(12) "специфікація" означає технічну специфікацію у розумінні пункту (4) статті 2 Регламенту (ЄС) № 1025/2012;
(13) "точка обміну інтернет-трафіком (ІХР)" означає мережеве устатковання, що уможливлює взаємоз’єднання більше ніж двох незалежних автономних систем, насамперед з метою полегшення обміну інтернет-трафіком; ІХР забезпечує взаємоз’єднання лише для автономних систем; ІХР не вимагає від інтернет-трафіку, що проходить між будь-якою парою автономних систем-учасників, проходити через будь-яку третю автономну систему, а також вона не змінює такий трафік та не втручається у нього іншим чином;
(14) "система доменних імен (DNS)" означає ієрархічно розподілену систему імен у мережі, що стосується запитів доменних імен;
(15) "надавач послуг DNS" означає суб’єкт, який надає послуги DNS в інтернеті;
(16) "реєстр доменних імен верхнього рівня" означає суб’єкта, що керує реєстрацією доменних імен в інтернет у конкретному домені верхнього рівня (TLD) та адмініструє її;
(17) "електронний торговий майданчик" означає цифрову послугу, що дозволяє споживачам та/ або торговцям, як відповідно визначено в пункті (а) та пункті (b) статті 4(1) Директиви Європейського Парламенту і Ради 2013/11/ЄС (-18), укладати в інтернеті договори продажу або надання послуг з торговцями як на сайті електронного торгового майданчика, так і на веб-сайті торговця, який використовує комп’ютерні послуги, що їх надає електронний торговий майданчик;
(18) "електронна пошукова система" означає цифрову послугу, що дозволяє користувачам здійснювати пошук, в принципі, по всім веб-сайтам або по веб-сайтам конкретною мовою через запит за будь-якою темою у формі ключового слова, виразу чи іншого вводу, та видає посилання, за якими можна знайти інформацію, пов’язану із запитаним контентом;
(19) "послуга хмарних обчислень" означає цифрову послугу, що уможливлює доступ до масштабовного та еластичного пулу обчислювальних ресурсів спільного користування.
Визначення операторів основних послуг
1. До 9 листопада 2018 року для кожного сектора та підсектора, зазначеного в додатку II, держави-члени повинні визначити операторів основних послуг із осідком на їхній території.
2. Критерії для визначення операторів основних послуг, як вказано в пункті (4) статті 4, такі:
(a) суб’єкт господарювання надає послугу, що є суттєвою для підтримки критичної соціальної та/або економічної діяльності;
(b) надання такої послуги залежить від мережевих та інформаційних систем; та
(c) інцидент матиме значний негативний вплив на надання такої послуги.
3. Для цілей параграфа 1, кожна держава-член повинна скласти список послуг, вказаних в пункті (а) параграфа 2.
4. Для цілей параграфа 1, якщо суб’єкт надає послугу, як вказано в пункті (а) параграфа 2 у двох або більше державах-членах, такі держави-члени повинні провести консультації одна з одною. Такі консультації проводять до того, як буде ухвалено рішення про визначення.
5. Держави-члени повинні регулярно - щонайменше кожні два роки після 9 травня 2018 року - переглядати та, за доцільності, оновлювати список визначених операторів основних послуг.
6. Роль Групи співпраці, відповідно до завдань, вказаних у статті 11 - підтримувати держав-членів у використанні послідовного підходу під час визначення операторів основних послуг.
7. Для цілей перегляду, вказаного в статті 23, до 9 листопада 2018 року (і кожні два роки після цього) держави-члени повинні подати Комісії інформацію, необхідну для надання Комісії можливості оцінити імплементацію цієї Директиви, зокрема послідовність підходів держав-членів до визначення операторів основних послуг. Така інформація повинна включати щонайменше:
(a) національні інструменти, що дозволяють визначати операторів основних послуг;
(b) список послуг, вказаних у параграфі 3;
(c) число операторів основних послуг, визначених для кожного сектора, вказаного в додатку II, та зазначення їхньої важливості відносно такого сектора;
(d) порогові значення, якщо вони існують, для визначення відповідного рівня постачання з урахуванням числа користувачів, які покладаються на таку послугу, як вказано в пункті (а) статті 6(1), або важливості такого конкретного оператора основних послуг, як вказано в пункті (f) статті 6(1).
З метою сприяння наданню порівнянної інформації, Комісія, максимально враховуючи позицію ENISA, може ухвалювати відповідні технічні настанови щодо параметрів інформації, вказаної в цьому параграфі.
Значний негативний вплив
1. При визначенні вагомості негативного впливу, як вказано в пункті (с) статті 5(2), держави-члени повинні враховувати щонайменше такі міжсекторальні чинники:
(a) число користувачів, які залежать від послуги, яку надає відповідний суб’єкт;
(b) залежність інших секторів, вказаних у додатку II, від послуги, яку надає такий суб’єкт;
(c) вплив, який можуть мати інциденти, стосовно ступеню та тривалості, на економічну та соціальну діяльність або публічну безпеку;
(d) ринкова частка такого суб’єкта;
(e) географічне поширення стосовно місцевості, яка може піддаватися негативній дії інциденту;
(f) важливість суб’єкта для підтримки достатнього рівня послуги, враховуючи доступність альтернативних засобів для надання такої послуги.
2. Для того, щоб визначити чи інцидент матиме значний негативний вплив, держави члени повинні також, за доцільності, враховувати секторальні чинники.
ГЛАВА II
НАЦІОНАЛЬНІ РАМКИ ЩОДО БЕЗПЕКИ МЕРЕЖЕВИХ ТА ІНФОРМАЦІЙНИХ СИСТЕМ
Національна стратегія щодо безпеки мережевих та інформаційних систем
1. Кожна держава-член ухвалює національну стратегію щодо безпеки мережевих та інформаційних систем, що визначає стратегічні цілі та доречну політику та регуляторні інструменти з метою досягнення та підтримання високого рівня безпеки мережевих та інформаційних систем та охоплення щонайменше секторів, вказаних у додатку II, та послуг, вказаних у додатку III. Національна стратегія щодо безпеки мережевих та інформаційних систем стосується таких питань:
(a) цілі та пріоритети національної стратегії щодо безпеки мережевих та інформаційних систем;
(b) рамки врядування для досягнення цілей та пріоритетів національної стратегії щодо безпеки мережевих та інформаційних систем, у тому числі ролей та зобов’язань урядових органів та інших відповідних діячів;
(c) визначення інструментів, що стосуються підготованості, реагування та відновлення, у тому числі співпраці між публічним та приватним секторами;
(d) зазначення освітніх, навчальних програм, та програм підвищення поінформованості, що стосуються національної стратегії щодо безпеки мережевих та інформаційних систем;
(e) зазначення планів досліджень і розробок, що стосуються національної стратегії щодо безпеки мережевих та інформаційних систем;
(f) план оцінювання ризику для визначення ризиків;
(g) список різних діячів, залучених до реалізації національної стратегії щодо безпеки мережевих та інформаційних систем.
2. Держави-члени можуть вимагати допомоги ENISA у розроблянні національних стратегій щодо безпеки мережевих та інформаційних систем.
3. Держави-члени повинні надсилати Комісії свої національні стратегії щодо безпеки мережевих та інформаційних систем протягом трьох місяців після їх ухвалення. При цьому, держави-члени можуть вилучити елементи стратегії, що стосуються національної безпеки.
Національні компетентні органи та єдиний контактний пункт
1. Кожна держава-член повинна призначити один або декілька національних компетентних органів щодо безпеки мережевих та інформаційних систем ("компетентний орган"), що охоплює щонайменше сектори, вказані в додатку II , та послуги, вказані в додатку III. Держави-члени можуть покласти цю роль на існуючий орган чи органи.
2. Компетентні органи повинні здійснювати моніторинг застосування цієї Директиви на національному рівні.
3. Кожна держава-член повинна призначити єдиний національний контактний пункт щодо безпеки мережевих та інформаційних систем ("єдиний контактний пункт"). Держави-члени можуть покласти цю роль на існуючий орган. Якщо держава-член призначає лише один компетентний орган, то такий компетентний орган також повинен бути єдиним контактним пунктом.
4. Єдиний контактний пункт повинен виконувати функцію зв’язку щоби забезпечувати транскордонну співпрацю органів держав-членів з відповідними органами в інших державах-членах, Групою співпраці, вказаною в статті 11, та мережею CSIRT, вказаною в статті 12.
5. Держави-члени повинні забезпечувати наявність у компетентних органів та єдиних контактних пунктів належних ресурсів для виконання призначених їм завдань у результативний та ефективний спосіб і досягнення таким чином цілей цієї Директиви. Держави-члени повинні забезпечувати результативну, ефективну та безпечну співпрацю призначених представників у Групі співпраці.
6. Компетентні органи та єдиний контактний пункт, якщо доцільно та відповідно до національного законодавства, повинні проводити консультації та співпрацювати з відповідними національними правоохоронними органами та національними органами з питань захисту даних.
7. Кожна держава-член повинна без затримки нотифікувати Комісії призначення компетентного органу та єдиного контактного пункту, їхні завдання та будь-які наступні зміни то до них. Кожна держава-член повинна оприлюднювати своє призначення компетентного органу та єдиного контактного пункту. Комісія повинна публікувати список призначених єдиних контактних пунктів.
Групи реагування на інциденти, пов’язані з комп’ютерною безпекою (CSIRT)
1. Кожна держава-член повинна призначити одну або декілька CSIRT, що повинна відповідати вимогам, встановленим у пункті (1) додатка І, охоплюючи щонайменше сектори, вказані в додатку ІІ, та послуги, вказані в додатку ІІІ, відповідальні за врегулювання ризиків та інцидентів відповідно до чітко визначеної процедури. CSIRT може бути створена в рамках компетентного органу.
2. Держави-члени повинні забезпечувати наявність в CSIRT належних ресурсів для результативного виконання своїх завдань, як визначено в пункті (2) додатка І.
Держави-члени повинні забезпечувати результативну, ефективну та безпечну співпрацю своїх CSIRT у мережі CSIRT, вказаної в статті 12.
3. Держави-члени повинні забезпечувати наявність у їхніх CSIRT доступу до належної, безпечної та стійкої інформаційно-комунікаційної інфраструктури на національному рівні.
4. Держави-члени повинні інформувати Комісію про обсяг завдань своїх CSIRT, а також про основні елементи процедури врегулювання інцидентів.
5. Держави-члени можуть вимагати допомоги ENISA у розвитку національних CSIRT.
Співпраця на національному рівні
1. Якщо компетентний орган, єдиний контактний пункт та М однієї держави-члена є окремими, вони повинні співпрацювати для виконання зобов’язань, встановлених у цій Директиві.
2. Держави-члени забезпечують, щоб компетентні органи або CSIRT отримували повідомлення про інциденти, подані відповідно до цієї Директиви. Якщо держава-член вирішує, що CSIRT не повинні отримувати нотифікації, то CSIRT, в межах, необхідних для виконання своїх завдань, надається доступ до даних про інциденти, про які повідомляють оператори основних послуг, відповідно до статті 14(3) та (5), або надавачі цифрових послуг, відповідно до статті 16(3) та (6).
3. Держави-члени забезпечують, щоб компетентні органи або CSIRT інформували єдині контактні пункти про повідомлення про інциденти, подані відповідно до цієї Директиви.
До 9 серпня 2018 року та кожного року після цього єдиний контактний пункт подає Групі співпраці підсумковий звіт про отримані повідомлення, який включає число повідомлень, характер інцидентів, про які повідомлено, а також заходи, вжиті відповідно до статті 14(3) та (5) і статті 16(3) та (6).
ГЛАВА ІІІ
СПІВПРАЦЯ
Група співпраці
1. Для підтримки та сприяння стратегічній співпраці та обміну інформацією між державами-членами та зміцнення повної довіри між ними, з огляду на досягнення високого спільного рівня безпеки мережевих та інформаційних систем у Союзі, цей документ засновує Групу співпраці.
Група співпраці виконує свої завдання на основі дворічних робочих програм, як вказано в другому підпараграфі параграфа 3.
2. Група співпраці складається з представників держав-членів, Комісії та ENISA.
Якщо доцільно, Група співпраці може запрошувати представників відповідних стейкхолдерів для участі в її роботі.
Комісія повинна надати секретаріат.
3. Завдання групи співпраці повинні бути такі:
(a) надання стратегічного керівництва діяльністю мережі CSIRT, створеною відповідно до статті 12;
(b) обмін кращими практиками щодо обміну інформацією, пов’язаною з повідомленням про інциденти, як вказано в статті 14(3) та (5) і статті 16(3) та (6);
(c) обмін кращими практиками між державами-членами та, у співпраці з ENISA, допомога державам-членам у нарощуванні потенціалу для забезпечення безпеки мережевих та інформаційних систем;
(d) обговорення спроможностей та підготованості держав-членів, а також добровільне оцінювання національних стратегій щодо безпеки мережевих та інформаційних систем та дієвості CSIRT і визначення кращої практики;
(е) обмін інформацією та кращою практикою щодо підвищення поінформованості й навчання;
(f) обмін інформацією та кращою практикою щодо досліджень і розробок, що стосуються безпеки мережевих та інформаційних систем;
(g) якщо доречно, обмін досвідом з відповідними установами, органами, офісами та агентствами Союзу у питаннях, що стосуються безпеки мережевих та інформаційних систем;
(h) обговорення стандартів та специфікацій, вказаних у статті 19, з представниками відповідних європейських організацій стандартизації;
(і) збір інформації про кращу практику щодо ризиків та інцидентів;
(j) щорічне перевіряння підсумкових звітів, вказаних у другому підпараграфі статті 10(3);
(k) обговорення роботи, що проводиться відносно навчань, що стосуються безпеки мережевих та інформаційних систем, освітніх програм та навчання, у тому числі роботи, яку виконує ENISA;
(l) за допомоги ENISA, обмін кращими практиками щодо визначення операторів основних послуг державами-членами, у тому числі, стосовно транскордонних залежностей, відносно ризиків та інцидентів;
(m) обговорення принципів передачі повідомлень про інциденти, як вказано в статтях 14 та 16.
До 9 лютого 2018 року та кожні два роки після цього, Група співпраці створює робочу програму стосовно дій, які необхідно вжити для досягнення її цілей та виконання завдань, які повинні узгоджуватися з цілям цієї Директиви.
4. З метою перегляду, вказаного в статті 23, та до 9 серпня 2018 року і кожні півтора роки після цього, Група співпраці готує звіт, що оцінює досвід, отриманий зі стратегічної співпраці відповідно до цієї статті.
5. Комісія повинна ухвалювати імплементаційні акти, що встановлюють процедурні порядок та умови, необхідні для функціонування Групи співпраці. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 22(2).
Для цілей першого підпараграфа, Комісія подає перший варіант імплементаційного акта комітету, вказаному в статті 22(1) до 9 лютого 2017 року.
Мережа CSIRT
1. З метою зміцнення повної довіри між державами-членами та сприяння швидкій та дієвій оперативній взаємодії, цей документ створює мережу національних CSIRT.
2. Мережа CSIRT складається з представників CSIRT держав-членів та CSIRT-ЄС. Комісія повинна брати участь у мережі CSIRT як спостерігач. ENISA повинна надавати секретаріат та активно підтримувати співпрацю між CSIRT.
3. Завдання мережі CSIRT повинні бути такі:
(a) обмін інформацією щодо послуг CSIRT, операцій та спроможностей щодо співпраці;
(b) на запит представника CSIRT від держави-члена, яка потенційно піддається негативній дії інциденту - обмін некомерційною чутливою інформацією, пов’язаною з таким інцидентом та пов’язаних ризиків та її обговорення; однак, CSIRT будь-якої держави-члена може відмовитися від участі у такому обговоренні якщо існує ризик упередженості при розслідуванні такого інциденту;
(c) обмін неконфіденційною інформацією, що стосується окремих інцидентів, та добровільне забезпечення її доступності;
(d) на запит представника CSIRT держави-члена, обговорення та, якщо можливо, визначення координованого реагування на інцидент, визначений у межах юрисдикції тієї самої держави-члена;
(е) надання державам-членам підтримки у врегулюванні транскордонних інцидентів на основі їхньої добровільної взаємної допомоги;
(f) обговорення, дослідження та визначення додаткових форм оперативної взаємодії, у тому числі стосовно:
(i) категорій ризиків та інцидентів;
(ii) своєчасних попереджень;
(iii) взаємної допомоги;
(iv) принципів та умов координації, коли держави-члени реагують на транскордонні ризики та інциденти;
(g) інформування Групи співпраці про свою діяльність та подальші форми оперативної взаємодії, обговорені відповідно до пункту (f), та подання запитів на керівництво в цьому відношенні;
(h) обговорення уроків, здобутих з навчань стосовно безпеки мережевих та інформаційних систем, у тому числі організованих ENISA;
(і) на запит окремої CSIRT, обговорення спроможностей та підготованості такої CSIRT;
(j) видання настанов для сприяння конвергенції операційних практик щодо застосування положень цієї статті, які стосуються оперативної взаємодії.
4. З метою перегляду, вказаного в статті 23, та до 9 серпня 2018 року і кожні півтора роки після цього, мережа CSIRT готує звіт, що оцінює досвід, отриманий із оперативної взаємодії, у тому числі висновки та рекомендації, відповідно до цієї статті. Такий звіт також подають Групі співпраці.
5. Мережа CSIRT встановлює свій власний регламент роботи.
Міжнародна співпраця
Союз може укладати міжнародні угоди, відповідно до статті 218 TFEU, з третіми країнами або міжнародними організаціями, що дозволяють та організовують їхню участь у певній діяльності Групи співпраці. Такі угоди повинні враховувати потребу у забезпеченні належної охорони даних.
ГЛАВА IV
БЕЗПЕКА МЕРЕЖЕВИХ ТА ІНФОРМАЦІЙНИХ СИСТЕМ ОПЕРАТОРІВ ОСНОВНИХ ПОСЛУГ
Вимоги до безпеки й повідомлення про інциденти
1. Держави-члени повинні забезпечувати, щоб оператори основних послуг вживали відповідних та пропорційних технічних та організаційних заходів для управління ризиками, пов‘язаним з безпекою мережевих та інформаційних систем, які вони використовують у своїх операціях. З огляду на новітні знання, такі заходи повинні забезпечувати рівень безпеки мережевих та інформаційних систем, що відповідає ризику, який виник.
2. Держави-члени забезпечують, щоб оператори основних послуг вживали відповідних заходів для запобігання та мінімізації впливу інцидентів, що впливають на безпеку мережевих та інформаційних систем, що використовуються для надання таких основних послуг з метою забезпечення безперервності таких послуг.
3. Держави-члени забезпечують, щоб оператори основних послуг без неналежної затримки повідомляли компетентний орган або CSIRT про інциденти, що мають значний вплив на безперервність основних послуг, які вони надають. Повідомлення повинні включати інформацію, що надає змогу компетентному органу або CSIRT визначати будь-який транскордонний вплив інциденту. Повідомлення повинне не призводити до збільшення відповідальності сторони, яка його надсилає.
