5. Держави-члени вимагають від реєстрів TLD-імен і суб’єктів надання послуг реєстрації доменних імен надання доступу до конкретних даних реєстрації доменних імен на законні та належним чином обґрунтовані вимоги легітимних запитувачів доступу згідно з правом Союзу щодо захисту даних. Держави-члени вимагають від реєстрів TLD-імен і суб’єктів надання послуг реєстрації доменних імен надавати відповідь без невиправданої затримки та в будь-якому разі впродовж 72 годин після отримання будь-яких запитів щодо надання доступу. Держави-члени повинні вимагати оприлюднення політик і процедур, що стосуються розкриття таких даних.
6. Дотримання зобов’язань, встановлених у параграфах 1-5, не повинне призводити до дублювання збору даних реєстрації доменних імен. З цією метою держави-члени вимагають, щоб реєстри TLD-імен і суб’єкти надання послуг реєстрації доменних імен співпрацювали одне з одним.
ГЛАВА VI
ОБМІН ІНФОРМАЦІЄЮ
Стаття 29. Механізми обміну інформацією щодо кібербезпеки
1. Держави-члени забезпечують, щоб суб’єкти, що підпадають під сферу застосування цієї Директиви, та, у відповідних випадках, інші суб’єкти, що не підпадають під сферу застосування цієї Директиви, мали змогу на добровільних засадах обмінюватися між собою релевантною інформацією щодо кібербезпеки, в тому числі інформацією стосовно кіберзагроз, "близьких хиб", вразливостей, методів і процедур, індикаторів компрометації, ворожих тактик, інформації щодо конкретних зловмисників, інформування про інциденти кібербезпеки та рекомендацій щодо конфігурації інструментів кібербезпеки для виявлення кібератак за умови, що такий обмін інформацією:
(a) має на меті запобігання інцидентам, реагування на чи відновлення після них або ж пом’якшення їхнього впливу;
(b) підвищує рівень кібербезпеки, зокрема шляхом підвищення обізнаності щодо кіберзагроз, обмеження чи перешкоджання здатності таких загроз до поширення, підтримки низки захисних спроможностей, виправлення і оприлюднення інформації про вразливості, методик виявлення, локалізації та запобігання загрозам, стратегій пом’якшення ризиків чи етапів реагування та відновлення, або ж стимулювання спільних досліджень кіберзагроз між публічними і приватними суб’єктами.
2. Держави-члени забезпечують, щоб обмін інформацією відбувався в спільнотах основних і важливих суб’єктів, а також, якщо доречно, їхніх постачальників або надавачів послуг. Такий обмін необхідно реалізовувати через механізми обміну інформацією щодо кібербезпеки з огляду на потенційно чутливий характер цієї інформації.
3. Держави-члени сприяють впровадженню механізмів обміну інформацією щодо кібербезпеки, зазначених у параграфі 2 цієї статті. Такі механізми можуть конкретизувати операційні елементи, в тому числі використання виділених платформ ІКТ і засобів автоматизації, наповнення та умови механізмів обміну інформацією щодо кібербезпеки. Встановлюючи докладні правила залучення органів публічної влади до таких механізмів, держави-члени можуть встановлювати умови для інформації, наданої компетентними органами чи групами CSIRT. Держави-члени пропонують допомогу в застосуванні таких механізмів відповідно до своїх політик, зазначених у пункті (h) статті 7(2).
4. Держави-члени забезпечують, щоб основні та важливі суб’єкти сповіщали компетентні органи про свою участь у механізмах обміну інформацією щодо кібербезпеки, зазначених у параграфі 2, одразу після входження до таких механізмів або, у застосовних випадках, про свій вихід із таких механізмів, щойно цей вихід набуде чинності.
5. ENISA надає допомогу для впровадження механізмів обміну інформацією щодо кібербезпеки, зазначених у параграфі 2, шляхом обміну найкращими практиками та надання інструкцій.
Стаття 30. Добровільне повідомлення релевантної інформації
1. Держави-члени забезпечують, щоб на додачу до обов’язкових сповіщень, передбачених статтею 23, подавати сповіщення групам CSIRT або, якщо застосовно, компетентним органам на добровільних засадах могли:
(a) основні та важливі суб’єкти - стосовно інцидентів, кіберзагроз і "близьких хиб";
(b) суб’єкти, відмінні від зазначених у пункті (a), незалежно від того, чи підпадають вони під сферу застосування цієї Директиви, - стосовно значних інцидентів, кіберзагроз і "близьких хиб".
2. Держави-члени опрацьовують сповіщення, зазначені у параграфі 1 цієї статті, відповідно до процедури, встановленої в статті 23. Держави-члени можуть надати опрацюванню обов’язкових повідомлень вищий пріоритет, ніж опрацюванню добровільних повідомлень.
За необхідності, групи CSIRT і, якщо застосовно, компетентні органи надають єдиним контактним пунктам інформацію про сповіщення, отримані відповідно до цієї статті, забезпечуючи конфіденційність і належний захист інформації, наданої суб’єктом, що сповіщає. Не обмежуючи запобігання, розслідування, розкриття та переслідування кримінальних правопорушень, добровільне повідомлення не спричиняє накладання будь-яких додаткових зобов’язань на суб’єкта, який його надсилає, які б не розповсюджувалися на нього у випадку неподання сповіщення.
ГЛАВА VII
НАГЛЯД І ЗАБЕЗПЕЧЕННЯ ВИКОНАННЯ
Стаття 31. Загальні аспекти нагляду і забезпечення виконання
1. Державні-члени забезпечують дієвий нагляд і вжиття заходів для забезпечення відповідності цій Директиві з боку своїх компетентних органів.
2. Держави-члени можуть дозволяти своїм компетентним органам визначати пріоритетність наглядових завдань. Визначення такої пріоритетності повинно ґрунтуватися на ризик-орієнтованому підході. Для цього під час виконання наглядових завдань, передбачених статтями 32 і 33, компетентні органи можуть створювати методології нагляду, що дозволяють визначати пріоритетність таких завдань відповідно до ризик-орієнтованого підходу.
3. Компетентні органи працюють у тісній співпраці з наглядовими органами за Регламентом (ЄС) 2016/679 під час врегулювання інцидентів, які є наслідком порушення захисту персональних даних, без обмеження компетенції та завдань наглядових органів згідно із зазначеним Регламентом.
