Директива Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проекту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського економічно-соціального комітету (-1),

Діючи згідно зі звичайною законодавчою процедурою (-2),

Оскільки:

(1) Мережеві та інформаційні системи та послуги відіграють важливу роль у суспільстві. Їхня надійність та безпека суттєва для економічної та соціальної діяльності і, зокрема, для функціонування внутрішнього ринку.

(2) Масштаб, частота та вплив інцидентів, пов’язаних з безпекою, зростають та становлять велику загрозу для функціонування мережевих та інформаційних систем. Такі системи можуть також ставати об’єктом умисних шкідливих дій, мета яких - пошкодити такі системи або завадити їх експлуатації. Такі інциденти можуть перешкоджати здійсненню економічної діяльності, завдавати значних фінансових збитків, підривати довіру користувачів та спричиняти значну шкоду економіці Союзу.

(3) Мережеві та інформаційні системи і, в першу чергу, інтернет, відіграють важливу роль у сприянні транскордонному руху товарів, послуг та людей. Через транснаціональний характер, значні порушення функціонування таких систем, як навмисні, так і ненавмисні, а також незалежно від місця здійснення, можуть впливати на окремі держави-члени та Союз у цілому. Таким чином, безпека мережевих та інформаційних систем суттєва для безперебійного функціонування внутрішнього ринку.

(4) Спираючись на значний прогрес у рамках Європейського форуму держав-членів у сприянні обговоренням та обмінам належними практиками в політиці, у тому числі розробки принципів для європейського співробітництва з питань кібер-кризи, необхідно створити Групу співпраці, що складатиметься з представників держав-членів, Комісії та Європейського агентства з питань мережевої та інформаційної безпеки ("ENISA"), для підтримки та сприяння стратегічній співпраці між державами-членами щодо безпеки мережевих та інформаційних систем. Для того, щоб така група була дієвою та інклюзивною, суттєво, щоб всі держави-члени мали мінімальні можливості та стратегію, що забезпечує високий рівень безпеки мережевих та інформаційних систем на їхній території. Крім того, необхідно застосовувати вимоги до безпеки та повідомлення до операторів основних послуг та надавачів цифрових послуг щоби просувати культуру управління ризиками та забезпечити звітування про найсерйозніші інциденти.

(5) Існуючих можливостей недостатньо для забезпечення високого рівня безпеки мережевих та інформаційних систем в межах Союзу. Держави-члени мають дуже різні рівні підготованості, що призвело до фрагментованості підходів у Союзі. Це спричиняє неоднаковий рівень захисту споживачів та суб’єктів господарської діяльності і підриває загальний рівень безпеки мережевих та інформаційних систем в межах Союзу. В свою чергу, брак спільних вимог до операторів основних послуг та надавачів цифрових послуг унеможливлює заснування глобального та дієвого механізму співпраці на рівні Союзу. Університети та дослідницькі центри відіграють вирішальну роль у стимулюванні досліджень, розвитку та інновацій у таких сферах.

(6) Таким чином, результативна відповідь на виклики в сфері безпеки мережевих та інформаційних систем вимагає глобального підходу на рівні Союзу, що охоплюватиме спільні мінімальні вимоги до розбудови спроможності і планування, обмін інформацією, вимоги співпраці та спільні безпекові вимоги до операторів основних послуг та надавачів цифрових послуг. Однак, ніщо не перешкоджає операторам основних послуг та надавачам цифрових послуг впроваджувати інструменти безпеки, суворіші за інструменти, передбачені в цій Директиві.

(7) Для того, щоб охопити всі відповідні інциденти та ризики, цю Директиву необхідно застосовувати як до операторів основних послуг, так і до надавачів цифрових послуг. Однак, зобов’язання, що покладаються на операторів основних послуг та надавачів цифрових послуг, не можна застосовувати до підприємств, що надають мережі зв’язку загального користування або загальнодоступні послуги електронного зв’язку у розумінні Директиви Європейського Парламенту і Ради 2002/21/ЄС (-3), до яких застосовують спеціальні вимоги безпеки та цілісності, встановлені у зазначеній Директиві, а також їх не можна застосовувати до надавачів довірчих послуг у значенні Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 (-4), до яких застосовують вимоги безпеки, встановлені в зазначеному Регламенті.

(8) Ця Директива не повинна обмежувати можливість кожної держави-члена вживати необхідних заходів для забезпечення захисту суттєвих інтересів її безпеки, для охорони публічного порядку та забезпечення громадської безпеки, а також щоби уможливити розслідування, розкриття та кримінальне переслідування кримінальних правопорушень. Відповідно до статті 346 Договору про функціонування Європейського Союзу (TFEU), жодна держава- член не може бути зобов’язана надавати інформацію, розкриття якої, на її думку, суперечитиме суттєвим інтересам її безпеки. У цьому контексті мають значення Рішення Ради 2013/488/ЄС (-5) та угоди про нерозкриття або неформальні угоди про нерозкриття інформації, такі як протокол "Світлофор" (TLP).

(9) Певні сектори економіки вже регулюють або можуть регулювати у майбутньому галузеві правові акти Союзу, що включають правила, які стосуються безпеки мережевих та інформаційних систем. Коли такі правові акти Єсоюзу містять положення, що накладають вимоги відносно безпеки мережевих та інформаційних систем або повідомлень про інциденти, такі положення необхідно застосовувати, якщо вони містять вимоги, які щонайменше рівноцінні по суті зобов’язанням, що містяться в цій Директиві. В такому разі, держави-члени повинні застосовувати положення таких секторальних правових актів Союзу, у тому числі положення відносно юрисдикції, а також не повинні визначати операторів основних послуг, згідно з порядком, встановленим в цій Директиві. У цьому контексті, держави-члени повинні надавати Комісії інформацію про застосування таких положень lex specialis. Вирішуючи питання, чи вимоги до безпеки мережевих та інформаційних систем та до повідомлення про інциденти, що містяться у секторальних правових актах Союзу, рівноцінні вимогам, що містяться в цій Директиві, необхідно враховувати лише положення відповідних правових актів Союзу та їх застосування у державах-членах.

(10) У секторі водного транспорту безпекові вимоги до компаній, кораблів, портових споруд, портів та служб руху суден відповідно до правових актів Союзу охоплюють всі операції, у тому числі системи радіо- та електрозв’язку, комп’ютерні системи та мережі. Частина обов’язкових процедур, яких необхідно дотримуватися, включає звітування про всі інциденти і, таким чином, повинна вважатися lex specialis, настільки наскільки такі вимоги щонайменше рівноцінні відповідним положенням цієї Директиви.