4. Для визначення ступеня значності впливу інциденту, необхідно враховувати, зокрема, такі параметри:
(a) число користувачів, які піддаються негативній дії перебоїв основної послуги;
(b) тривалість інциденту;
(c) географічне поширення стосовно місцевості, яка піддається негативній дії інциденту.
5. На основі інформації, яку надав у повідомленні оператор основних послуг, компетентний орган або CSIRT інформує іншу державу-член (держави-члени), яка піддається негативній дії, про те, чи має інцидент значний вплив на безперервність основних послуг у такій державі-члені. При цьому компетентний орган або CSIRT згідно із законодавством Союзу або національним законодавством, що відповідає законодавству Союзу, повинна зберігати безпеку та комерційні інтереси оператора основних послуг, а також конфіденційність інформації, наданої в його повідомленні.
Якщо дозволяють обставини, компетентний орган або CSIRT надає оператору основних послуг, що надсилає повідомлення, відповідну інформацію про подальші заходи щодо його повідомлення, таку як інформація, що може допомогти результативному врегулюванню інциденту.
На запит компетентного органу або CSIRT єдиний контактний пункт пересилає повідомлення, вказані в першому підпараграфі, єдиним контактним пунктам інших держав-членів, які піддаються негативній дії.
6. Проконсультувавшись із оператором основних послуг, який надсилає повідомлення, компетентний орган або CSIRT можуть повідомити населення про окремі інциденти, якщо поінформованість громадськості необхідна для запобігання інциденту або врегулювання поточного інциденту.
7. Компетентні органи, які діють спільно в межах Групи співпраці, можуть розробляти та ухвалювати настанови щодо обставин, за яких від операторів основних послуг вимагається повідомляти про інциденти, у тому числі про параметри для визначення значності впливу інциденту, як вказано в параграфі 4.
Реалізація й забезпечення виконання
1. Держави-члени забезпечують наявність в компетентних органів необхідних повноважень та засобів для оцінювання дотримання операторами основних послуг своїх зобов’язань відповідно до статті 14 та його впливу на безпеку мережевих та інформаційних систем.
2. Держави-члени забезпечують наявність в компетентних органів повноважень та засобів для того, щоби вимагати від операторів основних послуг надання:
(a) інформації, необхідної для оцінювання безпеки їхніх мережевих та інформаційних систем, у тому числі документально встановлених політик безпеки;
(b) доказів результативної реалізації політик безпеки, таких як результати аудиту безпеки, проведеного компетентним органом або кваліфікованим аудитором, і, в другому випадку, надати компетентному органу його результати, у тому числі підтверджуючі докази.
Запитуючи таку інформацію або доказ, компетентний орган повинен зазначити мету такого запиту та уточнити, яка інформація вимагається.
3. Оцінивши інформацію або результати аудитів безпеки, вказаних у параграфі 2, компетентний орган може видати операторам основних послуг зобов’язальні інструкції щодо усунення виявлених недоліків.
4. Компетентний орган повинен тісно співпрацювати з органами з питань захисту даних під час врегулювання інцидентів, які є наслідком витоків персональних даних.
ГЛАВА V
БЕЗПЕКА МЕРЕЖЕВИХ ТА ІНФОРМАЦІЙНИХ СИСТЕМ НАДАВАЧІВ ЦИФРОВИХ ПОСЛУГ
Вимоги до безпеки й повідомлення про інциденти
1. Держави-члени забезпечують визначення надавачами цифрових послуг відповідних та пропорційних технічних та організаційних заходів для управління ризиками, що виникають для безпеки мережевих та інформаційних систем, які вони використовують у контексті пропонування послуг, вказаних у додатку ІІІ, в межах Союзу та вжиття таких заходів. З огляду на новітні знання, такі заходи повинні забезпечувати рівень безпеки мережевих та інформаційних систем, що відповідає ризику, який виник, та враховувати такі елементи:
(a) безпеку систем та устатковання;
(b) врегулювання інцидентів;
(c) управління безперервністю бізнесу;
(d) моніторинг, аудит та випробовування;
(e) відповідність міжнародним стандартам.
2. Держави-члени забезпечують вжиття надавачами цифрових послуг заходів для запобігання інцидентам, які впливають на безпеку їхніх мережевих та інформаційних систем, та мінімізації їх негативного впливу на послуги, вказані в додатку ІІІ, які пропонуються в межах Союзу, з метою забезпечення безперервності таких послуг.
3. Держави-члени забезпечують повідомлення надавачами цифрових послуг без неналежної затримки компетентного органу або CSIRT про будь-який інцидент, котрий має значний негативний вплив на надання послуги, вказаної в додатку ІІІ, яку вони пропонують в межах Союзу. Повідомлення повинні містити інформацію, що дає змогу компетентному органу або CSIRT визначати значність будь-якого негативного транскордонного впливу. Повідомлення повинне не призводити до збільшення відповідальності сторони, яка його надсилає.
4. Щоби визначити чи є негативний вплив інциденту значним, необхідно враховувати, зокрема, такі параметри:
(a) число користувачів, які піддаються негативній дії інциденту, зокрема користувачів, які залежать від послуги у наданні своїх власних послуг;
(b) тривалість інциденту;
(c) географічне поширення стосовно місцевості, яка піддається негативній дії інциденту;
(d) обсяг перебоїв у функціонуванні послуги;
(е) обсяг впливу на економічну та соціальну діяльність.
Зобов’язання повідомляти про інцидент застосовують лише, якщо надавач цифрових послуг має доступ до інформації, необхідної для оцінювання негативного впливу інциденту з урахуванням параметрів, вказаних у першому підпараграфі.
5. Якщо оператор основних послуг розраховує на стороннього надавача цифрових послуг для надання послуги, яка є основною для підтримки критичної соціальної та економічної діяльності, то такий оператор повідомляє про будь-який значний негативний вплив на безперервність основних послуг через інцидент, що піддає надавача цифрових послуг негативній дії.
6. За доцільності і, зокрема, якщо інцидент, вказаний у параграфі 3, стосується двох або більше держав-членів, компетентний орган або CSIRT повідомляє інші держави-члени, які піддаються негативній дії. При цьому, компетентні органи, CSIRT та єдині контактні пункти згідно із законодавством Союзу або національним законодавством, що відповідає законодавству ЄС, повинні зберігати безпеку надавача цифрових послуг та комерційні інтереси, а також конфіденційність наданої інформації.
