(122) Для посилення наглядових повноважень і заходів, які допомагають забезпечити дієве дотримання вимог ця Директива має передбачити мінімальний перелік наглядових заходів і засобів, з допомогою яких компетентні органи можуть здійснювати нагляд за основними і важливими суб’єктами. Крім того, ця Директива має встановити диференціацію наглядового режиму між основними і важливими суб’єктами з метою забезпечення справедливого балансу обов’язків цих суб’єктів і компетентних органів. Таким чином, до основних суб’єктів має бути застосовано комплексний наглядовий режим ex ante і ex post, тоді як до важливих суб’єктів має бути застосовано полегшений наглядовий режим виключно ex post. Тому від важливих суб’єктів не потрібно вимагати систематичної документації дотримання заходів управління ризиками кібербезпеки, а компетентні органи мають застосовувати реактивний ex post-підхід до здійснення нагляду і відтак не мають загального обов’язку наглядати за цими суб’єктами. Нагляд ex post за важливими суб’єктами може бути ініційовано доказом, свідченням або інформацією, доведеними до відома компетентних органів, які на думку цих органів свідчать про потенційні порушення цієї Директиви. Наприклад, такий доказ, свідчення або інформація може бути надана компетентним органам іншими органами, суб’єктами, громадянами, ЗМІ чи іншими джерелами загальнодоступної інформації, або може з’явитися в результаті іншої діяльності, здійснюваної компетентними органами на виконання своїх обов’язків.
(123) Виконання наглядових завдань компетентними органами не має невиправдано перешкоджати господарській діяльності відповідного суб’єкта. Якщо компетентні органи виконують свої наглядові завдання стосовно основних суб’єктів, у включно зі здійсненням інспекцій на місцях і дистанційного нагляду, розслідуванням порушень цієї Директиви та проведенням аудитів стану безпеки чи сканування стану безпеки, вони мають мінімізувати вплив на господарську діяльність відповідного суб’єкта.
(124) При здійсненні нагляду ex ante компетентні органи мають бути здатні визначати пріоритетність застосування наглядових заходів і засобів у своєму розпорядженні у пропорційний спосіб. Це передбачає, що компетентні органи можуть визначати таку пріоритетність на підставі методологій нагляду, які мають відповідати ризик-орієнтованому підходу. Зокрема, такі методології можуть включати критерії чи еталонні параметри класифікації основних суб’єктів за категоріями ризику та відповідні наглядові заходи і засоби, рекомендовані для кожної категорії ризику, такі як використання, частота або типи інспекцій на місцях, цільових аудитів стану безпеки або сканувань стану безпеки, тип інформації, яку слід вимагати, та рівень деталізації такої інформації. Такі методології нагляду також можуть супроводжувати робочі програми, а також їх можуть оцінювати і переглядати на регулярній основі, у тому числі щодо таких аспектів, як розподілення ресурсів і потреби. Стосовно суб’єктів публічної адміністрації, наглядові повноваження має бути реалізовано у відповідності з національною законодавчою та інституційною базою.
(125) Компетентні органи мають забезпечити, виконання своїх наглядових завдань стосовно основних і важливих суб’єктів кваліфікованими фахівцями, які мають необхідні навички для виконання цих завдань, зокрема щодо проведення інспекцій на місцях і дистанційного нагляду, в тому числі визначення слабких місць у базах даних, апаратному забезпеченні, мережевих екранах, шифруванні та мережах. Ці інспекції та цей нагляд потрібно здійснювати в об’єктивний спосіб.
(126) У належним чином обґрунтованих випадках, коли відомо про значну кіберзагрозу або невідворотний ризик, компетентний орган має бути здатен ухвалювати негайні правозастосовні рішення з метою запобігання чи реагування на інцидент.
(127)Щоб зробити правозастосування дієвим, потрібно встановити мінімальний перелік виконавчих повноважень, які можуть бути застосовані за порушення заходів управління ризиками та обов’язків щодо звітування у сфері кібербезпеки, передбачених цією Директивою, заклавши чіткі та узгоджені рамки такого правозастосування на всій території Союзу. Потрібно належним чином враховувати специфіку, тяжкість і тривалість порушення цієї Директиви, завдану матеріальну чи нематеріальну шкоду, умисний чи ненавмисний характер порушення, дії, яких було вжито для запобігання чи пом’якшення матеріальної чи нематеріальної шкоди, ступінь відповідальності чи будь-які відповідні попередні порушення, рівень співпраці з компетентним органом та будь-який інший обтяжувальний або пом’якшувальний фактор. Правозастосовні заходи, в тому числі адміністративні штрафи, мають бути пропорційними, а на їх накладення мають поширюватися належні процесуальні гарантії згідно із загальними принципами права Союзу та Хартії фундаментальних прав Європейського Союзу ("Хартії"), в тому числі право на дієвий засіб правового захисту і чесний суд, презумпція невинуватості та права на забезпечення захисту.
(128) Ця Директива не вимагає від держав-членів передбачати кримінальної або цивільної відповідальності для фізичних осіб, відповідальних за забезпечення дотримання тим чи іншим суб’єктом вимог цієї Директиви, за шкоду, заподіяну третім особам внаслідок порушення цієї Директиви.
(129) Щоб забезпечити дієве виконання обов’язків, встановлених у цій Директиві, кожен компетентний орган повинен мати повноваження накладати адміністративні штрафи або вимагати їх накладення.
(130) Якщо адміністративний штраф накладено на основного чи важливого суб’єкта, який є підприємством, підприємство потрібно розуміти як підприємство згідно зі статтями 101 і 102 ДФЄС для цих цілей. Якщо адміністративний штраф накладено на особу, яка не є підприємством, компетентний орган має враховувати загальний рівень доходу в державі-члені, а також економічне становище цієї особи під час визначення необхідного розміру штрафу. Саме держави-члени мають визначити, чи мають органи публічної влади підлягати накладенню адміністративних штрафів та якою мірою. Накладення адміністративного штрафу не впливає на застосування інших повноважень компетентних органів або інших санкцій, встановлених національними правилами, що транспонують цю Директиву.
