Директива Європейського Парламенту і Ради (ЄС) 2022/2555 від 14 грудня 2022 року про заходи для високого спільного рівня кібербезпеки на всій території Союзу, внесення змін до Регламенту (ЄС) № 910/2014 та Директиви (ЄС) 2018/1972 та скасування Директиви (ЄС) 2016/1148 (Директива NIS 2)

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проєкту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського Центрального Банку (- 1),

Беручи до уваги висновок Європейського економічно-соціального комітету (- 2),

Після консультацій із Комітетом регіонів,

Діючи згідно зі звичайною законодавчою процедурою (- 3),

Оскільки:

(1) Директива Європейського Парламенту і Ради (ЄС) 2016/1148 (- 4) мала на меті розбудувати спроможності у сфері кібербезпеки на всій території Союзу, знизити загрози для мережевих та інформаційних систем, що використовуються для надання основних послуг у ключових секторах, і забезпечити безперервність таких послуг при зіткненні з інцидентами, сприяючи таким чином безпеці Союзу та дієвому функціонуванню його економіки і суспільства.

(2) З моменту набуття чинності Директивою (ЄС) 2016/1148 було досягнуто значного прогресу в підвищенні рівня кіберстійкості Союзу. Аналіз імплементації зазначеної Директиви показав, що вона послужила каталізатором інституційного та регуляторного підходу до кібербезпеки в Союзі, відкривши шлях до значних змін у менталітеті. Зазначена Директива забезпечила остаточне формування національних рамок безпеки мережевих та інформаційних систем шляхом запровадження національних стратегій безпеки мережевих та інформаційних систем та розбудови національних спроможностей, а також шляхом реалізації регуляторних заходів, що охоплюють критичну інфраструктуру та суб’єктів, визначених кожною державою-членом. Директива (ЄС) 2016/1148 також сприяла налагодженню співпраці на рівні Союзу шляхом заснування Групи співпраці та мережі національних груп реагування на інциденти комп’ютерної безпеки. Незважаючи на ці досягнення, аналіз імплементації Директиви ЄС 2016/1148 виявив властиві їй недоліки, які перешкоджають дієвому вирішенню поточних і майбутніх викликів у сфері кібербезпеки.

(3) Мережеві та інформаційні системи стали ключовим елементом повсякденного життя, що привели до швидкої цифрової трансформації та взаємопов’язаності суспільства, у тому числі в сфері транскордонного обміну. Цей розвиток призвів до розширення ландшафту кіберзагроз, привносячи нові виклики, які потребують адаптованого, скоординованого та інноваційного реагування в усіх державах-членах. Кількість, масштабність, складність частота та вплив інцидентів зростають та становлять велику загрозу для функціонування мережевих та інформаційних систем. Відтак, інциденти можуть перешкоджати здійсненню економічної діяльності на внутрішньому ринку, завдавати фінансових втрат, підривати довіру користувачів та спричиняти значну шкоду економіці та суспільству Союзу. Тож готовність і дієвість у сфері кібербезпеки є як ніколи важливими для належного функціонування внутрішнього ринку. Більше того, для багатьох критичних секторів кібербезпека є ключовим фактором, який дає змогу успішно прийняти цифрову трансформацію та повністю осягнути економічні, соціальні та довгострокові переваги цифровізації.

(4) Правовим підґрунтям Директиви (ЄС) 2016/1148 була стаття 114 Договору про функціонування Європейського Союзу (ДФЄС), метою якого є створення та функціонування внутрішнього ринку шляхом посилення заходів, спрямованих на наближення національних правил. Вимоги до стану кібербезпеки, встановлені для суб’єктів, що надають послуги чи здійснюють види діяльності, які є економічно значущими, суттєво різняться у різних державах-членах з точки зору типу вимог, рівня деталізації та методу здійснення нагляду. Ці відмінності призводять до додаткових витрат і створюють труднощі для суб’єктів, які надають товари чи послуги на транскордонній основі. Встановлені однією державою-членом вимоги, які відрізняються або навіть суперечать вимогам, встановленим іншою державою-членом, можуть суттєво впливати на таку транскордонну діяльність. До того ж, можливість невідповідного формування чи реалізації вимог до стану кібербезпеки у одній державі-члені ймовірно матиме наслідки на рівні кібербезпеки інших держав-членів, зокрема враховуючи інтенсивність транскордонних обмінів. Перегляд Директиви (ЄС) 2016/1148 показав широкі розбіжності в її імплементації державами-членами, у тому числі щодо сфери її застосування, делімітація якої здебільшого була залишена на розсуд держав-членів. Директива (ЄС) 2016/1148 а також надавала державам-членам дуже широкі дискреційні повноваження стосовно реалізації встановлених нею обов’язків щодо звітування про безпеку та інциденти. Відповідно, на національному рівні ці обов’язки було реалізовано дуже різними способами. Існують подібні розбіжності в імплементації положень Директиви (ЄС) 2016/1148 щодо здійснення нагляду та забезпечення виконання.

(5) Усі ці розбіжності призводять до фрагментації внутрішнього ринку і можуть мати шкідливий вплив на його функціонування, зачіпаючи, зокрема, транскордонне надання послуг та рівень кіберстійкості внаслідок застосування різноманітних заходів. Зрештою ці розбіжності могли би призвести до більшої вразливості деяких держав-членів до кіберзагроз із можливим поширенням негативних наслідків по всьому Союзу. Ця Директива має на меті усунути такі значні розбіжності між державами-членами, зокрема шляхом встановлення мінімальних правил щодо функціонування скоординованих регулятивних рамок, запровадження механізмів дієвої співпраці між відповідальними органами влади кожної держави-члена, оновлення переліку секторів і видів діяльності, що підпадають під зобов’язання з кібербезпеки, та надання дієвих засобів правового захисту та правозастосовних заходів, які є ключовими для забезпечення дієвого виконання цих зобов’язань. Таким чином, Директиву (ЄС) 2016/1148 потрібно скасувати та замінити цією Директивою.

(6) Зі скасуванням Директиви (ЄС) 2016/1148, сферу застосування за секторами потрібно поширити на більшу частину економіки, щоб забезпечити комплексне охоплення секторів і послуг, які є життєво важливими для ключової суспільно-економічної діяльності на внутрішньому ринку. Зокрема, ця Директива спрямована на подолання недоліків диференціації між операторами основних послуг та надавачами цифрових послуг, яка виявилася неактуальною, оскільки вона не відображає важливості цих секторів чи послуг для суспільно-економічної діяльності на внутрішньому ринку.

