansowe i ludzkie do realizacji obecnych i nowych zadań, a także do tego, by mogła sprostać wykonaniu tych zadań na wyższym poziomie wynikającym z jej zwiększonej roli, należy odpowiednio zwiększyć jej budżet. Ponadto aby zapewnić efektywne wykorzystanie zasobów, ENISA powinna mieć większą elastyczność w wewnętrznym przydzielaniu zasobów w celu skutecznej realizacji zadań i spełnienia oczekiwań.

(142) Ponieważ cel niniejszej dyrektywy, a mianowicie osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast ze względu na skutki działania możliwe jest lepsze jego osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(143) Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w Karcie, w szczególności dotyczącymi prawa do poszanowania życia prywatnego i komunikowania się, ochrony danych osobowych, wolności prowadzenia działalności gospodarczej, prawa własności, prawa do skutecznego środka prawnego i rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony. Prawo do skutecznego środka prawnego dotyczy także odbiorców usług świadczonych przez podmioty kluczowe i ważne. Niniejszą dyrektywę należy wprowadzać w życie zgodnie z tymi prawami i zasadami,

(144) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 25  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 11 marca 2021 r. 26 ,

PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ: