(63) Хоча подібні реєстри або бази даних вразливостей існують, їх розміщують і утримують суб’єкти, засновані не в Союзі. Підтримувана ENISA Європейська база даних про вразливості забезпечила б підвищену прозорість процесу оприлюднення перед публічним розголошенням вразливості та стійкість у разі збою або перебою в наданні подібних послуг. Щоб по можливості уникнути дублювання зусиль і досягти взаємодоповнюваності, ENISA має дослідити можливість укладення угод про співпрацю з аналогічними реєстрами чи базами даних, що перебувають під юрисдикцією третіх країн. Зокрема, ENISA має дослідити можливість тісної співпраці з операторами бази даних загальновідомих вразливостей інформаційної безпеки (CVE).
(64) Група співпраці має підтримувати і сприяти стратегічній співпраці та обміну інформацією, а також посилювати довіру і взаєморозуміння між державами-членами. Група співпраці має кожні два роки запроваджувати програму роботи. Ця програма роботи має включати дії, які потрібно виконати Групі співпраці для реалізації своїх цілей і завдань. Часові рамки для запровадження першої програми роботи за цією Директивою потрібно узгодити з часовими рамками останньої програми роботи, запровадженої згідно з Директивою (ЄС) 2016/1148, щоб уникнути потенційних збоїв у роботі Групи співпраці.
(65) Під час розробки настановчих документів Група співпраці має послідовно мапувати національні рішення та досвід, оцінювати вплив результатів діяльності Групи співпраці на національні підходи, обговорювати проблеми реалізації та формулювати конкретні рекомендації, зокрема щодо сприяння узгодженню транспозиції цієї Директиви серед держав-членів, яке слід вирішувати шляхом кращої реалізації наявних правил. Група співпраці також може мапувати національні рішення, спрямовані на просування сумісності рішень у сфері кібербезпеки, застосовуваних для кожного окремого сектора на всій території Союзу. Це особливо актуально для секторів, які мають міжнародний або транскордонний характер.
(66) Група співпраці має залишатися гнучким форумом і бути здатною реагувати на зміну та появу нових політичних пріоритетів і викликів, враховуючи при цьому наявність ресурсів. Вона може організовувати спільні засідання з відповідними приватними стейкхолдерами з усього Союзу для обговорення діяльності Групи співпраці та збирання даних і пропозицій щодо нових політичних викликів. Додатково, Група співпраці має здійснювати регулярне оцінювання стану справ з кіберзагрозами чи інцидентами, такими як програми-вимагачі. Для поглиблення співпраці на рівні Союзу Група співпраці має розглянути доцільність запрошення відповідних установ, органів, офісів та агентств Союзу, причетних до політики у сфері кібербезпеки, таких як Європейський Парламент, Європол, Європейська рада із захисту даних, Агентство з безпеки польотів Європейського Союзу, засноване відповідно до Регламенту (ЄС) 2018/1139, та Агентство з реалізації космічної програми Європейського Союзу, засноване відповідно до Регламенту Європейського Парламенту і Ради (ЄС) 2021/696 (- 14), взяти участь у її роботі.
(67) Компетентні органи і групи CSIRT мають бути здатні брати участь у схемах обміну для посадових осіб із інших держав-членів у конкретних рамках і, якщо застосовно, за умови необхідного допуску посадових осіб, що беруть участь у таких схемах обміну, в системі безпеки, для покращення співпраці та зміцнення довіри між державами-членами. Компетентні органи мають вживати необхідних заходів для того, щоб надавати посадовим особам із інших держав-членів можливість відігравати дієву роль у діяльності компетентного органу чи групи CSIRT, що їх приймає.
(68) Держави-члени мають сприяти створенню Засад реагування на кризи кібербезпеки в ЄС, визначених у Рекомендації Комісії (ЄС) 2017/1584 (- 15), через наявні мережі співпраці, зокрема Європейську мережу організацій взаємодії в питаннях протидії кіберкризам (EU-CyCLONe), мережу CSIRT та Групу співпраці. EU-CyCLONe і мережа CSIRT мають співпрацювати на засадах процедурних механізмів, які визначають деталі цієї співпраці й уникають будь-якого дублювання завдань. Внутрішній регламент EU-CyCLONe має додатково визначати механізми, за рахунок яких ця мережа має функціонувати, в тому числі ролі, засоби співпраці, взаємодію з іншими відповідними суб’єктами та шаблони для обміну інформацією, а також засобів комунікації. Для управління кризами на рівні Союзу відповідні сторони мають розраховувати на механізми інтегрованого політичного реагування ЄС на кризи, передбачені Імплементаційним рішенням Ради (ЄС) 2018/1993 (- 16) (механізми IPCR). З цією метою Комісія має використовувати високорівневий міжсекторальний процес координування кризових ситуацій ARGUS. Якщо ж криза зачіпає важливий зовнішній вимір або вимір спільної безпекової та оборонної політики, потрібно активувати Механізм реагування на кризові ситуації Європейської служби зовнішніх справ (EEAS).
(69) Згідно з додатком до Рекомендації (ЄС) 2017/1584, "масштабний інцидент кібербезпеки" має означати інцидент, котрий призводить до збою такого рівня, який перевищує спроможність держави-члена реагувати на нього, або котрий має значний вплив принаймні на дві держави-члени. Залежно від причин та наслідків, масштабні інциденти кібербезпеки можуть розростатися і перетворюватися на повноцінні кризові ситуації, що не допускають належного функціонування внутрішнього ринку або становлять серйозні ризики для громадської та особистої безпеки суб’єктів чи громадян кількох держав-членів або Союзу в цілому. З огляду на широкомасштабний розмах і, в більшості випадків, транскордонний характер таких інцидентів, держави-члени та відповідні установи, органи, офіси та агентства Союзу мають співпрацювати на технічному, оперативному та політичному рівнях, щоб належним чином координувати заходи реагування на всій території Союзу.
(70) Масштабні інциденти та кризи кібербезпеки на рівні Союзу вимагають скоординованих дій для забезпечення швидкого та дієвого реагування через високий ступінь взаємозалежності між секторами та державами-членами. Наявність кіберстійких мережевих та інформаційних систем, а також доступність, конфіденційність і цілісність даних є життєво важливими для безпеки Союзу, захисту його громадян, бізнесів та інституцій від інцидентів і кіберзагроз, а також для підвищення довіри осіб і організацій до здатності Союзу розвивати і захищати глобальний, відкритий, стабільний і безпечний кіберпростір, заснований на правах людини, фундаментальних свободах, демократії та верховенстві права.
(71) EU-CyCLONe має працювати як посередник між технічним і політичним рівнем під час масштабних інцидентів кібербезпеки і має посилювати співпрацю на операційному рівні та підтримувати ухвалення рішень на політичному рівні. У співпраці з Комісією, беручи до уваги компетенцію Комісії в сфері управління кризами, EU-CyCLONe має спиратися на висновки мережі CSIRT і використовувати свої власні спроможності для створення аналітики впливу масштабних інцидентів і криз кібербезпеки.