(131) Держави-члени мають бути здатні встановлювати норми щодо кримінальних покарань за порушення національних правил, що транспонують цю Директиву. Проте призначення кримінальних покарань за порушення таких національних правил та пов’язаних адміністративних санкцій не повинні призводити до порушення принципу "ne bis in idem", як його тлумачить Суд Європейського Союзу.
(132) Якщо ця Директива не гармонізує адміністративні санкції чи, за необхідності в інших випадках, наприклад, у разі серйозного порушення цієї Директиви, держави-члени повинні забезпечувати застосування системи, що передбачає дієві, пропорційні та стримувальні санкції. Сутність таких санкцій, кримінальних чи адміністративних, має визначати національне право.
(133) Щоб і надалі посилювати дієвість і стримувальність правозастосовних заходів, застосовних до порушень цієї Директиви, компетентним органам потрібно надати повноваження тимчасово призупиняти або вимагати тимчасового призупинення сертифікації чи авторизації щодо частини або всіх відповідних послуг або видів діяльності, надаваних або здійснюваних основним суб’єктом, та вимагати накладення тимчасової заборони на виконання управлінських функцій будь-якою фізичною особою, яка здійснює управлінські повноваження на рівні головного виконавчого директора або законного представника. З огляду на їхню серйозність та вплив на діяльність суб’єктів і зрештою на користувачів, такі тимчасові призупинення чи заборони потрібно застосовувати лише пропорційно до тяжкості порушення і з урахуванням обставин кожного окремого випадку, у тому числі умисний чи ненавмисний характер порушення та дії, яких було вжито для запобігання чи пом’якшення матеріальної чи нематеріальної шкоди. Такі тимчасові призупинення чи заборони потрібно застосовувати лише як крайній захід, а саме лише після того, як вичерпано усі інші доречні правозастосовні заходи, встановлені у цій Директиві, і лише до того, як відповідний суб’єкт вживе необхідних заходів для усунення недоліків або виконання вимог компетентного органу, щодо яких було застосовано такі тимчасові призупинення чи заборони. На накладення тимчасових призупинень або заборон мають поширюватися належні процесуальні гарантії згідно із загальними принципами права Союзу та Хартії, в тому числі право на дієвий засіб правового захисту і чесний суд, презумпція невинуватості та права на забезпечення захисту.
(134) З метою забезпечення виконання суб’єктами своїх обов’язків, встановлених у цій Директиві, держави-члени мають співпрацювати і допомагати одна одній у здійсненні наглядових і правозастосовних заходів, зокрема у випадках, коли суб’єкт надає послуги в більш ніж одній державі-члені або коли його мережеві та інформаційні системи розташовані не в тій державі-члені, де він надає послуги. Під час надання допомоги компетентний орган, що отримав запит, має вдаватися до наглядових і правозастосовних заходів у відповідності з національним правом. Щоб забезпечити безперешкодне функціонування взаємодопомоги згідно з цією Директивою, компетентні органи мають використовувати Групу співпраці як форум для обговорення випадків і конкретних запитів про допомогу.
(135) Щоб забезпечити дієвий нагляд і правозастосування, зокрема в ситуації з транскордонним компонентом, держава-член, що отримала запит про взаємодопомогу, має в межах цього запиту вжити відповідні наглядові та правозастосовні заходи стосовно суб’єкта, який є предметом цього запиту і надає послуги чи має мережеву та інформаційну систему на території цієї держави-члена.
(136) Ця Директива має встановити правила співпраці між компетентними органами та наглядовими органами за Регламентом (ЄС) 2016/679 для боротьби з порушеннями цієї Директиви, пов’язаними з персональними даними.
(137) Ця Директива має бути націлена на забезпечення високого рівня відповідальності за заходи управління ризиками і обов’язки щодо звітування у сфері кібербезпеки на рівні основних і важливих суб’єктів. Таким чином, керівні органи основних і важливих суб’єктів мають затвердити заходи управління ризиками кібербезпеки та здійснювати нагляд за їх реалізацією.
(138) Щоб досягти високого спільного рівня кібербезпеки на всій території Союзу на засадах цієї Директиви, повноваження ухвалювати акти відповідно до статті 290 ДФЄС має бути делеговано Комісії в частині доповнення цієї Директиви шляхом зазначення категорій основних і важливих суб’єктів, від котрих вимагатиметься використовувати певні сертифіковані продукти ІКТ, послуги ІКТ і процеси ІКТ, або отримати сертифікат за європейською схемою сертифікації кібербезпеки. Особливо важливо, щоб Комісія проводила належні консультації під час своєї підготовчої роботи, у тому числі на експертному рівні, та щоб такі консультації проводили згідно з принципами, встановленими у Міжінституційній угоді про краще законотворення від 13 квітня 2016 року (- 22). Зокрема, для забезпечення рівної участі в підготовці делегованих актів Європейський Парламент і Рада отримують усі документи одночасно з експертами держав-членів, а їхні експерти мають систематичний доступ до засідань груп експертів Комісії, які займаються підготовкою делегованих актів.
(139) Для того, щоб забезпечити єдині умови для імплементації цієї Директиви, необхідно покласти на Комісію виконавчі повноваження для встановлення процедурного порядку та умов, необхідних для функціонування Групи співпраці, технічних і методологічних, а також секторальних вимог до заходів управління ризиками кібербезпеки; та для подальшого визначення типу інформації, формату і процедури сповіщень про інцидент, кіберзагрозу та "потенційну помилку", повідомлень про значні кіберзагрози, а також випадків, у яких інцидент слід вважати значним. Такі повноваження потрібно здійснювати відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 182/2011 (- 23).
(140) Комісія має періодично переглядати цю Директиву після консультацій із стейкхолдерами, зокрема щодо визначення доцільності пропозицій щодо внесення змін і доповнень з огляду на зміни соціальних, політичних, технологічних або ринкових умов. В рамках цих переглядів Комісія має оцінювати значущість розміру відповідних суб’єктів, а також секторів, підсекторів і типів суб’єктів, визначених у додатках до цієї Директиви, для функціонування економіки і суспільства в плані кібербезпеки. Комісія має оцінювати, між іншим, чи провайдери, що підпадають під сферу застосування цієї Директиви, визначені провайдерами дуже великих онлайн-платформ у розумінні статті 33 Регламенту Європейського Парламенту і Ради (ЄС) 2022/2065 (- 24), можуть бути ідентифіковані як основні суб’єкти за цією Директивою.