7. Проконсультувавшись із відповідним надавачем цифрових послуг, компетентний орган або CSIRT і, за доцільності, органи або CSIRT інших держав-членів можуть повідомити населення про окремі інциденти або вимагати цього від надавача цифрових послуг, якщо поінформованість громадськості необхідна для запобігання інциденту або врегулювання поточного інциденту, або якщо розкриття інциденту іншим чином відповідає інтересам громадськості.
8. Комісія повинна ухвалити імплементаційні акти для додаткового уточнення елементів, вказаних в параграфі 1, та параметрів, перелічених в параграфі 4 цієї статті. Такі імплементаційні акти необхідно ухвалити згідно з експертною процедурою, вказаною в статті 22(2), до 9 серпня 2017 року.
9. Комісія може ухвалювати імплементаційні акти, що встановлюють формати та процедури, застосовні до вимог до повідомлення. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 22(2).
10. Без обмеження статті 1(6), держави-члени не повинні накладати на надавачів цифрових послуг будь-яких додаткових вимог до безпеки або повідомлення.
11. Глава V не застосовується до мікро- та малих підприємств, як визначено в Рекомендації Комісії 2003/361/ЄС (-19).
Реалізація й забезпечення виконання
1. Держави-члени забезпечують вжиття компетентними органами заходів, якщо необхідно, за допомогою наглядових заходів ex post, за умови отримання доказів невідповідності надавача цифрових послуг вимогам, встановленим у статті 16. Такі докази може подати компетентний орган іншої держави-члена, в якій надається послуга.
2. Для цілей параграфа 1, компетентні органи повинні мати необхідні повноваження та засоби для того, щоби вимагати від надавачів цифрових послуг:
(a) надання інформації, необхідної для оцінювання безпеки їхніх мережевих та інформаційних систем, у тому числі документально встановлених політик безпеки;
(b) усунення будь-якої невідповідності вимогам, встановленим у статті 16.
3. Якщо надавач цифрових послуг має основний осідок або представника у державі-члені, але його мережеві та інформаційні системи розташовані в одній або декількох державах-членах, компетентний орган держави-члена головного осідка або представника та компетентні органи таких інших держав-членів повинні співпрацювати та допомагати один одному мірою необхідності. Така допомога та співпраця може охоплювати обмін інформацією між відповідними компетентними органами та запити на вжиття наглядових заходів, вказаних в параграфі 2.
Юрисдикція та територіальність
1. Для цілей цієї Директиви, надавач цифрових послуг вважається таким, що знаходиться під юрисдикцією держави-члена, в якій він має головний осідок. Надавач цифрових послуг вважається таким, в якого є головний осідок у державі-члені, якщо у такій державі-члені він має головний осідок.
2. Надавач цифрових послуг, заснований не в Союзі, але пропонує послуги, вказані в додатку ІІІ в межах Союзу, повинен призначити представника в Союзі. Представник повинен бути заснований в одній з тих держав-членів, в яких пропонують такі послуги. Надавач цифрових послуг вважається таким, що знаходиться під юрисдикцією держави-члена, в якій засновано його представника.
3. Призначення надавачем цифрових послуг свого представника не повинно обмежувати судові позови, які можуть бути подані проти самого надавача цифрових послуг.
ГЛАВА VI
СТАНДАРТИЗАЦІЯ ТА ДОБРОВІЛЬНА НОТИФІКАЦІЯ
Стандартизація
1. Для сприяння конвергентної імплементації статті 14(1) та (2) і статті 16(1) та (2), держави-члени, без нав’язування або дискримінації на користь використання певного типу технології, повинні заохочувати використання європейських або міжнародно визнаних стандартів та специфікацій, які стосуються безпеки мережевих та інформаційних систем.
2. ENISA, у співпраці з державами-членами повинно розробляти поради та настанови відносно технічних сфер, які необхідно враховувати стосовно параграфа 1, а також відносно вже існуючих стандартів, у тому числі національних стандартів держав-членів, що дозволяють охопити такі сфери.
Добровільне повідомлення
1. Без обмеження статті 3, суб’єкти, що їх не були визначено як операторів основних послуг та що не є надавачами цифрових послуг, можуть добровільно повідомляти про інциденти, що мають значний негативний вплив на безперервність послуг, які вони надають.
2. Опрацьовуючи повідомлення, держави-члени повинні діяти згідно із процедурою, встановленою в статті 14. Держави-члени можуть надати опрацюванню обов’язкових повідомлень вищий пріоритет, ніж опрацюванню добровільних повідомлень. Добровільні повідомлення опрацьовують лише якщо така опрацювання не складає непропорційного або неналежного тягаря для відповідних держав-членів.
Добровільне повідомлення не повинно спричиняти накладання на суб’єкта, який його надсилає, будь-яких зобов’язань, які б не розповсюджувались на нього у випадку його ненадсилання.
ГЛАВА VII
ПРИКІНЦЕВІ ПОЛОЖЕННЯ
Санкції
Держави-члени повинні встановити правила щодо санкцій, застосовних до порушень національних положень, ухвалених відповідно до цієї Директиви, та вживати всі необхідні заходи для забезпечення їх виконання. Передбачені санкції повинні бути дієвими, пропорційними і стримувальними. Держави-члени повинні повідомити Комісію про такі правила та такі заходи до 9 травня 2018 року, а також без затримки повідомляти її про будь-які подальші зміни, які на них впливають.
Процедура комітету
1. Комісії повинен надавати допомогу Комітет з безпеки мережевих та інформаційних систем. Такий комітет є комітетом у розумінні Регламенту (ЄС) № 182/2011.
2. У разі покликання на цей параграф, застосовується стаття 5 Регламенту (ЄС) № 182/2011 .
Перегляд
1. До 9 травня 2019 року Комісія повинна подати звіт Європейському Парламенту і Раді, з оцінкою послідовності підходу, який держави-члени застосовували у визначенні операторів основних послуг.
2. Комісія повинна періодично переглядати функціонування цієї Директиви та звітувати Європейському Парламентові й Раді. З цією метою та з огляду на подальше просування стратегічної та операційної співпраці, Комісія повинна брати до уваги звіти Групи співпраці та мережі CSIRT про досвід, отриманий на стратегічно-операційному рівні. У своєму перегляді Комісія також повинна оцінити списки, що містяться в додатках ІІ та ІІІ, а також послідовність у визначенні операторів основних послуг та послуг у секторах, вказаних у додатку ІІ. Перший звіт необхідно подати до 9 травня 2021 року.