(72) Кібератаки мають транскордонний характер, і значний інцидент може порушити і пошкодити критичну інформаційну інфраструктуру, від якої залежить безперебійне функціонування внутрішнього ринку. Рекомендація (ЄС) 2017/1584 регулює роль усіх відповідних діячів. Більше того, Комісія в рамках Механізму цивільного захисту Союзу, запровадженого Рішенням Європейського Парламенту і Ради № 1313/2013/ЄС (- 17), відповідальна за загальні заходи з готовності, в тому числі управління Координаційним центром реагування на надзвичайні ситуації та Спільною інформаційною системою екстреної комунікації, підтримання і подальший розвиток ситуаційної обізнаності та аналітичного потенціалу, а також формування та керування здатністю мобілізувати й відряджати команди експертів у разі прохання про допомогу від держави-члена чи третьої країни. Комісія також відповідальна за надання аналітичних звітів для механізмів IPCR згідно з Імплементаційним рішенням (ЄС) 2018/1993, у тому числі стосовно ситуаційної обізнаності та готовності в сфері кібербезпеки, а також за ситуаційну обізнаність і кризове реагування у сферах сільського господарства, несприятливих погодних умов, мапування і прогнозування конфліктів, систем раннього попередження про стихійні лиха, надзвичайних ситуацій у сфері охорони здоров’я, нагляду за інфекційними захворюваннями, здоров’я рослин, хімічних інцидентів, безпечності харчових продуктів і кормів, здоров’я тварин, міграції, митного контролю, ядерних і радіологічних аварійних ситуацій та енергетики.
(73) У відповідних випадках Союз може укладати міжнародні угоди, відповідно до статті 218 ДФЄС, з третіми країнами або міжнародними організаціями, що дозволяють та організовують їхню участь у певній діяльності Групи співпраці, мережі CSIRT та EU-CyCLONe. Такі угоди мають забезпечувати дотримання інтересів Союзу та належний захист даних. Це не має обмежувати права держав-членів співпрацювати з третіми країнами в питаннях управління вразливостями та управління ризиками кібербезпеки, полегшуючи звітування та загальний обмін інформацією відповідно до права Союзу.
(74) З метою сприяння дієвій імплементації цієї Директиви у питаннях, що стосуються, між іншим, управління вразливостями, заходів управління ризиками кібербезпеки, обов’язків щодо звітування та механізмів обміну інформацією щодо кібербезпеки, держави-члени можуть співпрацювати з третіми країнами та здійснювати діяльність, яка вважається відповідною цій меті, у тому числі обмін інформацією про кіберзагрози, інциденти, інструменти та методи, тактики, прийоми і процедури, готовність і відпрацювання начичок управління кризовими ситуаціями у сфері кібербезпеки, підвищення кваліфікації, розбудову довіри та структурований порядок обміну інформацією.
(75) Потрібно запровадити партнерські перевірки, щоб винести уроки зі спільного досвіду, посилити взаємну довіру та досягти високого спільного рівня кібербезпеки. Партнерські перевірки можуть надавати цінні ідеї та рекомендації, що посилюють загальні можливості у сфері кібербезпеки, формують інший функціональний шлях обміну найкращими практиками серед держав-членів і сприяють підвищенню рівнів зрілості держав-членів у сфері кібербезпеки. Більше того, партнерські перевірки мають враховувати результати схожих механізмів, таких як система партнерських перевірок мережі CSIRT, та мають додавати цінності та уникати дублювання. Імплементація партнерських перевірок не має обмежувати положень права Союзу або національного права про захист конфіденційної чи секретної інформації.
(76) Групі співпраці потрібно створити методологію самооцінки для держав-членів з метою охопити такі фактори як рівень імплементації заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки, рівень можливостей і дієвість виконання завдань компетентними органами, оперативні спроможності груп CSIRT, рівень імплементації взаємодопомоги, рівень імплементації механізмів обміну інформацією щодо стану кібербезпеки або конкретні питання транскордонного чи міжсекторального характеру. Держав-членів потрібно заохочувати до проведення самооцінок на регулярній основі та до презентації й обговорення результатів самооцінки всередині Групи співпраці.
(77) Відповідальність за забезпечення безпеки мережевих та інформаційних систем значною мірою покладено на основних і важливих суб’єктів. Необхідно просувати і розвивати культуру управління ризиками, у тому числі оцінювання ризиків та імплементацію заходів управління ризиками кібербезпеки, відповідних ризикам, що постають наразі.
(78) Заходи управління ризиками кібербезпеки мають враховувати ступінь залежності основного чи важливого суб’єкта від мережевих та інформаційних систем і включати інструменти для визначення ризиків інцидентів, для запобігання, виявлення, реагування та відновлення після інцидентів, а також пом’якшення їхніх наслідків. Безпека мережевих та інформаційних систем має включати безпеку збережених, переданих та опрацьованих даних. Заходи управління ризиками кібербезпеки мають передбачати системний аналіз із врахуванням людського фактора, щоб мати повну картину безпеки мережевої та інформаційної системи.
(79) Оскільки загрози безпеці мережевих та інформаційних систем можуть мати різне походження, заходи управління ризиками кібербезпеки мають базуватися на всеохопному підході до загроз, спрямованому на захист мережевих та інформаційних систем та фізичного середовища цих систем від таких подій як крадіжка, пожежа, повінь, збої телекомунікацій чи електропостачання або несанкційований фізичний доступ до і пошкодження або втручання в роботу інформаційних систем і засобів обробки інформації основних або важливих суб’єктів, що ставить під загрозу доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих мережевими та інформаційними системами або доступних за їх допомогою. Таким чином, заходи управління ризиками кібербезпеки мають також стосуватися фізичної та екологічної безпеки мережевих та інформаційних систем шляхом включення заходів, спрямованих на захист таких систем від системних збоїв, людської помилки, зловмисних дій або природних явищ згідно з європейськими та міжнародними стандартами, зокрема включеними до серії стандартів ISO/IEC 27000. У цьому зв’язку основним і важливим суб’єктам у рамках заходів управління ризиками кібербезпеки також потрібно вирішувати питання безпеки людських ресурсів і мати в наявності відповідні політики контролю доступу. Ці заходи мають відповідати Директиві (ЄС) 2022/2557.
(80) З метою демонстрації відповідності заходам управління ризиками кібербезпеки та за умов відсутності відповідних європейських схем сертифікації кібербезпеки, ухвалених згідно з Регламентом Європейського Парламенту і Ради (ЄС) 2019/881 (- 18), держави-члени мають, після консультацій із Групою співпраці та Європейською групою з сертифікації кібербезпеки, стимулювати використання відповідних європейських і міжнародних стандартів основними та важливими суб’єктами або можуть вимагати від суб’єктів використання сертифікованих продуктів ІКТ, послуг ІКТ і процесів ІКТ.