(141) Ця Директива створює для ENISA нові завдання, таким чином посилюючи його роль, і може також привести до того, що ENISA необхідно буде виконувати поточні завдання згідно з Регламентом (ЄС) 2019/881 на вищому рівні, ніж раніше. Щоб забезпечити наявність у ENISA необхідних фінансових і людських ресурсів для виконання поточних і нових завдань, а також відповідність будь-якому вищому рівню виконання цих завдань, що випливає з його посиленої ролі, потрібно відповідним чином збільшити його бюджет. До того ж, щоб забезпечити ефективне використання ресурсів, потрібно надати ENISA більшої гнучкості у спосіб, що дає йому змогу розподіляти ресурси внутрішньо з метою дієвого виконання своїх завдань і відповідності очікуванням.
(142) Оскільки держави-члени не можуть достатньо досягти мети цієї Директиви, а саме досягнення високого спільного рівня кібербезпеки на всій території Союзу, однак, через наслідки дій, її можна краще досягнути на рівні Союзу, Союз може ухвалювати інструменти відповідно до принципу субсидіарності, як викладено в статті 5 Договору про функціонування Європейського Союзу. Згідно з принципом пропорційності, що визначений у згаданій статті, ця Директива не виходить за межі необхідного для досягнення такої цілі.
(143) Ця Директива поважає фундаментальні права та дотримується принципів, визнаних Хартією, зокрема права на повагу особистого життя та комунікацій, захисту персональних даних, свободи підприємництва, права власності, права на дієвий засіб правового захисту і чесний суд, презумпції невинуватості та прав на забезпечення захисту. Право на дієвий засіб правового захисту поширюється на отримувачів послуг, надаваних основними та важливими суб’єктами. Цю Директиву потрібно імплементувати відповідно до таких прав і принципів.
(144) Було проведено консультації з Європейським інспектором із захисту даних відповідно до статті 42(1) Регламенту Європейського Парламенту і Ради (ЄС) 2018/1725 (- 25), який 11 березня 2021 року надав свій висновок (- 26),
УХВАЛИЛИ ЦЮ ДИРЕКТИВУ:
ГЛАВА I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Предмет
1. Ця Директива встановлює інструменти, що мають на меті досягти високого спільного рівня кібербезпеки на всій території Союзу задля того, або покращити функціонування внутрішнього ринку.
2. З цією метою ця Директива встановлює:
(a) обов’язки, що вимагають від держав-членів ухвалити національні стратегії кібербезпеки і призначити чи створити компетентні органи, органи управління кіберкризами, єдині контактні пункти з питань кібербезпеки (єдині контактні пункти) та групи для реагування на інциденти в сфері комп’ютерної безпеки (CSIRT);
(b) заходи управління ризиками та обов’язки щодо звітування у сфері кібербезпеки для суб’єктів типу, зазначеного в додатку I або II, а також для суб’єктів, визначених критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557;
(c) правила і обов’язки щодо обміну інформацією щодо кібербезпеки;
(d) наглядові та правозастосовні обов’язки держав-членів.
Стаття 2. Сфера застосування
1. Цю Директиву застосовують до публічних або приватних суб’єктів типу, зазначеного в додатку I або II, які належать до середніх підприємств згідно зі статтею 2 додатка до Рекомендації Комісії 2003/361/ЄС або перевищують верхні межі для середніх підприємств, передбачені параграфом 1 цієї статті, та надають послуги чи здійснюють діяльність в межах Союзу.
Статтю 3(4) додатка до вказаної Рекомендації не застосовують для цілей цієї Директиви.
2. Незалежно від їхнього розміру, цю Директиву також застосовують до суб’єктів типу, зазначеного в додатку I або II, за умови, що:
(a) послуги надають:
(i) постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг;
(ii) надавачі довірчих послуг;
(iii) реєстри доменних імен верхнього рівня та надавачі послуг системи доменних імен;
(b) суб’єкт є єдиним у державі-члені надавачем послуги, яка є суттєвою для підтримки критичної соціальної або економічної діяльності;
(c) перебої у наданні послуги цим суб’єктом можуть мати значний вплив на суспільну безпеку, громадську безпеку чи громадське здоров’я;
(d) перебої у наданні послуги цим суб’єктом можуть спричинити значний системний ризик, зокрема для секторів, де такі перебої можуть мати транскордонний вплив;
(e) суб’єкт є критично важливим внаслідок своєї специфічної важливості на національному чи регіональному рівні для певного сектору чи типу послуг, або ж для інших взаємозалежних секторів у державі-члені;
(f) суб’єкт є суб’єктом публічної адміністрації:
(i) центрального уряду, визначеного державою-членом відповідно до національного права; або
(ii) на місцевому рівні, як визначено державою-членом відповідно до національного права, що за результатами ризик-орієнтованого оцінювання надає послуги, перебої у наданні яких можуть мати значний вплив на суспільну або економічну діяльність.
3. Цю Директиву застосовують до суб’єктів, визначених критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557, незалежно від їхнього розміру.
4. Цю Директиву застосовують до суб’єктів, що надають послуги реєстрації доменних імен, незалежно від їхнього розміру.
5. Держави-члени можуть передбачити застосування цієї Директиви до:
(a) суб’єктів публічної адміністрації місцевого рівня;
(b) закладів освіти, зокрема якщо вони здійснюють критичну науково-дослідну діяльність.
6. Ця Директива не обмежує відповідальності держав-членів за забезпечення національної безпеки та їхніх повноважень щодо захисту інших основних функцій держави, у тому числі забезпечення територіальної цілісності та підтримання правопорядку.
7. Цю Директиву не застосовують до суб’єктів публічної адміністрації, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень.
8. Держави-члени можуть звільняти конкретних суб’єктів, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, у тому числі запобігання, розслідування, розкриття та переслідування кримінальних правопорушень, або які надають послуги виключно суб’єктам публічної адміністрації, зазначеним у параграфі 7 цієї статті, від зобов’язань, встановлених у статті 21 або 23 щодо цієї діяльності або послуг. У таких випадках наглядові та правозастосовні заходи, зазначені в главі VII, не буде застосовано у зв’язку з цими конкретними видами діяльності або послугами. Якщо суб’єкти здійснюють діяльність чи надають послуги виключно зазначеного у цьому параграфі типу, держави-члени можуть вирішити звільнити цих суб’єктів від обов’язків, встановлених у статтях 3 і 27.
9. Параграфи 7 і 8 не застосовують, якщо суб’єкт виступає надавачем довірчих послуг.
10. Цю Директиву не застосовують до суб’єктів, яких держави-члени виключили зі сфери застосування Регламенту (ЄС) 2022/2554 згідно із статтею 2(4) зазначеного Регламенту.
11. Зобов’язання, встановлені у цій Директиві, не передбачають надання інформації, розкриття якої суперечитиме суттєвим інтересам національної безпеки, громадської безпеки чи оборони держав-членів.
12. Цю Директиву застосовують без обмеження дії Регламенту (ЄС) 2016/679, Директиви 2002/58/ЄС, директив Європейського Парламенту і Ради 2011/93/ЄС (- 27) і 2013/40/ЄС (- 28) та Директиви (ЄС) 2022/2557.
13. Без обмеження статті 346 ДФЄС, інформацією, яка є конфіденційною відповідно до правил Союзу чи національних правил, таких як правила щодо комерційної таємниці, обмінюються з Комісією та іншими відповідними органами згідно з цією Директивою тільки у випадках, коли такий обмін необхідний для застосування цієї Директиви. Обсяг інформації для обміну обмежують до рівня, доцільного та пропорційного цілі цього обміну. Обмінюючись інформацією, необхідно зберігати її конфіденційність та захищати безпекові та комерційні інтереси відповідних суб’єктів.
14. Суб’єкти, компетентні органи, єдині контактні пункти та групи CSIRT опрацьовують персональні дані в обсязі, необхідному для цілей цієї Директиви та відповідно до Регламенту (ЄС) 2016/679, зокрема таке опрацювання регулюється статтею 6 згаданого Регламенту.
Опрацювання персональних даних відповідно до цієї Директиви постачальниками публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг здійснюється згідно з правом Союзу щодо захисту даних і правом Союзу щодо приватності, зокрема з Директивою 2002/58/ЄС.
Стаття 3. Основні та важливі суб’єкти
1. Для цілей цієї Директиви основними суб’єктами вважають такі суб’єкти:
(a) суб’єкти типу, зазначеного в додатку I, які перевищують верхні межі для середніх підприємств, передбачені статтею 2(1) додатка до Рекомендації 2003/361/ЄС;
(b) кваліфіковані надавачі довірчих послуг і реєстри доменних імен верхнього рівня, а також надавачі послуг DNS, незалежно від розміру;
(c) постачальники публічних електронних комунікаційних мереж або загальнодоступних електронних комунікаційних послуг, які належать до середніх підприємств згідно зі статтею 2 додатка до Рекомендації Комісії 2003/361/ЄС;
(d) суб’єкти публічної адміністрації, зазначенні в пункті (f)(i) статті 2(2);
(e) будь-які інші суб’єкти типу, зазначеного в додатку I або II, які визначені державою-членом основними суб’єктами відповідно до пунктів (b)-(e) статті 2(2).
(f) суб’єкти, визначені критично важливими суб’єктами згідно з Директивою (ЄС) 2022/2557, як вказано в статті 2(3) цієї Директиви;
(g) якщо це передбачено державою-членом, суб’єкти, яких ця держава-член до 16 січня 2023 року визначила операторами основних послуг відповідно до Директиви (ЄС) 2016/1148 або національного права.
2. Для цілей цієї Директиви суб’єкти типу, зазначеного в додатку I або II, які не належать до основних суб’єктів відповідно до параграфа 1 цієї статті, необхідно вважати важливими суб’єктами. До таких належать суб’єкти, які визначені державою-членом важливими суб’єктами відповідно до пунктів (b)-(e) статті 2(2).
3. До 17 квітня 2025 року держави-члени повинні створити перелік основних і важливих суб’єктів, а також суб’єктів, що надають послуги реєстрації доменних імен. Держави-члени повинні переглядати та, за доцільності, оновлювати цей перелік на регулярній основі та щонайменше кожні два роки з цієї дати.
4. З метою формування переліку, зазначеного в параграфі 3, держави-члени вимагатимуть від суб’єктів, згаданих у цьому параграфі, подавати до компетентних органів принаймні таку інформацію:
(a) назву суб’єкта;
(b) адресу та актуальну контактну інформацію, в тому числі адреси електронної пошти, діапазон ІР-адрес і номери телефону;
(c) якщо застосовно, відповідний сектор і підсектор, зазначений у додатку I або II; та
(d) якщо застосовно, перелік держав-членів, у яких вони надають послуги, що підпадають під сферу дії цієї Директиви.
Суб’єкти, зазначені в параграфі 3, повинні негайно сповіщати про будь-які зміни в контактних даних, поданих відповідно до першого підпараграфа цього параграфа: в будь-якому разі впродовж двох тижнів з дати настання цих змін.
Комісія, за сприяння Агентства Європейського Союзу з питань кібербезпеки (ENISA), повинна, без невиправданої затримки, надати настанови та шаблони, що стосуються зобов’язань, викладених у цьому параграфі.
Держави-члени можуть формувати національні механізми для забезпечення самостійної реєстрації суб’єктів.
5. До 17 квітня 2025 року та кожні два роки потому компетентні органи сповіщають:
(a) Комісію та Групу співпраці про кількість основних і важливих суб’єктів, внесених до переліку згідно з параграфом 3, для кожного сектора і підсектора, зазначеного у додатку I або II; та
(b) Комісію про релевантну інформацію щодо кількості основних і важливих суб’єктів, визначених згідно з пунктами (b)-(e) статті 2(2), сектор і підсектор, зазначений у додатку I або II, до якого вони належать, тип послуг, які вони надають, та положення, з-поміж викладених у пунктах (b)-(e) статті 2(2), на підставі якого їх було визначено.
6. До 17 квітня 2025 року та на вимогу Комісії держави-члени можуть повідомляти Комісії назви основних і важливих суб’єктів, зазначених у пункті (b) параграфа 5.