(7) Згідно з Директивою (ЄС) 2016/1148, держави-члени були відповідальними за визначення суб’єктів, які відповідали кваліфікаційним критеріям для операторів основних послуг. Щоб усунути великі розбіжності між державами-членами у цьому контексті та забезпечити правову визначеність заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки для всіх відповідних суб’єктів, потрібно запровадити уніфікований критерій для визначення суб’єктів, які підпадають під сферу застосування цієї Директиви. Цей критерій має складатися з застосування правила граничного розміру, де всі суб’єкти, які належать до середніх підприємств згідно зі статтею 2 додатка до Рекомендації Комісії 2003/361/ЄС (- 5) або перевищують верхні межі для середніх підприємств, передбачені параграфом 1 цієї статті, та які працюють у секторах і надають типи послуг чи здійснюють види діяльності, на які поширюється дія цієї Директиви, підпадають під сферу її застосування. Держави-члени також мають забезпечити, щоб певні малі підприємства та мікропідприємства, визначені в статті 2(2) і (3) зазначеного додатка, котрі відповідають конкретним критеріям, що вказують на ключову роль для суспільства, економіки чи для окремих секторів або типів послуг, підпадали під сферу застосування цієї Директиви.

(8) Вилучення суб’єктів публічної адміністрації зі сфери застосування цієї Директиви має стосуватися суб’єктів, які здійснюють діяльність переважно у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень. Однак, суб’єкти публічної адміністрації, діяльність яких лише незначною мірою стосується цих сфер, не мають бути виключені зі сфери застосування цієї Директиви. Для цілей цієї Директиви суб’єкти з регулятивними компетенціями не вважаються такими, що здійснюють діяльність у сфері правоохоронної діяльності і тому не виключаються на цій підставі зі сфери застосування цієї Директиви. Суб’єкти публічної адміністрації, засновані спільно з третьою країною відповідно до міжнародної угоди, виключаються зі сфери застосування цієї Директиви. Ця Директива не застосовується до дипломатичних і консульських місій держав-членів у третіх країнах або до їхніх мережевих та інформаційних систем, якщо такі системи розташовані в приміщеннях місії або працюють для користувачів у третій країні.

(9) Держави-члени мають бути здатні вживати необхідних заходів для забезпечення захисту суттєвих інтересів національної безпеки, для охорони публічного порядку та забезпечення громадської безпеки, а також щоби уможливити запобігання, розслідування, розкриття та переслідування кримінальних правопорушень. З цією метою держави-члени мають бути здатні звільняти конкретних суб’єктів, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень, від певних зобов’язань, встановлених у цій Директиві щодо такої діяльності. Якщо суб’єкт надає послуги виключно суб’єкту публічної адміністрації, виключеному зі сфери застосування цієї Директиви, держави-члени мають бути здатні звільняти цього суб’єкта від певних зобов’язань, встановлених у цій Директиві щодо таких послуг. Більше того, жодна держава-член не може бути зобов’язана надавати інформацію, розкриття якої суперечитиме суттєвим інтересам її національної безпеки, громадської безпеки чи оборони. У цьому контексті потрібно враховувати союзні чи національні правила захисту секретної інформації, угод про нерозголошення та неформальних угод про нерозголошення, таких як протокол TLP. Протокол TLP слід розуміти як засіб надання інформації про будь-які обмеження стосовно подальшого розповсюдження інформації. Його використовують у майже всіх групах реагування на інциденти комп’ютерної безпеки (CSIRT) та в деяких центрах аналізу та обміну інформацією.

(10) Хоча цю Директиву застосовують до суб’єктів, що здійснюють діяльність у галузі виробництва електроенергії з атомних електростанцій, деякі види цієї діяльності можуть стосуватися національної безпеки. У такому разі держава-член має бути здатна виконувати свій обов’язок із забезпечення національної безпеки щодо цих видів діяльності, у тому числі діяльності в межах ядерного ланцюга створення вартості, у відповідності з Договорами.

(11) Деякі суб’єкти здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень, водночас надаючи довірчі послуги. Надавачі довірчих послуг, що підпадають під сферу застосування Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 (- 6), мають підпадати під сферу застосування цієї Директиви, щоб забезпечити такий самий рівень безпекових вимог і нагляду, як і раніше встановлений у зазначеному Регламенті щодо надавачів довірчих послуг. У відповідності до виключення певних конкретних послуг з Регламенту (ЄС) № 910/2014, ця Директива не має застосовуватися до надання довірчих послуг, використовуваних винятково всередині закритих систем, які є результатом національного права чи домовленостей серед визначеного кола учасників.

(12) Дія цієї Директиви має поширюватися на надавачів поштових послуг відповідно до Директиви Європейського Парламенту і Ради 97/67/ЄС (- 7), у тому числі надавачів кур’єрських послуг, якщо вони забезпечують принаймні один із етапів ланцюга поштового доставлення, зокрема оформлення, сортування, транспортування чи вручення поштових відправлень, у тому числі послуги із забору відправлень у клієнтів, враховуючи ступінь їхньої залежності від мережевих та інформаційних систем. Транспортні послуги, які не здійснюються у поєднанні з одним із цих етапів, мають бути виключені з поштових послуг.

(13) З огляду на зростання інтенсивності та складності кіберзагроз, держави-члени мають прагнути забезпечити, щоб суб’єкти, виключені зі сфери застосування цієї Директиви, досягли високого рівня кібербезпеки, та підтримувати імплементацію рівноцінних заходів управління ризиками кібербезпеки, які відображають чутливий характер цих суб’єктів.

(14) До будь-якого опрацювання персональних даних згідно із цією Директивою застосовується право Союзу щодо захисту даних і право Союзу щодо приватності. Зокрема, ця Директива не обмежує дію Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 (- 8) і Директиви Європейського Парламенту і Ради 2002/58/ЄС (- 9). Таким чином, ця Директива не має впливати, між іншим, на завдання та повноваження органів влади, до компетенції яких належить моніторинг відповідності застосовному праву Союзу щодо захисту даних і праву Союзу щодо приватності.

(15) Суб’єктів, які підпадають під сферу застосування цієї Директиви, для цілей відповідності заходам управління ризиками та обов’язкам щодо звітування у сфері кібербезпеки має бути віднесено до однієї з двох категорій: основні суб’єкти і важливі суб’єкти, - залежно від ступеню їхньої критичності для свого сектора чи типу послуг, що їх вони надають, а також від їхнього розміру. У зв’язку з цим, потрібно належним чином враховувати будь-які актуальні галузеві оцінювання ризиків чи інструкції компетентних органів, якщо застосовно. Режими нагляду та забезпечення виконання для цих двох категорій суб’єктів потрібно диференціювати для забезпечення справедливого балансу між ризик-орієнтованими вимогами і обов’язками з одного боку та адміністративним тягарем, зумовленим наглядом за дотриманням - з іншого.