4. Без обмеження національної законодавчої та інституційної бази держави-члени забезпечують, щоб у нагляді за дотриманням цієї Директиви суб’єктами публічної адміністрації та накладанні правозастосовних заходів щодо порушень цієї Директиви компетентні органи мали належні повноваження виконувати такі завдання з операційною незалежністю від суб’єктів публічної адміністрації, за якими вони наглядають. Держави-члени можуть ухвалювати рішення про накладання відповідних, пропорційних і дієвих наглядових і правозастосовних заходів стосовно цих суб’єктів відповідно до національної законодавчої та інституційної бази.
Стаття 32. Наглядові і правозастосовні заходи стосовно основних суб’єктів
1. Держави-члени забезпечують, щоб наглядові і правозастосовні заходи, накладені на основні суб’єкти стосовно обов’язків, встановлених у цій Директиві, були дієвими, пропорційними і стримувальними, з урахуванням обставин кожного окремого випадку.
2. Держави-члени забезпечують, щоб компетентні органи під час виконання своїх наглядових завдань стосовно основних суб’єктів мали повноваження піддавати ці суб’єкти щонайменше:
(a) інспекціям на місцях і дистанційному нагляду, в тому числі вибірковим перевіркам, проведеним навченими фахівцями;
(b) плановим і цільовим аудитам стану безпеки, здійснюваним незалежною установою або компетентним органом;
(c) ситуативним аудитам, у тому числі коли це виправдано значним інцидентом або порушенням цієї Директиви основним суб’єктом;
(d) скануванням стану безпеки на підставі об’єктивних, недискримінаційних, справедливих і прозорих критеріїв оцінювання ризиків, за необхідності у співпраці з відповідним суб’єктом;
(e) запитам на отримання інформації, необхідної для оцінювання заходів управління ризиками кібербезпеки, запроваджених відповідним суб’єктом, у тому числі документованих політик кібербезпеки, а також дотримання обов’язку подавати інформацію компетентним органам відповідно до статті 27;
(f) запитам на отримання доступу до даних, документів та інформації, необхідних для виконання своїх наглядових завдань;
(g) запитам доказів реалізації політик кібербезпеки, таких як результати аудитів стану безпеки, проведених кваліфікованим аудитором, та відповідні первинні докази.
Цільові аудити стану безпеки, згадані в пункті (b) першого підпараграфа, базуються на оцінюванні ризиків, проведеному компетентним органом або суб’єктом, що проходить аудит, або на іншій наявній інформації щодо ризиків.
Результати будь-якого цільового аудиту стану безпеки надають компетентному органу. Витрати на проведення такого цільового аудиту стану безпеки незалежною установою буде сплачено суб’єктом, що проходить аудит, за винятком належним чином обґрунтованих випадків, коли компетентний орган вирішує інакше.
3. Реалізуючи свої повноваження згідно з пунктом (e), (f) або (g) параграфа 2, компетентні органи повинні вказувати мету такого запиту та уточнити, яка інформація вимагається.
4. Держави-члени забезпечують, щоб їхні компетентні органи під час реалізації своїх правозастосовних повноважень стосовно основних суб’єктів мали повноваження щонайменше:
(a) виносити попередження про порушення цієї Директиви відповідними суб’єктами;
(b) ухвалювати зобов’язальні приписи, у тому числі щодо заходів, необхідних для запобігання чи усунення інциденту, а також крайніх термінів реалізації таких заходів і звітування про їх реалізацію, або ж наказ із вимогою до відповідних суб’єктів усунути виявлені недоліки чи порушення цієї Директиви;
(c) наказувати відповідним суб’єктам припинити дії, які порушують цю Директиву, та утриматися від повторення цих дій;
(d) наказувати відповідним суб’єктам забезпечити відповідність своїх заходів управління ризиками кібербезпеки статті 21 або виконати обов’язки щодо звітування, встановлені в статті 23, у визначений спосіб і впродовж визначеного періоду;
(e) наказувати відповідним суб’єктам інформувати фізичних або юридичних осіб, щодо яких вони надають послуги чи здійснюють діяльність, що потенційно зазнає значної кіберзагрози, про характер цієї загрози, а також про будь-які можливі захисні чи відновлювальні заходи, яких ці фізичні чи юридичні особи можуть вжити у відповідь на цю загрозу;
(f) наказувати відповідним суб’єктам виконати рекомендації, надані в результаті аудиту стану безпеки, у розсудливі строки;
(g) призначати особу, відповідальну за здійснення моніторингу, із чітко визначеними завданнями на визначений період часу для контролю за дотриманням відповідними суб’єктами вимог статей 21 і 23;
(h) наказувати відповідним суб’єктам оприлюднювати аспекти порушень цієї Директиви у встановленому порядку;
(i) накладати чи вимагати накладання відповідними органами, судами чи трибуналами відповідно до національного права адміністративного штрафу згідно зі статтею 34 додатково до будь-якого із заходів, зазначених у пунктах (a)-(h) цього параграфа.
5. Якщо правозастосовні заходи, вжиті згідно з пунктами (a)-(d) і (f) параграфа 4, є неефективними, держави-члени забезпечують, щоб їхні компетентні органи мали повноваження встановлювати кінцевий термін, до якого основний суб’єкт зобов’язаний вжити необхідних заходів для усунення недоліків чи виконання вимог цих органів. Якщо запитуваних заходів не вжито у встановлений термін, держави-члени забезпечують, щоб їхні компетентні органи мали повноваження:
(a) тимчасово призупиняти або вимагати від органу сертифікації чи авторизації, або від суду чи трибуналу відповідно до національного права тимчасового призупинення сертифікації чи авторизації щодо частини або всіх відповідних послуг або видів діяльності, надаваних або здійснюваних основним суб’єктом;
(b) вимагати, щоб відповідні органи, суди чи трибунали відповідно до національного права тимчасово заборонили будь-якій фізичній особі, відповідальній за здійснення управлінських повноважень на рівні головного виконавчого директора або законного представника основного суб’єкта, виконувати управлінські функції в цьому суб’єкті.
Тимчасові призупинення чи заборони, накладені відповідно до цього параграфа, застосовують лише до того, як відповідний суб’єкт вживе необхідних заходів для усунення недоліків або виконання вимог компетентного органу, щодо яких було застосовано такі правозастосовні заходи. На накладення тимчасових призупинень або заборон поширюються належні процесуальні гарантії згідно із загальними принципами права Союзу та Хартії, в тому числі право на дієвий засіб правового захисту і чесний суд, презумпція невинуватості та права на забезпечення захисту.