(11) Визначаючи операторів у секторі водного транспорту, держави-члени повинні враховувати існуючі та майбутні міжнародні кодекси та настанови, розроблені, зокрема, Міжнародною морською організацією, з метою забезпечення узгодженого підходу для окремих морських операторів.

(12) Регулювання та нагляд у банківському секторі та секторі інфраструктур фінансового ринку високою мірою гармонізовані на рівні Союзу за допомогою первинного та вторинного законодавства Союзу та стандартів, розроблених разом з європейськими наглядовими органами. В рамках банківського союзу застосування таких вимог та нагляд за їх виконанням забезпечує єдиний наглядовий механізм. Для держав-членів, які не належать до банківського союзу - це забезпечують відповідні банківські регуляторні органи держав-членів. В інших сферах регулювання фінансового сектору, Європейська система фінансового нагляду також забезпечує високий ступінь спільності та конвергенції наглядових практик. Європейський орган з цінних паперів та ринків (ESMA) також відіграє роль прямого нагляду за певними суб’єктами, а саме кредитно-рейтинговими агентствами та реєстрами трансакцій.

(13) Операційний ризик є важливою частиною пруденційного регулювання та нагляду у банківському секторі та секторі інфраструктур фінансового ринку. Він охоплює всі операції, у тому числі безпеку, цілісність та стійкість мережевих та інформаційних систем. Вимоги відносно таких систем, які часто перевищують вимоги, передбачені в цій Директиві, викладені у низці правових актів Союзу, у тому числі: правилах щодо доступу до діяльності кредитних установ та пруденційного нагляду за кредитними установами та інвестиційними компаніями, та правилах щодо пруденційних вимог до кредитних установ та інвестиційних компаній, котрі включають вимоги відносно операційного ризику; правилах щодо ринків фінансових інструментів, котрі включають вимоги стосовно оцінювання ризику для інвестиційних компаній та регульованих ринків; правилах щодо позабіржових похідних фінансових інструментів, центральних контрагентів та реєстрів трансакцій, що включають вимоги відносно операційного ризику для центральних контрагентів та реєстрів трансакцій; правилах щодо вдосконалення розрахунків за цінними паперами у Союзі та щодо центральних депозитаріїв цінних паперів, котрі включають вимоги відносно операційного ризику. Крім того, вимоги до повідомлення про інциденти входять до звичайної наглядової практики у фінансовому секторі та часто містяться у посібниках з нагляду. Держави-члени повинні брати до уваги такі правила та вимоги у їхньому застосуванні lex specialis.

(14) Як відмітив Європейський Центральний Банк у своєму рішенні від 25 липня 2014 року (-6), ця Директива не впливає на режим нагляду за платіжними системами та системами розрахунків Євросистеми відповідно до законодавства Союзу. Було би доцільно для органів, відповідальних за такий нагляд, обмінюватися досвідом щодо питань стосовно безпеки мережевих та інформаційних систем, з компетентними органами відповідно до цієї Директиви. Така ж увага приділяється членам Європейської системи центральних банків з країн, що не входять до зони євро, що здійснюють такий нагляд за платіжними та розрахунковими системами на основі національних нормативно-правових актів.

(15) Електронний торговий майданчик дозволяє споживачам та торговцям укладати онлайн договори продажу або надання послуг з торговцями і є кінцевим пунктом для укладання таких договорів. Він не повинен включати онлайнові послуги, що слугують лише посередником для послуг третіх сторін, за допомогою яких можна врешті укласти договір. Таким чином, він не повинен включати онлайнові послуги, що порівнюють ціну різних торговців на певні продукти або послуги, а потім перенаправляють користувача до торговця, якому надається перевага, для купівлі продукту. Обчислювальні послуги, які надають електронні торгові майданчики, можуть включати опрацювання трансакцій, агрегацію даних або створення облікових записів користувачів. Сховища програм, які функціонують як інтернет-магазини, що уможливлюють цифрове розповсюдження програм або програмного забезпечення третіх сторін, необхідно розуміти як один з типів електронних торгових майданчиків.

(16) Електронна пошукова система дозволяє користувачеві здійснювати пошук, в принципі, по всім веб-сайтам за запитом на будь-яку тему. Також пошук може бути орієнтований на веб-сайти певною мовою. Означення пошукової системи, передбачене в цій Директиві, не повинне охоплювати пошукові функції, обмежені контентом конкретного веб-сайту, незалежно від того, чи таку пошукову функцію надає зовнішня електронна пошукова система. Також воно не повинне охоплювати інтернет-послуги, що порівнюють ціну різних торговців на певні продукти або послуги, а потім перенаправляють користувача до торговця, якому надається перевага, для купівлі продукту.

(17) Послуги хмарних обчислень включають широке розмаїття видів діяльності, що можуть надаватись відповідно до різних моделей. Для цілей цієї Директиви, термін "послуги хмарних обчислень" охоплює послуги, що дозволяють доступ до масштабовного та еластичного пулу обчислювальних ресурсів спільного користування. Такі обчислювальні ресурси включають такі ресурси як мережі, сервери або іншу інфраструктуру, сховища, програми та послуги. Термін "масштабовний" означає, що надавач хмарної послуги гнучко розподілив обчислювальні ресурси незалежно від географічного розташування ресурсів для того, щоб справлятися з коливаннями попиту. Термін "еластичний пул" використовується для опису таких обчислювальних ресурсів, які вводять в дію та дозволяють до використання відповідно до попиту щоби швидко збільшувати та зменшувати доступні ресурси залежно від навантаження. Термін "спільного користування" використовується для опису обчислювальних ресурсів, котрі надаються багатьом користувачам зі спільним доступом до послуги, але опрацювання здійснюється для кожного користувача окремо, хоча послуга надається з одного й того ж електронного обладнання.

(18) Функція точки обміну інтернет-трафіком (IXP) полягає у взаємоз’єднанні мереж. IXP не надає доступу до мережі та не діє як транзитний провайдер або передавач. Також IXP не надає інших послуг, не пов’язаних із взаємоз’єднанням, хоча це не стає на заваді IXP-операторові надавати непов’язані послуги. IXP існує для взаємоз’єднання технічно та організаційно відокремлених мереж. Термін "автономна система" використовується для опису технічно автономної мережі.