(16) Щоб уникнути зарахування суб’єктів, які мають партнерські підприємства чи є пов’язаними підприємствами, до основних чи важливих суб’єктів, коли це було б непропорційним, держави-члени мають змогу брати до уваги ступінь незалежності, якою користується суб’єкт відносно своїх партнерських чи пов’язаних підприємств, при застосуванні статті 6(2) додатка до Рекомендації 2003/361/ЄС. Зокрема, держави-члени мають змогу брати до уваги той факт, що суб’єкт є незалежним від своїх партнерських чи пов’язаних підприємств стосовно мережевих та інформаційних систем, які цей суб’єкт використовує при наданні послуг та стосовно послуг, які цей суб’єкт надає. На цій підставі у відповідних випадках держави-члени мають змогу вважати, що такий суб’єкт не належить до середніх підприємств згідно зі статтею 2 додатка до Рекомендації 2003/361/ЄС або не перевищує верхні межі для середніх підприємств, передбачені параграфом 1 цієї статті, якщо після врахування ступеня незалежності цього суб’єкта цей суб’єкт не вважався би таким, що належить до середніх підприємств або перевищує згадані верхні межі, у разі, якщо взято до уваги лише його власні дані. Це не впливає на визначені в цій Директиві зобов’язання партнерських або пов’язаних підприємств, які підпадають під сферу застосування цієї Директиви.

(17) Держави-члени мають бути здатні вирішувати, що суб’єкти, визначені до набуття чинності цією Директивою операторами основних послуг відповідно до Директиви (ЄС) 2016/1148, повинні вважатися основними суб’єктами.

(18) Щоб забезпечити чітке уявлення про суб’єктів, що підпадають під сферу застосування цієї Директиви, держави-члени мають створити перелік основних і важливих суб’єктів, а також суб’єктів, що надають послуги реєстрації доменних імен. З цією метою державам-членам потрібно вимагати від суб’єктів подавати до компетентних органів принаймні таку інформацію, а саме: назву, адресу та актуальні контактні дані, в тому числі адреси електронної пошти, діапазони IP-адрес і телефонні номери суб’єкта, а також, якщо застосовно, відповідний сектор і підсектор, зазначений у додатках, а також, якщо застосовно, перелік держав-членів, у яких вони надають послуги, що підпадають під сферу застосування цієї Директиви. З цією метою Комісія, за сприяння Агентства Європейського Союзу з питань кібербезпеки (ENISA), має, без невиправданої затримки, надати настанови та шаблони, що стосуються обов’язку подавати інформацію. Щоб полегшити створення та оновлення переліку основних і важливих суб’єктів, а також суб’єктів, що надають послуги реєстрації доменних імен, держави-члени мають бути здатні формувати національні механізми для забезпечення самостійної реєстрації суб’єктів. Там, де реєстри існують на національному рівні, держави-члени можуть ухвалювати рішення щодо належних механізмів, які дозволяють ідентифікацію суб’єктів, що підпадають під сферу застосування цієї Директиви.

(19) Держави-члени мають відповідати за подання Комісії щонайменше кількості основних і важливих суб’єктів на кожен сектор і підсектор, зазначений у додатках, а також релевантної інформації про кількість визначених суб’єктів та положення, з-поміж викладених у цій Директиві, на підставі якого їх було визначено, та тип послуг, які вони надають. Держав-членів заохочують обмінюватися з Комісією інформацією про основних і важливих суб’єктів і, у випадку масштабного інциденту кібербезпеки, релевантну інформацію, таку як назва суб’єкта, якого він стосувався.

(20) Комісія, у співпраці з Групою співпраці та після консультацій з відповідними стейкхолдерами, має надати настанови щодо імплементації критеріїв, застосовних до мікропідприємств і малих підприємств, щоб оцінити, чи підпадають вони під сферу застосування цієї Директиви. Комісія також має забезпечити, щоб мікропідприємствам і малим підприємствам, що підпадають під сферу застосування цієї Директиви, було надано належні інструкції. Комісія, за допомоги держав-членів, має зробити інформацію стосовно цього доступною для мікропідприємств і малих підприємств.

(21) Комісія може надавати інструкції, щоб допомогти державам-членам у імплементації положень цієї Директиви щодо сфери застосування та оцінці пропорційності заходів, яких необхідно вжити на виконання цієї Директиви, зокрема стосовно суб’єктів із комплексними бізнес-моделями чи операційними середовищами, згідно з якими суб’єкт може одночасно задовольняти критерії, передбачені як для основних, так і для важливих суб’єктів, або може одночасно здійснювати кілька видів діяльності, деякі з яких підпадають під сферу застосування цієї Директиви, а деякі - виключені з неї.

(22) Ця Директива встановлює базовий рівень для заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки в усіх секторах, що підпадають під сферу її застосування. Щоб уникнути фрагментації положень нормативно-правових актів Союзув сфері кібербезпеки, коли додаткові секторальні правові акти Союзу, що стосуються заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки, вважаються необхідними для забезпечення високого рівня кібербезпеки на всій території Союзу, Комісія має оцінити, чи такі додаткові положення можуть бути визначені в імплементаційному акті згідно з цією Директивою. Якщо такий імплементаційний акт не підходить для цієї мети, секторальні правові акти Союзу можуть сприяти забезпеченню високого рівня кібербезпеки на всій території Союзу, повною мірою враховуючи особливості та складнощі відповідних секторів. З цією метою ця Директива не перешкоджає ухваленню додаткових секторальних правових актів Союзу, що регулюють заходи управління ризиками та обов’язки щодо звітування у сфері кібербезпеки та належним чином враховують потребу в комплексну та послідовну структуру кібербезпеки. Ця Директива не обмежує чинні виконавчі повноваження, які було покладено на Комісію в низці секторів, у тому числі транспортному та енергетичному.

(23) Якщо той чи інший секторальний правовий акт Союзу містить положення, які вимагають від основних або важливих суб’єктів запровадження заходів управління ризиками кібербезпеки або сповіщення про значні інциденти, і якщо такі вимоги принаймні рівноцінні за своєю дією обов’язкам, встановленим у цій Директиві, ці положення, у тому числі щодо нагляду та забезпечення виконання, має бути застосовано до таких суб’єктів. Якщо той чи інший секторальний правовий акт Союзу не охоплює усіх суб’єктів у певному секторі, які підпадають під сферу застосування цієї Директиви, відповідні положення цієї Директиви мають і надалі застосовуватися до суб’єктів, не охоплених цим актом.

