(d) групи CSIRT повинні забезпечити конфіденційність і благонадійність своїх операцій;
(e) групи CSIRT повинні мати достатньо персоналу, щоб забезпечити доступність своїх послуг у будь-який час, та повинні забезпечити належну професійну підготовку свого персоналу;
(f) групи CSIRT повинні бути оснащені запасними системами та резервним робочим простором для забезпечення безперервності надання послуг.
Групи CSIRT можуть брати участь у мережах міжнародної співпраці.
2. Держави-члени забезпечують сукупну наявність у своїх груп CSIRT технічних спроможностей, необхідних для виконання завдань, зазначених у параграфі 3. Держави-члени забезпечують виділення своїм групам CSIRT достатніх ресурсів для забезпечення належних кадрових рівнів з метою створення для груп CSIRT можливостей розвивати свої технічні спроможності.
3. Групи CSIRT мають такі завдання:
(a) моніторинг і аналіз кіберзагроз, вразливостей та інцидентів на національному рівні та, на вимогу, надання допомоги основним і важливим суб’єктам стосовно моніторингу їхніх мережевих та інформаційних систем у реальному чи майже реальному часі;
(b) надання основним і важливим суб’єктам, яких це стосується, а також компетентним органам та іншим відповідним стейкхолдерам ранніх попереджень, сигналів тривоги, оголошень та розповсюдження серед них інформації про кіберзагрози, вразливості та інциденти, по можливості майже в реальному часі;
(c) реагування на інциденти та надання допомоги зацікавленим основним і важливим суб’єктам, якщо застосовно;
(d) збір і аналіз криміналістичних даних і забезпечення динамічного аналізу ризиків та інцидентів і ситуаційної обізнаності в сфері кібербезпеки;
(e) забезпечення на вимогу основного чи важливого суб’єкта проактивного сканування мережевих та інформаційних систем цього суб’єкта з метою виявлення вразливостей із потенційно значними наслідками;
(f) участь у роботі мережі CSIRT і взаємне надання допомоги відповідно до спроможностей і компетенцій іншим членам мережі CSIRT на їхню вимогу;
(g) якщо застосовно, виконання функцій координатора для цілей скоординованого оприлюднення інформації про вразливості згідно зі статтею 12(1);
(h) сприяння розгортанню захищених інструментів обміну інформацією відповідно до статті 10(3).
Групи CSIRTs можуть здійснювати проактивне безконтактне сканування загальнодоступних мережевих та інформаційних систем основних і важливих суб’єктів. Таке сканування проводиться для виявлення мережевих та інформаційних систем, що є вразливими або мають незахищену конфігурацію, та інформування відповідних суб’єктів. Таке сканування жодним чином не повинне впливати на функціонування сервісів суб’єктів.
Виконуючи завдання, викладені в цьому підпараграфі, групи CSIRT можуть визначати певні завдання як пріоритетні, керуючись ризик-орієнтованим підходом.
4. Групи CSIRT налагоджують співпрацю з відповідними стейкхолдерами у приватному секторі з метою досягнення цілей цієї Директиви.
5. Для поглиблення співпраці, зазначеної в параграфі 4, групи CSIRT сприяють ухваленню та використанню спільних або стандартизованих практик, схем класифікації та таксономій щодо:
(a) процедур врегулювання інцидентів;
(b) управління кризами; та
(c) скоординованого оприлюднення інформації про вразливості згідно зі статтею 12(1).
Стаття 12. Скоординоване оприлюднення інформації про вразливості і Європейська база даних про вразливості
1. Кожна держава-член призначає одну зі своїх груп CSIRT координатором для цілей скоординованого оприлюднення інформації про вразливості. Призначена координатором CSIRT діє як довірений посередник, що за потреби полегшує взаємодію між фізичною чи юридичною особою, що повідомляє про вразливість, і виробником або надавачем потенційно вразливих продуктів ІКТ або послуг ІКТ за запитом однієї зі сторін. Завдання CSIRT, призначеної координатором, включають:
(a) виявлення зацікавлених суб’єктів і контактування з ними;
(b) надання допомоги фізичним чи юридичним особам, які повідомляють про вразливість; та
(c) ведення переговорів щодо строків розголошення та управління вразливостями, які впливають на декілька суб’єктів.
Держави-члени забезпечують, щоб фізичні чи юридичні особи могли, анонімно, якщо вони того вимагають, повідомляти про вразливість групі CSIRT, призначеній координатором. Призначена координатором CSIRT забезпечує сумлінне виконання подальших дій стосовно оприлюдненої інформації щодо вразливості та забезпечує анонімність фізичної чи юридичної особи, яка оприлюднює інформацію щодо вразливості. Якщо вразливість, про яку повідомлено, може мати значний вплив на суб’єктів більш ніж в одній державі-члені, група CSIRT, призначена координатором у кожній із зацікавлених держав-членів, має, залежно від випадку, співпрацювати з іншими групами CSIRT, призначеними координаторами, в рамках мережі CSIRT.
2. ENISA розробляє та підтримує, після консультацій із Групою співпраці, Європейську базу даних про вразливості. З цією метою ENISA створює та підтримує відповідні інформаційні системи, політики та процедури, затверджує необхідні технічні та організаційні заходи для забезпечення захищеності та цілісності Європейської бази даних про вразливості, зокрема з метою надання суб’єктам, незалежно від того, чи підпадають вони під сферу застосування цієї Директиви, та їхнім постачальникам мережевих та інформаційних систем, можливості на добровільних засадах розкривати і реєструвати загальновідомі вразливості в продуктах ІКТ чи послугах ІКТ. Усі стейкхолдери отримують доступ до інформації про вразливості, яка міститься в Європейській базі даних про вразливості. Ця база даних включає:
(a) інформацію, що описує вразливість;
(b) уражені продукти ІКТ чи послуги ІКТ та серйозність вразливості з точки зору обставин, за яких її може бути експлуатовано;
(c) наявність пов’язаних патчів і, за відсутності доступних патчів, інструкції, надані компетентними органами чи групами CSIRT користувачам вразливих продуктів ІКТ та послуг ІКТ щодо можливих способів пом’якшення ризиків, спричинених відомими вразливостями.