(19) Держави-члени повинні нести відповідальність за визначення суб’єктів, які відповідають критеріям означення оператора основних послуг. Для того, щоб забезпечити узгоджений підхід, всі держави-члени повинні послідовно застосовувати означення оператора основних послуг. З цією метою, ця Директива передбачає оцінювання суб’єктів, що діють у конкретних секторах та підсекторах, створення списку основних послуг, розгляд спільного списку міжгалузевих факторів щоби визначити, чи може потенційний інцидент мати значний негативний вплив, процес консультацій із залученням відповідних держав-членів у випадку суб‘єктів, що надають послуги у декількох державах-членах, та підтримку Групи співпраці у процесі визначення. Для забезпечення точного відображення можливих змін на ринку, держави-члени повинні регулярно переглядати список визначених операторів та оновлювати його мірою необхідності. Врешті, держави-члени повинні надати Комісії інформацію, необхідну для оцінення межі узгодженого застосування державами-членами такого означення, яку дозволила ця спільна методологія.

(20) У процесі визначення операторів основних послуг, держави-члени повинні оцінити, щонайменше для кожного підсектора, вказаного в цій Директиві, які послуги необхідно вважати основними для підтримки критичної соціально-економічної діяльності, а також чи суб'єкти, перелічені в секторах та підсекторах, вказаних у цій Директиві, що надають такі послуги, відповідають критеріям визначення операторів. Здійснюючи оцінювання питання, чи надає суб’єкт послугу, що є основною для підтримки критичної соціально-економічної діяльності, достатньо перевірити чи такий суб’єкт надає послугу, що включена до списку основних послуг. Крім того, необхідно довести, що надання такої основної послуги залежить від мережевих та інформаційних систем. Врешті, здійснюючи оцінювання питання, чи може інцидент мати значний негативний вплив на надання послуги, держави-члени повинні враховувати певні міжсекторальні чинники, а також, якщо доречно, секторальні чинники.

(21) Для цілей визначення операторів основних послуг, створення у державі-члені вимагає дієвого та реального здійснення діяльності на основі стабільного впорядкування. Адміністративно-правова форма такого впорядкування, чи то відділення чи то дочірнє підприємство що володіє правосуб’єктністю, не є визначальним чинником у цьому відношенні.

(22) Можливо, що такі суб’єкти, що діють у секторах та підсекторах, вказаних у цій Директив, надають як основні, так і неосновні послуги. Наприклад, у секторі повітряного транспорту аеропорти надають послуги, які держава-член може вважати основними, наприклад управління злітно-приземлювальною смугою, але також певні послуги, які можуть вважатися неосновними, наприклад забезпечення торгових зон. Оператори основних послуг повинні виконувати конкретні безпекові вимоги лише стосовно таких послуг, які вважаються основними. З метою визначення операторів держави-члени повинні створити список послуг, які вважаються основними.

(23) Список послуг повинен містити всі послуги, що надаються на території певної держави-члена та відповідають вимогам згідно з цією Директивою. Держави-члени повинні мати змогу доповнювати існуючий список, додаючи нові послуги. Список послуг повинен слугувати орієнтиром для держав-членів, дозволяючи визначення операторів основних послуг. Його метою є визначення типів основних послуг у будь-якому певному секторі, вказаному у цій Директиві, таким чином відрізняючи їх від неосновної діяльності, за яку суб’єкт, який здійснює діяльність у відповідному секторі, може бути відповідальним. Список послуг, складений кожною державою-членом, слугуватиме додатковим внеском в оцінювання регуляторної практики кожної держави-члена з метою забезпечення загального рівня узгодженості процесу визначення серед держав-членів.

(24) Для цілей процесу визначення, якщо суб’єкт надає основну послугу у двох або більше державах-членах, такі держави-члени повинні долучатися до двосторонніх або багатосторонніх обговорень одна з одною. Такий консультаційний процес має на меті допомогти їм оцінити критичність оператора стосовно транскордонного впливу, дозволяючи кожній залученій державі-члену представити свої погляди стосовно ризиків, пов’язаних з послугами, що надаються. Відповідні держави-члени повинні враховувати погляди одна одної в цьому процесі та повинні мати змогу звертатися по допомогу до Групи співпраці з цього приводу.

(25) Як результат процесу визначення, держави-члени повинні ухвалювати національні інструменти щоби встановити, до яких суб’єктів застосовуються зобов’язання щодо безпеки мережевих та інформаційних систем. Цього результату можна досягти за допомогою ухвалення списку, що містить перелік всіх операторів основних послуг, або за допомогою ухвалення національних інструментів, що включають об’єктивні кількісно вимірювані критерії такі, як результативність оператора або кількість користувачів, що дає можливість встановити, до яких суб’єктів застосовуються зобов’язання щодо безпеки мережевих та інформаційних систем. Національні інструменти, які вже існують або ухвалені у контексті цієї Директиви, повинні включати всі правові інструменти, адміністративні інструменти та політики, що дозволяють визначення операторів основних послуг згідно з цією Директивою.

(26) Для того, щоб охарактеризувати важливість - відносно відповідного сектора - визначених операторів основних послуг, держави-члени повинні враховувати кількість та розмір таких операторів, наприклад, щодо частки ринку або обсягу виробництва або перевезення, без зобов’язання розголошувати інформацію, що може виявити, яких операторів було визначено.

(27) Для того, щоб визначити чи може інцидент мати значний негативний вплив на надання основної послуги, держави-члени повинні враховувати декілька різних чинників, таких як кількість користувачів, які залежать від такої послуги для особистих або професійних цілей. Використання такої послуги може бути пряме, непряме або за посередництва. Оцінюючи вплив, який може мати такий інцидент, відповідно до його ступеню та тривалості, на економічну та соціальну діяльність або громадську безпеку, держави-члени повинні також оцінювати час, що імовірно пройде до того, як таке порушення безперервності почне мати негативний вплив.

(28) Окрім міжсекторальних чинників, необхідно враховувати також і специфічні для сектора чинники для того, щоб визначити, чи матиме інцидент значний негативний вплив на надання основної послуги. Що стосується постачальників енергії, то такі чинники можуть включати обсяг або частку виробленої енергії на національному рівні; для постачальників нафти - добовий обсяг; для повітряного транспорту, у тому числі аеропортів та авіаперевізників, залізничного транспорту та морських портів - частку обсягу національного руху та річна кількість пасажирів або вантажних операцій; для інфраструктур банківського та фінансових ринків - їхню системну важливість, що базується на загальному обсягу активів або співвідношенні такого загального обсягу активів до ВВП; для сектора охорони здоров'я - річна кількість пацієнтів під наглядом надавача (медичних послуг); для виробництва, підготування та постачання води - обсяг, кількість та типи користувачів, яким було здійснене постачання, у тому числі, наприклад, лікарні, комунальні служби або фізичні особи, та існування альтернативних джерел води для охоплення тієї самої географічної місцевості.