(24) Якщо положення секторального правового акту Союзу вимагають від основних або важливих суб’єктів дотримання обов’язків щодо звітування, які є принаймні рівноцінними за своєю дією обов’язкам щодо звітування, встановленим у цій Директиві, має бути забезпечена послідовність та дієвість поводження зі сповіщеннями про інциденти. З цією метою, положення секторального правового акту Союзу, що стосуються сповіщень про інциденти, мають забезпечувати безпосередній доступ груп CSIRT, компетентних органів або єдиних контактних пунктів з питань кібербезпеки (єдиних контактних пунктів), передбачених цією Директивою, до сповіщень про інциденти згідно з цим секторальним правовим актом Союзу. Зокрема, такий безпосередній доступ може бути забезпечено, якщо направляти сповіщення про інциденти без невиправданої затримки до CSIRT, компетентних органів або єдиних контактних пунктів, передбачених цією Директивою. У відповідних випадках державам-членам потрібно запровадити механізм автоматичного та прямого звітування, який забезпечує систематичний і безпосередній обмін інформацією з групами CSIRT, компетентними органами або єдиними контактними пунктами стосовно поводження з такими сповіщеннями про інциденти. З метою спрощення звітування та реалізації механізму автоматичного та прямого звітування держави-члени можуть, згідно із секторальним правовим актом Союзу, використовувати систему "єдиного вікна".

(25) Секторальні правові акти Союзу, котрі передбачають заходи управління ризиками чи обов’язки щодо звітування у сфері кібербезпеки, які є принаймні рівноцінними за своєю дією встановленим у цій Директиві, можуть передбачати, що компетентні органи згідно з такими актами реалізують свої наглядові та виконавчі повноваження щодо таких заходів чи обов’язків із допомогою компетентних органів згідно з цією Директивою. Відповідні компетентні органи можуть укладати угоди про співпрацю з цією метою. Такі угоди про співпрацю можуть визначати, з-поміж іншого, процедури координації діяльності з нагляду, в тому числі процедури розслідувань та інспекцій на місцях у відповідності з національним правом, та механізм обміну релевантною інформацією щодо нагляду та забезпечення виконання між компетентними органами, в тому числі доступ до інформації у сфері кібербезпеки, що її вимагають компетентні органи згідно з цією Директивою.

(26) Якщо секторальні правові акти Союзу вимагають або передбачають стимулювання суб’єктів сповіщати про значні кіберзагрози, держави-члени також мають заохочувати обмін інформацією про значні кіберзагрози з групами CSIRT, компетентними органами або єдиними контактними пунктами згідно з цією Директивою для того, щоб забезпечити підвищений рівень обізнаності цих органів з ландшафтом кіберзагроз та надати їм можливість ефективно та своєчасно реагувати у разі матеріалізації значних кіберзагроз.

(27) Майбутні секторальні правові акти Союзу мають належним чином враховувати означення та наглядові й правозастосовні рамки, викладені у цій Директиві.

(28) Регламент Європейського Парламенту і Ради (ЄС) 2022/2554 (- 10) потрібно вважати секторальним правовим актом Союзу з точки зору цієї Директиви у тому, що стосується фінансових суб’єктів. Положення Регламенту (ЄС) 2022/2554, що стосуються управління ризиками інформаційно-комунікаційних технологій (ІКТ), управління ризиками, пов’язаними з ІКТ, і, зокрема, звітування про значні інциденти, пов’язані з ІКТ, а також щодо тестування цифрової операційної стійкості, домовленостей про обмін інформацією та сторонні ризики ІКТ, має бути застосовано замість положень, передбачених цією Директивою. Таким чином держави-члени не мають застосовувати положення цієї Директиви про зобов’язання щодо управління ризиками кібербезпеки та звітування, та нагляд і забезпечення виконання до фінансових суб’єктів, які підпадають під дію Регламенту (ЄС) 2022/2554. Водночас важливо підтримувати міцні зв’язки і обмін інформацією з фінансовим сектором згідно з цією Директивою. З цією метою Регламент (ЄС) 2022/2554 дозволяє європейським наглядовим органам і компетентним органам згідно зі вказаним Регламентом брати участь у роботі Групи співпраці та обмінюватися інформацією і співпрацювати з єдиними контактними пунктами, а також із групами CSIRT і компетентними органами згідно з цією Директивою. Компетентні органи згідно з Регламентом (ЄС) 2022/2554 також мають передавати деталі основних інцидентів, пов’язаних із ІКТ, та, якщо доцільно, значних кіберзагроз групам CSIRT, компетентним органам або єдиним контактним пунктам згідно з цією Директивою. Цього можна досягти, надавши безпосередній доступ до сповіщень про інциденти і пересилаючи їх безпосередньо або через систему "єдиного вікна". До того ж, держави-члени мають і надалі включати фінансовий сектор у свої стратегії кібербезпеки, а діяльність груп CSIRT може охоплювати фінансовий сектор.

(29) Щоб уникнути прогалин або дублювання зобов’язань із кібербезпеки, покладених на суб’єкти в авіаційному секторі, національні органи згідно з Регламентами Європейського Парламенту і Ради (ЄС) № 300/2008 (- 11) та (ЄС) 2018/1139 (- 12) та компетентні органи згідно з цією Директивою мають співпрацювати у напрямку імплементації пов’язаних із кібербезпекою заходів управління ризиками і нагляду за відповідністю цих заходів на національному рівні. Відповідність того чи іншого суб’єкта вимогам до безпеки, встановленим у Регламентах (ЄС) № 300/2008 та (ЄС) 2018/1139 та у відповідних делегованих та імплементаційних актах, ухвалених на виконання цих Регламентів, компетентні органи згідно з цією Директивою можуть вважати такою, що відповідає відповідним вимогам, встановленим у цій Директиві.

(30) З огляду на взаємозв’язки між кібербезпекою та фізичною безпекою суб’єктів, потрібно забезпечити узгоджений підхід між Директивою Європейського Парламенту і Ради (ЄС) 2022/2557 (- 13) і цією Директивою. Для досягнення цього суб’єкти, визначені критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557, потрібно вважати ключовими суб’єктами згідно з цією Директивою. Крім того, кожна держава-член має забезпечити, щоб національна стратегія кібербезпеки передбачала політичні рамки для посиленої координації всередині цієї держави-члена між її компетентними органами згідно з цією Директивою та компетентними органами згідно з Директивою (ЄС) 2022/2557 у контексті обміну інформацією щодо ризиків, кіберзагроз та інцидентів, а також ризиків, що не відносяться до ризиків у сфері кібербезпеки, загроз та інцидентів та виконання наглядових завдань. Компетентним органам згідно з цією Директивою та компетентним органам згідно з Директивою (ЄС) 2022/2557 потрібно співпрацювати та обмінюватися інформацією без невиправданої затримки, зокрема стосовно ідентифікації критично важливих суб’єктів, ризиків, кіберзагроз та інцидентів, а також ризиків, що не відносяться до ризиків у сфері кібербезпеки, загроз та інцидентів, що впливають на критично важливі суб’єкти, у тому числі заходів у сфері кібербезпеки і фізичних заходів, вжитих критично важливими суб’єктами, а також результатів наглядової діяльності, здійснюваної стосовно таких суб’єктів.