Правозастосовні заходи, передбачені цим параграфом, не застосовні до суб’єктів публічної адміністрації, на які поширюється дія цієї Директиви.
6. Держави-члени забезпечують, щоб будь-яка фізична особа, яка несе відповідальність за діяльність основного суб’єкта чи діє як його законний представник на підставі представницьких повноважень, має повноваження ухвалювати рішення від його імені чи повноваження здійснювати контроль над ним, мала повноваження забезпечувати дотримання ним цієї Директиви. Держави-члени забезпечують можливість притягнення таких фізичних осіб до відповідальності за порушення своїх обов’язків щодо забезпечення дотримання цієї Директиви.
Стосовно суб’єктів публічної адміністрації цей параграф не обмежує дію національного права в частині відповідальності державних службовців та виборних чи призначених посадових осіб.
7. Вживаючи будь-який із правозастосовних заходів, зазначених у параграфі 4 або 5, компетентні органи дотримуються прав на забезпечення захисту, враховують обставини кожного окремого випадку та, як мінімум, належним чином враховують:
(a) тяжкість порушення та важливість порушених положень, причому серйозне порушення в будь-якому разі становить, з-поміж іншого, таке:
(i) повторні порушення;
(ii) ненадання сповіщення про значний інцидент чи його неусунення;
(iii) неусунення недоліків після зобов’язальних приписів від компетентних органів;
(iv) перешкоджання проведенню аудитів або моніторингової діяльності на запит компетентного органу після виявлення порушення;
(v) надання неправдивої чи кричуще неточної інформації стосовно заходів управління ризиками чи обов’язків щодо звітування у сфері кібербезпеки, встановлених у статтях 21 та 23;
(b) тривалість порушення;
(c) будь-які релевантні попередні порушення з боку відповідного суб’єкта;
(d) будь-яку завдану матеріальну чи нематеріальну шкоду, в тому числі будь-які фінансові чи економічні втрати, вплив на інші послуги та кількість постраждалих користувачів;
(e) будь-який умисел або недбалість з боку винуватця в порушенні;
(f) будь-які заходи, вжиті суб’єктом для уникнення чи зменшення матеріальної чи нематеріальної шкоди;
(g) будь-яке дотримання затверджених кодексів поведінки чи схвалених механізмів сертифікації;
(h) рівень співпраці відповідальних фізичних або юридичних осіб із компетентними органами.
8. Компетентні органи надають детальне обґрунтування для вжиття правозастосовних заходів. Перед ухваленням таких заходів компетентні органи сповіщають про свої попередні висновки зацікавленим суб’єктам. Вони також надають цим суб’єктам розсудливі строки для подання зауважень, за винятком належним чином обґрунтованих випадків, коли негайні дії із запобігання чи реагування на інциденти можуть інакше бути ускладнені.
9. Держави-члени забезпечують, щоб їхні компетентні органи за цією Директивою інформували відповідні компетентні органи в тій самій державі-члені за Директивою (ЄС) 2022/2557 під час виконання своїх повноважень з нагляду та забезпечення виконання з метою забезпечення відповідності суб’єкта, визначеного критично важливим суб’єктом згідно з Директивою (ЄС) 2022/2557, вимогам цієї Директиви. У відповідних випадках, компетентні органи згідно з Директивою (ЄС) 2022/2557 можуть вимагати від компетентних органів згідно з цією Директивою виконувати свої повноваження з нагляду та забезпечення виконання щодо суб’єкта, визначеного критично важливим суб’єктом згідно з Директивою (ЄС) 2022/2557.
10. Держави-члени забезпечують, щоб їхні компетентні органи за цією Директивою співпрацювали з відповідними компетентними органами відповідної держави-члена за Регламентом (ЄС) 2022/2554. Зокрема, держави-члени забезпечують, щоб їхні компетентні органи за цією Директивою інформували Наглядовий форум, заснований на виконання статті 32(1) Регламенту (ЄС) 2022/2554 під час виконання своїх повноважень з нагляду та забезпечення виконання з метою забезпечення відповідності основного суб’єкта, визначеного критичним стороннім надавачем послуг ІКТ згідно зі статтею 31 Регламенту (ЄС) 2022/2554, вимогам цієї Директиви.
Стаття 33. Наглядові і правозастосовні заходи стосовно важливих суб’єктів
1. Якщо надано доказ, свідчення або інформацію про те, що важливий суб’єкт нібито не дотримується вимог цієї Директиви, зокрема її статей 21 та 23, держави-члени забезпечують вжиття компетентними органами заходів, якщо необхідно, за допомогою наглядових заходів ex post. Держави-члени забезпечують, щоб такі заходи були дієвими, пропорційними та стримувальними, враховуючи обставини кожного окремого випадку.
2. Держави-члени забезпечують, щоб компетентні органи під час виконання своїх наглядових завдань стосовно важливих суб’єктів мали повноваження піддавати ці суб’єкти щонайменше:
(a) інспекціям на місцях і дистанційному нагляду ex post, проведеним навченими фахівцями;
(b) цільовим аудитам стану безпеки, здійснюваним незалежною установою або компетентним органом;
(c) скануванням безпеки на підставі об’єктивних, недискримінаційних, справедливих і прозорих критеріїв оцінювання ризиків, за необхідності у співпраці з відповідним суб’єктом;
(d) запитам на отримання інформації, необхідної для оцінювання, ex post, заходів управління ризиками кібербезпеки, запроваджених відповідним суб’єктом, у тому числі документованих політик кібербезпеки, а також дотримання обов’язку подавати інформацію компетентним органам відповідно до статті 27;
(e) запитам на отримання доступу до даних, документів та інформації, необхідних для виконання своїх наглядових завдань;
(f) запитам доказів реалізації політик кібербезпеки, таких як результати аудитів стану безпеки, проведених кваліфікованим аудитором, та відповідні первинні докази.
Цільові аудити стану безпеки, згадані в пункті (b) першого підпараграфа, базуються на оцінюванні ризиків, проведеному компетентним органом або суб’єктом, що проходить аудит, або на іншій наявній інформації щодо ризиків.
Результати будь-якого цільового аудиту стану безпеки надають компетентному органу. Витрати на проведення такого цільового аудиту стану безпеки незалежною установою буде сплачено суб’єктом, що проходить аудит, за винятком належним чином обґрунтованих випадків, коли компетентний орган вирішує інакше.