(29) Для того, щоб досягти та підтримувати високий рівень безпеки мережевих та інформаційних систем, кожна держава-член повинна мати національну стратегію щодо безпеки мережевих та інформаційних систем, що визначає стратегічні цілі та конкретні дії в сфері політики, які необхідно здійснити.

(30) 3 огляду на відмінності в структурах національного врядування та для охорони вже існуючого секторального впорядкування або наглядових та регуляторних органів Союзу, а також щоб уникнути дублювання, держави-члени повинні мати змогу призначити більш ніж один національний компетентний орган, відповідальний за виконання завдань, пов’язаних із безпекою мережевих та інформаційних систем операторів основних послуг та надавачів цифрових послуг відповідно до цієї Директиви.

(31) Для сприяння транскордонної співпраці та комунікації, та для того, щоб уможливити результативну імплементацію цієї Директиви, необхідно для кожної держави-члена, не обмежуючи секторального регуляторного впорядкування, призначити єдиний національний контактний пункт, відповідальний за координацію питань, пов'язаних із безпекою мережевих та інформаційних систем та транскордонною співпрацею на рівні Союзу. Компетентні органи та єдині контактні пункти повинні мати належні технічні, фінансові та людські ресурси для забезпечення їх здатності виконувати завдання, поставлені перед ними, у результативний та ефективний спосіб і таким чином досягати цілей цієї Директиви. Оскільки ця Директива має на меті покращити функціонування внутрішнього ринку через створення повної довіри, органи держав-членів повинні мати змогу результативно співпрацювати з суб’єктами економічної діяльності та бути відповідним чином структурованими.

(32) Компетентні органи або групи реагування на інциденти, пов’язані з комп’ютерною безпекою ("CSIRT"), повинні отримувати повідомлення про інциденти. Єдині контактні пункти не повинні прямо отримувати повідомлення про інциденти, крім випадків, коли вони також діють як компетентний орган або CSIRT. Однак, компетентний орган або CSIRT повинна мати можливість доручати єдиному контактному пункту надсилати повідомлення про інциденти єдиним контактним пунктам інших держав-членів, які піддаються негативній дії.

(33) Щоби забезпечити результативне надання інформації державам-членам та Комісії, єдиний контактний пункт повинен подати підсумковий звіт Групі співпраці; цей звіт повинен бути анонімним для того, щоб зберегти конфіденційність повідомлень та особи операторів основних послуг та надавачів цифрових послуг, оскільки інформація про особу суб'єктів, що повідомляють, не вимагається для обміну кращими практиками у Групі співпраці. Підсумковий звіт повинен містити інформацію про кількість отриманих повідомлень, а також зазначення характеру інцидентів, про які було надіслано повідомлення, такого як типи випадків порушення безпеки, їхня серйозність або їхня тривалість.

(34) Держави-члени повинні бути належним чином оснащені, з огляду на технічні та організаційні спроможності, для запобігання, виявлення, реагування на інциденти та ризики мережевих та інформаційних систем та усунення їхніх наслідків. Отже, держави-члени повинні забезпечувати наявність у себе надійно функціонуючі CSIRT, також відомі як групи реагування на комп'ютерні надзвичайні ситуації ("CERT"), що відповідають основним вимогам гарантування результативних та сумісних спроможностей для подолання наслідків таких інцидентів та ризиків і забезпечення ефективної співпраці на рівні Союзу. Для того, щоби всі типи операторів основних послуг та надавачів цифрових послуг користувалися перевагами таких спроможностей та співпраці, держави-члени повинні забезпечувати, щоби призначена CSIRT була передбачена для всіх типів. Враховуючи важливість міжнародної співпраці з питань кібербезпеки, CSIRT повинні мати можливість брати участь у мережах міжнародної співпраці окрім мережі CSIRT, заснованої цією Директивою.

(35) Оскільки більшість мережевих та інформаційних систем експлуатують на приватній основі, співпраця між публічним та приватним секторами є суттєвим моментом. Операторів основних послуг та надавачів цифрових послуг необхідно заохочувати до розроблення своїх власних механізмів міжнародної співпраці для забезпечення безпеки мережевих та інформаційних систем. Група співробітництва повинна, за доречності, мати змогу запрошувати відповідних стейкхолдерів до обговорень. З метою забезпечення дієвого обміну інформацією та кращими практиками, необхідно забезпечувати відсутність дій на шкоду операторам основних послуг та надавачам цифрових послуг, які беруть участь у такому обміні.

(36) ENISA повинне допомагати державам-членам та Комісії, надаючи експертні знання та консультації, а також сприяючи обміну кращими практиками. Зокрема, у застосування цієї Директиви Комісія повинна - а держави-члени повинні мати змогу - консультуватися з ENISA. Для нарощування потенціалу та знань держав-членів, Група співпраці повинна також слугувати інструментом обміну кращими практиками, обговорення спроможностей та підготованості держав-членів, а також добровільно допомагати її членам в оцінюванні національних стратегій з безпеки мережевих та інформаційних систем, нарощування потенціалу та оцінювання завдань, що стосуються безпеки мережевих та інформаційних систем.

(37) 3а доцільності, держави-члени повинні мати змогу використовувати або адаптовувати існуючі організаційні структури або стратегії, у застосуванні цієї Директиви.

(38) Відповідні завдання Групи співпраці та ENISA є взаємозалежними та доповняльними. В цілому, ENISA повинне допомагати Групі співпраці у виконанні її завдань відповідно до цілі ENISA, встановленої в Регламенті Європейського Парламенту і Ради (ЕС) № 526/2013 (-7), а саме допомагати установам, органам, офісам та агентствам Союзу та державам-членам в реалізації політик, необхідних для дотримання правових та нормативних вимог безпеки мережевих та інформаційних систем відповідно до існуючих та майбутніх законодавчих актів Союзу. Зокрема, ENISA повинне надавати допомогу в таких сферах, які відповідають її власним завданням, як викладено в Регламенті (ЄС) № 526/2013, а саме: в аналізі стратегій безпеки мережевих та інформаційних систем, підтримці організації та здійснення завдань Союзу стосовно безпеки мережевих та інформаційних систем, обміні інформацією та кращими практиками щодо підвищення обізнаності й навчання. ENISA також необхідно залучати до розроблення настанов для секторальних критеріїв визначення вагомості впливу інциденту.