Більше того, для спрощення наглядової діяльності між компетентними органами згідно з цією Директивою і компетентними органами згідно з Директивою (ЄС) 2022/2557 та для мінімізації адміністративного тягаря для відповідних суб’єктів ці компетентні органи мають докладати зусиль для гармонізації шаблонів сповіщень про інциденти та наглядових процесів. У відповідних випадках, компетентні органи згідно з Директивою (ЄС) 2022/2557 мають бути здатними вимагати від компетентних органів згідно з цією Директивою виконувати свої повноваження з нагляду та забезпечення виконання щодо суб’єкта, визначеного критично важливим суб’єктом згідно з Директивою (ЄС) 2022/2557. Компетентні органи згідно з цією Директивою та компетентні органи згідно з Директивою (ЄС) 2022/2557 мають, по можливості в реальному часі, співпрацювати та обмінюватися інформацією з цією метою.

(31) Суб’єкти, що належать до сектора цифрової інфраструктури, по суті базуються на мережевих та інформаційних системах, тож зобов’язання, покладені на ці суб’єкти відповідно до цієї Директиви, мають бути спрямовані на комплексне забезпечення фізичної захищеності таких систем у рамках заходів управлення ризиками і обов’язків щодо звітування у сфері кібербезпеки. Оскільки ці питання охоплено цією Директивою, зобов’язання, встановлені в главах III, IV та VI Директиви (ЄС) 2022/2557, не застосовуються до таких суб’єктів.

(32) Підтримання та збереження надійної, стійкої та захищеної системи доменних імен (DNS) є ключовими факторами у забезпеченні цілісності інтернету та мають вирішальне значення для його безперервної та стабільної роботи, від якої залежать цифрова економіка та суспільство. Тому ця Директива не має застосовуватися до реєстру доменних імен верхнього рівня (TLD) та надавачів послуг DNS, що їх слід розуміти як суб’єктів, які надають загальнодоступні послуги розпізнавання рекурсивних доменних імен для кінцевих користувачів мережі Інтернет або послуги авторитативного розпізнавання доменних імен для використання третіми сторонами. Ця Директива не має застосовуватися до серверів кореневих імен.

(33) Послуги хмарних обчислень мають охоплювати цифрові послуги, які уможливлюють адміністрування за запитом і широкий віддалений доступ до масштабовного та еластичного пулу обчислювальних ресурсів спільного користування, в тому числі там, де такі ресурси розподілено по декількох локаціях. Обчислювальні ресурси включають такі ресурси як мережі, сервери або іншу інфраструктуру, операційні системи, програмне забезпечення, сховища, застосунки та сервіси. Моделі послуг хмарних обчислень включають, між іншим, інфраструктуру як послугу (IaaS), платформу як послугу (PaaS), програмне забезпечення як послугу (SaaS) та мережу як послугу (NaaS). Моделі розгортання хмарних обчислень мають включати приватні, громадські, публічні та гібридні хмари. Моделі послуг і розгортання хмарних обчислень мають те саме значення, що й терміни "моделі послуг і розгортання", визначені згідно зі стандартом ISO/IEC 17788:2014. Спроможність користувача хмарних послуг в односторонньому порядку забезпечувати себе обчислювальними спроможностями, такими як серверний час або мережеве сховище, без жодного людського втручання з боку надавача послуг хмарних обчислень можна описати як адміністрування за запитом.

Термін "широкий віддалений доступ" використовують для опису надання хмарних спроможностей через мережу і доступу до них через механізми, які сприяють використанню гетерогенних тонких або товстих клієнтських платформ, у тому числі мобільних телефонів, планшетів, ноутбуків і робочих станцій. Термін "масштабовний" означає, що надавач хмарної послуги гнучко розподілив обчислювальні ресурси незалежно від географічного розташування ресурсів для того, щоб справлятися з коливаннями попиту. Термін "еластичний пул" використовують для опису таких обчислювальних ресурсів, які було введено в дію та дозволено до використання відповідно до попиту, щоби швидко збільшувати та зменшувати доступні ресурси залежно від навантаження. Термін "спільного користування" використовують для опису обчислювальних ресурсів, котрі надаються багатьом користувачам зі спільним доступом до послуги, але опрацювання здійснюється для кожного користувача окремо, хоча послуга надається з одного й того самого електронного обладнання. Термін "розподілений" використовують для опису обчислювальних ресурсів, які розташовані на різних комп’ютерах або пристроях, об’єднаних у мережу, і які комунікують або координують роботу між собою шляхом передачі повідомлень.

(34) З огляду на виникнення інноваційних технологій і нових бізнес-моделей очікується поява на внутрішньому ринку нових моделей послуг і розгортання хмарних обчислень у відповідь на розвиток потреб споживачів. У цьому контексті послуги хмарних обчислень можуть надаватися у сильно розподіленій формі, ще ближче до місць формування або збору даних, переходячи таким чином від традиційної моделі до високорозподіленої (периферійні обчислення).

(35) Послуги, що їх надають надавачі послуг центру обробки даних, не завжди можуть бути надані у вигляді послуг хмарних обчислень. Відповідно, центри обробки даних не завжди є частиною інфраструктури хмарних обчислень. Для управління усіма ризиками які загрожують безпеці мережевих та інформаційних систем, ця Директива має таким чином охоплювати надавачів послуг центру обробки даних, які не є послугами хмарних обчислень. Для цілей цієї Директиви термін "послуга центру обробки даних" має поширюватися на надання сервісу, який охоплює структури чи групи структур, призначені для централізованого розміщення, взаємоз’єднання та експлуатації інформаційно-технологічного (IT) та мережевого обладнання, що забезпечує надання послуг зберігання, обробки та транспортування даних, разом з усіма потужностями та інфраструктурою для енергорозподілу та екологічного контролю. Термін "послуга центру обробки даних" не має стосуватися внутрішніх корпоративних центрів обробки даних, якими володіє та які експлуатує відповідний суб’єкт для власних цілей.

(36) Дослідницька діяльність відіграє ключову роль у розробці нових продуктів і процесів. В багатьох випадках цю діяльність здійснюють суб’єкти, які надають, розповсюджують або використовують результати своїх досліджень у комерційних цілях. Таким чином, ці суб’єкти можуть бути важливими гравцями в ланцюгах створення вартості, що робить безпеку їхніх мережевих та інформаційних систем невід’ємною частиною загальної кібербезпеки внутрішнього ринку. Науково-дослідні організації потрібно розуміти як такі, до яких належать суб’єкти, котрі зосереджують суттєву частку своєї діяльності на веденні прикладних досліджень або експериментальних розробках у розумінні видання "Посібник Фраскаті 2015: Настанови щодо збирання та повідомлення даних досліджень і експериментальних розробок" Організації економічного співробітництва та розвитку з наміром скористатися їхніми результатами в комерційних цілях, таких як виробництво чи розробка продукту чи процесу, надання послуги або ж реалізацію на їх ринку.