3. Реалізуючи свої повноваження згідно з пунктом (d), (e) або (f) параграфа 2, компетентні органи повинні вказувати мету такого запиту та уточнити, яка інформація вимагається.
4. Держави-члени забезпечують, щоб компетентні органи під час реалізації своїх правозастосовних повноважень стосовно важливих суб’єктів мали повноваження щонайменше:
(a) виносити попередження про порушення цієї Директиви відповідними суб’єктами;
(b) ухвалювати зобов’язальні приписи або ж наказ із вимогою до відповідних суб’єктів усунути виявлені недоліки чи порушення цієї Директиви;
(c) наказувати відповідним суб’єктам припинити дії, які порушують цю Директиву, та утриматися від повторення цих дій;
(d) наказувати відповідним суб’єктам забезпечити відповідність своїх заходів управління ризиками кібербезпеки статті 21 або виконати обов’язки щодо звітування, встановлені в статті 23, у визначений спосіб і впродовж визначеного періоду;
(e) наказувати відповідним суб’єктам інформувати фізичних або юридичних осіб, щодо яких вони надають послуги чи здійснюють діяльність, що потенційно зазнає значної кіберзагрози, про характер цієї загрози, а також про будь-які можливі захисні чи відновлювальні заходи, яких ці фізичні чи юридичні особи можуть вжити у відповідь на цю загрозу;
(f) наказувати відповідним суб’єктам виконати рекомендації, надані в результаті аудиту стану безпеки, у розсудливі строки;
(g) наказувати відповідним суб’єктам оприлюднювати аспекти порушень цієї Директиви у встановленому порядку;
(h) накладати чи вимагати накладання відповідними органами, судами чи трибуналами відповідно до національного права адміністративного штрафу згідно зі статтею 34 додатково до будь-якого із заходів, зазначених у пунктах (a)-(g) цього параграфа.
5. Статтю 32(6), (7) і (8) застосовують mutatis mutandis до наглядових і правозастосовних заходів, передбачених цією статтею для важливих суб’єктів.
6. Держави-члени забезпечують, щоб їхні компетентні органи за цією Директивою співпрацювали з відповідними компетентними органами відповідної держави-члена за Регламентом (ЄС) 2022/2554. Зокрема, держави-члени забезпечують, щоб їхні компетентні органи за цією Директивою інформували Наглядовий форум, заснований на виконання статті 32(1) Регламенту (ЄС) 2022/2554 під час виконання своїх повноважень з нагляду та забезпечення виконання з метою забезпечення відповідності важливого суб’єкта, визначеного критичним стороннім надавачем послуг ІКТ згідно зі статтею 31 Регламенту (ЄС) 2022/2554, вимогам цієї Директиви.
Стаття 34. Загальні умови для накладання адміністративних штрафів на основні та важливі суб’єкти
1. Держави-члени забезпечують, щоб адміністративні штрафи, накладені на основні та важливі суб’єкти відповідно до цієї статті за порушення цієї Директиви, були дієвими, пропорційними і стримувальними, з урахуванням обставин кожного окремого випадку.
2. Адміністративні штрафи накладають додатково до будь-якого із заходів, зазначених у пунктах (a)-(h) статті 32(4), статті 32(5) та пунктах (a)-(g) статті 33(4).
3. Під час вирішення, чи накладати адміністративний штраф, і визначення його розміру в кожному окремому випадку необхідно звертати належну увагу як мінімум на елементи, передбачені статтею 32(7).
4. Держави-члени забезпечують, щоб у разі порушення вимог статті 21 або 23 основні суб’єкти, відповідно до параграфів 2 і 3 цієї статті, підлягали стягненню адміністративних штрафів у максимальному розмірі не менше 10000000 євро або в максимальному розмірі не менше 2 % загального річного світового обороту суб’єкта господарювання, якому належить цей основний суб’єкт, залежно від того, яка сума більша.
5. Держави-члени забезпечують, щоб у разі порушення вимог статті 21 або 23 важливі суб’єкти, відповідно до параграфів 2 і 3 цієї статті, підлягали стягненню адміністративних штрафів у максимальному розмірі не менше 7000000 євро або в максимальному розмірі не менше 1,4 % загального річного світового обороту суб’єкта господарювання, якому належить цей важливий суб’єкт, залежно від того, яка сума більша.
6. Держави-члени можуть передбачити повноваження накладати періодичні штрафні платежі, щоб спонукати основний або важливий суб’єкт припинити порушення цієї Директиви, згідно з попереднім рішенням компетентного органу.
7. Без обмеження повноважень компетентних органів відповідно до статей 32 і 33, кожна держава-член може встановлювати правила щодо того, чи можна та якою мірою можна накладати адміністративні штрафи на суб’єкти публічної адміністрації.
8. Якщо правова система держави-члена не передбачає адміністративних штрафів, така держава-член забезпечує застосування цієї статті у такий спосіб, щоб штраф ініціював компетентний орган і накладали компетентні національні суди чи трибунали, водночас забезпечуючи, щоб такі засоби правового захисту були дієвими та мали дію, аналогічну до адміністративних штрафів, накладених компетентними органами. У будь-якому разі накладені штрафи повинні бути дієвими, пропорційними і стримувальними. Держава-член повідомляє Комісії про положення законів, які вона ухвалює відповідно до цього параграфа, до 17 жовтня 2024 року та, без затримки, про будь-які подальші зміни і доповнення, що на них впливають.
Стаття 35. Порушення, що призводять до порушення захисту персональних даних
1. Коли компетентним органам в ході нагляду чи забезпечення виконання стає відомо, що порушення основним чи важливим суб’єктом зобов’язань, встановлених у статтях 21 і 23 цієї Директиви, може призвести до порушення захисту персональних даних, як визначено в пункті (12) статті 4 Регламенту (ЄС) 2016/679, про що необхідно сповістити відповідно до статті 33 вказаного Регламенту, вони без невиправданої затримки інформують наглядові органи, як визначено в статті 55 або 56 зазначеного Регламенту.