Стаття 13. Співпраця на національному рівні
1. Якщо компетентний орган, єдиний контактний пункт та група CSIRT однієї й тієї самої держави-члена є окремими одиницями, вони повинні співпрацювати одне з одним для виконання зобов’язань, встановлених у цій Директиві.
2. Держави-члени забезпечують, щоб їхні групи CSIRT або, якщо застосовно, їхні компетентні органи отримували сповіщення про значні інциденти відповідно до статті 23 та інциденти, кіберзагрози та "близькі хиби" відповідно до статті 30.
3. Держави-члени забезпечують, щоб їхні групи CSIRT або, якщо застосовно, їхні компетентні органи інформували єдині контактні пункти про сповіщення стосовно інцидентів, кіберзагроз та "близьких хиб", поданих на виконання цієї Директиви.
4. Щоб забезпечити ефективне виконання завдань і обов’язків компетентних органів, єдиних контактних пунктів і груп CSIRT, держави-члени, наскільки це можливо, забезпечують належну співпрацю між цими органами та правоохоронними органами, органами захисту даних, національними органами за Регламентами (ЄС) № 300/2008 та (ЄС) 2018/1139, наглядовими органами за Регламентом (ЄС) № 910/2014, компетентними органами за Регламентом (ЄС) 2022/2554, національними регуляторними органами за Директивою (ЄС) 2018/1972, компетентними органами за Директивою (ЄС) 2022/2557, а також компетентними органами за іншими секторальними правовими актами Союзу на території цієї держави-члена.
5. Держави-члени забезпечують співпрацю та регулярний обмін інформацією між компетентними органами згідно з цією Директивою та компетентними органами згідно з Директивою (ЄС) 2022/2557 стосовно ідентифікації критично важливих суб’єктів, ризиків, кіберзагроз та інцидентів, а також ризиків, що не відносяться до ризиків у сфері кібербезпеки, загроз та інцидентів, що впливають на суб’єкти, визначені критично важливими згідно з Директивою (ЄС) 2022/2557, а також заходів, ужитих у відповідь на такі ризики, загрози та інциденти. Держави-члени також забезпечують регулярний обмін релевантною інформацією між компетентними органами згідно з цією Директивою та компетентними органами згідно з Регламентом (ЄС) № 910/2014, Регламентом (ЄС) 2022/2554 та Директивою (ЄС) 2018/1972, у тому числі стосовно вагомих інцидентів та кіберзагроз.
6. Держави-члени спрощують надання інформації через технічні засоби для сповіщень, зазначених у статтях 23 та 30.
ГЛАВА III
СПІВПРАЦЯ НА РІВНІ СОЮЗУ ТА НА МІЖНАРОДНОМУ РІВНІ
Стаття 14. Група співпраці
1. Для підтримки та сприяння стратегічній співпраці та обміну інформацією серед держав-членів, а також для розвитку повної довіри між ними створюється Група співпраці.
2. Група співпраці виконує свої завдання на основі дворічних робочих програм, зазначених у параграфі 7.
3. Група співпраці складається з представників держав-членів, Комісії та ENISA. Європейська служба зовнішніх справ бере участь у діяльності Групи співпраці як спостерігач. Європейські наглядові органи та компетентні органи згідно з Регламентом (ЄС) 2022/2554 можуть брати участь у роботі Групи співпраці відповідно до статті 47(1) зазначеного Регламенту.
Якщо доцільно, Група співпраці може запрошувати представників Європейського Парламенту та представників відповідних стейкхолдерів для участі в її роботі.
Комісія повинна надати секретаріат.
4. Група співпраці має такі завдання:
(a) надавати компетентним органам інструкції стосовно транспозиції та імплементації цієї Директиви;
(b) надавати компетентним органам інструкції стосовно розробки та впровадження політик скоординованого оприлюднення інформації про вразливості, як зазначено в пункті (c) статті 7(2);
(c) обмінюватися найкращими практиками та інформацією стосовно імплементації цієї Директиви, у тому числі стосовно кіберзагроз, інцидентів, вразливостей, "близьких хиб", інформаційно-просвітницьких ініціатив, професійної підготовки, тренувань і навичок, розбудови спроможностей, стандартів і технічних специфікацій, а також визначення основних і важливих суб’єктів відповідно до пунктів (b)-(e) статті 2(2);
(d) обмінюватися порадами і співпрацювати з Комісією щодо нових політичних ініціатив у сфері кібербезпеки та загальної послідовності секторальних вимог до стану кібербезпеки;
(e) обмінюватися порадами і співпрацювати з Комісією щодо проєктів делегованих або імплементаційних актів на виконання цієї Директиви;
(f) обмінюватися найкращими практиками з відповідними установами, органами, офісами та агентствами Союзу;
(g) обмінюватися думками щодо імплементації секторальних правових актів Союзу, які містять положення щодо кібербезпеки;
(h) у відповідних випадках обговорювати звіти партнерських перевірок, зазначених у статті 19(9), готувати висновки та рекомендації;
(i) здійснювати скоординоване оцінювання ризиків безпеки критичних ланцюгів постачання відповідно до статті 22(1);
(j) обговорювати випадки взаємодопомоги, в тому числі досвід і результати спільних транскордонних наглядових заходів, як зазначено в статті 37;
(k) на вимогу однієї чи кількох зацікавлених держав-членів обговорювати конкретні вимоги для взаємодопомоги, як зазначено в статті 37;
(l) надавати стратегічні настанови мережі CSIRT та EU-CyCLONe з конкретних питань, які виникають;
(m) обмінюватися думками щодо політики подальших дій після масштабних інцидентів і криз кібербезпеки, ґрунтуючись на досвіді, набутому мережею CSIRT та EU-CyCLONe;
(n) сприяти розвитку спроможностей у сфері кібербезпеки на всій території Союзу шляхом активізації обміну національними посадовими особами через програму розбудови спроможностей за участі персоналу компетентних органів і груп CSIRT;
(o) організовувати спільні засідання з відповідними приватними стейкхолдерами з усього Союзу для обговорення діяльності Групи співпраці та збирання пропозицій щодо нових політичних викликів;
(p) обговорювати проведену роботу стосовно навчань з кібербезпеки, у тому числі роботу, виконану ENISA;
(q) сформувати методологію та організаційні аспекти партнерських перевірок, зазначених у статті 19(1), а також скласти методологію самооцінки для держав-членів відповідно до статті 19(5) за сприяння Комісії та ENISA; та, у співпраці з Комісією та ENISA, розробити кодекси поведінки, які лежать в основі методів роботи призначених експертів з кібербезпеки, відповідно до статті 19(6);
(r) готувати звіти в цілях перегляду, зазначеного в статті 40, про досвід, отриманий на стратегічному рівні та в ході партнерських перевірок;
(s) обговорювати та здійснювати на регулярній основі оцінювання стану справ з кіберзагрозами чи інцидентами, такими як програми-вимагачі.