(37) Зростання взаємозалежностей є результатом все більш транскордонної та взаємозалежної мережі надання послуг із використанням ключової інфраструктури по всій території Союзу в таких секторах як енергетика, транспорт, цифрова інфраструктура, постачання питної води та водовідведення, охорона здоров’я, певні аспекти публічної адміністрації, а також космос, якщо це стосуються надання певних послуг залежить від наземної інфраструктури, якою володіють, керують і оперують держави-члени чи приватні структури, і таким чином не стосується інфраструктури, якою володіє, керує чи оперує Союз або від його імені у рамках його космічної програми. Ці взаємозалежності означають, що будь-який збій, навіть початково обмежений одним суб’єктом чи одним сектором, може мати ширший каскадний вплив, потенційно призводячи до далекосяжних і довготривалих негативних наслідків у постачанні послуг по всьому внутрішньому ринку. Кібератаки, інтенсивність яких зросла під час пандемії COVID-19, продемонстрували вразливість усе більш взаємозалежних суспільств перед малоймовірними ризиками.

(38) З огляду на відмінності в структурах національного врядування та для захисту вже наявних секторальних домовленостей або наглядових і регуляторних органів Союзу, держави-члени мають бути здатними призначити чи створити один або більше компетентних органів, відповідальних за кібербезпеку та за виконання наглядових завдань відповідно до цієї Директиви.

(39) Для сприяння транскордонній співпраці та комунікації між органами влади, та для того, щоб уможливити результативну імплементацію цієї Директиви, необхідно, щоб кожна держава-член призначила єдиний контактний пункт, відповідальний за координацію питань, пов’язаних із безпекою мережевих та інформаційних систем та транскордонною співпрацею на рівні Союзу.

(40) Єдині контактні пункти мають забезпечувати дієву транскордонну співпрацю з відповідними органами інших держав-членів і, у відповідних випадках, з Комісією та ENISA. Таким чином, єдиним контактним пунктам має бути поставлено завдання пересилати сповіщення про значні інциденти з транскордонними наслідками єдиним контактним пунктам інших держав-членів, які зазнають цих наслідків на запит групи CSIRT або компетентного органу. На національному рівні єдиний контактний пункт має уможливлювати плавну міжсекторальну співпрацю з іншими компетентними органами. Єдині контактні пункти також можуть бути адресатами релевантної інформації про інциденти, що стосуються фінансових суб’єктів, від компетентних органів згідно з Регламентом (ЄС) 2022/2554, яку вони мають бути здатні передавати, у відповідних випадках, групам CSIRT або компетентним органам згідно з цією Директивою.

(41) Держави-члени повинні бути належним чином оснащені, з точки зору як технічних, так і організаційних спроможностей, для запобігання, виявлення, реагування на інциденти та ризики і пом’якшення їхніх наслідків. Тому держави-члени мають створити чи призначити одну або декілька груп CSIRT згідно з цією Директивою та забезпечити наявність у них відповідних ресурсів і технічних спроможностей. Групи CSIRT мають відповідати вимогам, встановленим у цій Директиві, для гарантування результативних і сумісних спроможностей, щоб працювати з інцидентами та ризиками і забезпечувати ефективну співпрацю на рівні Союзу. Держави-члени мають бути здатними призначати групами CSIRT наявні групи реагування на комп’ютерні надзвичайні ситуації (CERT). Для розбудови довірчих відносин між суб’єктами і групами CSIRT, якщо CSIRT є частиною компетентного органу, держава-член має бути здатна розглянути доцільність фінансового відокремлення оперативних завдань, виконуваних групами CSIRT, зокрема стосовно обміну інформацією та надання допомоги суб’єктам, від наглядової діяльності компетентних органів.

(42) Завданням груп CSIRT є врегулювання інцидентів. Це передбачає опрацювання великих обсягів подекуди чутливих даних. Держави-члени мають забезпечити, щоб у груп CSIRT була інфраструктура для обміну і опрацювання інформації, а також добре оснащений персонал, що забезпечує конфіденційність і благонадійність їхніх операцій. У цьому зв’язку групи CSIRT можуть також застосовувати кодекси поведінки.

(43) Стосовно персональних даних, групи CSIRT мають бути здатні забезпечити, відповідно до Регламенту (ЄС) 2016/679, на вимогу основного чи важливого суб’єкта, проактивне сканування мережевих та інформаційних систем, використовуваних для надання послуг цього суб’єкта. Де це застосовно, державам-членам потрібно прагнути забезпечити однаковий рівень технічних спроможностей для всіх секторальних груп CSIRT. Держави-члени мають бути здатні вимагати допомоги ENISA у розвитку своїх груп CSIRT.

(44) Групам CSIRT потрібно мати змогу, на вимогу основного чи важливого суб’єкта, здійснювати моніторинг інтернет-орієнтованих активів суб’єкта як у межах, так і поза межами його приміщень, щоб виявляти, розуміти і керувати загальними організаційними ризиками суб’єкта щодо нововиявлених компрометацій чи критичних вразливостей ланцюжків постачання. Суб’єкта потрібно заохочувати повідомляти CSIRT, чи працює він у інтерфейсі управління з привілейованим доступом, оскільки це може впливати на швидкість вжиття пом’якшувальних заходів.

(45) З огляду на важливість міжнародної співпраці в сфері кібербезпеки, групи CSIRT мають бути здатні брати участь у мережах міжнародної співпраці на додачу до мережі CSIRT, запровадженої цією Директивою. Таким чином, з метою виконання своїх завдань групам CSIRT і компетентним органам потрібно мати змогу обмінюватися інформацією, в тому числі персональними даними, з національними групами реагування на інциденти комп’ютерної безпеки або компетентними органами третіх країн за умови дотримання умов, передбачених правом Союзу в сфері захисту даних щодо передачі персональних даних третім країнам, зокрема статті 49 Регламенту (ЄС) 2016/679.

(46) Важливе значення має забезпечення належних ресурсів, щоб досягти цілей цієї Директиви та надати компетентним органам і групам CSIRT можливості виконувати встановлені нею завдання. Держави-члени можуть на національному рівні запровадити механізм фінансування для покриття необхідних видатків, пов’язаних зі здійсненням функцій публічних суб’єктів, відповідальних за кібербезпеку в країні-члені відповідно до цієї Директиви. Такий механізм має відповідати праву Союзу і має бути пропорційним і недискримінаційним і має враховувати різні підходи до надання захищених послуг.

(47) Мережа CSIRT має і надалі допомагати зміцненню повної довіри та сприяти швидкій і дієвій оперативній співпраці між державами-членами. З метою вдосконалення оперативної співпраці на рівні Союзу мережа CSIRT має розглянути доцільність запрошення органів і агентств Союзу, задіяних у політиці в сфері кібербезпеки, таких як Європол, до участі в її роботі.