Перехідні положення
1. Без обмеження статті 25 та з метою надання державам-членам додаткових можливостей для належної співпраці протягом періоду транспозиції, Група співпраці та мережа CSIRT повинна почати виконання завдань, поставлених у статтях 11(3) та 12(3) відповідно, до 9 лютого 2017 року.
2. На період з 9 лютого 2017 року до 9 листопада 2018 року та в цілях допомоги державам-членам у застосуванні послідовного підходу у визначенні операторів основних послуг, Група співпраці повинна обговорити цей процес, суть та тип національних інструментів, що дозволяють визначення операторів основних послуг у межах конкретного сектора за критеріями, встановленими в статтях 5 та 6. Група співпраці також повинна обговорювати, на запит держави-члена, конкретні проекти національних актів такої держави-члена, що дозволяють визначення операторів основних послуг у межах конкретного сектора за критеріями, встановленими в статтях 5 та 6.
3. До 9 лютого 2017 року та в цілях цієї статті, держави-члени повинні забезпечувати належне представництво у Групі співпраці та мережі CSIRT.
Транспозиція
1. Держави-члени повинні до 9 травня 2018 року ухвалити й опублікувати закони, підзаконні нормативно-правові акти та адміністративні положення, необхідні для виконання вимог цієї Директиви. Вони повинні негайно проінформувати про це Комісію.
Вони повинні застосовувати такі інструменти з 10 травня 2018 року.
Коли держави-члени ухвалюють такі інструменти, вони повинні містити покликання на цю Директиву або супроводжуватися таким покликаннями у разі їх офіційної публікації. Методи здійснення такого покликання визначають держави-члени.
2. Держави-члени повинні передати Комісії тексти основних положень національного законодавства, які вони ухвалюють у сфері, що її регулює ця Директива.
Набуття чинності
Ця Директива набуває чинності на двадцятий день після її публікації в Офіційному віснику Європейського Союзу.
Стаття 27 Адресати
Цю Директиву адресовано державам-членам.
| Вчинено у Страсбурзі, 6 липня 2016 року. |
| За Європейський Парламент Президент | M. SCHULZ |
| За Раду Президент | v I.CORCOK |
__________
(-1) ОВ С 271, 19.09.2013, с. 133.
(-2) Позиція Європейського Парламенту від 13 березня 2014 року (ще не опубліковано в Офіційному віснику) та позиція Ради у першому читанні від 17 травня 2016 року (ще не опубліковано в Офіційному віснику). Позиція Європейського Парламенту від 6 липня 2016 року (ще не опубліковано в Офіційному віснику).
(-3) Директива Європейського Парламенту і Ради 2002/21/ЄС від 7 березня 2002 року про спільні регулятивні рамки для мереж та послуг електронного зв’язку (Рамкова Директива) (ОВ L 108, 24.04.2002, с. 33).
(-4) Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних трансакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС (ОВ L 257, 28.08.2014, с. 73).
(-5) Рішення Ради 2013/488/ЄС від 23 вересня 2013 року про правила безпеки для захисту інформації ЄС, що не підлягає розголошенню (ОВ L 274, 15.10.2013, с. 1).
(-6) ОВ С 352, 07.10.2014, с. 4.
(-7) Регламент Європейського Парламенту і Ради (ЄС) № 526/2013 від 21 травня 2013 року про Європейське агентство з питань мережевої та інформаційної безпеки (ENISA) та про скасування Регламенту (ЄС) № 460/2004 (ОВ L 165, 18.06.2013, с. 41).
(-8) Регламент Європейського Парламенту і Ради (ЄС) № 1025/2012 від 25 жовтня 2012 року про європейську стандартизацію, про зміни і доповнення до Директив Ради 89/686/ЄЕС та 93/15/ЄЕС та Директив Європейського Парламенту і Ради 94/9/ЄС, 94/25/ЄС, 95/16/ЄС, 97/23/ЄС, 98/34/ЄС , 2004/22/ЄС, 2007/23/ЄС, 2009/23/ЄС та 2009/105/ЄС та про скасування Рішення Ради 87/95/ЄЕС та Рішення Європейського Парламенту і Ради № 1673/2006/ЄС (ОВ L 316, 14.11.2012, с. 12).
(-9) Регламент Європейського Парламенту і Ради (ЄС) № 182/2011 від 16 лютого 2011 року про встановлення правил та загальних принципів відносно механізмів контролю з боку держав-членів за реалізацією Комісією своїх виконавчих повноважень (ОВ L 55, 28.02.2011, с. 13).
(-10) Директива Європейського Парламенту і Ради 95/46/ЄС від 24 жовтня 1995 року про захист осіб стосовно опрацювання персональних даних та про вільний рух таких даних (ОВ L 281, 23.11.1995, с. 31).
(-11) Регламент Європейського Парламенту і Ради (ЄС) № 45/2001 від 18 грудня 2000 року про захист осіб стосовно опрацювання персональних даних інституціями та органами Співтовариства та про вільний рух таких даних (ОВ L 8, 12.01.2001, с. 1).
(-12) Регламент Європейського Парламенту і Ради (ЄС) № 1049/2001 від 30 травня 2001 року про загальний доступ до документів Європейського Парламенту, Ради та Комісії (ОВ L 145, 31.05.2001, с. 43).
(-13) ОВ C 32, 04.02.2014, с. 19.
(-14) Директива Ради 2008/114/ЄС від 8 грудня 2008 року про визначення та призначення критичних європейських інфраструктур та про оцінювання потреби у покращенні їх захисту (ОВ L 345, 23.12.2008, с. 75).
(-15) Директива Європейського Парламенту і Ради 2011/93/ЄС від 13 грудня 2011 року про боротьбу з сексуальним насильством та сексуальною експлуатацією дітей та дитячою порнографією та про заміну Рамкового рішення Ради 2004/68/ЮВС (ОВ L 335, 17.12.2011, с. 1).
(-16) Директива Європейського Парламенту і Ради 2013/40/ЄС від 12 серпня 2013 року про напади на інформаційні системи та про заміну Рамкового рішення Ради 2005/222/ЮВС (ОВ L 218, 14.08.2013, с. 8).
(-17) Директива Європейського Парламенту і Ради (ЄС) 2015/1535 від 9 вересня 2015 року про встановлення порядку надання інформації в сфері технічних регламентів та правил стосовно послуг інформаційного суспільства (ОВ L 241, 17.09.2015, с. 1).
(-18) Директива Європейського Парламенту і Ради (ЄС) № 2013/11/ЄС від 21 травня 2013 року про альтернативне вирішення спорів стосовно споживчих спорів та про зміни і доповнення до Регламенту (ЄС) № 2006/2004 та Директиви 2009/22/ЄС (Директива про альтернативне вирішення спорів зі споживачами) (ОВ L 165, 18.06.2013, с. 63).