Група співпраці подає звіти, зазначені в пункті (r) четвертого підпараграфа, до Комісії, до Європейського Парламенту і до Ради.
5. Держави-члени забезпечують дієву, ефективну та безпечну співпрацю своїх представників у Групі співпраці.
6. Група співпраці може вимагати від мережі CSIRT технічного звіту з вибраних тем.
7. До 1 лютого 2024 року та кожні два роки після цього, Група співпраці створює робочу програму стосовно дій, які необхідно вжити для досягнення її цілей та виконання завдань.
8. Комісія може ухвалювати імплементаційні акти, що встановлюють процедурні порядок та умови, необхідні для функціонування Групи співпраці.
Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною в статті 39(2).
Комісія обмінюється порадами і співпрацює з Групою співпраці щодо проєктів імплементаційних актів, зазначених у першому підпараграфі цього параграфа, відповідно до пункту (e) параграфа (4).
9. Група співпраці на регулярній основі та в будь-якому разі принаймні раз на рік зустрічається з Групою забезпечення стійкості критично важливих суб’єктів, заснованою згідно з Директивою (ЄС) 2022/2557 для розвитку та полегшення стратегічної співпраці та обміну інформацією.
Стаття 15. Мережа CSIRT
1. З метою зміцнення повної довіри та сприяння швидкій та дієвій оперативній співпраці між державами-членами створюється мережа національних груп CSIRT.
2. Мережа CSIRT складається з представників CSIRT, призначених або заснованих на виконання статті 10, та групи з реагування на надзвичайні ситуації в комп’ютерній сфері для установ, органів та агентств Союзу (CERT-EU). Комісія повинна брати участь у мережі CSIRT як спостерігач. ENISA надає секретаріат та активно надає допомогу для співпраці між групами CSIRT.
3. Мережа CSIRT має такі завдання:
(a) обмінюватися інформацією про спроможності груп CSIRT;
(b) сприяти поширенню, передачі та обміну технологіями і відповідними механізмами, політиками, інструментами, процесами, найкращими практиками та рамками серед груп CSIRT;
(c) обмінюватися релевантною інформацією про інциденти "близькі хиби", кіберзагрози, ризики та вразливості;
(d) обмінюватися інформацією стосовно публікацій і рекомендацій у сфері кібербезпеки;
(e) забезпечувати інтероперабельність щодо специфікацій і протоколів обміну інформацією;
(f) на запит члена мережі CSIRT, який потенційно зазнав інциденту, надавати та обговорювати інформацію, що стосується цього інциденту та пов’язаних кіберзагроз, ризиків і вразливостей;
(g) на запит члена мережі CSIRT обговорювати та, якщо можливо, реалізовувати скоординоване реагування на інцидент, виявлений у межах юрисдикції цієї держави-члена;
(h) надавати державам-членам допомогу у врегулюванні транскордонних інцидентів на виконання цієї Директиви;
(i) співпрацювати, обмінюватися найкращими практиками та надавати допомогу групам CSIRT, призначеним координаторами згідно зі статтею 12(1), стосовно управління скоординованим розголошенням вразливостей, які можуть мати значний вплив на суб’єктів більш ніж в одній державі-члені;
(j) обговорювати та визначати подальші форми оперативної співпраці, у тому числі стосовно:
(i) категорій кіберзагроз та інцидентів;
(ii) ранніх попереджень;
(iii) взаємної допомоги;
(iv) принципів та порядку координації у відповідь на транскордонні ризики та інциденти;
(v) внеску до національного плану реагування на масштабні інциденти та кризи кібербезпеки, зазначеного у статті 9(4), на запит будь-якої з держав-членів;
(k) інформувати Групу співпраці про свою діяльність та подальші форми оперативної взаємодії, обговорені відповідно до пункту (j), та за необхідності вимагати інструкцій з цього приводу;
(l) підбивати підсумки занять з кібербезпеки, в тому числі організованих ENISA;
(m) на запит окремої CSIRT обговорювати спроможності та підготованість цієї CSIRT;
(n) співпрацювати та обмінюватися інформацією з регіональними та союзними Операційними центрами безпеки (SOC) з метою покращення загальної ситуаційної обізнаності щодо інцидентів і кіберзагроз на всій території Союзу;
(o) у відповідних випадках обговорювати звіти партнерських перевірок, зазначених у статті 19(9);
(p) надавати настанови для сприяння конвергенції операційних практик щодо застосування положень цієї статті, які стосуються оперативної співпраці.
4. До 17 січня 2025 року та кожні два роки потому мережа CSIRT з метою перегляду, зазначеного в статті 40, оцінює прогрес, досягнутий з точки зору оперативної співпраці, та ухвалює відповідний звіт. Цей звіт, зокрема, містить висновки і рекомендації на підставі результатів партнерських перевірок, зазначених у статті 19, які було проведено стосовно національних груп CSIRT. Цей звіт подають до Групи співпраці.
5. Мережа CSIRT ухвалює власний внутрішній регламент.
6. Мережа CSIRT та EU-CyCLONe узгоджують процедурні механізми та співпрацюють на їх підставі.
Стаття 16. Європейська мережа організацій взаємодії в питаннях протидії кіберкризам (EU-CyCLONe)
1. EU-CyCLONe заснована для підтримки скоординованого управління масштабними інцидентами і кризами кібербезпеки на операційному рівні та для забезпечення регулярного обміну релевантною інформацією серед держав-членів і установ, органів, бюро та агентств Союзу.