Стаття 4. Секторальні правові акти Союзу
1. Якщо секторальні правові акти Союзу вимагають від основних або важливих суб’єктів запровадження заходів управління ризиками кібербезпеки або сповіщення про значні інциденти, і якщо такі вимоги принаймні рівноцінні за своєю дією обов’язкам, встановленим у цій Директиві, до таких суб’єктів не застосовують відповідні положення цієї Директиви, в тому числі положення щодо нагляду та забезпечення виконання, викладені в главі VII. Якщо секторальні правові акти Союзу не охоплюють усіх суб’єктів у певному секторі, які підпадають під сферу застосування цієї Директиви, відповідні положення цієї Директиви і надалі застосовують до суб’єктів, не охоплених цими секторальними правовими актами Союзу.
2. Вимоги, викладені в параграфі 1 цієї статті, вважають рівноцінними за своєю дією обов’язкам, встановленим цією Директивою, якщо:
(a) заходи управління ризиками кібербезпеки як мінімум рівноцінні за своєю дією встановленим у статті 21(1) і (2); або
(b) секторальний правовий акт Союзу передбачає негайний доступ, у відповідних випадках автоматичний і прямий, до сповіщень про інциденти з боку груп CSIRT, компетентних органів або єдиних контактних пунктів згідно з цією Директивою та якщо вимоги щодо сповіщень про значні інциденти є принаймні рівноцінними за своєю дією встановленим у статті 23(1)-(6) цієї Директиви.
3. Комісія до 17 липня 2023 року надає настанови, що роз’яснюють застосування параграфів 1 і 2. Комісія регулярно переглядає такі настанови. Під час підготовки таких настанов Комісія враховує будь-які спостереження Групи співпраці та ENISA.
Стаття 5. Мінімальна гармонізація
Ця Директива не перешкоджає державам-членам ухвалювати чи зберігати положення, які забезпечують вищий рівень кібербезпеки за умови, що такі положення узгоджуються із зобов’язаннями держав-членів відповідно до права Союзу.
Стаття 6. Терміни та означення
Для цілей цієї Директиви застосовують такі терміни та означення:
(1) "мережева та інформаційна система" означає:
(a) електронну комунікаційну мережу в розумінні пункту (1) статті 2 Директиви (ЄС) 2018/1972;
(b) будь-який пристрій чи групу взаємно поєднаних чи пов’язаних пристроїв, один або більше з яких, відповідно до програми, здійснює автоматичне опрацювання цифрових даних; або
(с) цифрові дані, що їх зберігають, опрацьовують, видобувають або передають за допомогою елементів, вказаних в пунктах (a) та (b), для цілей їхньої експлуатації, використання, захисту та технічного обслуговування;
(2) "безпека мережевих та інформаційних систем" означає здатність мережевих та інформаційних систем витримувати - на певному рівні впевненості - будь-яку подію, що ставить під загрозу доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих цими мережевими та інформаційними системами або доступних за їх допомогою;
(3) "кібербезпека" означає кібербезпеку в розумінні пункту (1) статті 2 Регламенту (ЄС) 2019/881;
(4) "національна стратегія кібербезпеки" означає узгоджені рамки держави-члена, що передбачають стратегічні цілі та пріоритети в сфері кібербезпеки, та врядування, спрямоване на досягнення їх у цій державі-члені;
(5) "близька хиба" означає подію, що могла б порушити доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих мережевими та інформаційними системами або доступних за їх допомогою, але її реалізації вдалося запобігти або вона не була реалізована;
(6) "інцидент" означає подію, яка порушує доступність, автентичність, цілісність або конфіденційність збережених, переданих чи опрацьованих даних або послуг, пропонованих мережевими та інформаційними системами або доступних за їх допомогою;
(7) "масштабний інцидент кібербезпеки" означає інцидент, котрий призводить до збою такого рівня, який перевищує спроможність держави-члена реагувати на нього, або котрий має значний вплив принаймні на дві держави-члени;
(8) "врегулювання інцидентів" означає будь-які дії та процедури, призначені запобігти, виявити, проаналізувати та стримати або відреагувати на інцидент і відновитися після нього;
(9) "ризик" означає можливість втрати або збою внаслідок інциденту, виражену як поєднання масштабу такої втрати або збою та ймовірності виникнення інциденту;
(10) "кіберзагроза" означає кіберзагрозу в розумінні пункту (8) статті 2 Регламенту (ЄС) 2019/881;
(11) "значна кіберзагроза" означає кіберзагрозу, яку за технічними характеристиками можна вважати такою, що має потенціал мати серйозний вплив на мережеві та інформаційні системи суб’єкта або на користувачів послуг цього суб’єкта шляхом завдання значної матеріальної чи нематеріальної шкоди.