(81) Для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на основних і важливих суб’єктів, заходи управління ризиками кібербезпеки мають бути пропорційними ризикам, що їх зазнає відповідна мережева та інформаційна система, враховуючи сучасний стан таких заходів і, якщо застосовно, актуальні європейські та міжнародні стандарти, а також вартість їх імплементації.
(82) Заходи управління ризиками кібербезпеки мають бути пропорційними ступеню впливу ризиків на основний або важливий суб’єкт і соціально-економічним наслідкам, які матиме інцидент. Під час запровадження заходів управління ризиками кібербезпеки, адаптованих до основних і важливих суб’єктів, потрібно належним чином враховувати розбіжності у впливах ризиків на основні та важливі суб’єкти, такі як критичність суб’єкта, ризиків, у тому числі суспільних ризиків, яких він зазнає, розмір суб’єкта та ймовірність виникнення інцидентів та їхню тяжкість, у тому числі їхні соціально-економічні наслідки.
(83) Основні та важливі суб’єкти мають забезпечувати безпеку мережевих та інформаційних систем, які вони використовують у своїй діяльності. Це, в першу чергу, приватні мережеві та інформаційні системи, якими управляє внутрішній ІТ-персонал основних і важливих суб’єктів або безпеку яких забезпечують сторонні організації. Заходи управління ризиками та обов’язки щодо звітування у сфері кібербезпеки, передбачені цією Директивою, мають застосовуватися до відповідних основних і важливих суб’єктів незалежно від того, чи ці суб’єкти підтримують роботу своїх мережевих та інформаційних систем внутрішньо, чи віддають їх підтримку на підряд стороннім організаціям.
(84) Зважаючи на транскордонний характер надавачів послуг DNS, реєстрів TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, операторів електронних торговельних майданчиків, електронних пошукових систем і платформ послуг соціальних мереж, а також надавачів довірчих послуг, вони мають підпадати під високий ступінь гармонізації на рівні Союзу. Відтак, імплементацію заходів управління ризиками кібербезпеки стосовно цих суб’єктів потрібно стимулювати імплементаційним актом.
(85) Подолання ризиків, пов’язаних із ланцюгом постачання того чи іншого суб’єкта та його взаєминами з постачальниками, такими як надавачі послуг зберігання та обробки даних або надавачі керованих послуг безпеки та редактори ПЗ, є особливо важливим з огляду на поширеність інцидентів, у ході яких суб’єкти ставали жертвами кібератак, а зловмисникам вдавалося скомпрометувати безпеку мережевих та інформаційних систем суб’єкта, експлуатуючи вразливості сторонніх продуктів і послуг. Тому основні та важливі суб’єкти мають оцінювати і враховувати загальну якість і стійкість продуктів і послуг, закладені в них заходи управління ризиками кібербезпеки та кібербезпекові практики їхніх постачальників і надавачів послуг, у тому числі процедури захищеної розробки. Потрібно особливо заохочувати основних і важливих суб’єктів інкорпорувати заходи управління ризиками кібербезпеки в договірні домовленості зі своїми прямими постачальниками і надавачами послуг. Ці суб’єкти мають брати до уваги ризики, пов’язані з іншими рівнями постачальників і надавачів послуг.
(86) З-поміж надавачів послуг, особливо важливу роль у допомозі суб’єктам у їхніх зусиллях із запобігання, виявлення або усунення наслідків інцидентів відіграють надавачі керованих послуг безпеки у таких сферах як реагування на інциденти, тестування проникненням, аудит стану безпеки та консультації. Однак, самі надавачі керованих послуг безпеки також ставали цілями кібератак і внаслідок своєї тісної інтеграції в діяльність суб’єктів становлять особливий ризик. Відтак, основні та важливі суб’єкти мають вкрай сумлінно ставитися до вибору надавачів керованих послуг безпеки.
(87) Компетентні органи в контексті своїх наглядових завдань також можуть скористатися послугами у сфері кібербезпеки, такими як аудити стану безпеки, тестування проникненням або реагування на інциденти.
(88) Основні та важливі суб’єкти також мають усувати ризики, пов’язані з взаємодією та стосунками з іншими стейкхолдерами в межах ширшої екосистеми, в тому числі стосовно протидії промисловому шпіонажу та захисту комерційної таємниці. Зокрема, ці суб’єкти мають вжити належних заходів для забезпечення того, щоб їхня співпраця академічними та науково-дослідними установами узгоджувалася з їхніми політиками у сфері кібербезпеки та відповідала належним практикам щодо безпечного доступу й поширенню інформації загалом і захисту інтелектуальної власності зокрема.
Аналогічно, враховуючи важливість і цінність даних для діяльності основних і важливих суб’єктів, покладаючись на послуги перетворення даних та аналізу даних від третіх сторін, ці суб’єкти мають вживати усіх належних заходів управління ризиками кібербезпеки.
(89) Основні та важливі суб’єкти мають застосовувати увесь спектр базових практик кібергігієни, таких як принципи нульової довіри, оновлення програмного забезпечення, конфігурація пристрою, сегментація мережі, управління ідентифікацією та доступом або обізнаність користувачів, організовувати навчання для персоналу і підвищувати обізнаність щодо кіберзагроз, фішингу чи методів соціальної інженерії. Більше того, цим суб’єктам потрібно оцінити власні кібербезпекові спроможності та, у відповідних випадках, провадити інтеграцію технологій підвищення кібербезпеки на кшталт штучного інтелекту або систем машинного навчання, щоб вдосконалити свої спроможності та безпеку мережевих та інформаційних систем.
(90) Для подальшого усунення ключових ризиків ланцюгів постачання і допомоги основним і важливим суб’єктам, що здійснюють діяльність у секторах, охоплених цією Директивою, в належному управлінні ризиками, пов’язаними з ланцюгами постачання і постачальниками, Група співпраці у співпраці з ENISA і, залежно від випадку, після консультацій із відповідними, в тому числі галузевими, стейкхолдерами, має здійснювати скоординоване оцінювання ризиків безпеки критичних ланцюгів постачання, за аналогією до здійснюваних для мереж 5G на виконання Рекомендації Комісії (ЄС) 2019/534 (- 19), з метою ідентифікації актуальних загроз і вразливостей для кожного сектора, послуги ІКТ, системи ІКТ чи продукту ІКТ. Таке скоординоване оцінювання ризиків має визначати заходи, плани нейтралізації та найкращі практики протидії критичним залежностям, потенційним єдиним точкам відмови, загрозам, вразливостям та іншим ризикам, пов’язаним із ланцюгами постачання, та має досліджувати шляхи подальшого сприяння їхньому ширшому застосуванню з боку основних і важливих суб’єктів. Потенційні нетехнічні фактори ризику, такі як неналежний вплив третьої країни на постачальників і надавачів послуг, зокрема у разі альтернативних моделей управління, включають приховані вразливості або бекдори та потенційні системні перебої постачання, зокрема у разі технологічного блокування або залежності від одного провайдера.