2. EU-CyCLONe складається з представників органів управління кіберкризами держав-членів, а також, у випадках коли потенційний або поточний масштабний інцидент кібербезпеки має або може мати значний вплив на послуги та види діяльності, щоб підпадають під сферу застосування цієї Директиви, Комісії. У інших випадках Комісія бере участь у діяльності EU-CyCLONe як спостерігач.
ENISA надає секретаріат EU-CyCLONe та підтримує безпечний обмін інформацією, а також надає необхідні інструменти для підтримки співпраці між державами-членами із забезпеченням безпечного обміну інформацією.
Якщо доцільно, EU-CyCLONe може запрошувати представників відповідних стейкхолдерів для участі в її роботі у якості спостерігачів.
3. EU-CyCLONe має такі завдання:
(a) підвищувати рівень готовності до управління масштабними інцидентами і кризами кібербезпеки;
(b) розвивати спільну ситуаційну обізнаність із масштабними інцидентами і кризами кібербезпеки;
(c) оцінювати наслідки і вплив відповідних масштабних інцидентів і криз кібербезпеки та пропонувати можливі пом’якшувальні заходи;
(d) координувати управління масштабними інцидентами і кризами кібербезпеки та підтримувати ухвалення рішень на політичному рівні стосовно таких інцидентів і криз;
(e) обговорювати, на запит зацікавленої держави-члена, національні плани реагування на масштабні інциденти та кризи кібербезпеки, зазначені в статті 9(4).
4. EU-CyCLONe ухвалює свій внутрішній регламент.
5. EU-CyCLONe на регулярній основі звітує Групі співпраці про стан управління масштабними інцидентами і кризами кібербезпеки, а також тенденціями, акцентуючи зокрема на їхньому впливі на основних і важливих суб’єктів.
6. EU-CyCLONe співпрацює з мережею CSIRT на підставі узгоджених процедурних механізмів, передбачених у статті 15(6).
7. До 17 липня 2024 року і кожні 18 місяців потому EU-CyCLONe подає Європейському Парламенту і Раді звіт за результатами оцінювання своєї роботи.
Стаття 17. Міжнародна співпраця
У відповідних випадках Союз може укладати міжнародні угоди, відповідно до статті 218 ДФЄС, з третіми країнами або міжнародними організаціями, що дозволяють та організовують їхню участь у певній діяльності Групи співпраці, мережі CSIRT та EU-CyCLONe. Такі угоди повинні відповідати праву Союзу щодо захисту даних.
Стаття 18. Звіт про стан кібербезпеки в Союзі
1. У співпраці з Комісією та Групою співпраці ENISA ухвалює дворічний звіт про стан кібербезпеки в Союзі та подає і презентує цей звіт Європейському Парламенту. Цей звіт, серед іншого, повинен бути доступним у вигляді машиночитних даних і включати таке:
(a) оцінювання ризиків кібербезпеки на рівні Союзу з урахуванням ландшафту кіберзагроз;
(b) оцінювання розбудови спроможностей у сфері кібербезпеки в державному і приватному секторах на всій території Союзу;
(c) оцінювання загального рівня обізнаності в питаннях кібербезпеки та кібергігієни серед громадян і суб’єктів, у тому числі малих і середніх підприємств;
(d) зведене оцінювання результатів партнерських перевірок, зазначених у статті 19;
(e) зведене оцінювання рівня зрілості спроможностей у сфері кібербезпеки і ресурсів на всій території Союзу, в тому числі на секторальному рівні, а також міри, до якої узгоджено національні стратегії кібербезпеки держав-членів.
2. Звіт включає конкретні політичні рекомендації, спрямовані на усунення недоліків і підвищення рівня кібербезпеки на всій території Союзу, та стислий виклад висновків за певний період за результатами технічних звітів ЄС про стан кібербезпеки стосовно інцидентів та кіберзагроз, підготованих ENISA відповідно до статті 7(6) Регламенту (ЄС) 2019/881.
3. ENISA, у співпраці з Комісією, Групою співпраці та мережею CSIRT, розробляє методологію, в тому числі відповідні змінні, такі як кількісні та якісні показники, зведеного оцінювання, зазначеного в пункті (e) параграфа 1.
Стаття 19. Партнерські перевірки
1. 17 січня 2025 року Група співпраці за сприяння Комісії, ENISA та, у відповідних випадках, мережі CSIRT запроваджує методологію та організаційні аспекти партнерських перевірок з метою вивчення спільного досвіду, посилення взаємної довіри, досягнення вищого спільного рівня кібербезпеки, а також вдосконалення спроможностей у сфері кібербезпеки і політик держав-членів, необхідних для імплементації цієї Директиви. Участь у партнерських перевірках є добровільною. Партнерські перевірки здійснюють експерти з кібербезпеки. Експертів із кібербезпеки призначають принаймні дві держави-члени, відмінні від держави-члена, яку перевіряють.
Партнерські перевірки охоплюють принаймні одне з такого:
(a) рівень імплементації заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки, встановлених у статтях 21 та 23;
(b) рівень спроможностей, в тому числі наявні фінансові, технічні та людські ресурси, та дієвість виконання завдань компетентними органами;
(c) оперативні спроможності груп CSIRT;
(d) рівень імплементації взаємодопомоги, зазначеної в статті 37;
(e) рівень імплементації механізмів обміну інформацією щодо кібербезпеки, зазначених у статті 29;
(f) конкретні питання транскордонного чи міжсекторального характеру.
2. Методологія, зазначена у параграфі 1, включає об’єктивні, недискримінаційні, справедливі та прозорі критерії, на підставі яких держави-члени призначають експертів із кібербезпеки, що мають право здійснювати партнерські перевірки. Комісія та ENISA беруть участь у партнерських перевірках як спостерігачі.
3. Держави-члени можуть визначати конкретні питання, зазначені в пункті (f) параграфа 1, для цілей партнерської перевірки.
4. Перед початком партнерської перевірки, згаданої в параграфі 1, держави-члени повідомляють державам-членам, що беруть у ній участь, про її охоплення, в тому числі про конкретні питання, визначені відповідно до параграфа 3.
5. До початку партнерської перевірки держави-члени можуть провести самооцінку рецензованих аспектів і надати результати цієї оцінки призначеним експертам із кібербезпеки. Група співпраці, за сприяння Комісії та ENISA, встановлює методологію самооцінки для держав-членів.