(12) "продукт ІКТ" означає продукт ІКТ у розумінні пункту (12) статті 2 Регламенту (ЄС) 2019/881;
(13) "послуга ІКТ" означає послугу ІКТ у розумінні пункту (13) статті 2 Регламенту (ЄС) 2019/881;
(14) "процес ІКТ" означає процес ІКТ у розумінні пункту (14) статті 2 Регламенту (ЄС) 2019/881;
(15) "вразливість" означає слабкість, сприйнятливість або недолік продуктів ІКТ або послуг ІКТ, які можуть бути використані при створенні кіберзагрози;
(16) "стандарт" означає стандарт у розумінні пункту (1) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) № 1025/2012 (- 29);
(17) "технічна специфікація" означає технічну специфікацію в розумінні пункту (4) статті 2 Регламенту (ЄС) № 1025/2012;
(18) "точка обміну інтернет-трафіком" означає мережеве устатковання, яке уможливлює взаємоз’єднання більше ніж двох незалежних мереж (автономних систем), насамперед з метою полегшення обміну інтернет-трафіком; яке забезпечує взаємоз’єднання лише для автономних систем і яке не вимагає від інтернет-трафіку, що проходить між будь-якою парою автономних систем-учасників, проходити через будь-яку третю автономну систему, а також не змінює такий трафік і не втручається у нього іншим чином;
(19) "система доменних імен" або "DNS" означає ієрархічну розподілену систему присвоєння імен, яка уможливлює ідентифікацію сервісів і ресурсів мережі Інтернет, дозволяючи пристроям кінцевих користувачів користуватися послугами маршрутизації та підключення в Інтернеті, щоб дістатися до цих сервісів і ресурсів;
(20) "надавач послуг DNS" означає суб’єкта, який надає:
(a) загальнодоступні послуги розпізнавання рекурсивних доменних імен для кінцевих користувачів мережі Інтернет; або
(b) послуги авторитативного розпізнавання доменних імен для використання третіми сторонами, за винятком серверів кореневих імен;
(21) "реєстр доменних імен верхнього рівня" або "реєстр TLD-імен" означає суб’єкта, якому делеговано конкретний домен верхнього рівня (TLD), і який є відповідальним за адміністрування цього TLD, у тому числі за реєстрацію доменних імен у цьому TLD і технічну експлуатацію TLD, в тому числі роботу його серверів імен, ведення баз даних і розподіл зональних файлів TLD по серверам імен, незалежно від того, чи суб’єкт здійснює ці операції самостійно, чи віддає на субпідряд, але виключаючи ситуації, коли реєстр використовує імена TLD лише для власних потреб;
(22) "суб’єкт надання послуг реєстрації доменних імен" означає реєстратора чи агента, що діє від імені реєстраторів, такого як провайдер чи продавець послуг приватної чи проксі-реєстрації;
(23) "цифрова послуга" означає послугу в розумінні пункту (b) статті 1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (- 30);
(24) "довірча послуга" означає довірчу послугу в розумінні пункту (16) статті 3 Регламенту (ЄС) № 910/2014;
(25) "надавач довірчих послуг" означає надавача довірчих послуг у розумінні пункту (19) статті 3 Регламенту (ЄС) № 910/2014;
(26) "кваліфікована довірча послуга" означає кваліфіковану довірчу послугу в розумінні пункту (17) статті 3 Регламенту (ЄС) № 910/2014;
(27) "надавач кваліфікованих довірчих послуг" означає надавача кваліфікованих довірчих послуг у розумінні пункту (20) статті 3 Регламенту (ЄС) № 910/2014;
(28) "електронний торговельний майданчик" означає електронний торговельний майданчик у розумінні пункту (n) статті 2 Директиви Європейського Парламенту і Ради (ЄС) 2005/29/ЄС (- 31);
(29) "електронна пошукова система" означає електронну пошукову систему в розумінні пункту (5) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) 2019/1150 (- 32);
(30) "послуга хмарних обчислень" означає цифрову послугу, яка уможливлює адміністрування за запитом і широкий віддалений доступ до масштабовного та еластичного пулу обчислювальних ресурсів спільного користування, в тому числі там, де такі ресурси розподілено по декількох локаціях;
(31) "послуга центру обробки даних" означає сервіс, який охоплює структури чи групи структур, призначені для централізованого розміщення, взаємоз’єднання та експлуатації мережевого та IT-обладнання, що забезпечує надання послуг зберігання, обробки та транспортування даних, разом з усіма потужностями та інфраструктурою для енергорозподілу та екологічного контролю;
(32) "мережа доставки контенту" означає мережу географічно розподілених серверів, призначених для забезпечення високої доступності, досяжності або швидкої доставки цифрового контенту та послуг користувачам мережі Інтернет від імені надавачів контенту та послуг;
(33) "платформа послуг соціальних мереж" означає платформу, яка надає кінцевим користувачам можливість зв’язуватися, обмінюватися, знаходити і спілкуватися одне з одним з багатьох пристроїв, зокрема через чати, дописи, відео та рекомендації;
(34) "представник" означає фізичну або юридичну особу, засновану в Союзі, явним чином призначену діяти від імені надавача послуг DNS, реєстру TLD-імен, суб’єкта надання послуг реєстрації доменних імен, надавача послуг хмарних обчислень, надавача послуг центру обробки даних, провайдера мережі доставки контенту, надавача керованих послуг, надавача керованих послуг безпеки, оператора електронного торговельного майданчика, електронної пошукової системи чи платформи послуг соціальних мереж, заснованого не в Союзі, котра може приймати звернення компетентного органу або CSIRT замість самого суб’єкта щодо обов’язків цього суб’єкта відповідно до цієї Директиви;
(35) "суб’єкт публічного адміністрування" означає суб’єкта, визнаного таким в державі-члені відповідно до національного права, окрім судочинства, парламентів або центральних банків, який відповідає таким критеріям:
(a) він створений з метою задоволення потреб, що становлять загальний інтерес і не має промислового або комерційного характеру;
(b) він має правосуб’єктність або уповноважений законом діяти від імені іншого суб’єкта з правосуб’єктністю;
(c) він отримує фінансування переважно від держави, регіональних органів влади або інших органів публічного права, перебуває під управлінським контролем зазначених органів влади чи органів публічного права, або має адміністративну, керівну чи наглядову раду, більш ніж половину членів якої призначає держава, регіональні органи влади або інші органи публічного права;
(d) він має повноваження звертатися до фізичних або юридичних осіб із адміністративними чи регуляторними рішеннями, що впливають на їхні права в сфері транскордонного руху осіб, товарів, послуг або капіталу;
(36) "публічна електронна комунікаційна мережа" означає публічну електронну комунікаційну мережу в розумінні пункту (8) статті 2 Директиви (ЄС) 2018/1972;
(37) "електронна комунікаційна послуга" означає електронну комунікаційну послугу в розумінні пункту (4) статті 2 Директиви (ЄС) 2018/1972;
(38) "суб’єкт" означає фізичну або юридичну особу, створену та визнану як таку на підставі національного права місця заснування, яка може, діючи від свого імені, здійснювати права та виконувати обов’язки;
(39) "надавач керованих послуг" означає суб’єкта, який надає послуги, пов’язані із встановленням, керуванням, експлуатацією чи технічним обслуговуванням продуктів ІКТ, мереж, інфраструктури, застосунків чи будь-яких інших мережевих та інформаційних систем шляхом супроводу чи активного адміністрування, здійснюваного або в приміщеннях клієнта, або віддалено;
(40) "надавач керованих послуг безпеки" означає надавача керованих послуг, який здійснює або надає супровід для діяльності, пов’язаної з управлінням ризиками кібербезпеки;
(41) "науково-дослідна організація" означає суб’єкта, основною ціллю якого є проведення прикладних досліджень або експериментальних розробок з метою використання результатів цих досліджень у комерційних цілях, але який не включає освітні установи.