(39) Для того, щоб просувати додаткову безпеку мережевих та інформаційних систем, Група співпраці повинна, у відповідних випадках, співпрацювати з відповідними установами, органами, офісами та агентствами Союзу для обміну ноу-хау та кращими практиками, а також для консультування щодо аспектів безпеки мережевих та інформаційних систем, що можуть мати вплив на їхню роботу, дотримуючись при цьому існуючого порядку та умов обміну інформацією з обмеженим доступом. Співпрацюючи з правоохоронними органами стосовно аспектів безпеки мережевих та інформаційних систем, що можуть впливати на їхню роботу, Група співпраці повинна враховувати наявні канали інформації та створені мережі.

(40) Інформація про інциденти дедалі стає важливішою для громадськості та суб’єктів господарської діяльності, особливо для малих та середніх підприємств. У деяких випадках, така інформація вже надається за допомогою веб-сайтів на національному рівні мовою конкретної країни, вона орієнтована головним чином на інциденти та події національного масштабу. З огляду на те, що суб’єкти господарської діяльності дедалі більше діяльності працюють через кордони і громадяни використовують онлайн послуги, інформацію про інциденти необхідно надавати комплексно на рівні Союзу. Секретаріат мережі CSIRT заохочують підтримувати веб-сайт або розміщати виділену сторінку на існуючому веб-сайті, де оприлюднюють загальну інформацію про значні інциденти, які трапилися на території Союзу, з особливою увагою до інтересів та потреб суб’єктів господарської діяльності. CSIRT, які беруть участь у мережі CSIRT, заохочують добровільно надавати інформацію, що буде опублікована на такому веб-сайті, за винятком конфіденційної або чутливої інформації.

(41) Якщо інформація вважається конфіденційною відповідно до правил Союзу або національних правил щодо комерційної таємниці, необхідно забезпечувати таку таємницю, здійснюючи діяльність та досягаючи цілі, встановлені цією Директивою.

(42) Навчання із симуляцією сценаріїв інцидентів в реальному часі важливі для випробовування підготованості та співпраці держав- членів щодо безпеки мережевих та інформаційних систем. Цикл навчань "CyberEurope", який координує ENISA за участі держав-членів - корисний інструмент для випробування та розробки рекомендацій стосовно того, як повинне врегулювання інцидентів на рівні Союзу покращитися з часом. Враховуючи те, що держави-члени наразі не зобов’язані планувати навчання або брати участь у них, створення мережі CSIRT відповідно до цієї Директиви повинне уможливити держави-члени брати участь у навчаннях на основі точного планування та стратегічних рішень. Група співпраці, створена згідно з цією Директивою, повинна обговорювати стратегічні рішення щодо навчань, зокрема, але не виключно, стосовно регулярності навчань та розробки сценаріїв. ENISA повинне, відповідно до свого мандату, підтримувати організацію та виконання навчань у масштабах всього Союзу, надаючи свої експертні знання та консультації Групі співпраці та мережі CSIRT.

(43) Враховуючи глобальний характер проблем безпеки, що впливають на мережеві та інформаційні системи, існує потреба в тіснішій міжнародній співпраці для покращення стандартів безпеки та інформаційного обміну та для сприяння спільному глобальному підходу до питань безпеки.

(44) Відповідальність за забезпечення безпеки мережевих та інформаційних систем лежить, значною мірою, на операторах основних послуг та надавачах цифрових послуг. Необхідно сприяти культурі управління ризиками, у тому числі оцінюванню ризику та реалізації інструментів безпеки, відповідних ризикам, що постають наразі, та розвивати її за допомогою належних регуляторних вимог та добровільних галузевих практик. Створення надійних однакових умов конкуренції також важливо для результативного функціонування Групи співпраці та мережі CSIRT для забезпечення результативної співпраці всіх держав-членів.

(45) Цю Директиву застосовують лише до публічних адміністрацій, визначених операторами основних послуг. Таким чином, держави-члени несуть відповідальність за забезпечення безпеки мережевих та інформаційних систем публічних адміністрацій, які не підпадають під сферу застосування цієї Директиви.

(46) Інструменти управління ризиками включають інструменти для визначення ризиків інцидентів, для запобігання, виявлення та врегулювання інцидентів, а також зменшення їхнього впливу. Безпека мережевих та інформаційних систем включає безпеку збережених, переданих та опрацьованих даних.

(47) Компетентні органи повинні зберігати можливість ухвалювати національні настанови щодо обставин, за яких оператори основних послуг повинні повідомляти про інциденти.

(48) Багато суб’єктів господарської діяльності в Союзі залежать від надавачів цифрових послуг у наданні своїх послуг. Оскільки деякі цифрові послуги можуть бути важливим ресурсом для користувачів, у тому числі операторів основних послуг, і такі користувачі не завжди можуть мати доступні альтернативи, цю Директиву також необхідно застосовувати до надавачів таких послуг. Безпека, неперервність та надійність типу цифрових послуг, зазначеного в цій Директиві - основа безперебійного функціонування багатьох суб’єктів господарської діяльності. Перебої такої цифрової послуги можуть перешкоджати наданню інших послуг, які залежать від неї і, таким чином, впливати на ключову економічну та соціальну діяльність у Союзі. Такі цифрові послуги можуть мати вирішальне значення для безперебійного функціонування суб’єктів господарської діяльності, що залежать від них і, більше того, для участі таких суб’єктів у внутрішньому ринку та транскордонній торгівлі в межах Союзу. Зазначені надавачі цифрових послуг, на яких розповсюджується дія цієї Директиви, вважаються такими, що пропонують цифрові послуги, від яких дедалі більше залежить багато суб’єктів господарської діяльності в Союзі.

(49) Надавачі цифрових послуг повинні забезпечити рівень безпеки, співмірний з рівнем ризику, що виникає для безпеки цифрових послуг, які вони надають, враховуючи важливість інших послуг для операцій інших суб’єктів господарської діяльності в межах Союзу. На практиці, ступінь ризику для операторів основних послуг, які часто є істотними для підтримки важливої соціальної та економічної діяльності, є вищим ніж для надавачів цифрових послуг. Таким чином, вимоги до безпеки для надавачів цифрових послуг повинні бути менш суворими. Надавачі цифрових послуг повинні мати свободу вживати заходів, які вони вважають належними для управління ризиками, що виникають для безпеки їхніх мережевих та інформаційних систем. Через свій транскордонний характер, надавачі цифрових послуг повинні підлягати більш гармонізованому підходу на рівні Союзу. Імплементаційні акти повинні сприяти конкретизації та реалізації таких заходів.