6. Партнерські перевірки передбачають як фізичні або віртуальні виїзди на місця, так і дистанційний обмін інформацією. Згідно з принципом належної співпраці держава-член, яка є об’єктом партнерської перевірки, надає призначеним експертам із кібербезпеки необхідну для оцінювання інформацію без обмеження дії права Союзу чи національного права, що стосується захисту конфіденційної чи секретної інформації, та захисту основних функцій держави, таких як національна безпека. Група співпраці у співпраці з Комісією та ENISA розробляють належні кодекси поведінки, які лежать в основі методів роботи призначених експертів з кібербезпеки. Будь-яка інформація, отримана в ході партнерської перевірки, може бути використана виключно з цією ціллю. Експерти з кібербезпеки, які беруть участь у партнерській перевірці, не повинні розголошувати будь-яку чутливу або конфіденційну інформацію, отриману під час цієї партнерської перевірки, третім особам.
7. Ставши предметом партнерської перевірки, ті самі аспекти, які було перевірено в державі-члені, не можуть бути предметом наступної партнерської перевірки в тій самій державі-члені впродовж двох років після завершення першої партнерської перевірки, інакше як на вимогу самої держави члена або за її згодою на пропозицію Групи співпраці.
8. Держави-члени забезпечують, щоб будь-який ризик конфлікту інтересів стосовно призначених експертів із кібербезпеки було розкрито іншим державам-членам, Групі співпраці, Комісії та ENISA до початку партнерської перевірки. Держава-член, яка є об’єктом партнерської перевірки, може оскаржити призначення певних експертів з кібербезпеки на належним чином обґрунтованих підставах, повідомлених державі-члену, яка їх призначає.
9. Експерти з кібербезпеки, які беруть участь у партнерських перевірках, готують проєкти звітів за результатами і висновками партнерських перевірок. Держави-члени, які є об’єктами партнерських перевірок, можуть надавати зауваження до проєктів звітів стосовно себе, і такі зауваження долучають до звітів. Ці звіти включають рекомендації, що дають змогу покращити аспекти, охоплені партнерською перевіркою. Ці звіти подають до Групи співпраці та мережі CSIRT, якщо доречно. Держава-член, яка є об’єктом партнерської перевірки, може вирішити оприлюднити звіт за її результатами або його відредаговану версію.
ГЛАВА IV
ЗАХОДИ УПРАВЛІННЯ РИЗИКАМИ ТА ОБОВ’ЯЗКИ ЩОДО ЗВІТУВАННЯ У СФЕРІ КІБЕРБЕЗПЕКИ
Стаття 20. Врядування
1. Держави-члени забезпечують, щоб керівні органи основних і важливих суб’єктів затверджували вжиті цими суб’єктами заходи управляння ризиками кібербезпеки для забезпечення відповідності зі статтею 21, контролювали її імплементацію та могли нести відповідальність за порушення суб’єктами положень вказаної статті.
Застосування цього параграфа не обмежує дію національного права в частині норм правової відповідальності, застосовних до публічних установ, а також відповідальності державних службовців та виборних чи призначених посадових осіб.
2. Держави-члени забезпечують обов’язкове проходження навчання членами керівних органів основних і важливих суб’єктів і спонукають основних і важливих суб’єктів пропонувати подібне навчання для своїх найманих працівників на регулярній основі, щоб вони отримали достатні знання та навички, аби мати змогу ідентифікувати ризики та оцінювати практики управління ризиками кібербезпеки та їхній вплив на надавані суб’єктом послуги.
Стаття 21. Заходи управління ризиками кібербезпеки
1. Держави-члени забезпечують, щоб основні та важливі суб’єкти вживали відповідних та пропорційних технічних, операційних і організаційних заходів для управління ризиками, пов’язаним із безпекою мережевих та інформаційних систем, які ці суб’єкти використовують у своїх операціях або для надання послуг, та для запобігання чи мінімізації впливу інцидентів на отримувачів їхніх послуг або на інші послуги.
Враховуючи сучасний стан і, якщо застосовно, відповідні європейські та міжнародні стандарти, а також вартість їх імплементації, заходи, зазначені в першому підпараграфі, повинні забезпечувати рівень безпеки мережевих та інформаційних систем, що відповідає ризикам, які виникають. Під час оцінювання пропорційності цих заходів належним чином враховують ступінь впливу ризиків на суб’єкта, розмір суб’єкта та ймовірність виникнення інцидентів та їхню тяжкість, у тому числі їхні соціально-економічні наслідки.
2. Заходи, зазначені в параграфі 1, базуються на всеохопному підході до загроз, спрямованому на захист мережевих та інформаційних систем і фізичного середовища цих систем від інцидентів, та включають як мінімум:
(a) політики щодо аналізу ризиків і безпеки інформаційних систем;
(b) врегулювання інцидентів;
(c) безперервність діяльності, наприклад резервне копіювання і аварійне відновлення, та управління кризами;
(d) безпеку ланцюгів постачання, в тому числі безпекові аспекти, які стосуються взаємин кожного суб’єкта зі своїми прямими постачальниками та надавачами послуг;
(e) безпеку придбання, розроблення та технічного обслуговування мережевих та інформаційних систем, у тому числі управління вразливостями та оприлюднення інформації про вразливості;
(f) політики і процедури для оцінювання дієвості заходів управління ризиками кібербезпеки;
(g) базові практики кібергігієни та навчання з кібербезпеки;
(h) політики і процедури щодо використання криптографії та, у відповідних випадках, шифрування;
(i) безпеку людських ресурсів, політики контролю доступу і управління активами;
(j) використання багатофакторної автентифікації або постійних автентифікаційних рішень, захищену голосову, відео і текстову комунікацію та захищені системи екстреної комунікації всередині суб’єкта, залежно від випадку.
3. Держави-члени забезпечують, щоб розглядаючи доречність вжиття тих чи інших заходів, вказаних у пункті (d) параграфа 2 цієї статті, суб’єкти враховували вразливості, притаманні кожному прямому постачальнику та надавачеві послуг, а також загальну якість продуктів і практики у сфері кібербезпеки їхніх постачальників і надавачів послуг, у тому числі процедури захищеної розробки. Держави-члени також забезпечують, щоб розглядаючи доречність вжиття тих чи інших заходів, вказаних у згаданому пункті, суб’єкти обов’язково враховували результати скоординованого оцінювання ризиків критичних ланцюгів постачання, проведеного відповідно до статті 22(1).