(91) Скоординоване оцінювання ризиків критичних ланцюгів постачання, зважаючи на особливості відповідного сектора, має враховувати як технічні, так і, де це є доречним, нетехнічні чинники, в тому числі визначені в Рекомендації (ЄС) 2019/534, в скоординованому оцінюванні ЄС ризиків кібербезпеки мереж 5G та в Наборі інструментів ЄС з кібербезпеки 5G, погоджених Групою співпраці. Для ідентифікації ланцюгів постачання, для яких потрібно застосувати скоординоване оцінювання ризиків, потрібно враховувати такі критерії: (i) інтенсивність використання та ступінь залежності основних і важливих суб’єктів від конкретних критичних послуг ІКТ, систем ІКТ або продуктів ІКТ; (ii) важливість конкретних критичних послуг ІКТ, систем ІКТ або продуктів ІКТ для виконання критичних або чутливих функцій, у тому числі обробки персональних даних; (iii) наявність альтернативних послуг ІКТ, систем ІКТ або продуктів ІКТ; (iv) стійкість усього ланцюга постачання послуг ІКТ, систем ІКТ або продуктів ІКТ до руйнівних подій упродовж їхнього життєвого циклу; і (v) для нових послуг ІКТ, систем ІКТ або продуктів ІКТ - їхню потенційну майбутню значущість для діяльності суб’єктів. Більше того, особливий акцент має бути зроблено на послугах ІКТ, системах ІКТ або продуктах ІКТ, які підпадають під особливі вимоги, що походять із третіх країн.
(92) Для того щоб спростити зобов’язання, покладені на постачальників електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг та надавачів довірчих послуг, та пов’язані з безпекою їхніх мережевих та інформаційних систем, а також щоб надати можливість цим суб’єктам і компетентним органам згідно з Директивою Європейського Парламенту і Ради (ЄС) 2018/1972 (- 20) і Регламентом (ЄС) № 910/2014, відповідно, скористатися нормативно-правовою базою, встановленою цією Директивою, в тому числі призначенням групи CSIRT, відповідальної за врегулювання інцидентів, участю зацікавлених компетентних органів у діяльності Групи співпраці та мережі CSIRT, ці суб’єкти мають підпадати під сферу застосування цієї Директиви. Таким чином, відповідні положення, встановлені Регламентом (ЄС) № 910/2014 і Директивою (ЄС) 2018/1972, стосовно накладання на ці типи суб’єктів вимог до безпеки та нотифікації, має бути видалено. Встановлені цією Директивою правила, що стосуються обов’язків щодо звітування, не мають обмежувати сферу застосування Регламенту (ЄС) 2016/679 та Директиви 2002/58/ЄС.
(93) Зобов’язання щодо кібербезпеки, встановлені у цій Директиві, потрібно вважати такими, що доповнюють вимоги, накладені на надавачів довірчих послуг Регламентом (ЄС) № 910/2014. Від надавачів довірчих послуг потрібно вимагати вживати усіх належних і пропорційних заходів, щоб керувати ризиками для їхніх послуг, у тому числі стосовно клієнтів і залежних третіх сторін, та повідомляти про інциденти відповідно до цієї Директиви. Такі обов’язки щодо кібербезпеки та звітування також мають стосуватися фізичного захисту надаваних послуг. Вимоги до кваліфікованих надавачів довірчих послуг, встановлені у статті 24 Регламенту (ЄС) № 910/2014, продовжують застосовуватися.
(94) Держави-члени можуть призначити на роль компетентних органів для довірчих послуг наглядові органи, визначені згідно з Регламентом (ЄС) № 910/2014, щоб забезпечити тяглість поточних практик і спиратися на знання і досвід, здобуті в ході застосування вказаного Регламенту. У такому разі компетентні органи згідно з цією Директивою мають тісно і своєчасно співпрацювати зі згаданими наглядовими органами шляхом обміну релевантною інформацією, щоб забезпечити дієвий нагляд і відповідність надавачів довірчих послуг вимогам, встановленим цією Директивою та Регламентом (ЄС) № 910/2014. Там, де це застосовно, група CSIRT чи компетентний орган за цією Директивою має негайно інформувати наглядовий орган за Регламентом (ЄС) № 910/2014 про будь-яку зафіксовану значну кіберзагрозу чи інцидент, що впливає на довірчі послуги, а також про будь-які порушення положень цієї Директиви надавачем довірчих послуг. В цілях звітування держави-члени можуть, якщо застосовно, використовувати систему "єдиного вікна", створену для досягнення уніфікованого та автоматичного звітування про інциденти як наглядовому органу за Регламентом (ЄС) № 910/2014, так і групі CSIRT або компетентному органу за цією Директивою.
(95) У відповідних випадках і для уникнення невиправданих збоїв наявні національні настанови, ухвалені з метою транспозиції правил, що стосуються заходів безпеки, встановлених у статтях 40 і 41 Директиви (ЄС) 2018/1972, потрібно враховувати при транспозиції цієї Директиви, спираючись таким чином на знання та навички, що стосуються заходів безпеки і нотифікації про інциденти, уже отримані в ході виконання Директиви (ЄС) 2018/1972. ENISA може також розробити інструкції щодо вимог до безпеки і обов’язків щодо звітування для постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, щоб прискорити гармонізацію та перехід і щоб мінімізувати збої. Держави-члени можуть призначити на роль компетентних органів для електронних комунікацій національні регуляторні органи, визначені згідно з Директивою (ЄС) 2018/1972, щоб забезпечити тяглість поточних практик і спиратися на знання і досвід, здобуті внаслідок імплементації вказаної Директиви.
(96) З огляду на зростання важливості послуг міжособистісної комунікації без використання нумерації, визначених у Директиві (ЄС) 2018/1972, необхідно забезпечити, щоб на такі послуги також поширювалися відповідні безпекові вимоги, враховуючи їхній специфічний характер і економічну важливість. У міру розширення поверхні атаки послуги міжособистісної комунікації без використання нумерації, такі як сервіси обміну повідомленнями, стають поширеними векторами атак. Зловмисники використовують платформи для комунікації та приваблення жертв до відкриття скомпрометованих вебсторінок, таким чином збільшуючи ймовірність інцидентів, пов’язаних із використанням персональних даних, та, у ширшому сенсі, безпекою мережевих та інформаційних систем. Постачальники послуг міжособистісної комунікації без використання нумерації мають забезпечувати рівень безпеки мережевих та інформаційних систем, що відповідає ризикам, які виникають. З огляду на те, що постачальники послуг міжособистісної комунікації без використання нумерації зазвичай не вдаються до фактичного контролю над передачею сигналів по мережах, ступінь ризику для таких послуг у певному сенсі може вважатися нижчим, ніж для традиційних електронних комунікаційних послуг. Те саме стосується послуг міжособистісної комунікації, визначених у Директиві (ЄС) 2018/1972, котрі використовують нумерацію і котрі не здійснюють фактичного контролю над передачею сигналів.