(50) Хоча виробники апаратного забезпечення та розробники програмного забезпечення не є операторами основних послуг і надавачами цифрових послуг, їхні продукти посилюють безпеку мережевих та інформаційних систем. Таким чином, вони відіграють важливу роль у забезпеченні можливості операторів основних послуг та надавачів цифрових послуг убезпечити їхні мережеві та інформаційні системи. На такі продукти апаратного та програмного забезпечення вже розповсюджуються існуючі правила щодо відповідальності за продукт.

(51) Технічні та організаційні інструменти, введені щодо операторів основних послуг та надавачів цифрових послуг, не повинні вимагати певної комерційної інформації та певного способу проектування, розроблення або виготовлення продукту технологій зв’язку.

(52) Оператори основних послуг та надавачі цифрових послуг повинні забезпечувати безпеку мережевих та інформаційних систем, які вони використовують. Це, в першу чергу, приватні мережеві та інформаційні системи, якими управляє їхній внутрішній ІТ-персонал або безпеку яких забезпечують сторонні організації. Вимоги до безпеки та повідомлення необхідно застосовувати до відповідних операторів основних послуг та надавачів цифрових послуг незалежно від того, чи здійснюють вони технічне обслуговування своїх мережевих та інформаційних систем самостійно чи доручають це стороннім організаціям.

(53) Для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств.

(54) Якщо публічні адміністрації у державах-членах використовують послуги, запропоновані надавачами цифрових послуг, зокрема послугами хмарних обчислень, вони можуть захотіти вимагати від надавачів таких послуг додаткових заходів безпеки окрім тих, які надавачі цифрових послуг зазвичай запропонували би згідно з вимогами цієї Директиви. Вони повинні мати змогу робити це за допомогою договірних зобов’язань.

(55) Означення електронних торгових майданчиків, пошукових систем та послуг хмарних обчислень у цій Директиві слугують конкретній меті цієї Директиви і не обмежують будь-яких інших інструментів.

(56) Ця Директива не повинна перешкоджати державам-членам ухвалювати національні інструменти, що вимагають від державних організацій забезпечувати конкретні вимоги до безпеки коли вони укладають договори на послуги хмарних обчислень. Будь-які такі національні інструменти необхідно застосовувати до відповідної державної організації, а не до надавача послуги хмарних обчислень.

(57) Враховуючи фундаментальні відмінності між операторами основних послуг, зокрема їхній прямий зв’язок з фізичною інфраструктурою, та надавачами цифрових послуг, зокрема їхній транскордонний характер, ця Директива повинна застосовувати диференційований підхід відносно рівня гармонізації щодо цих двох груп суб’єктів. Стосовно операторів основних послуг, держави-члени повинні мати змогу визначати відповідних операторів та висувати суворіші вимоги ніж ті, що встановлено в цій Директиві. Держави-члени не повинні визначати надавачів цифрових послуг, оскільки цю Директиву в її сфері застосування необхідно застосовувати до всіх надавачів цифрових послуг. Крім цього, ця Директива та імплементаційні акти, ухвалені відповідно до неї, повинні забезпечувати високий рівень гармонізації для надавачів цифрових послуг відносно вимог до безпеки та повідомлення. Це повинне уможливити однакове ставлення до надавачів цифрових послуг у всьому Союзу у спосіб, пропорційний їхньому характеру та ступеню ризику, який може постати перед ними.

(58) Ця Директива не повинна перешкоджати державам-членам висувати вимоги до безпеки та повідомлення до суб’єктів, які не є надавачами цифрових послуг в рамках цієї Директиви, без обмеження зобов’язань держав-членів згідно із законодавством Союзу.

(59) Компетентні органи повинні звертати належну увагу на збереження неформальних та надійних каналів обміну інформацією. Розголошуючи інциденти, про які було повідомлено компетентним органам, необхідно належним чином забезпечувати баланс між інтересом громадськості в отриманні інформації про загрози та можливою шкодою репутації чи бізнесу операторів основних послуг та надавачів цифрових послуг, що повідомляють про інциденти. Виконуючи зобов’язання щодо повідомлення, компетентні органи та CSIRT повинні звертати особливу увагу на необхідність зберігати сувору конфіденційність інформації про вразливості продукту поки не будуть видані відповідні виправлення безпеки.

(60) Надавачі цифрових послуг повинні бути об’єктом спрощеної та реакційної наглядової діяльності ex post, обґрунтованої характером їхніх послуг та операцій. Таким чином, відповідний компетентний орган повинен вживати заходів лише коли він має докази того, що надавач цифрових послуг не відповідає вимогам цієї Директиви, зокрема, в результаті інциденту, які надав, наприклад, сам надавач цифрових послуг, інший компетентний орган, у тому числі компетентний орган іншої держави-члена, або користувач послуги. Таким чином, компетентний орган не повинен мати загального обов’язку здійснювати нагляд за надавачами цифрових послуг.

(61) Компетентні органи повинні мати необхідні засоби для виконання своїх обов’язків, у тому числі повноваження отримувати достатню інформацію для оцінювання рівня безпеки мережевих та інформаційних систем.

(62) Інциденти можуть бути результатом злочинної діяльності, попередженню, розслідуванню та кримінальному переслідуванню яких сприяє координація та співпраця між операторами основних послуг, надавачами цифрових послуг, компетентними органами та правоохоронними органами. У разі підозри, що інцидент пов’язаний із серйозною злочинною діяльністю відповідно до національного законодавства або законодавства Союзу, держави-члени повинні заохочувати операторів основних послуг та надавачів цифрових послуг повідомляти відповідні правоохоронні органи про інциденти, щодо серйозного злочинного характеру яких виникає підозра. Якщо доречно, бажано, щоб координації компетентних органів та правоохоронних органів різних держав-членів сприяли Європейський центр боротьби з кіберзлочинністю (ЕСЗ) та ENISA.

(63) У багатьох випадках персональні дані викрадають у результаті інцидентів. З огляду на це, компетентні органи та органи з питань захисту даних повинні співпрацювати та обмінюватися інформацією щодо всіх відповідних питань, з метою боротьби з витоками персональних даних внаслідок інцидентів.