ГЛАВА II
РАМКИ СКООРДИНОВАНОЇ КІБЕРБЕЗПЕКИ
Стаття 7. Національна стратегія кібербезпеки
1. Кожна держава-член ухвалює національну стратегію кібербезпеки, що визначає стратегічні цілі, ресурси, необхідні для досягнення цих цілей, та доречні політичні та регуляторні інструменти з метою досягнення та підтримання високого рівня кібербезпеки. Національна стратегія кібербезпеки включає:
(a) цілі та пріоритети стратегії кібербезпеки держави-члена, що зокрема охоплюють сектори, зазначені в додатках I та II.
(b) управлінську систему для досягнення цілей і пріоритетів, зазначених у пункті (a) цього параграфа, у тому числі політики, вказані в параграфі 2;
(c) управлінську систему, що роз’яснює функції та обов’язки відповідних стейкхолдерів на національному рівні, закладаючи основу для співпраці та координації на національному рівні між компетентними органами, єдиними контактними пунктами та групами CSIRT за цією Директивою, а також координації та співпраці між цими органами та компетентними органами за секторальними правовими актами Союзу;
(d) механізм ідентифікації відповідних активів і оцінювання ризиків у цій державі-члені;
(e) визначення інструментів, що забезпечують підготованість до інцидентів, реагування на них та відновлення після них, у тому числі співпрацю між державним і приватним секторами;
(f) перелік різних органів влади та стейкхолдерів, залучених до реалізації національної стратегії кібербезпеки;
(g) політичні рамки для посиленої координації між компетентними органами згідно з цією Директивою та компетентними органами згідно з Директивою (ЄС) 2022/2557 з метою обміну інформацією щодо ризиків, кіберзагроз та інцидентів, а також ризиків, що не відносяться до ризиків у сфері кібербезпеки, загроз та інцидентів та виконання наглядових завдань, залежно від випадку;
(h) план, у тому числі необхідні заходи, для посилення загального рівня обізнаності про кібербезпеку серед громадян.
2. У рамках національної стратегії кібербезпеки держави-члени, зокрема, ухвалюють політики, які:
(a) регулюють питання кібербезпеки в ланцюгу постачання продуктів ІКТ і послуг ІКТ, використовуваних суб’єктами для надання послуг;
(b) включають і конкретизують пов’язані з кібербезпекою вимоги до продуктів ІКТ і послуг ІКТ під час публічних закупівель, у тому числі щодо сертифікації кібербезпеки, шифрування та використання продуктів у сфері кібербезпеки із відкритим вихідним кодом;
(c) забезпечують керування вразливостями, охоплюючи просування і спрощення скоординованого оприлюднення інформації про вразливості згідно зі статтею 12(1);
(d) стосуються підтримання загальної доступності, цілісності та конфіденційності публічного ядра відкритого інтернету, в тому числі кібербезпеки підводних комунікаційних кабелів;
(e) сприяють розвитку та інтеграції актуальних передових технологій з метою впровадження найсучасніших заходів управління ризиками кібербезпеки;
(f) просувають і розвивають освіту та професійну підготовку в сфері кібербезпеки, ініціативи з набуття навичок, підвищення обізнаності, досліджень і розробок у сфері кібербезпеки, а також інструкції з належних практик і механізмів контролю кібергігієни, спрямовані на громадян, стейкхолдерів і суб’єктів;
(g) підтримують науково-дослідні установи в розробці, вдосконаленні та просуванні розгортання інструментів кібербезпеки та захищеної мережевої інфраструктури;
(h) включають відповідні процедури та належні інструменти обміну інформацією для підтримання добровільного обміну інформацією щодо кібербезпеки між суб’єктами відповідно до права Союзу;
(i) посилюють базовий рівень кіберстійкості та кібергігієни малих і середніх підприємств, зокрема не включених до сфери застосування цієї Директиви, шляхом надання легкодоступних інструкцій і допомоги відповідно до їхніх специфічних потреб;
(j) сприяють активному кіберзахисту.
3. Держави-члени направляють свої національні стратегії кібербезпеки до Комісії впродовж трьох місяців після їх ухвалення. Держави-члени можуть вилучати з таких сповіщень інформацію, що стосується національної безпеки.
4. Держави-члени проводять оцінювання своїх національних стратегій кібербезпеки на регулярній основі - принаймні кожні п’ять років - на базі ключових показників ефективності та, якщо необхідно, оновлюють їх. ENISA допомагає державам-членам, на їхню вимогу, в розробці чи оновленні національної стратегії кібербезпеки та ключових показників ефективності для оцінювання цієї стратегії з метою її узгодження з вимогами та зобов’язаннями, встановленими в цій Директиві.
Стаття 8. Компетентні органи та єдині контактні пункти
1. Кожна держава-член призначає або створює один або декілька компетентних органів, відповідальних за кібербезпеку та за виконання наглядових завдань, зазначених у главі VII (компетентні органи).
2. Компетентні органи, зазначені в параграфі 1, здійснюють моніторинг імплементації цієї Директиви на національному рівні.
3. Кожна держава-член призначає або створює єдиний контактний пункт. Якщо держава-член призначає лише один компетентний орган на виконання параграфа 1, то цей компетентний орган також буде єдиним контактним пунктом для цієї держави-члена.
4. Кожен єдиний контактний пункт виконує функцію сполучної ланки для забезпечення транскордонної співпраці органів своєї держави-члена з відповідними органами інших держав-членів і, у відповідних випадках, з Комісією та ENISA, а також для забезпечення міжсекторальної співпраці з іншими компетентними органами всередині своєї держави-члена.
5. Держави-члени повинні забезпечувати наявність у своїх компетентних органів та єдиних контактних пунктів належних ресурсів для виконання призначених їм завдань у результативний та ефективний спосіб і досягнення таким чином цілей цієї Директиви.