(-19) Рекомендація Комісії 2003/361/ЄС від 6 травня 2003 року про визначення мікро-, малих та середніх підприємств (ОВ L 124, 20.05.2003, с. 36).
ДОДАТОК І
ВИМОГИ ТА ЗАВДАННЯ ГРУП РЕАГУВАННЯ НА ІНЦИДЕНТИ, ПОВ’ЯЗАНІ З КОМП’ЮТЕРНОЮ БЕЗПЕКОЮ (CSIRT)
Вимоги та завдання CSIRT повинні бути належним чином та чітко визначеними, їх необхідно підтримувати національною політикою та/або нормативно-правовими актами. Вони повинні містити таке:
(1) Вимоги до CSIRT:
(a) CSIRT повинні забезпечувати високий рівень доступності своїх послуг зв’язку, уникаючи елементів, відмова яких спричиняє відмову всієї системи (SPOF) та мати декілька засобів зв’язку з ними та зв’язку з іншими у будь-який час. Крім того, канали комунікації повинні бути чітко визначені та добре відомі клієнтурі та співпрацюючим партнерам.
(b) Приміщення та допоміжні інформаційні системи CSIRT повинні бути розташовані у безпечних місцях.
(c) Безперервність бізнесу:
(i) CSIRT повинні бути оснащені належною системою управління запитами та їх скеровування, для полегшення їх передачі.
(ii) Необхідно належним чином забезпечувати CSIRT персоналом, щоб гарантувати доступність у будь-який час.
(iii) CSIRT повинна спиратися на інфраструктуру, безперервність якої забезпечена. Для цього повинні бути доступні запасні системи та резервний робочий простір.
(d) CSIRT повинні мати можливість за бажанням брати участь у мережах міжнародної співпраці.
(2) Завдання CSIRT:
(a) Завдання CSIRT повинні включати щонайменше:
(i) моніторинг інцидентів на національному рівні;
(ii) забезпечення своєчасного попередження, сигналів тривоги, оголошень та розповсюдження інформації про ризики та інциденти серед відповідних стейкхолдерів;
(iii) реагування на інциденти;
(iv) забезпечення динамічного аналізу ризиків та інцидентів й інформації про поточну ситуацію;
(v) участь у мережі CSIRT.
(b) CSIRT повинна встановити відносини співпраці з приватним сектором.
(c) Для сприяння співпраці, CSIRT повинні сприяти ухваленню та використанню спільних або стандартизованих практик для:
(i) порядку врегулювання ризиків та інцидентів;
(ii) схем класифікації інцидентів, ризиків та інформації.
ДОДАТОК ІІ
ТИПИ СУБ’ЄКТІВ ДЛЯ ЦІЛЕЙ ПУНКТУ (4) СТАТТІ 4
| Сектор | Підсектор | Тип суб’єкта |
| 1. Енергетика | (а) Електроенергія | - Електроенергетичні підприємства, як визначено в пункті (35) статті 2 Директиви Європейського Парламенту і Ради 2009/72/ЄС (-1), що виконують функцію "постачання", як визначено в пункті (19) статті 2 зазначеної Директиви. |
| - Оператори розподільчих систем, як визначено в пункті (6) статті 2 Директиви 2009/72/ЄС | ||
| - Оператори систем передачі, як визначено в пункті (4) статті 2 Директиви 2009/72/ЄС | ||
| (b) Нафта | - Оператори нафтопроводів | |
| - Оператори нафтовидобувного, - переробного устатковання, установок підготовки нафти. нафтозберігальних та - передавальних потужностей | ||
| (с) Газ | - Постачальні підприємства. як визначено в пункті (8) статті 2 Директиви Європейського Парламенту і Ради 2009/73/ЄС (-2) | |
| - Оператори розподільчих систем. як визначено в пункті (6) статті 2 Директиви 2009/73/ЄС | ||
| - Оператори систем передачі, як визначено в пункті (4) статті 2 Директиви 2009/73/ЄС | ||
| - Оператори систем зберігання, як визначено в пункті (10) статті 2 Директиви 2009/73/ЄС | ||
| - Оператори систем скрапленого природного газу, як визначено в пункті (12) статті 2 Директиви 2009/73/ЄС | ||
| - Суб’єкти ринку природного газу, як визначено в пункті (1) статті 2 Директиви 2009/73/ЄС | ||
| - Оператори устатковання для перероблення та підготовки природного газу. | ||
| 2. Транспорт | (а) Повітряний транспорт | - Авіаперевізники, як визначено в пункті (4) статті 3 Регламенту Європейського Парламенту і Ради 300/2008 (-3) |
| - Органи управління аеропортами, як визначено в пункті (2) статті 2 Директиви Європейського Парламенту і Ради 2009/12/ЄС (-4), аеропорти, як визначено в пункті (1) статті 2 вказаної Директиви, у тому числі основні аеропорти, перелічені в секції 2 додатка II до Регламенту Європейського Парламенту і Ради (ЄС) № 1315/2013 (-5), та суб'єкти, що експлуатують допоміжне обладнання, розташоване в аеропортах | ||
| - Оператори управління рухом, що надають послуги керування повітряним рухом, як визначено в пункті (1) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) № 549/2004 (-6) | ||
| (b) Залізничний транспорт | - Керівники інфраструктур, як визначено в пункті (2) статті 3 Директиви Європейського Парламенту і Ради 2012/34/ЄС (-7) | |
| - Залізничні підприємства, як визначено в пункті (1) статті 3 Директиви 2012/34/ЄС, у тому числі оператори об'єктів обслуговування інфраструктури, як визначено в пункті (12) статті 3 Директиви 2012/34/ЄС | ||
| (с) Водний транспорт | - Компанії-оператори внутрішнього, морського, каботажного пасажирського та вантажного водного транспорту, як визначено для морських перевезень в додатку I до Регламенту Європейського Парламенту і Ради (ЄС) № 725/2004 (-8), за винятком індивідуальних суден, якими оперують такі компанії | |
| - Керівні органи портів, як визначено в пункті (1) статті 3 Директиви Європейського Парламенту і Ради 2005/65/ЄС (-9), у тому числі їхні портові споруди, як визначено в пункті (11) статті 2 Регламенту (ЄС) № 725/2004, та суб'єкти, які експлуатують установки та обладнання, розташовані в портах | ||