2. Якщо наглядові органи, як визначено в статті 55 або 56 Регламенту (ЄС) 2016/679, накладають адміністративний штраф відповідно до пункту (i) статті 58 (2) зазначеного Регламенту, компетентні органи не повинні накладати адміністративний штраф відповідно до статті 34 цієї Директиви за порушення, зазначене в параграфі 1 цієї статті, що виникає внаслідок того самого діяння, яке було підставою для адміністративного штрафу згідно з пунктом (i) статті 58(2) Регламенту (ЄС) 2016/679. Однак, компетентні органи можуть застосовувати правозастосовні заходи, передбачені пунктами (a)-(h) статті 32(4), статтею 32(5) та пунктами (a)-(g) статті 33(4) цієї Директиви.
3. Якщо наглядовий орган із компетенцією відповідно до Регламенту (ЄС) 2016/679 засновано не в тій державі-члені, що компетентний орган, такий компетентний орган інформує наглядовий орган, заснований у його власній державі-члені, про потенційний витік, вказаний у параграфі 1.
Стаття 36. Санкції
Держави-члени повинні встановити правила щодо санкцій, застосовних до порушень національних документів, ухвалених відповідно до цієї Директиви, та вживати усіх заходів, необхідних для забезпечення виконання таких правил. Такі санкції повинні бути дієвими, пропорційними і стримувальними. Держави-члени повинні до 17 січня 2025 року повідомити Комісію про такі правила та такі заходи, а також повинні невідкладно повідомляти її про будь-які подальші зміни, які на них впливають.
Стаття 37. Взаємна допомога
1. Якщо суб’єкт надає послуги більш ніж в одній державі-члені або надає послуги у одній чи кількох державах-членах, а його мережеві та інформаційні системи розташовані в одній або кількох інших державах-членах, компетентні органи відповідних держав-членів співпрацюють і допомагають один одному за потреби. Така співпраця передбачає, що принаймні:
(a) компетентні органи, що застосовують наглядові чи правозастосовні заходи у певній державі-члені через єдиний контактний пункт інформують і консультують компетентні органи в інших зацікавлених державах-членах щодо вжитих наглядових і правозастосовних заходів;
(b) компетентний орган може вимагати від іншого компетентного органу вжиття наглядових або правозастосовних заходів;
(c) компетентний орган, після отримання обґрунтованого запиту від іншого компетентного органу, надає цьому іншому компетентному органу взаємодопомогу пропорційно до власних ресурсів, щоб наглядові чи правозастосовні заходи було реалізовано у дієвий, ефективний і послідовний спосіб.
Взаємодопомога, вказана в пункті (c) першого підпараграфа, може охоплювати інформаційні запити та наглядові заходи, в тому числі запити на проведення інспекцій на місцях або дистанційного нагляду чи цільових аудитів стану безпеки. Компетентний орган, якому адресовано запит про допомогу, не повинен відхиляти цей запит, якщо не встановлено, що він не має компетенції надавати запитувану допомогу, запитувана допомога не пропорційна наглядовим завданням цього компетентного органу або що запит стосується інформації чи передбачає діяльність, розкриття чи здійснення якої суперечитиме суттєвим інтересам національної безпеки, громадської безпеки чи оборони держави-члена. Перш ніж відхилити запит, компетентний орган консультується з іншими зацікавленими компетентними органами, а також, на вимогу однієї із зацікавлених держав-членів, з Комісією та ENISA.
2. У відповідних випадках і за спільної згоди компетентні органи різних держав-членів можуть здійснювати спільні наглядові дії.
ГЛАВА VIII
ДЕЛЕГОВАНІ ТА ІМПЛЕМЕНТАЦІЙНІ АКТИ
Стаття 38. Здійснення делегованих повноважень
1. Повноваження ухвалювати делеговані акти надано Комісії відповідно до умов, встановлених у цій статті.
2. Повноваження ухвалювати делеговані акти, зазначені у статті 24(2), надано Комісії на п’ятирічний період, починаючи з 16 січня 2023 року.
3. Делеговані повноваження, зазначені в статті 24(2), можуть бути в будь-який час відкликані Європейським Парламентом або Радою. Рішення про відкликання припиняє дію делегованих повноважень, що їх зазначено в тексті такого рішення. Таке рішення набуває чинності на наступний день після його опублікування в Офіційному віснику Європейського Союзу або з пізнішої дати, вказаної у ньому. Воно не впливає на чинність будь-яких вже введених в дію делегованих актів.
4. Перед ухваленням делегованого акта Комісія повинна провести консультації з експертами, призначеними кожною державою-членом, відповідно до принципів, встановлених у Міжінституційній угоді про краще законотворення від 13 квітня 2016 року.
5. Як тільки Комісія ухвалює делегований акт, вона повинна одночасно повідомити про це Європейський Парламент і Раду.
6. Делегований акт, ухвалений відповідно до статті 24(2), набуває чинності, тільки якщо ані Європейський Парламент, ані Рада не висловили жодних заперечень протягом двомісячного періоду з моменту повідомлення про такий акт Європейському Парламенту і Раді або якщо до завершення такого періоду Європейський Парламент і Рада поінформували Комісію про те, що вони не матимуть заперечень. Такий період продовжують іще на 2 місяці за ініціативи Європейського Парламенту або Ради.
Стаття 39. Процедура комітету
1. Комісії допомагає комітет. Такий комітет є комітетом у розумінні Регламенту (ЄС) № 182/2011.
2. У разі покликання на цей параграф застосовують статтю 5 Регламенту (ЄС) № 182/2011.
3. Якщо висновок комітету повинен бути отриманий шляхом письмової процедури, така процедура припиняється без результату, якщо протягом строку для надання висновку голова комітету ухвалює таке рішення або цього вимагає член комітету.
ГЛАВА IX
ПРИКІНЦЕВІ ПОЛОЖЕННЯ
Стаття 40. Перегляд
До 17 жовтня 2027 року та в подальшому кожні 36 місяців Комісія переглядає функціонування цієї Директиви та звітує про це Європейському Парламенту та Раді. У цих звітах, зокрема, оцінюється значущість розміру відповідних суб’єктів, а також секторів, підсекторів і типів суб’єктів, визначених у додатках I і II до цієї Директиви, для функціонування економіки і суспільства в плані кібербезпеки. З цією метою та з огляду на подальше просування стратегічної та операційної співпраці, Комісія повинна брати до уваги звіти Групи співпраці та мережі CSIRT про досвід, отриманий на стратегічно-операційному рівні. Цей звіт повинна супроводжувати, за необхідності, законодавча пропозиція.