6. Кожна держава-член без невиправданої затримки повідомляє Комісії про компетентний орган, зазначений у параграфі 1, та єдиний контактний пункт, зазначений у параграфі 3, завдання цих органів та будь-які подальші зміни щодо них. Кожна держава-член оприлюднює інформацію про свій компетентний орган. Комісія забезпечує публічний доступ до переліку єдиних контактних пунктів.
Стаття 9. Національні рамки управління кризами кібербезпеки
1. Кожна держава-член призначає або створює один або декілька компетентних органів, відповідальних за управління масштабними інцидентами та кризами кібербезпеки (органи управління кіберкризами). Держави-члени забезпечують наявність у цих компетентних органів належних ресурсів для виконання призначених їм завдань у результативний та ефективний спосіб. Держави-члени забезпечують узгодженість наявних загальнонаціональних рамок управління кризами.
2. Якщо держава-член призначає або створює більше одного органу управління кіберкризами на виконання параграфа 1, вона чітко вказує, котрий із цих органів слугуватиме координатором управління масштабними інцидентами та кризами кібербезпеки.
3. Кожна держава-член визначає спроможності, активи та процедури, що їх може бути розгорнуто у випадку кризової ситуації для цілей цієї Директиви.
4. Кожна держава-член ухвалює національний план реагування на масштабні інциденти та кризи кібербезпеки, який визначає цілі та порядок управління масштабними інцидентами та кризами кібербезпеки. Зокрема, цей план повинен встановлювати:
(a) цілі національних заходів і дій із забезпечення готовності;
(b) завдання та відповідальність органів управління кіберкризами;
(c) процедури управління кіберкризами, в тому числі їхню інтеграцію в загальнонаціональні рамки управління кризами та канали обміну інформацією;
(d) національні заходи із забезпечення готовності, в тому числі тренування та навчальні заходи;
(e) відповідних державних і приватних стейкхолдерів і залучену інфраструктуру;
(f) національні процедури і домовленості між відповідними національними органами і структурами для забезпечення дієвої участі та сприяння участі держави-члена у скоординованому управлінні масштабними інцидентами і кризами кібербезпеки на рівні Союзу.
5. Впродовж трьох місяців після призначення або створення органу управління кіберкризами, зазначеного в параграфі 1, кожна держава-член сповіщає Комісію про такий орган та про будь-які подальші зміни стосовно нього. Держави-члени подають Комісії та Європейській мережі організацій взаємодії в питаннях протидії кіберкризам (EU-CyCLONe) релевантну інформацію, що стосується вимог параграфа 4, щодо своїх національних планів реагування на масштабні інциденти та кризи кібербезпеки впродовж трьох місяців після ухвалення цих планів. Держави-члени можуть вилучати інформацію, якщо і наскільки таке вилучення необхідне для забезпечення їхньої національної безпеки.
Стаття 10. Групи реагування на інциденти комп’ютерної безпеки (CSIRT)
1. Кожна держава-член призначає або створює одну або більше груп CSIRT. Групи CSIRT може бути створено в рамках компетентного органу. Групи CSIRT повинні відповідати вимогам, встановленим у статті 11(1), охоплювати щонайменше сектори, підсектори і типи суб’єктів, вказані в додатках I в II, та бути відповідальними за врегулювання інцидентів відповідно до чітко визначеної процедури.
2. Держави-члени забезпечують наявність у кожної групи CSIRT належних ресурсів для результативного виконання своїх завдань, як визначено в статті 11(3).
3. Держави-члени забезпечують, щоб кожна CSIRT мала в своєму розпорядженні належну, безпечну та стійку інформаційно-комунікаційну інфраструктуру, через яку вона обмінюватиметься інформацією з основними та важливими суб’єктами, а також іншими відповідними стейкхолдерами. Для цього держави-члени забезпечують активну участь кожної CSIRT у розгортанні захищених інструментів обміну інформацією.
4. Групи CSIRT співпрацюють одна з одною і, залежно від випадку, обмінюються релевантною інформацією відповідно до статті 29 із секторальними чи міжсекторальними спільнотами основних і важливих суб’єктів.
5. Групи CSIRT беруть участь у партнерських перевірках, організованих згідно зі статтею 19.
6. Держави-члени забезпечують результативну, ефективну та безпечну співпрацю своїх груп CSIRT у мережі CSIRT.
7. Групи CSIRT можуть налагоджувати співпрацю з національними групами реагування на інциденти комп’ютерної безпеки третіх країн. У рамках такої співпраці держави-члени сприяють дієвому, ефективному та безпечному обміну інформацією з цими національними групами реагування на інциденти комп’ютерної безпеки третіх країн, використовуючи відповідні протоколи обміну інформацією, в тому числі протокол TLP. Групи CSIRT можуть обмінюватися з національними групами реагування на інциденти комп’ютерної безпеки третіх країн відповідною інформацією, в тому числі персональними даними згідно з правом Союзу щодо захисту даних.
8. Групи CSIRT можуть співпрацювати з національними групами реагування на інциденти комп’ютерної безпеки або аналогічними органами третіх країн, зокрема з метою надання їм допомоги у сфері кібербезпеки.
9. Кожна держава-член без невиправданої затримки сповіщає Комісію про групи CSIRT, зазначені у параграфі 1, та CSIRT, призначену координатором на виконання статті 12(1), про їхні завдання, пов’язані з основними та важливими суб’єктами, та будь-які подальші зміни до вказаного вище.
10. Держави-члени можуть вимагати допомоги ENISA у розвитку своїх груп CSIRT.
Стаття 11. Вимоги, технічні спроможності та завдання CSIRT
1. Групи CSIRT повинні відповідати таким вимогам:
(a) групи CSIRT повинні забезпечувати високий рівень доступності своїх каналів комунікації, уникаючи елементів, відмова яких спричиняє відмову всієї системи (SPOF), та мати декілька засобів для зв’язку з ними та зв’язку з іншими у будь-який час; вони повинні чітко вказати ці канали комунікації та довести їх до відома клієнтури та кооперативних партнерів;
(b) приміщення та допоміжні інформаційні системи груп CSIRT повинні бути розташовані у безпечних місцях;
(c) групи CSIRT повинні бути оснащені належною системою управління запитами та їх скеровування, зокрема для полегшення їх дієвої та ефективної передачі;