| - Оператори служб руху суден, як визначено в пункті (o) статті 3 Директиви Європейського Парламенту і Ради 2002/59/ЄС (-10) | ||
| (d) Дорожній транспорт | - Дорожні органи, як визначено в пункті (12) статті 2 Делегованого Регламенту Комісії (ЄС) 2015/962 (-11), відповідальні за управління рухом | |
| - Оператори інтелектуальних транспортних систем, як визначено в пункті (1) статті 4 Директиви Європейського Парламенту і Ради 2010/40/ЄС (-12) | ||
| 3. Банківська діяльність | Кредитні установи, як визначено в пункті (1) статті 4 Регламенту Європейського Парламенту і Ради № 575/2013 (-13) | |
| 4. Інфраструктури фінансових ринків | - Оператори торгових майданчиків, як визначено в пункті (24) статті 4 Директиви Європейського Парламенту і Ради 2014/65/ЄС (-14) | |
| - Центральні контрагенти (ССР), як визначено в пункті (1) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) № 648/2012 (-15) | ||
| 5. Сектор охорони здоров'я | Заклади охорони здоров'я (у тому числі лікарні та приватні клініки) | Постачальники послуг охорони здоров'я, як визначено в пункті (g) статті 3 Директиви Європейського Парламенту і Ради 2011/24/ЄС (-16) |
| 6. Постачання та розповсюдження питної води | Постачальники та розповсюджувачі питної води для споживання людиною, як визначено в пункті (1)(a) статті 2 Директиви 98/83/ЄС (-17), але за винятком розповсюджувачів, для яких розповсюдження води для споживання людиною є лише частиною їхньої загальної діяльності з розповсюдження інших виробів широкого споживання та товарів, які не вважаються основними послугами. | |
| 7. Цифрова інфраструктура | - IXP | |
| - Надавачі послуг DNS | ||
| - Реєстри імен у доменах верхнього рівня |
__________
(-1) Директива Європейського Парламенту і Ради № 2009/72/ЄС від 13 липня 2009 року про спільні правила для внутрішнього ринку електроенергії та про скасування Директиви 2003/54/ЄС (ОВ L 211, 14.08.2009, с. 55).
(-2) Директива Європейського Парламенту і Ради № 2009/73/ЄС від 13 липня 2009 року про спільні правила для внутрішнього ринку природного газу та про скасування Директиви 2003/55/ЄС (ОВ L 211, 14.08.2009, с. 94).
(-3) Регламент Європейського Парламенту і Ради (ЄС) № 300/2008 від 11 березня 2008 року про спільні правила у сфері безпеки цивільної авіації та про скасування Регламенту (ЄС) № 2320/2002 (ОВ L 97, 09.04.2008, с. 72).
(-4) Директива Європейського Парламенту і Ради 2009/21/ЄС від 11 березня 2009 року про аеропортові збори (ОВ L 70, 14.03.2009, с. 11).
(-5) Регламент Європейського Парламенту і Ради (ЄС) № 1315/2013 від 11 грудня 2013 року про настанови Союзу для розвитку транс’європейської транспортної мережі та про скасування Рішення № 661/2010/ЄС (ОВ L 348, 20.12.2013, с. 1).
(-6) Регламент Європейського Парламенту і Ради 549/2004 від 10 березня 2004 року про рамки створення єдиного повітряного простору Європи (рамковий Регламент) (ОВ L 96, 31.03.2004, с. 1).
(-7) Директива Європейського Парламенту і Ради 2012/34/ЄС від 21 листопада 2012 року про заснування єдиної європейської залізничної зони (ОВ L 343, 14.12.2012, с. 32).
(-8) Регламент Європейського Парламенту і Ради № 725/2004 від 31 березня 2004 року про посилення безпеки суден і портових споруд (ОВ L 129, 29.04.2004, с. 6).
(-9) Директива Європейського Парламенту і Ради 2005/65/ЄС від 26 жовтня 2005 року про посилення безпеки портів (ОВ L 310, 25.11.2005, с. 28).
(-10) Директива Європейського Парламенту і Ради 2002/59/ЄС від 27 червня 2002 року про заснування системи моніторингу руху суден та інформування в Співтоваристві та про скасування Директиви Ради 93/75/ЄЕС (ОВ L 208, 05.08.2002, с. 10).
(-11) Делегований Регламент Комісії (ЄС) 2015/962 від 18 грудня 2014 року про доповнення Директиви Європейського Парламенту і Ради 2010/40/ЄС стосовно надання інформаційних послуг щодо руху у всьому ЄС у реальному часі (ОВ L 157, 23.06.2015, с. 21).
(-12) Директива Європейського Парламенту і Ради 2010/40/ЄС від 7 липня 2010 року про рамки розгортання розумних транспортних систем у секторі дорожнього транспорту та взаємодію з іншими видами транспорту (ОВ L 207, 06.08.2010, с. 1).
(-13) Регламент Європейського Парламенту і Ради (ЄС) № 575/2013 від 26 червня 2013 року про пруденційні вимоги для кредитних установ та інвестиційних фірм та про зміни і доповнення до Регламенту (ЄС) № 648/2012 (ОВ L 176, 27.06.2013, с. 1).
(-14) Директива Європейського Парламенту і Ради (ЄС) № 2014/65/ЄС від 15 травня 2014 року про ринки фінансових інструментів та про зміни і доповнення до Директиви 2002/92/ЄС та Директиви 2011/61/ЄСОВ L 173, 12.06.2014, с. 349).
(-15) Регламент Європейського Парламенту і Ради (ЄС) № 648/2012 від 4 липня 2012 року про позабіржові похідні фінансові інструменти. центральних контрагентів та реєстри трансакцій (ОВ L 201, 27.07.2012, с. 1).
(-16) Директива Європейського Парламенту і Ради 2011/24/ЄС від 9 березня 2011 року про застосування прав пацієнтів у транскордонній системі охорони здоров’я (ОВ L 88, 04.04.2011, с. 45).
(-17) Директива Ради 98/83/ЄС від 3 листопада 1998 року про якість води, призначеної для споживання людиною (ОВ L 330, 05.12.1998, с. 32).
ДОДАТОК ІІІ
ТИПИ ЦИФРОВИХ ПОСЛУГ ДЛЯ ЦІЛЕЙ ПУНКТУ (5) СТАТТІ 4
1. Електронний торговий майданчик.
2. Електронна пошукова система.
3. Послуга хмарних обчислень.
( Джерело: Урядовий портал (Переклади актів acquis ЄС) https://www.kmu.gov.ua )