4. Держави-члени забезпечують, щоб суб’єкт, який виявив, що не дотримується заходів, передбачених параграфом 2, без невиправданої затримки вжив усіх необхідних, відповідних і пропорційних коригувальних заходів.
5. До 17 жовтня 2024 року Комісія ухвалює імплементаційні акти, які встановлюють технічні та методологічні вимоги заходів, зазначених у параграфі 2, до надавачів послуг DNS, реєстрів TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, операторів електронних торговельних майданчиків, провайдерів електронних пошукових систем і платформ послуг соціальних мереж, а також надавачів довірчих послуг.
Комісія може ухвалювати імплементаційні акти, які встановлюють технічні та методологічні вимоги, а також, за потреби, секторальні вимоги заходів, зазначених у параграфі 2, до основних і важливих суб’єктів, відмінних від зазначених у першому підпараграфі цього параграфа.
При підготовці імплементаційних актів, зазначених у першому і другому підпараграфах цього параграфа, Комісія, наскільки це можливо, дотримується європейських і міжнародних стандартів, а також відповідних технічних специфікацій. Комісія обмінюється порадами і співпрацює з Групою співпраці та ENISA щодо проєктів імплементаційних актів відповідно до статті 14(4), пункту (e).
Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною в статті 39(2).
Стаття 22. Скоординоване оцінювання ризиків безпеки критичних ланцюгів постачання на рівні Союзу
1. Група співпраці у співпраці з Комісією та ENISA може здійснювати скоординоване оцінювання ризиків безпеки критичних ланцюгів постачання конкретних критичних послуг ІКТ, систем ІКТ або продуктів ІКТ, враховуючи технічні та, якщо доречно, нетехнічні фактори ризику.
2. Комісія, після консультацій із Групою співпраці, ENISA і, за необхідності, відповідними стейкхолдерами, визначає конкретні критичні послуги ІКТ, системи ІКТ чи продукти ІКТ, які можуть підлягати скоординованому оцінюванню ризиків безпеки, зазначеному в параграфі 1.
Стаття 23. Обов’язки щодо звітування
1. Кожна держава-член забезпечує, щоб основні та важливі суб’єкти без невиправданої затримки сповіщали її групу CSIRT або, якщо застосовно, її компетентний орган відповідно до параграфа 4 про будь-який інцидент, який має значний вплив на постачання їхніх послуг, як зазначено в параграфі 3 (значний інцидент). У відповідних випадках суб’єкти, яких це стосується, без невиправданої затримки сповіщають отримувачів своїх послуг про значні інциденти, які можуть негативно позначитися на наданні цих послуг. Кожна держава-член забезпечує, щоб ці суб’єкти повідомляли, з-поміж іншого, будь-яку інформацію, що надає змогу CSIRT або, якщо застосовно, компетентному органу визначати будь-який транскордонний вплив інциденту. Сам акт сповіщення не тягне за собою збільшення відповідальності для суб’єкта, який сповіщає.
Коли зацікавлені суб’єкти сповіщають компетентний орган про значний інцидент згідно з першим підпараграфом, держава-член забезпечує, щоб компетентний орган одразу після отримання пересилав сповіщення групі CSIRT.
У випадку транскордонного або міжсекторального значного інциденту держави-члени забезпечують своєчасне надання своїм єдиним контактним пунктам релевантної інформації, сповіщеної відповідно до параграфа 4.
2. Якщо застосовно, держави-члени забезпечують, щоб основні та важливі суб’єкти без невиправданої затримки повідомляли отримувачам своїх послуг, які потенційно зазнають значної кіберзагрози, про будь-які заходи чи засоби захисту, яких ці отримувачі можуть вжити у відповідь на цю загрозу. У відповідних випадках суб’єкти також інформують цих отримувачів про саму значну кіберзагрозу.
3. Інцидент вважають значним, якщо:
(a) він призвів або здатен призвести до серйозного збою в роботі сервісів або завдати фінансових втрат відповідному суб’єкту;
(b) він вплинув або здатен вплинути на інших фізичних або юридичних осіб, спричинивши значну матеріальну чи нематеріальну шкоду.
4. Держави-члени забезпечують, щоб для цілей сповіщення згідно з параграфом 1 суб’єкти, яких це стосується, подавали CSIRT або, якщо застосовно, компетентному органу:
(a) без невиправданої затримки та в будь-якому разі впродовж 24 годин після того, як їм стало відомо про значний інцидент, раннє попередження, котре вказує, якщо застосовно, чи є підозра, що значний інцидент викликаний незаконними чи зловмисними діями або може мати транскордонні наслідки;
(b) без невиправданої затримки, але в будь-якому разі впродовж 72 годин після того, як їм стало відомо про значний інцидент, сповіщення про інцидент, котре, якщо застосовно, оновлює інформацію, зазначену в пункті (a), та вказує на первинне оцінювання значного інциденту, в тому числі його тяжкості та впливу, а також, за наявності, індикаторів компрометації;
(c) на вимогу групи CSIRT або, якщо застосовно, компетентного органу, проміжний звіт про актуальні оновлення статусу;
(d) заключний звіт не пізніше, ніж через один місяць після подання сповіщення про інцидент згідно з пунктом (b), включаючи таку інформацію:
(i) детальний опис інциденту, в тому числі його тяжкості та впливу;
(ii) тип загрози чи першопричина, яка, ймовірно, спровокувала інцидент;
(iii) застосовані та поточні пом’якшувальні заходи;
(iv) якщо застосовно, транскордонні наслідки інциденту;
(e) якщо на момент подання заключного звіту, вказаного в пункті (d), інцидент усе ще триває, держави-члени забезпечують, щоб суб’єкти, яких це стосується, надали звіт про поточний стан у цей термін, а заключний звіт - впродовж одного місяця опрацювання ними цього інциденту.
Як відступ від вимог пункту (b) першого підпараграфа, надавач довірчих послуг, стосовно значних інцидентів, які впливають на надання його довірчих послуг, сповіщає CSIRT або, якщо застосовно, компетентний орган без невиправданої затримки та в будь-якому разі впродовж 24 годин після того, як йому стало відомо про значний інцидент.