(48) З метою досягнення і підтримання високого рівня кібербезпеки національні стратегії кібербезпеки, передбачені цією Директивою, мають містити узгоджені рамки, що забезпечують стратегічні цілі та пріоритети у сфері кібербезпеки, та врядування, спрямоване на їх досягнення. Ці стратегії можуть складатися з одного або більше законодавчих чи незаконодавчих інструментів.

(49) Політики щодо кібергігієни закладають підвалини для захисту інфраструктури мережевих та інформаційних систем, безпеки апаратного, програмного забезпечення та онлайн-застосунків, та даних бізнесу чи кінцевих користувачів, на які посилаються суб’єкти. Політики щодо кібергігієни, які містять спільний базовий набір практик, у тому числі оновлення програмного та апаратного забезпечення, зміну паролів, керування новими інсталяціями, обмеження облікових записів із адміністративним рівнем доступу та резервування даних, формують проактивні рамки готовності, загальної безпеки та захищеності на випадок інцидентів або кіберзагроз. ENISA має здійснювати моніторинг і аналіз політик держав-членів щодо кібергігієни.

(50) Обізнаність щодо кібербезпеки та кібергігієна мають істотне значення для підвищення рівня кібербезпеки на території Союзу, зокрема з огляду на зростання кількості під’єднаних пристроїв, які все частіше використовуються у кібератаках. Потрібно докладати зусиль для поліпшення загальної обізнаності щодо ризиків, пов’язаних із такими пристроями, тоді як проведення відповідних оцінювань на рівні Союзу може допомогти забезпечити спільне розуміння таких ризиків на внутрішньому ринку.

(51) Держави-члени мають заохочувати використання будь-яких інноваційних технологій, у тому числі штучного інтелекту, використання якого може поліпшити виявлення кібератак і запобігання їм, уможливлюючи більш дієве спрямування ресурсів на протидію кібератакам. Тому держави-члени у своїй діяльності в сфері досліджень і розробок у рамках національних стратегій кібербезпеки мають сприяти використанню таких технологій, зокрема тих, що стосуються автоматизованих або напівавтоматизованих інструментів кібербезпеки, та, у відповідних випадках, обміну даними, необхідними для навчання користувачів кожної такої технології та її вдосконалення. Використання будь-яких інноваційних технологій, у тому числі штучного інтелекту, має відповідати праву Союзу у сфері захисту даних, у тому числі принципам захисту даних щодо точності даних, мінімізації даних, чесності та прозорості, а також безпеки даних, зокрема передових методів шифрування. Вимоги щодо захисту даних за призначенням і за замовчуванням, встановлені в Регламенті (ЄС) 2016/679, мають бути застосовані в повному обсязі.

(52) Інструменти кібербезпеки і застосунки з відкритим вихідним кодом можуть посприяти підвищенню рівня відкритості та можуть позитивно вплинути на ефективність промислових інновацій. Відкриті стандарти полегшують інтероперабельність інструментів безпеки, приносячи користь промисловим стейкхолдерам. Інструменти кібербезпеки і застосунки з відкритим вихідним кодом можуть залучати ширшу спільноту розробників, створюючи можливості для диверсифікації постачальників. Відкритий вихідний код може призвести до прозорішого процесу верифікації інструментів, що стосуються кібербезпеки, і керованого спільнотою процесу виявлення вразливостей. Тому держави-члени мають бути здатні стимулювати використання програмного забезпечення з відкритим вихідним кодом та відкритих стандартів шляхом впровадження політик, що стосуються використання відкритих даних та відкритих джерел, як частини безпеки через прозорість. Політики, що стимулюють запровадження і стале використання інструментів кібербезпеки з відкритим вихідним кодом, є особливо важливими для малих і середніх підприємств, що стикаються зі значними витратами на імплементацію, які можливо мінімізувати шляхом зниження потреб у конкретних застосунках або інструментах.

(53) Комунальні служби в містах усе тісніше поєднуються з цифровими мережами з метою поліпшення міських транспортних мереж, модернізації об’єктів водопостачання та водовідведення і підвищення ефективності освітлення та опалення будівель. Ці цифровізовані комунальні служби вразливі до кібератак і ризикують, у випадку успішної кібератаки, завдати громадянам масштабної шкоди внаслідок своєї взаємопов’язаності. Держави-члени мають розробити політику, яка регулює розвиток таких з’єднаних або розумних міст та їхній потенційний вплив на суспільство, у рамках національної стратегії кібербезпеки.

(54) В останні роки Союз зіткнувся з експоненційним зростанням кількості атак із застосуванням програм-вимагачів, коли шкідливе програмне забезпечення шифрує дані та системи і вимагає сплатити викуп за відновлення доступу. Зростання частоти та серйозності атак із застосуванням програм-вимагачів може бути зумовлене кількома факторами, такими як різні закономірності атак, злочинні бізнес-моделі, побудовані навколо "програми-вимагача як послуги" та криптовалют, вимоги викупу і ріст числа атак на ланцюжки постачання. Держави-члени мають розробити політику, яка вирішує проблему зростання кількості атак із застосуванням програм-вимагачів, у рамках національної стратегії кібербезпеки.

(55) Публічно-приватні партнерства (ППП) у сфері кібербезпеки можуть закласти належні рамки для обміну знаннями та найкращими практиками, а також для встановлення спільного рівня розуміння серед стейкхолдерів. Держави-члени мають просувати політики, які закладають основи для створення ППП у сфері кібербезпеки. Ці політики мають чітко визначати, з-поміж іншого, сферу застосування та залучених стейкхолдерів, модель урядування, наявні варіанти фінансування та взаємодію між стейкхолдерами-учасниками з точки зору ППП. ППП можуть використовувати експертні знання приватного сектора, щоб допомагати компетентним органам у розробці найсучасніших послуг і процесів, включно з обміном інформацією, ранніми попередженнями, навчальними тренуваннями з протидії кіберзагрозам та інцидентам, кризовим управлінням та плануванням стійкості.