(97) Внутрішній ринок більш ніж будь-коли залежить від функціонування мережі інтернет. Послуги майже всіх основних і важливих суб’єктів залежні від послуг, надаваних через інтернет. Для того, щоб забезпечити безперебійне надання послуг, надаваних основними і важливими суб’єктами, важливо, щоб усі постачальники публічних електронних комунікаційних мереж мали в наявності належні заходи управління ризиками кібербезпеки та повідомляли про значні інциденти, що її стосуються. Держави-члени мають забезпечити підтримання безпеки публічних електронних комунікаційних мереж і захист своїх життєво важливих безпекових інтересів від саботажу та шпіонажу. Оскільки міжнародний зв’язок підвищує і прискорює конкурентну цифровізацію Союзу та його економіки, потрібно повідомляти про інциденти, що зачіпають підводні комунікаційні кабелі, групі CSIRT або, якщо застосовно, компетентному органу. Національна стратегія кібербезпеки має, у відповідних випадках, враховувати кібербезпеку підводних комунікаційних кабелів і включати мапування потенційних ризиків кібербезпеки та заходів їх пом’якшення, щоб забезпечити найвищий рівень їхнього захисту.
(98) Щоб гарантувати безпеку публічних електронних комунікаційних мереж і загальнодоступних електронних комунікаційних послуг, потрібно просувати використання технологій шифрування, зокрема наскрізного шифрування, а також концепцій безпеки, орієнтованих на дані, таких як картографія, сегментація, тегування, політика доступу і керування доступом, а також рішення щодо автоматизованого доступу. Там, де це необхідно, використання шифрування, зокрема наскрізного шифрування, має бути обов’язковим для постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг відповідно до принципів безпеки та приватності за замовчуванням та за призначенням для цілей цієї Директиви. Використання наскрізного шифрування має бути узгоджено з повноваженнями держав-членів щодо забезпечення захисту своїх суттєвих безпекових інтересів та громадської безпеки, а також щоби уможливити запобігання, розслідування, розкриття та переслідування кримінальних правопорушень відповідно до закону. Однак, це не має послаблювати наскрізне шифрування, яке є критичною технологією дієвого захисту даних та забезпечення приватності й захищеності комунікацій.
(99) Щоб гарантувати безпеку публічних електронних комунікаційних мереж і загальнодоступних електронних комунікаційних послуг та щоб запобігти зловживанням і маніпуляціям із ними, потрібно сприяти використанню стандартів захищеної маршрутизації, щоб забезпечити цілісність і стійкість функцій маршрутизації по всій екосистемі постачальників послуги доступу до мережі Інтернет.
(100) Щоб зберегти функціональність і цілісність мережі інтернет та щоб сприяти безпечності та стійкості DNS, відповідних стейкхолдерів, у тому числі суб’єктів приватного сектору, надавачів загальнодоступних електронних комунікаційних послуг, зокрема надавачів послуг доступу до мережі Інтернет, та провайдерів електронних пошукових систем потрібно заохочувати до запровадження стратегії диверсифікації розпізнавання DNS. Більше того, держави-члени мають заохочувати розвиток і використання публічного та захищеного європейського сервісу розпізнавання DNS.
(101) Ця Директива встановлює багатоетапний підхід до звітування про значні інциденти, щоб досягти оптимального балансу між, з одного боку, швидким повідомленням, яке допомагає зменшити потенційне розповсюдження значних інцидентів і дає змогу основним і важливим суб’єктам звернутися по допомогу, та, з іншого боку, ґрунтовним звітуванням, яке дозволяє виносити цінні висновки з окремих інцидентів і з часом поліпшує кіберстійкість окремих суб’єктів і цілих секторів. У зв’язку з цим ця Директива має включати звітування про інциденти які, згідно з первинним оцінюванням, проведеним відповідним суб’єктом, можуть призвести до серйозних збоїв у роботі сервісів або завдати фінансових втрат цьому суб’єкту чи вплинути на інших фізичних або юридичних осіб, спричинивши значну матеріальну чи нематеріальну шкоду. Таке первинне оцінювання має враховувати, з-поміж іншого, постраждалі мережеві та інформаційні системи, зокрема їхню важливість для надання суб’єктом послуг, серйозність і технічні характеристики кіберзагрози та будь-які глибинні вразливості, які вона експлуатує, а також попередній досвід суб’єкта з подібними інцидентами. Такі показники як ступінь впливу на функціонування сервісу, тривалість інциденту чи число постраждалих отримувачів або послуг можуть відігравати важливу роль у визначенні, наскільки тяжким є операційний збій сервісу.
(102) Коли основні та важливі суб’єкти дізнаються про значний інцидент, вони мають обов’язково подати раннє попередження без невиправданої затримки, але в будь-якому разі упродовж 24 годин. За цим раннім попередженням має слідувати сповіщення про інцидент. Суб’єкти, яких це стосується, мають подати сповіщення про інцидент без невиправданої затримки, але в будь-якому разі впродовж 72 годин після того, як їм стало відомо про значний інцидент, з метою, зокрема, оновлення інформації, поданої у ранньому попередженні та зазначення первинного оцінювання значного інциденту, в тому числі його тяжкості та впливу, а також, за наявності, індикаторів компрометації. Заключний звіт потрібно подати не пізніше, ніж через один місяць після сповіщення про інцидент. Раннє попередження має включати лише інформацію, необхідну, щоб дати CSIRT або, якщо застосовно, компетентному органу знати про значний інцидент і, якщо потрібно, дозволити відповідному суб’єкту звернутися по допомогу. Таке раннє попередження, якщо застосовно, має вказувати, чи є підозра, що значний інцидент викликаний незаконними чи зловмисними діями, і чи ймовірно, що він матиме транскордонні наслідки. Державам-членам потрібно забезпечити, щоб обов’язок подавати раннє попередження або наступне сповіщення про інцидент не відволікав ресурси суб’єкта, що сповіщає, від діяльності, пов’язаної з врегулюванням інцидентів, якій має бути надано пріоритет, щоб запобігти відволіканню ресурсів на обов’язки щодо звітування про інциденти від реагування на значні інциденти або компрометуванню зусиль суб’єкта у цьому напрямку будь-яким іншим чином. Якщо на момент подання заключного звіту інцидент усе ще триває, держави-члени мають забезпечити, щоб суб’єкти, яких це стосується, надали звіт про поточний стан у цей термін, а заключний звіт - впродовж одного місяця опрацювання ними значного інциденту.