5. CSIRT або компетентний орган без невиправданої затримки та по можливості впродовж 24 годин після отримання раннього попередження, зазначеного в пункті (a) параграфа 4, надає відповідь суб’єкту, що сповіщає, включно з початковим відгуком на значний інцидент і, на вимогу суб’єкта, інструкціями чи оперативними консультаціями щодо впровадження можливих пом’якшувальних заходів. Якщо CSIRT не є первинним одержувачем сповіщення, вказаного в параграфі 1, настанови надає компетентний орган у співпраці з CSIRT. CSIRT надає додаткову технічну підтримку, якщо цього вимагає зацікавлений суб’єкт. У разі підозри на злочинний характер значного інциденту, група CSIRT або компетентний орган також надає інструкції щодо повідомлення про цей значний інцидент правоохоронним органам.
6. За доцільності й зокрема, якщо значний інцидент стосується двох або більше держав-членів, група CSIRT, компетентний орган або єдиний контактний пункт без невиправданої затримки інформує про цей значний інцидент інші держави-члени, які зазнають його впливу, та ENISA. Така інформація повинна включати інформацію такого типу, як отримана відповідно до параграфа 4. При цьому CSIRT, компетентний орган або єдиний контактний пункт згідно із правом Союзу або національним правом оберігають безпеку та комерційні інтереси суб’єкта, а також конфіденційність наданої інформації.
7. Якщо громадська поінформованість необхідна для запобігання значному інциденту або врегулювання поточного значного інциденту, або якщо розкриття значного інциденту будь-яким іншим чином відповідає суспільному інтересу, CSIRT держави-члена або, якщо застосовно, її компетентний орган та, у відповідних випадках, групи CSIRT або компетентні органи інших зацікавлених держав-членів можуть, проконсультувавшись із відповідним суб’єктом, повідомити населенню про значний інцидент або вимагати від суб’єкта це зробити.
8. На запит CSIRT або компетентного органу єдиний контактний пункт пересилає сповіщення, отримані на виконання параграфа 1, єдиним контактним пунктам інших зачеплених держав-членів.
9. Єдиний контактний пункт кожні три місяці подає до ENISA підсумковий звіт, що включає анонімізовані та узагальнені дані щодо значних інцидентів, інцидентів, кіберзагроз і "близьких хиб", про які повідомлено відповідно до параграфа 1 цієї статті та статті 30. З метою сприяння наданню порівнянної інформації, ENISA може ухвалювати технічні інструкції щодо параметрів інформації для включення до підсумкового звіту. ENISA інформує Групу співпраці та мережу CSIRT про свої висновки за результатами отриманих сповіщень кожні шість місяців.
10. Групи CSIRT або, якщо застосовно, компетентні органи, надають компетентним органам за Директивою (ЄС) 2022/2557 інформацію щодо значних інцидентів, інцидентів, кіберзагроз і "близьких хиб", про які повідомлено відповідно до параграфа 1 цієї статті та статті 30 суб’єктами, визначеними критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557.
11. Комісія може ухвалювати імплементаційні акти, що додатково визначають тип інформації, формат і процедуру сповіщення, поданого відповідно до параграфа 1 цієї статті та статті 30, та повідомлення, поданого відповідно до параграфа 2 цієї статті.
До 17 жовтня 2024 року Комісія ухвалює стосовно надавачів послуг DNS, реєстрів TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, а також операторів електронних торговельних майданчиків, провайдерів електронних пошукових систем і платформ послуг соціальних мереж, імплементаційні акти, що додатково визначають випадки, у яких інцидент вважають значним, як зазначено в параграфі 3. Комісія може ухвалювати такі імплементаційні акти стосовно інших основних і важливих суб’єктів.
Комісія обмінюється порадами і співпрацює з Групою співпраці щодо проєктів імплементаційних актів, зазначених у першому і другому підпараграфах цього параграфа, відповідно до пункту (e) статті 14(4).
Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною в статті 39(2).
Стаття 24. Використання європейських схем сертифікації кібербезпеки
1. Для демонстрації відповідності окремим вимогам статті 21 держави-члени можуть вимагати від основних і важливих суб’єктів використання окремих продуктів ІКТ, послуг ІКТ і процесів ІКТ, розроблених основним або важливим суб’єктом чи придбаних у третіх сторін, які сертифіковано за європейськими схемами сертифікації кібербезпеки, ухваленими відповідно до статті 49 Регламенту (ЄС) 2019/881. Більше того, держави-члени заохочують основних і важливих суб’єктів користуватися кваліфікованими довірчими послугами.
2. Комісія має повноваження ухвалювати делеговані акти відповідно до статті 38 в частині доповнення цієї Директиви шляхом зазначення категорій основних і важливих суб’єктів, від котрих вимагатиметься використовувати певні сертифіковані продукти ІКТ, послуги ІКТ і процеси ІКТ, або отримати сертифікат за європейською схемою сертифікації кібербезпеки, ухваленою відповідно до статті 49 Регламенту (ЄС) 2019/881. Ці делеговані акти повинні бути ухвалені там, де було виявлено недостатні рівні кібербезпеки, та включати імплементаційний період.
Перед ухваленням таких делегованих актів Комісія здійснює оцінювання впливу і проводить консультації відповідно до статті 56 Регламенту (ЄС) 2019/881.
3. Якщо належної європейської схеми сертифікації кібербезпеки для цілей параграфа 2 цієї статті немає в наявності, Комісія, після консультацій із Групою співпраці та Європейською групою з сертифікації кібербезпеки, може подати ENISA запит на підготовку проєкту схеми відповідно до статті 48(2) Регламенту (ЄС) 2019/881.
Стаття 25. Стандартизація
1. Для сприяння конвергентної імплементації статті 21(1) та (2), держави-члени, без нав’язування або дискримінації на користь використання певного типу технології, повинні заохочувати використання європейських або міжнародних стандартів і технічних специфікацій, які стосуються безпеки мережевих та інформаційних систем.
2. ENISA, у співпраці з державами-членами і, у відповідних випадках, після консультацій з відповідними стейкхолдерами, розробляє поради та настанови щодо технічних сфер, які необхідно враховувати стосовно параграфа 1, а також щодо вже наявних стандартів, у тому числі національних стандартів, що дозволяють охопити такі сфери.