(56) У своїх національних стратегіях кібербезпеки держави-члени мають вирішувати конкретні потреби у сфері кібербезпеки малих і середніх підприємств. Малі та середні підприємства на території Союзу репрезентують великий відсоток промислового та ділового ринку, і часто їм буває тяжко пристосуватися до нових практик ведення бізнесу в більш взаємозв'язаному світі та до цифрового середовища, де співробітники працюють з дому, а справи все більше ведуться онлайн. Деякі малі та середні підприємства стикаються зі специфічними викликами у сфері кібербезпеки, зокрема з низькою обізнаністю у сфері кібезпеки, відсутністю дистанційної ІТ-безпеки, високою вартістю рішень у сфері кібербезпеки і підвищеним рівнем загроз на кшталт програм-вимагачів, для яких їм потрібно отримувати інструкції та допомогу. Малі та середні підприємства все частіше стають мішенями атак на ланцюжки постачання у зв’язку з менш жорсткими заходами управління ризиками кібербезпеки і керування атаками, а також з огляду на той факт, що вони мають обмежені безпекові ресурси. Атаки на ланцюжки постачання не лише мають вплив на малі та середні підприємства та їхні операції відособлено, але й мають каскадний ефект на більш масштабні атаки проти суб’єктів, яким вони забезпечували постачання. Держави-члени через свої національні стратегії кібербезпеки мають допомогти малим і середнім підприємствам упоратися з викликами, які стоять перед ними у ланцюжках постачання. Державам-членам потрібно мати контактний пункт для малих і середніх підприємств на національному чи регіональному рівні, котрий надає інструкції та допомогу малим і середнім підприємствам або скеровує їх до відповідних органів за інструкціями і допомогою у питаннях, пов’язаних із кібербезпекою. Державам-членам також рекомендується пропонувати такі послуги як конфігурація вебсайтів та активація журналу подій мікропідприємствам і малим підприємствам, яким бракує таких можливостей.

(57) У рамках своїх національних стратегій кібербезпеки держави-члени мають ухвалити політики щодо сприяння активному кіберзахисту як частині ширшої оборонної стратегії. На відміну від реактивного реагування, активний кіберзахист - це запобігання, виявлення, моніторинг, аналіз і мінімізація порушень мережевої безпеки активним чином у поєднанні з використанням спроможностей, розгорнутих у межах і за межами постраждалої мережі. Він може включати надання державами-членами безкоштовних послуг або інструментів, включно з самодіагностикою, інструментами виявлення та послугами вилучення, певним суб’єктам. Здатність швидко і автоматично передавати і розуміти інформацію та аналітичні дані щодо загроз, оповіщення про підозрілу кіберактивність і заходи реагування є критичною для забезпечення єдності зусиль з успішного запобігання, виявлення, протидії та блокування атак проти мережевих та інформаційних систем. Активний кіберзахист базується на оборонній стратегії, яка виключає наступальні заходи.

(58) Оскільки експлуатація вразливостей мережевих та інформаційних систем може спричинити значні збої та шкоду, оперативне виявлення та усунення таких вразливостей є важливим чинником зменшення ризику. Тому суб’єкти, які розробляють або адмініструють мережеві та інформаційні системи, мають запровадити відповідні процедури поводження з вразливостями у разі їх виявлення. Оскільки вразливості часто виявляють і розголошують треті особи, виробник або надавач продуктів ІКТ чи послуг ІКТ також має ввести в дію необхідні процедури для отримання інформації про вразливості від третіх осіб. У цьому зв’язку міжнародні стандарти ISO/IEC 30111 та ISO/IEC 29147 містять інструкції щодо поводження з вразливостями та оприлюднення інформації про вразливості. Посилення координації між фізичними та юридичними особами, що повідомляють, і виробниками чи надавачами продуктів ІКТ або послуг ІКТ є особливо важливим з метою полегшення добровільної правової основи оприлюднення інформації про вразливості. Скоординоване оприлюднення інформації про вразливості вказує на структурований процес, під час якого про вразливості повідомляють виробнику чи надавачу потенційно вразливих продуктів ІКТ або послуг ІКТ у спосіб, що дає йому змогу проводити діагностику та усувати вразливості до розкриття докладної інформації про вразливості третім сторонам або громадськості. Скоординоване оприлюднення інформації про вразливості також має включати координацію між фізичною чи юридичною особою, що повідомляє, і виробником або надавачем потенційно вразливих продуктів ІКТ або послуг ІКТ щодо строків усунення та оприлюднення вразливостей.

(59) Комісія, ENISA та держави-члени мають і надалі розвивати узгодженості з міжнародними стандартами і наявними галузевими найкращими практиками у сфері управління ризиками кібербезпеки, наприклад у сферах оцінювання безпеки ланцюгів постачання, обміну інформацією та оприлюднення інформації про вразливості.

(60) Держави-члени у співпраці з ENISA мають вживати заходів для сприяння скоординованому оприлюдненню інформації про вразливості шляхом запровадження відповідної національної політики. У рамках національної політики держави-члени мають прагнути, наскільки це можливо, вирішувати виклики, з якими стикаються дослідники вразливостей, у тому числі потенційна загроза кримінальної відповідальності відповідно до національного права. З огляду на те, що фізичні та юридичні особи, що досліджують вразливості, можуть бути притягнуті до кримінальної або цивільної відповідальності у деяких державах-членах, держав-членів заохочують ухвалювати настанови щодо відмови від кримінального переслідування дослідників інформаційної безпеки та звільнення від цивільної відповідальності за їхню діяльність.

(61) Держави-члени мають призначити одну з груп CSIRT координатором, що діє як довірений посередник між фізичними чи юридичними особами, що повідомляють, та виробниками чи надавачами продуктів ІКТ або послуг ІКТ, які можуть постраждати від вразливості, якщо необхідно. Завдання CSIRT, призначеної координатором, мають включати виявлення і звернення до відповідних суб’єктів, надання допомоги фізичним або юридичним особам, що повідомляють про вразливість, ведення переговорів щодо строків розголошення та управління вразливостями, які впливають на декілька суб’єктів (багатостороннє скоординоване оприлюднення інформації про вразливості). Якщо вразливість, про яку повідомлено, може мати значний вплив на суб’єктів більш ніж в одній державі-члені, групи CSIRT, призначені координаторами, мають співпрацювати в рамках мережі CSIRT, залежно від випадку.

(62) Доступ до достовірної та своєчасної інформації про вразливості, що впливають на продукти ІКТ і послуги ІКТ, сприяє вдосконаленню управління ризиками кібербезпеки. Джерела загальнодоступної інформації про вразливості - це важливий інструмент для суб’єктів і користувачів їхніх послуг, а також для компетентних органів та груп CSIRT. З цієї причини ENISA має створити Європейську базу даних про вразливості, за допомогою якої суб’єкти, незалежно від того, чи підпадають вони під сферу застосування цієї Директиви, та їхні постачальники мережевих та інформаційних систем, а також компетентні органи та групи CSIRT можуть на добровільних засадах розкривати і реєструвати загальновідомі вразливості з метою дозволити користувачам вживати належні пом’якшувальні заходи. Метою цієї бази даних є вирішення унікальних викликів, зумовлених ризиками для суб’єктів Союзу. Більше того, ENISA має запровадити належну процедуру для процесу оприлюднення, щоб надати суб’єктам час на вжиття пом’якшувальних заходів стосовно своїх вразливостей і застосування передових заходів управління ризиками кібербезпеки, а також машиночитні набори даних і відповідні інтерфейси. Щоб стимулювати розвиток культури розкриття інформації про вразливості, розкриття інформації не повинне мати негативних наслідків для фізичних або юридичних осіб, що її повідомляють.