(64) Необхідно визнати юрисдикцію щодо надавачів цифрових послуг за державою-членом, в якій у відповідного надавач цифрових послуг має основний осідок в Союзі, який в принципі відповідає місцю, в якому надавач має головний офіс у Союзі. Осідок передбачає дієве та реальне здійснення діяльності за допомогою стабільного впорядкування. Адміністративно-правова форма такого впорядкування, незалежно від того чи це відділення, чи дочірня компанія, що володіє правосуб’єктністю, не є при цьому вирішальним чинником. Цей критерій не повинен залежати від того, чи мережеві та інформаційні системи фізично розташовані в даному місці; наявність та використання таких систем само по собі не становить такий основний осідок і, таким чином, не є критерієм визначення головного осідка.

(65) Якщо надавач цифрових послуг, заснований не в Союзі, пропонує послуги на території Союзу, він повинен призначити представника. Для того щоб визначити, чи такий надавач цифрових послуг пропонує послуги на території Союзу, необхідно впевнитися в очевидності його планів пропонувати послуги особам в одній чи декількох державах-членах. Однієї доступності на території Союзу веб-сайту, електронної адреси чи інших контактів надавача цифрових послуг або посередника, або використання мови, що загалом використовують у третій країні, в якій заснований надавач цифрових послуг, недостатньо для підтвердження такого наміру. Однак, такі чинники, як використання мови або валюти, що загалом використовують в одній або декількох державах-членах з можливістю замовлення послуг такою іншою мовою, або згадування клієнтів чи користувачів в Союзі, може вказувати на очевидність планів надавача цифрових послуг пропонувати послуги в межах Союзу. Представник повинен діяти від імені надавача цифрових послуг і компетентні органи або С8ІКТ повинні мати можливість контактувати з таким представником. Представник повинен бути безпосередньо призначений письмовим мандатом надавача цифрових послуг діяти від імені останнього щодо зобов’язань останнього відповідно до цієї Директиви, у тому числі звітування про інциденти.

(66) Стандартизація вимог до безпеки є обумовленим ринком процесом. Для забезпечення збіжного застосування стандартів безпеки, держави-члени повинні заохочувати дотримання установлених стандартів або відповідність їм щоби забезпечити високий рівень безпеки мережевих та інформаційних систем на рівні Союзу. ENISA повинне допомагати державам-членам шляхом консультацій та настанов. З цією метою, може бути корисно розбити проект гармонізованих стандартів, що відповідатимуть Регламенту Європейського Парламенту і Ради (ЄС) № 1025/2012 (-8).

(67) Суб’єкти, на яких не розповсюджується сфера застосування цієї Директиви, можуть зазнавати інцидентів, що матимуть значний вплив на послуги, які вони надають. Якщо вони вважатимуть, що повідомлення про настання таких інцидентів становить суспільний інтерес, вони повинні мати змогу добровільно повідомляти про них. Такі повідомлення повинен опрацьовувати компетентний орган або CSIRT, якщо таке опрацювання не становить непропорційний або неналежний тягар для відповідних держав-членів.

(68) Для того, щоб забезпечити єдині умови для імплементації цієї Директиви, необхідно покласти на Комісію виконавчі повноваження для встановлення процедурного порядку та умов, необхідних для функціонування Групи співпраці та вимог до безпеки та повідомлення, застосовних до надавачів цифрових послуг. Такі повноваження необхідно здійснювати відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 182/2011 (-9). Ухвалюючи імплементаційні акти, пов’язані з процедурним порядком та умовами, необхідними для функціонування Групи співпраці, Комісія повинна враховувати позицію ENISA.

(69) Ухвалюючи імплементаційні акти щодо вимог до безпеки надавачів цифрових послуг, Комісія повинна враховувати позицію ENISA та повинна консультуватися із заінтересованими стейкхолдерами. Крім того, Комісію заохочують враховувати такі приклади: стосовно безпеки систем та устатковання: фізична безпека та безпека для довкілля, безпека постачання, контроль доступу до мережевих та інформаційних систем та цілісність мережевих та інформаційних систем; стосовно врегулювання інцидентів: процедури врегулювання інцидентів, спроможність виявляти інциденти, звітування та повідомлення про інциденти; стосовно управління безперервністю бізнесу: стратегія та плани на непередбачені випадки для забезпечення безперервності надання послуг, спроможності відновлення після аварій; та стосовно моніторингу, аудиту та випробування: політики моніторингу та ведення системних журналів, плани на випадок надзвичайних ситуацій, випробування мережевих та інформаційних систем, оцінювання безпеки та моніторинг відповідності.

(70) 3 метою імплементації цієї Директиви, Комісія повинна підтримувати, за доречності, зв'язки з відповідними секторальними комітетами та відповідними органами, заснованими на рівні Союзу у сферах, на які розповсюджується ця Директива.

(71) Комісія повинна періодично переглядати цю Директиву, консультуючись із заінтересованими стейкхолдерами, зокрема, щодо визначення потреби у змінах з огляду на зміни в соціальних, політичних, технологічних або ринкових умовах.

(72) Обмін інформацією щодо ризиків та інцидентів у межах Групи співпраці та мережі CSIRT та відповідність вимогам повідомляти про інциденти національним компетентним органам або CSIRT може вимагати опрацювання персональних даних. Таке опрацювання повинно відповідати Директиві Європейського Парламенту і Ради 95/46/ЄС (-10) та Регламенту Європейського Парламенту і Ради (ЄС) № 45/2001 (-11). З метою застосування цієї Директиви, Регламент Європейського Парламенту і Ради (ЄС) № 1049/2001 (-12) необхідно застосовувати у відповідних випадках.

(73) 3 Європейським інспектором із захисту даних були проведені консультації відповідно до статті 28(2) Регламенту (ЄС) № 45/2001 і 14 червня 2013 року (-13) він надав свій висновок.

(74) Оскільки держави-члени не можуть достатньо досягти мети цієї Директиви, а саме досягнення високого спільного рівня безпеки мережевих та інформаційних систем у Союзі, однак, через наслідки дій, її можна краще досягнути на рівні Союзу, Союзу може ухвалювати інструменти відповідно до принципу субсидіарності, як викладено в статті 5 Договору про функціонування Європейського Союзу. Відповідно до принципу пропорційності, як викладено в зазначеній статті, ця Директива не виходить за межі необхідного для досягнення такої мети.