(103) Якщо застосовно, основні та важливі суб’єкти мають без невиправданої затримки повідомляти отримувачам своїх послуг про будь-які заходи чи засоби захисту, які вони можуть вжити для пом’якшення ризиків, викликаних значною кіберзагрозою. Ці суб’єкти, у відповідних випадках і зокрема за ймовірності реалізації значної кіберзагрози, також мають інформувати отримувачів послуг про саму загрозу. Вимогу інформування цих отримувачів про значні кіберзагрози має бути задоволено з максимальною ефективністю, але не має звільняти ці суб’єкти від обов’язку вживати, власним коштом, належних і негайних заходів для запобігання чи усунення наслідків таких загроз і відновлення нормального рівня безпеки сервісу. Надання такої інформації про значні кіберзагрози отримувачам послуг має бути безкоштовним і сформульованим легко зрозумілою мовою.
(104) Постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг мають реалізувати безпеку за замовчуванням та за призначенням та інформувати отримувачів їхніх послуг про значні кіберзагрози і про заходи, яких вони можуть вжити, щоб забезпечити захист своїх пристроїв та комунікацій, наприклад шляхом використання специфічних типів програмного забезпечення чи технологій шифрування.
(105) Проактивний підхід до кіберзагроз - це життєво важливий компонент управління ризиками кібербезпеки, який має надавати змогу компетентним органам результативно запобігати реалізації кіберзагроз у вигляді інцидентів, які можуть спричинити матеріальну чи нематеріальну шкоду. Надзвичайно важливе значення для цього має сповіщення про кіберзагрози. З цією метою суб’єктів спонукають добровільно повідомляти про кіберзагрози.
(106) Щоб спростити надання інформації, необхідної згідно з цією Директивою, а також щоб зменшити адміністративний тягар для суб’єктів, державам-членам потрібно забезпечити технічні засоби, такі як "єдине вікно", автоматизовані системи, онлайн-форми, зручні для користувача інтерфейси, шаблони, виділені платформи для використання суб’єктами, незалежно від того, чи підпадають вони під сферу застосування цієї Директиви, щоб подавати релевантну інформацію для звітування. Фінансування Союзу на підтримку імплементації цієї Директиви, зокрема у рамках програми "Цифрова Європа", запровадженої Регламентом Європейського Парламенту і Ради (ЄС) 2021/694 (- 21), може включати підтримку для точок "єдиного вікна". Більше того, суб’єкти часто перебувають у ситуації, коли про той чи інший інцидент, через його особливості, необхідно повідомляти різним органам як наслідок нотифікаційних обов’язків, передбачених різними правовими інструментами. Такі випадки створюють додатковий адміністративний тягар і можуть також призвести до невизначеностей стосовно формату і процедур таких сповіщень. Там, де запроваджено систему "єдиного вікна", держави-члени також спонукають використовувати цю систему "єдиного вікна" для сповіщень про інциденти безпеки, передбачених іншими правовими документами Союзу, такими як Регламент (ЄС) 2016/679 і Директива 2002/58/ЄС. Використання такої системи "єдиного вікна" для звітування про інциденти безпеки згідно з Регламентом (ЄС) 2016/679 і Директивою 2002/58/ЄС не має впливати на застосування положень Регламенту (ЄС) 2016/679 і Директиви 2002/58/ЄС, зокрема тих, що стосуються незалежності органів, вказаних у них. ENISA у співпраці з Групою співпраці має розробити спільні шаблони сповіщень з допомогою настанов, щоб спростити і оптимізувати інформацію для звітування згідно з правом Союзу та зменшити адміністративний тягар для суб’єктів, що звітують.
(107) У разі підозри, що інцидент пов’язаний із серйозною злочинною діяльністю відповідно до національного права або права Союзу, держави-члени мають заохочувати основних і важливих суб’єктів, на підставі застосовних кримінально-процесуальних норм права Союзу, повідомляти відповідним правоохоронним органам про інциденти, щодо серйозного злочинного характеру яких виникає підозра. У відповідних випадках і без обмеження правил захисту персональних даних, застосовуваних до діяльності Європолу, бажано, щоб координації компетентних органів та правоохоронних органів різних держав-членів сприяли Європейський центр боротьби з кіберзлочинністю (ЕСЗ) та ENISA.
(108) У багатьох випадках персональні дані викрадають у результаті інцидентів. У цьому контексті компетентні органи мають співпрацювати і обмінюватися інформацією щодо всіх релевантних питань з органами, вказаними в Регламенті (ЄС) 2016/679 та Директиві 2002/58/ЄС.
(109) Ведення достовірних і вичерпних баз даних реєстрації доменних імен (даних WHOIS) і надання законного доступу до таких даних має важливе значення для забезпечення захищеності, стабільності та стійкості DNS, яка в свою чергу сприяє підвищенню спільного рівня кібербезпеки на всій території Союзу. Із цією конкретною метою потрібно зобов’язати реєстри TLD-імен і суб’єктів надання послуг реєстрації доменних імен обробляти певні дані, необхідні для досягнення цієї мети. Така обробка має становити правове зобов’язання у розумінні пункту (c) статті 6 (1) Регламенту (ЄС) 2016/679. Це зобов’язання не обмежує можливості збирати дані реєстрації доменних імен для інших цілей, наприклад на підставі договірних домовленостей або правових вимог, встановлених іншими актами національного права або права Союзу. Це зобов’язання має на меті забезпечити вичерпний і достовірний набір реєстраційних даних і не має призводити до кількаразового збирання одних і тих самих даних. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають співпрацювати одне з одним, щоб уникнути дублювання цього завдання.
(110) Наявність і своєчасна доступність даних реєстрації доменних імен для легітимних запитувачів доступу є вкрай важливими для запобігання і протидії зловживанням DNS, а також для запобігання, виявлення і реагування на інциденти. Під легітимними запитувачами доступу слід розуміти будь-яких фізичних або юридичних осіб, які роблять відповідний запит згідно з національним правом або правом Союзу. До них можуть належати органи, які є компетентними згідно з цією Директивою, і органи, які є компетентними згідно з правом Союзу чи національним правом у сфері запобігання, розслідування чи притягнення до відповідальності за скоєння кримінальних правопорушень, а також групи CERT або CSIRT. Потрібно зобов’язати реєстри TLD-імен і суб’єктів надання послуг реєстрації доменних імен уможливити законний доступ до конкретних даних реєстрації доменних імен, які необхідні для цілей запиту на отримання доступу, легітимним запитувачам доступу згідно з правом Союзу чи національним правом. Запит легітимних запитувачів доступу має супроводжуватися обґрунтуванням причин, які дозволяють оцінити необхідність доступу до цих даних.