Стаття 41. Транспозиція
1. До 17 жовтня 2024 року держави-члени повинні ухвалити та опублікувати інструменти, необхідні для виконання цієї Директиви. Вони повинні невідкладно інформувати про них Комісію.
Вони повинні почати застосовувати зазначені інструменти з 18 жовтня 2024 року.
2. Якщо держави-члени ухвалюють інструменти, зазначені у параграфі 1, вони повинні містити покликання на цю Директиву або супроводжуватися таким покликанням у разі їх офіційної публікації. Методи здійснення такого покликання визначають держави-члени.
Стаття 42. Внесення змін до Регламенту (ЄС) № 910/2014
( Див. текст )
У Регламенті (ЄС) № 910/2014 статтю 19 вилучити з набуттям чинності 18 жовтня 2024 року.
Стаття 43. Внесення змін до Директиви (ЄС) 2018/1972
( Див. текст )
Стаття 44. Скасування
Директиву (ЄС) 2016/1148 скасовано з 18 січня 2024 року.
Покликання на скасовану Директиву необхідно тлумачити як покликання на цю Директиву та читати їх згідно з кореляційною таблицею, наведеною в додатку III.
Стаття 45. Набуття чинності
Ця Директива набуває чинності на двадцятий день після її публікації в Офіційному віснику Європейського Союзу.
Стаття 46. Адресати
Цю Директиву адресовано державам-членам.
Вчинено в Страсбурзі 14 грудня 2022 року.
| | За Європейський Парламент Президент R. METSOLA |
| | За Раду Президент M. BEK |
__________
(-1) OB C 233, 16.06.2022, с. 22.
(-2) OB C 286, 16.07.2021, с. 170.
(-3) Позиція Європейського Парламенту від 10 листопада 2022 року (ще не опублікована в Офіційному віснику) і рішення Ради від 28 листопада 2022 року.
(-4) Директива Європейського Парламенту і Ради (ЄС) 2016/1148 від 06 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу (OB L 194, 19.07.2016, с. 1).
(-5) Рекомендація Комісії 2003/361/ЄС від 06 травня 2003 року щодо визначення мікропідприємств, малих і середніх підприємств (OB L 124, 20.05.2003, с. 36).
(-6) Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС (OB L 257, 28.08.2014, с. 73).
(-7) Директива Європейського Парламенту і Ради 97/67/ЄС від 15 грудня 1997 року про спільні правила розвитку внутрішнього ринку поштових послуг Співтовариства та покращення якості обслуговування (OB L 15, 21.01.1998, с. 14).
(-8) Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (OB L 119, 04.05.2016,с. 1).
(-9) Директива Європейського Парламенту і Ради 2002/58/ЄС від 12 липня 2002 року про опрацювання персональних даних і захист приватності в секторі електронних комунікацій (Директива про приватність та електронні комунікації) (OB L 201, 31.07.2002, с. 37).
(-10) Регламент Європейського Парламенту і Ради (ЄС) 2022/2554 від 14 грудня 2022 року про цифрову операційну стійкість фінансового сектора та внесення змін до регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014, (ЄС) № 909/2014 та (ЄС) 2016/1011 (див. сторінку 1 цього Офіційного вісника).
(-11) Регламент Європейського Парламенту і Ради (ЄС) № 300/2008 від 11 березня 2008 року про спільні правила у сфері авіаційної безпеки цивільної авіації та про скасування Регламенту (ЄС) № 2320/2002 (OB L 97, 09.04.2008, с. 72).
(-12) Регламент Європейського Парламенту і Ради (ЄС) 2018/1139 від 04 липня 2018 року про спільні правила у галузі цивільної авіації та про створення Агентства з безпеки польотів Європейського Союзу, та про внесення змін до регламентів Європейського Парламенту і Ради (ЄС) № 2111/2005, (ЄС) № 1008/2008, (ЄС) № 996/2010, (ЄС) № 376/2014 та директив Європейського Парламенту і Ради 2014/30/ЄС та 2014/53/ЄС, а також про скасування регламентів Європейського Парламенту і Ради (ЄС) № 552/2004 та (ЄС) № 216/2008 та Регламенту Ради (ЄЕС) № 3922/91 (OB L 212, 22.08.2018, с. 1).
(-13) Директива Європейського Парламенту і Ради (ЄС) 2022/2557 від 14 грудня 2022 про стійкість критично важливих суб’єктів та скасування Директиви Ради 2008/114/ЄС (див. сторінку 164 цього Офіційного вісника).
(-14) Регламент Європейського Парламенту і Ради (ЄС) 2021/696 від 28 квітня 2021 року про створення Космічної програми Союзу та Агентства Європейського Союзу з космічної програми та про скасування регламентів (ЄС) № 912/2010, (ЄС) № 1285/2013 і (ЄС) № 377/2014 та Рішення № 541/2014/ЄС (OB L 170, 12.05.2021, с. 69).
(-15) Рекомендація Комісії (ЄС) 2017/1584 від 13 вересня 2017 року про скоординовану відповідь на широкомасштабні інциденти та кризи у секторі кібербезпеки (OB L 239, 19.09.2017, с. 36).
(-16) Імплементаційне рішення Ради (ЄС) 2018/1993 від 11 грудня 2018 про механізми інтегрованого політичного реагування ЄС на кризи (OB L 320, 17.12.2018, с. 28).
(-17) Рішення Європейського Парламенту і Ради № 1313/2013/ЄС від 17 грудня 2013 про механізм цивільного захисту Союзу (OB L 347, 20.12.2013, с. 924).
(-18) Регламентом Європейського Парламенту і Ради (ЄС) 2019/881 від 17квітня 2019 року про Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) та про сертифікацію кібербезпеки інформаційно-комунікаційних технологій, а також про скасування Регламенту (ЄС) № 526/2013 (Акт про кібербезпеку) (OB L 151, 07.06.2019, с. 15).
(-19) Рекомендація Комісії (ЄС) 2019/534 від 26 березня 2019 року - Кібербезпека мереж 5G (OB L 88, 29.03.2019, с. 42).
(-20) Директива Європейського Парламенту і Ради (ЄС) 2018/1972 від 11 грудня 2018 року про запровадження Європейського кодексу електронних комунікацій (OB L 321, 17.12.2018, с. 36).
(-21) Регламент Європейського Парламенту і Ради (ЄС) 2021/694 від 29 квітня 2021 року про запровадження програми "Цифрова Європа" та про скасування Рішення (ЄС) 2015/2240 (OB L 166, 11.05.2021, с. 1).