ГЛАВА V
ЮРИСДИКЦІЯ ТА РЕЄСТРАЦІЯ
Стаття 26. Юрисдикція та територіальність
1. Суб’єктів, які підпадають під сферу застосування цієї Директиви, вважають такими, що підпадають під юрисдикцію держави-члена, у якій їх засновано, за винятком таких випадків:
(a) постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, яких вважають такими, що підпадають під юрисдикцію держави-члена, у якій вони надають свої послуги;
(b) надавачів послуг DNS, реєстри TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, а також операторів електронних торговельних майданчиків, провайдерів електронних пошукових систем і платформ послуг соціальних мереж, яких вважають такими, що підпадають під юрисдикцію держави-члена, в якій вони мають головний осідок на території Союзу відповідно до параграфа 2;
(c) суб’єктів публічної адміністрації, яких вважають такими, що підпадають під юрисдикцію держави-члена, яка їх заснувала.
2. Для цілей цієї Директиви вважають, що суб’єкт, зазначений у пункті (b) параграфа 1, має головний осідок на території Союзу в державі-члені, в якій здебільшого ухвалюють рішення, пов’язані із заходами управління ризиками кібербезпеки. Якщо таку державу-члена неможливо визначити або якщо такі рішення ухвалюють не в Союзі, вважають, що головний осідок розташований у державі-члені, де здійснюють кібероперації. Якщо таку державу-члена неможливо визначити, вважають, що головний осідок розташований у державі-члені, де у такого суб’єкта є осідок із найбільшою кількістю співробітників в Союзі.
3. Якщо суб’єкт, зазначений у пункті (b) параграфа 1, заснований не в Союзі, але пропонує послуги в межах Союзу, він призначає представника в Союзі. Представник повинен бути заснований в одній із тих держав-членів, в яких пропонуються послуги. Вважають, що такий суб’єкт підпадає під юрисдикцію держави-члена, в якій засновано його представника. За відсутності представника в Союзі, призначеного згідно з цим параграфом, будь-яка з держав-членів, у яких суб’єкт надає послуги, може позиватися проти цього суб’єкта за порушення цієї Директиви.
4. Призначення свого представника суб’єктом, зазначеним у пункті (b) параграфа 1, не обмежує судові позови, які може бути подано проти самого суб’єкта.
5. Держави-члени, що отримали запит про взаємодопомогу стосовно суб’єкта, зазначеного у пункті (b) параграфа 1, можуть в межах цього запиту вживати належні наглядові та правозастосовні заходи стосовно відповідного суб’єкта, який надає послуги чи має мережеву та інформаційну систему на їхній території.
Стаття 27. Реєстр суб’єктів
1. ENISA створює та веде реєстр надавачів послуг DNS, реєстрів TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, а також операторів електронних торговельних майданчиків, провайдерів електронних пошукових систем і платформ послуг соціальних мереж на підставі інформації, отриманої від єдиних контактних пунктів відповідно до параграфа 4. За запитом, ENISA дозволяє компетентним органам доступ до цього реєстру, забезпечуючи захист конфіденційності інформації, якщо застосовно.
2. Держави-члени вимагають від суб’єктів, зазначених у параграфі 1, до 17 січня 2025 року подати компетентним органам таку інформацію:
(a) назву суб’єкта;
(b) відповідний сектор, підсектор і тип суб’єкта, зазначений у додатку I або II, якщо застосовно;
(c) адресу головного осідку суб’єкта та його інших легальних закладів у Союзі або, якщо заснований не в Союзі, його представника, призначеного відповідно до статті 26(3);
(d) актуальну контактну інформацію, в тому числі адреси електронної пошти та номери телефону суб’єкта і, якщо застосовно, його представника, призначеного відповідно до статті 26(3);
(e) держави-члени, у яких суб’єкт надає послуги; та
(f) діапазони IP-адрес суб’єкта.
3. Держави-члени забезпечують, щоб суб’єкти, зазначені в параграфі 1, сповіщали компетентний орган про будь-які зміни в інформації, яку вони подали відповідно до параграфа 2, без затримок і в будь-якому разі впродовж трьох місяців із дати настання цих змін.
4. Після отримання інформації, зазначеної в параграфах 2 і 3, окрім вказаної в пункті (f) параграфа 2, єдиний контактний пункт відповідної держави-члена без невиправданої затримки пересилає її до ENISA.
5. Якщо застосовно, інформацію, зазначену в параграфах 2 і 3, подають через національний механізм, зазначений у четвертому підпараграфі статті 3(4).
Стаття 28. База даних реєстрації доменних імен
1. З метою підвищення захищеності, стабільності та стійкості DNS держави-члени вимагають від реєстрів TLD-імен і суб’єктів надання послуг реєстрації доменних імен збирання й утримання достовірних і вичерпних даних реєстрації доменних імен у спеціально виділеній базі даних із належною сумлінністю, у відповідності з правом Союзу щодо захисту даних у частині даних, які є персональними даними.
2. Для цілей параграфа 1 держави-члени вимагають, щоб база даних реєстрації доменних імен містила необхідну інформацію для ідентифікації та зв’язку з власниками доменних імен і контактними пунктами, що адмініструють доменні імена в TLD. Така інформація включає:
(a) доменне ім’я;
(b) дату реєстрації;
(c) назву реєстранта, контактну адресу електронної пошти та номер телефону;
(d) контактну адресу електронної пошти та номер телефону контактного пункту, що адмініструє доменне ім’я, у разі якщо вони відмінні від адреси і номера реєстранта.
3. Держави-члени вимагають від реєстрів TLD-імен і суб’єктів надання послуг реєстрації доменних імен мати в наявності політики і процедури, в тому числі процедури верифікації, щоб забезпечити наповнення баз даних, зазначених у параграфі 1, достовірною та вичерпною інформацією. Держави-члени вимагають, щоб такі політики і процедури були оприлюднені.
4. Держави-члени вимагають від реєстрів TLD-імен і суб’єктів надання послуг реєстрації доменних імен без невиправданої затримки після реєстрації доменного імені оприлюднити дані реєстрації доменного імені, які не є персональними даними.