(75) Ця Директива поважає фундаментальні права та дотримується принципів, визнаних Хартією фундаментальних прав Європейського Союзу, зокрема права на повагу особистого життя та комунікацій, захисту персональних даних, свободи підприємництва, права власності, права дієвого правового захисту в суді та права бути вислуханим. Цю Директиву необхідно імплементувати відповідно до таких прав та принципів,

УХВАЛИЛИ ЦЮ ДИРЕКТИВУ:

1. Ця Директива встановлює інструменти, маючи на меті досягти високого спільного рівня безпеки мережевих та інформаційних систем в межах Союзу для того, щоб покращити функціонування внутрішнього ринку.

2. З цією метою ця Директива:

(a) встановлює обов’язки для всіх держав-членів для ухвалення національної стратегії безпеки мережевих та інформаційних систем;

(b) створює Групу співпраці для підтримки та сприяння стратегічній співпраці та обміну інформацією серед держав-членів та розвитку повної довіри між ними;

(c) створює мережу груп реагування на інциденти, пов’язані з комп’ютерною безпекою ("мережа CSIRT") з метою зміцнення повної довіри між державами-членами та сприяння швидкій та дієвій оперативній взаємодії;

(d) встановлює вимоги до безпеки та повідомлення для операторів основних послуг та надавачів цифрових послуг;

(e) встановлює обов’язки для держав-членів для призначення національних компетентних органів, єдиних контактних пунктів та CSIRT із завданнями, пов’язаними з безпекою мережевих та інформаційних систем.

3. Вимоги до безпеки та повідомлення, передбачені в цій Директиві, не повинні застосовуватися до підприємств, на які розповсюджуються вимоги статей 13a та 13b Директиви 2002/21/ЄС, або до надавачів довірчих послуг, на яких розповсюджуються вимоги статті 19 Регламенту (ЄС) № 910/2014.

4. Цю Директиву застосовують без обмеження Директиви Ради 2008/114/ЄС (-14). та Директив Європейського Парламенту і Ради 2011/93/ЄС (-15) та 2013/40/ЄС (-16).

5. Без обмеження статті 346 TFEU інформацією, яка є конфіденційною відповідно до правил Союзу та національних правил, таких як правила щодо комерційної таємниці, обмінюються з Комісією та іншими відповідними органами лише, якщо такий обмін необхідний для застосування цієї Директиви. Обсяг інформації для обміну обмежують до рівня, доцільного та пропорційного цілі такого обміну. Обмінюючись інформацією, необхідно зберігати її конфіденційність та захищати безпекові та комерційні інтереси операторів основних послуг та надавачів цифрових послуг.

6. Ця Директива не обмежує дій, що їх вживають держави-члени для охорони своїх істотних державних функцій, зокрема для забезпечення національної безпеки, у тому числі дій щодо захисту інформації, розкриття якої держави-члени вважають таким, що суперечить суттєвим інтересам їхньої безпеки, та для підтримки закону та порядку, зокрема щоби уможливити розслідування, розкриття та кримінальне переслідування кримінальних правопорушень.

7. Якщо секторальний правовий акт Союзу вимагає від операторів основних послуг чи надавачів цифрових послуг забезпечувати безпеку своїх мережевих та інформаційних систем або повідомляти про інциденти, за умови, що такі вимоги є щонайменше еквівалентними по суті обов’язкам, встановленим у цій Директиві, то необхідно застосовувати зазначені положення такого секторального правового акту ЄС.

1. Опрацювання персональних даних відповідно до цієї Директиви необхідно здійснювати згідно з Директивою 95/46/ЄС .

2. Опрацювання персональних даних установами та органами Союзу відповідно до цієї Директиви необхідно здійснювати згідно з Регламентом (ЄС) № 45/2001.

Без обмеження статті 16(10) та своїх зобов’язань відповідно до законодавства Союзу, держави-члени можуть ухвалювати або зберігати положення з метою досягнення вищого рівня безпеки мережевих та інформаційних систем.

Для цілей цієї Директиви, застосовують такі терміни та означення:

(1) "мережева та інформаційна система" означає:

(a) мережу електронного зв’язку у розумінні пункту (а) статті 2 Директиви 2002/21/ЄС;

(b) будь-який пристрій або групу взаємоз’єднаних чи пов’язаних пристроїв, один або декілька з яких, відповідно до програми, здійснює автоматичне опрацювання цифрових даних; або

(c) цифрові дані, які зберігають, опрацьовують, видобувають або передають за допомогою елементів, згаданих в пунктах (а) та (b), для цілей їхньої експлуатації, використання, захисту та технічного обслуговування;

(2) "безпека мережевих та інформаційних систем" означає здатність мережевих та інформаційних систем витримувати - на певному рівні впевненості - будь-яку дію, що загрожує доступності, справжності, цілісності або конфіденційності збережених або переданих чи опрацьованих даних або пов’язаних послуг, які пропонують такі мережеві та інформаційні системи або які доступні за допомогою таких систем;

(3) "національна стратегія безпеки мережевих та інформаційних систем" означає рамки, що забезпечують стратегічні цілі та пріоритети безпеки мережевих та інформаційних систем на національному рівні;

(4) "оператор основних послуг" означає публічну або приватну організацію типу, вказаного в додатку II, що відповідає критеріям, встановленим у статті 5(2);

(5) "цифрова послуга" означає послугу у розумінні пункту (b) статті 1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (-17), одного з типів, перелічених у додатку III;

(6) "надавач цифрових послуг" означає будь-яку юридичну особу, що надає цифрову послугу;

(7) "інцидент" означає будь-яку подію, що має фактичний негативний вплив на безпеку мережевих та інформаційних систем;

(8) "врегулювання інцидентів" означає всі процедури на підтримку виявлення, аналізу інциденту, обмеження його наслідків і реагування на нього;

(9) "ризик" означає будь-яку обставину чи подію, яку можна розумно виявити, що має потенційний негативний вплив на безпеку мережевих та інформаційних систем;

(10) "представник" означає будь-яку фізичну або юридичну особу, засновану в Союзі, явним чином призначену діяти від імені надавача цифрових послуг, заснованого не в Союзі, до якого можуть звертатися національний компетентний орган або CSIRT замість надавача цифрових послуг щодо обов’язків такого надавача цифрових послуг відповідно до цієї Директиви;

(11) "стандарт" означає стандарт у розумінні пункту (1) статті 2 Регламенту (ЄС) № 1025/2012;