(-22) OB L 123, 12.05.2016, с. 1.
(-23) Регламент Європейського Парламенту і Ради (ЄС) № 182/2011 від 16 лютого 2011 року про встановлення правил і загальних принципів стосовно механізмів контролю державами-членами за здійсненням Комісією виконавчих повноважень (OB L 55, 28.02.2011, с. 13).
(-24) Регламент Європейського Парламенту і Ради (ЄС) 2022/2065 від 19 жовтня 2022 року про єдиний ринок цифрових послуг та внесення змін до Директиви 2000/31/ЄС (Акт про цифрові послуги) (OB L 277, 27.10.2022, с. 1).
(-25) Регламент Європейського Парламенту і Ради (ЄС) 2018/1725 від 23 жовтня 2018 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних установами, органами, офісами та агентствами Союзу, та про вільний рух таких даних, а також про скасування Регламенту (ЄС) № 45/2001 та Рішення № 1247/2002/ЄС (OB L 295, 21.11.2018, с. 39).
(-26) OB C 183, 11.05.2021, с. 3.
(-27) Директива Європейського Парламенту і Ради 2011/93/ЄС від 13 грудня 2011 року про боротьбу із сексуальною наругою над дітьми і сексуальною експлуатацією дітей та дитячою порнографією та про заміну Рамкового рішення Ради 2004/68/ЮВС (OB L 335, 17.12.2011, с. 1).
(-28) Директива Європейського Парламенту і Ради 2013/40/ЄС від 12 серпня 2013 року про атаки на інформаційні системи та про заміну Рамкового рішення Ради 2005/222/ЮВС (OB L 218, 14.08.2013, с. 8).
(-29) Регламент Європейського Парламенту і Ради (ЄС) № 1025/2012 від 25 жовтня 2012 року про європейську стандартизацію та про внесення змін до директив Ради 89/686/ЄЕС та 93/15/ЄЕС та директив Європейського Парламенту і Ради 94/9/ЄС, 94/25/ЄС, 95/16/ ЄС, 97/23/ЄС, 98/34/ЄС, 2004/22/ЄС, 2007/23/ЄС, 2009/23/ЄС та 2009/105/ЄС, а також про скасування Рішення Ради 87/95/ЄЕС та Рішення Європейського Парламенту і Ради № 1673/2006/ЄС (OB L 316, 14.11.2012, с. 12).
(-30) Директива Європейського Парламенту і Ради (ЄС) 2015/1535 від 09 вересня 2015 року про встановлення порядку надання інформації в сфері технічних регламентів та правил стосовно послуг інформаційного суспільства (OB L 241, 17.09.2015, с. 1).
(-31) Директива Європейського Парламенту і Ради 2005/29/ЄС від 11 травня 2005 року стосовно недобросовісних комерційних практик бізнесу щодо споживачів на внутрішньому ринку та внесення змін до Директиви Ради 84/450/ЄЕС, директив Європейського Парламенту і Ради 97/7/ЄС, 98/27/ЄС та 2002/65/ЄС та Регламенту Європейського Парламенту і Ради (ЄС) № 2006/2004 ("Директива про недобросовісні комерційні практики") (OB L 149, 11.06.2005, с. 22).
(-32) Регламент Європейського Парламенту і Ради (ЄС) 2019/1150 від 20 червня 2019 року про сприяння чесності та прозорості для бізнес-користувачів посередницьких послуг онлайн (OB L 186, 11.07.2019, с. 57).
ДОДАТОК I
СЕКТОРИ ВИСОКОЇ КРИТИЧНОСТІ
| Сектор | Підсектор | Тип суб’єкта |
| 1. Енергетика | (a) Електроенергія | - Електроенергетичні підприємства, як визначено в пункті (57) статті 2 Директиви Європейського Парламенту і Ради 2009/72/ЄС (- 1), що виконують функцію "постачання", як визначено в пункті (12) статті 2 зазначеної Директиви |
| - Оператори системи розподілу, як визначено у пункті (29) статті 2 Директиви (ЄС) 2019/944 | ||
| - Оператори системи передачі, як визначено у пункті (35) статті 2 Директиви (ЄС) 2019/944 | ||
| - Виробники, як визначено у пункті (38) статті 2 Директиви (ЄС) 2019/944 | ||
| - Номіновані оператори ринку електроенергії, як визначено у пункті (8) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) 2019/943 (- 2) - Учасники ринку, як визначено у пункті (25) статті 2, Регламенту (ЄС) 2019/943, що надають послуги агрегації, регулювання попиту і пропозиції чи зберігання енергії, як визначено у пунктах (18), (20) та (59) статті 2 Директиви (ЄС) 2019/944 - Оператори перезарядних пунктів, відповідальні за управління та експлуатацію перезарядного пункту, який надає послугу перезарядження кінцевим користувачам, в тому числі під іменем чи від імені провайдера послуги мобільності | ||
| (b) Централізоване теплопостачання та охолодження | - Оператори централізованого теплопостачання та централізованого охолодження, як означено в пункті (19) статті 2 Директиви Європейського Парламенту і Ради (ЄС) 2018/2001 (- 3) | |
| (c) Нафта | - Оператори нафтопроводів | |
| - Оператори нафтовидобувного, нафтопереробного устатковання, установок підготовки нафти, нафтозберігальних та нафтопередавальних потужностей | ||
| - Центральні резервні організації, як означено в пункті (f) статті 2 Директиви Ради 2009/119/ЄС (- 4) | ||
| (d) Газ | - Постачальні підприємства, як означено в пункті (8) статті 2 Директиви Європейського Парламенту і Ради 2009/73/ЄС (- 5) | |
| - Оператори системи розподілу, як означено в пункті (6) статті 2 Директиви 2009/73/ЄС | ||
| - Оператори системи передачі, як означено в пункті (4) статті 2 Директиви 2009/73/ ЄС | ||
| - Оператори газосховищ, як означено в пункті (10) статті 2 Директиви 2009/73/ЄС | ||
| - Оператори установок LNG, як означено в пункті (12) статті 2 Директиви 2009/73/ЄС | ||
| - Суб’єкти ринку природного газу, як означено в пункті (1) статті 2 Директиви 2009/73/ЄС | ||
| - Оператори устатковання для перероблення та підготовки природного газу | ||
| (e) Водень | - Оператори потужностей з виробництва, зберігання та передачі водню | |
| 2. Транспорт | (a) Повітряний | - Авіаперевізники, як означено в пункті (4) статті 3 Регламенту (ЄС) № 300/2008, що використовуються для комерційних цілей |