(111) Щоб забезпечити наявність достовірних і вичерпних даних реєстрації доменних імен, реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають збирати і гарантувати цілісність і доступність даних реєстрації доменних імен. Зокрема, реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають запровадити політики і процедури збирання і утримання достовірних і вичерпних даних реєстрації доменних імен, а також не допускати і коригувати неточні реєстраційні дані у відповідності з правом Союзу щодо захисту даних. Ці політики і процедури мають, наскільки можливо, враховувати стандарти, розроблені багатосторонніми структурами врядування на міжнародному рівні. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають ухвалити та імплементувати пропорційні процедури для верифікації даних реєстрації доменних імен. Ці процедури мають відображати найкращі практики, застосовувані в цій галузі, й, наскільки можливо, прогрес, досягнутий у сфері електронної ідентифікації. Приклади процедур верифікації можуть включати заходи контролю ex ante, здійснювані під час реєстрації, та заходи контролю ex post, здійснювані після реєстрації. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають, зокрема, верифікувати щонайменше один засіб зв’язку з реєстрантом.
(112) Потрібно зобов’язати реєстри TLD-імен і суб’єктів надання послуг реєстрації доменних імен оприлюднювати наявні дані реєстрації доменних імен, які не підпадають під сферу застосування права Союзу щодо захисту даних, такі як дані стосовно юридичних осіб, згідно з преамбулою Регламенту (ЄС) 2016/679. Щодо юридичних осіб, реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають оприлюднювати щонайменше назву реєстранта і контактний номер телефону. Також потрібно публікувати контактну адресу електронної пошти за умови, що вона не містить жодних персональних даних, таких як у разі поштових псевдонімів або функціональних облікових записів. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен також мають уможливити законний доступ до конкретних даних реєстрації доменних імен, які стосуються фізичних осіб, легітимним запитувачам доступу згідно з правом Союзу щодо захисту даних. Держави-члени мають вимагати від реєстрів TLD-імен і суб’єктів надання послуг реєстрації доменних імен реагування без невиправданої затримки на запити щодо розкриття даних реєстрації доменних імен від легітимних запитувачів доступу. Реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен мають запровадити політики і процедури публікації та розкриття реєстраційних даних, у тому числі угод про рівень обслуговування для роботи з запитами на отримання доступу від легітимних запитувачів доступу. Ці політики і процедури мають, наскільки можливо, враховувати будь-які настанови і стандарти, розроблені багатосторонніми структурами врядування на міжнародному рівні. Процедура доступу може включати використання інтерфейсу, порталу чи іншого технічного інструменту для забезпечення ефективної системи запитів та отримання доступу до реєстраційних даних. З метою просування гармонізованих практик по всьому внутрішньому ринку Комісія може, без обмеження компетенцій Європейської ради із захисту даних, надавати настанови стосовно таких процедур, які враховують, наскільки можливо, стандарти, розроблені багатосторонніми структурами врядування на міжнародному рівні. Держави-члени мають забезпечити, щоб усі типи доступу до особистих і неособистих даних реєстрації доменних імен були безкоштовними.
(113) Суб’єктів, які підпадають під сферу застосування цієї Директиви, слід вважати такими, що підпадають під юрисдикцію держави-члена, у якій їх засновано. Однак, постачальників публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг слід вважати такими, що підпадають під юрисдикцію держави-члена, у якій вони надають свої послуги. Надавачів послуг DNS, реєстри TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, а також операторів електронних торговельних майданчиків, електронних пошукових систем і платформ послуг соціальних мереж слід вважати такими, що підпадають під юрисдикцію держави-члена, в якій вони мають головний осідок на території Союзу. Суб’єкти публічної адміністрації мають підпадати під юрисдикцію держави-члена, яка їх заснувала. Якщо суб’єкт надає послуги або заснований більш ніж у одній державі-члені, він має підпадати під окрему і одночасну юрисдикцію кожної з цих держав-членів. Компетентні органи цих держав-членів мають співпрацювати, надавати один одному взаємну допомогу і, у відповідних випадках, здійснювати спільні наглядові дії. Коли держави-члени здійснюють юрисдикцію, вони не мають вживати примусових заходів або накладати штрафні санкції більше одного разу за той самий вчинок, за принципом ne bis in idem.
(114) Щоб врахувати транскордонний характер послуг і операцій надавачів послуг DNS, реєстри TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, а також операторів електронних торговельних майданчиків, електронних пошукових систем і платформ послуг соціальних мереж, юрисдикцію над цими суб’єктами повинна мати лише одна держава-член. Юрисдикцію має бути визнано за державою-членом, в якій відповідний суб’єкт має свій головний осідок на території Союзу. Критерій осідку для цілей цієї Директиви передбачає дієве здійснення діяльності на основі стабільної організації. Правова форма такої організації - чи то через відділення, чи то через філію зі статусом юридичної особи - не є у цьому зв’язку визначальним фактором. Дотримання цього критерію не має залежати від того, чи мережеві та інформаційні системи фізично розташовані в даному місці; факт наявності та використання таких систем сам по собі не становить такий головний осідок і, таким чином, не є вирішальним критерієм визначення головного осідку. Слід вважати, що головний осідок розташований у державі-члені, в якій у Союзі здебільшого ухвалюють рішення, пов’язані із заходами управління ризиками кібербезпеки. Зазвичай це відповідає місцю розташування центральної адміністрації суб’єкта на території Союзу. Якщо таку державу-члена неможливо визначити або якщо такі рішення ухвалюють не в Союзі, слід вважати, що головний осідок розташований у державі-члені, де здійснюють кібероперації. Якщо таку державу-члена неможливо визначити, слід вважати, що головний осідок розташований у державі-члені, де у суб’єкта є осідок із найбільшою кількістю співробітників в Союзі. Якщо послуги здійснює група підприємств, головний осідок підприємства, що здійснює контроль, слід вважати головним осідком групи підприємств.
(115) Якщо загальнодоступні послуги розпізнавання рекурсивних доменних імен надає постачальник публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг лише як частину послуги доступу до мережі Інтернет, слід вважати, що цей суб’єкт підпадає під юрисдикцію усіх держав-членів, у яких він надає свої послуги.