| - Органи управління аеропортами, як означено в пункті (2) статті 2 Директиви Європейського Парламенту і Ради 2009/12/ЄС (- 6), аеропорти, як означено в пункті (1) статті 2 зазначеної Директиви, у тому числі основні аеропорти, перелічені в секції 2 додатка II до Регламенту Європейського Парламенту і Ради (ЄС) № 1315/2013 (- 7), та суб’єкти, що експлуатують допоміжне обладнання, розташоване в аеропортах | ||
| - Оператори управління рухом, що надають послуги диспетчерського управління повітряним рухом, як означено в пункті (1) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) № 549/2004 (- 8) | ||
| (b) Залізничний | - Керівники інфраструктур, як означено в пункті (2) статті 3 Директиви Європейського Парламенту і Ради 2012/34/ЄС (- 9) | |
| - Залізничні підприємства, як означено в пункті (1) статті 3 Директиви 2012/34/ЄС, у тому числі оператори об’єктів обслуговування інфраструктури, як означено в пункті (12) статті 3 зазначеної Директиви | ||
| (c) Водний | - Компанії-оператори внутрішнього, морського, каботажного пасажирського та вантажного водного транспорту, як означено для морських перевезень в додатку I до Регламенту Європейського Парламенту і Ради (ЄС) № 725/2004 (- 10), за винятком індивідуальних суден, експлуатацію яких здійснюють такі компанії | |
| - Керівні органи портів, як означено в пункті (1) статті 3 Директиви Європейського Парламенту і Ради 2005/65/ЄС (- 11), у тому числі їхні портові споруди, як означено в пункті (11) статті 2 Регламенту (ЄС) № 725/2004, та суб’єкти, які експлуатують установки та обладнання, розташовані в портах | ||
| - Оператори служб регулювання руху суден, як означено в пункті (o) статті 3 Директиви Європейського Парламенту і Ради 2002/59/ЄС (- 12) | ||
| (d) Дорожній | - Дорожні органи, як означено в пункті (12) статті 2 Делегованого регламенту Комісії (ЄС) 2015/962 (- 13), відповідальні за управління рухом, крім публічних суб’єктів, для яких управління рухом або експлуатація розумних транспортних систем не є основною частиною їхньої загальної діяльності | |
| - Оператори інтелектуальних транспортних систем, як означено в пункті (1) статті 4 Директиви Європейського Парламенту і Ради 2010/40/ЄС (- 14) | ||
| 3. Банківська діяльність | Кредитні установи, як означено в пункті (1) статті 4 Регламенту Європейського Парламенту і Ради (ЄС) № 575/2013 (- 15) | |
| 4. Інфраструктури фінансових ринків | - Оператори торговельних майданчиків, як означено в пункті (24) статті 4 Директиви Європейського Парламенту і Ради 2014/65/ЄС (- 16) | |
| - Центральні контрагенти, як означено в пункті (1) статті 2 Регламенту Європейського Парламенту і Ради (ЄС) № 648/2012 (- 17) | ||
| 5. Охорона здоров’я | - Постачальники послуг охорони здоров’я, як означено в пункті (g) статті 3 Директиви Європейського Парламенту і Ради 2011/24/ЄС (- 18) | |
| - Референс-лабораторії ЄС, зазначені у статті 15 Регламенту Європейського Парламенту і Ради (ЄС) 2022/2371 (- 19) | ||
| - Суб’єкти господарювання, що здійснюють науково-дослідну діяльність стосовно лікарських засобів, як означено в пункті (2) статті 1 Директиви Європейського Парламенту і Ради 2001/83/ЄС (- 20) - Суб’єкти господарювання, що виробляють базові фармацевтичні продукти і фармацевтичні препарати, зазначені в секції частині 21 секції C NACE (Rev. 2) - Суб’єкти господарювання, що виробляють медичні вироби, які вважаються критичними протягом надзвичайної ситуації у сфері громадського здоров’я (згідно з переліком критичних медичних виробів для надзвичайної ситуації у сфері громадського здоров’я), у розумінні статті 22 Регламенту Європейського Парламенту і Ради (ЄС) 2022/123 (- 21) | ||
| 6. Питна вода | Постачальники та розповсюджувачі води для споживання людиною, як визначено в пункті (1)(a) статті 2 Директиви Європейського Парламенту і Ради (ЄС) 2020/2184 (- 22), за винятком розповсюджувачів, для яких розповсюдження води для споживання людиною є неосновною частиною їхньої загальної діяльності з розповсюдження інших виробів широкого споживання та товарів | |
| 7. Стічні води | Підприємства, що здійснюють збір, скидання та оброблення міських стічних вод, побутових стічних вод та промислових стічних вод, як означено в пунктах (1), (2) та (3) статті 2 Директиви Ради 91/271/ЄЕС (- 23), за винятком підприємств, для яких збір, скидання та оброблення міських стічних вод, побутових стічних вод та промислових стічних вод є неосновною частиною їхньої загальної діяльності | |
| 8. Цифрова інфраструктура | - Оператори точок обміну інтернет- трафіком | |
| - Надавачі послуг DNS, за винятком операторів та серверів кореневих імен | ||
| - Реєстри імен у доменах верхнього рівня | ||
| - Надавачі послуг хмарних обчислень | ||
| - Надавачі послуг дата-центрів | ||
| - Надавачі мереж доставлення вмісту | ||
| - Надавачі довірчих послуг | ||
| - Постачальниики публічних електронних комунікаційних мереж | ||
| - Надавачі загальнодоступних електронних комунікаційних послуг | ||
| 9. Послуга управління ІКТ (між компаніями) | - Надавачі керованих послуг - Надавачі керованих послуг безпеки | |
| 10. Публічні адміністрації | - Публічні адміністрації суб’єктів центральних урядів, визначених державою-членом відповідно до національного права | |
| - Публічні адміністрації суб’єктів національного рівня, визначених державою-членом відповідно до національного права | ||
| 11.Космічна промисловість | Оператори наземної інфраструктури, яка належить, управляється і експлуатується державами-членами або приватними суб’єктами, що підтримують надання космічних послуг, за винятком постачальників публічних електронних комунікаційних мереж. |