(116) Якщо надавач послуг DNS, реєстр TLD-імен, суб’єкт надання послуг реєстрації доменних імен, надавач послуг хмарних обчислень, надавач послуг центру обробки даних, провайдер мережі доставки контенту, надавач керованих послуг, надавач керованих послуг безпеки, оператор електронного торговельного майданчика, електронної пошукової системи чи платформи послуг соціальних мереж, заснований не в Союзі, пропонує послуги в Союзі, він має призначити представника в Союзі. Для того щоб визначити, чи такий суб’єкт пропонує послуги на території Союзу, необхідно впевнитися, чи планує цей суб’єкт надавати послуги особам в одній чи декількох державах-членах. Слід вважати, що однієї доступності на території Союзу вебсайту, електронної адреси чи інших контактних даних суб’єкта чи посередника, або використання мови, загалом використовуваної у третій країні, де заснований цей суб’єкт, недостатньо для підтвердження такого наміру. Однак, такі чинники, як використання мови або валюти, загалом використовуваної в одній або декількох державах-членах з можливістю замовлення послуг цією мовою, або згадування клієнтів чи користувачів в Союзі, можуть вказувати на очевидність планів суб’єкта пропонувати послуги на території Союзу. Представник має діяти від імені суб’єкта, а компетентні органи або групи CSIRT мають бути здатними звертатися до такого представника. Представник має бути чітко призначений письмовим дорученням суб’єкта діяти від імені останнього щодо зобов’язань останнього відповідно до цієї Директиви, у тому числі звітування про інциденти.
(117) Щоб забезпечити чітке уявлення про надавачів послуг DNS, реєстри TLD-імен, надавачів послуг хмарних обчислень, надавачів послуг центру обробки даних, провайдерів мереж доставки контенту, надавачів керованих послуг, надавачів керованих послуг безпеки, операторів електронних торговельних майданчиків, провайдерів електронних пошукових систем і платформ послуг соціальних мереж, які надають послуги на території Союзу і які підпадають під сферу застосування цієї Директиви, ENISA має створити і вести реєстр таких суб’єктів на підставі інформації, отриманої державами-членами, у застосовних випадках - через національні механізми, запроваджені для забезпечення самостійної реєстрації суб’єктів. Єдині контактні пункти мають передавати ENISA цю інформацію та будь-які зміни до неї. З метою забезпечення достовірності та вичерпності інформації для внесення до реєстру, держави-члени можуть подавати ENISA інформацію про ці суб’єкти, наявну в будь-яких національних реєстрах. ENISA та держави-члени мають вжити заходів для полегшення інтероперабельності таких реєстрів, водночас забезпечуючи захист конфіденційної чи секретної інформації. ENISA має створити відповідні протоколи класифікації та управління інформацією, щоб забезпечити захищеність і конфіденційність розкритої інформації та обмежити доступ, зберігання та передачу цієї інформації цільовими користувачами.
(118) Якщо згідно з цією Директивою відбувається обмін, повідомлення чи надання іншим чином інформації, яка є секретною відповідно до права Союзу чи національного права, має бути застосовано відповідні правила поводження із секретною інформацією. Крім того, ENISA потрібно мати в наявності інфраструктуру, процедури та правила поводження з чутливою і секретною інформацією відповідно до застосовних правил безпеки для захисту засекреченої ЄС інформації.
(119) Оскільки кіберзагрози стають усе складнішими і комплекснішими, вдале виявлення таких загроз і заходи з їх запобігання значною мірою залежать від регулярного обміну розвідданими щодо загроз і вразливостей між суб’єктами. Обмін інформацією сприяє підвищенню рівня обізнаності щодо кіберзагроз, яка в свою чергу посилює спроможність суб’єктів запобігати реалізації таких загроз у вигляді інцидентів та дає змогу суб’єктам краще локалізувати вплив інцидентів та ефективніше відновлюватися. За відсутності керівних настанов на рівні Союзу такий обмін розвідданими, як видається, був загальмований рядом чинників, зокрема невизначеністю щодо сумісності з правилами конкуренції та відповідальності.
(120) Держави-члени мають заохочувати і допомагати суб’єктам спільно користуватися своїми індивідуальними знаннями і практичним досвідом на стратегічному, тактичному і операційному рівнях з метою посилення своїх спроможностей належного запобігання, виявлення, реагування чи відновлення після інцидентів або мінімізації їхнього впливу. Таким чином, необхідно забезпечити можливості для виникнення на рівні Союзу механізмів добровільного обміну інформацією щодо кібербезпеки. З цією метою держави-члени мають активно допомагати суб’єктам і заохочувати їх, наприклад тих, що надають послуги і проводять дослідження у сфері кібербезпеки а також відповідних суб’єктів, що не підпадають під сферу застосування цієї Директиви, брати участь у таких механізмах обміну інформацією щодо кібербезпеки. Ці механізми має бути запроваджено відповідно до правил конкуренції Союзу та права Союзу щодо захисту даних.
(121) Опрацювання персональних даних, необхідною та пропорційною мірою для цілей забезпечення основними та важливими суб’єктами безпеки мережевих та інформаційних систем, можна вважати законним на підставі того, що таке опрацювання відповідає правовому зобов’язанню, покладеному на контролера відповідно до вимог пункту (c) статті 6 (1) і статті 6(3) Регламенту (ЄС) 2016/679. Опрацювання персональних даних також може бути необхідне в законних інтересах основних і важливих суб’єктів, а також надавачів технологій і послуг безпеки, що діють від імені цих суб’єктів, відповідно до пункту (f) статті 6 (1) Регламенту (ЄС) 2016/679, у тому числі коли таке опрацювання необхідне для механізмів обміну інформацією щодо кібербезпеки або добровільного сповіщення релевантної інформації згідно з цією Директивою. Заходи, що стосуються запобігання, виявлення, ідентифікації, локалізації, аналізу інцидентів та реагування на них, заходи з підвищення обізнаності щодо конкретних кіберзагроз, обмін інформацією в контексті усунення вразливостей та скоординованого оприлюднення інформації про вразливості, добровільний обмін інформацією про ці інциденти, кіберзагрози та вразливості, індикатори компрометації, тактики, методи і процедури, інформування про інциденти кібербезпеки та інструменти конфігурації можуть потребувати опрацювання певних категорій персональних даних, таких як IP-адреси, уніфіковані локатори ресурсів (URL), доменні імена, адреси електронної пошти та, якщо вони розкривають персональні дані, відмітки часу. Опрацювання персональних даних компетентними органами, єдиними контактними пунктами і групами CSIRT може становити правове зобов’язання або вважатися необхідним для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера, згідно з пунктом (c) або (e) статті 6(1) та статтею 6(3) Регламенту (ЄС) 2016/679, або ж у законних інтересах основних і важливих суб’єктів, як зазначено у пункті (f) статті 6(1) цього Регламенту. До того ж, національне право може встановлювати правила, що дозволяють компетентним органам, єдиним контактним пунктам і групам CSIRT, необхідною та пропорційною мірою для забезпечення безпеки мережевих та інформаційних систем основних і важливих суб’єктів, опрацьовувати особливі категорії персональних даних відповідно до статті 9 Регламенту (ЄС) 2016/679, зокрема передбачивши доречні та конкретні інструменти захисту фундаментальних прав і інтересів фізичних осіб, в тому числі технічні обмеження повторного використання таких даних і використання сучасних засобів захисту і збереження приватності, таких як використання псевдонімів або шифрування у тих випадках, коли анонімізація може мати значний вплив на досягнення поставлених цілей.