Стаття 3. Мінімальна гармонізація
Ця Директива не перешкоджає державам-членам ухвалювати чи зберігати положення національного права з метою досягнення вищого рівня стійкості критично важливих суб’єктів за умови, що такі положення узгоджені з обов’язками держав-членів, встановленими у праві Союзу.
ГЛАВА II
НАЦІОНАЛЬНІ РАМКИ СТІЙКОСТІ КРИТИЧНО ВАЖЛИВИХ СУБ’ЄКТІВ
Стаття 4. Стратегія стійкості критично важливих суб’єктів
1. За результатами консультацій, які, наскільки це можливо з практичної точки зору, відкриті для відповідних стейкхолдерів, кожна держава-член повинна до 17 січня 2026 року ухвалити стратегію посилення стійкості критично важливих суб’єктів ("стратегія"). Така стратегія повинна визначати стратегічні цілі та інструменти політики, спираючись на релевантні існуючі національні і секторальні стратегії, плани чи подібні документи, з метою досягнення та підтримування високого рівня стійкості з боку критично важливих суб’єктів та охоплення принаймні секторів, визначених у додатку.
2. Кожна стратегія повинна містити принаймні такі елементи:
(a) стратегічні цілі та пріоритети для посилення загальної стійкості критично важливих суб’єктів із урахуванням транскордонної і міжсекторальної залежності та взаємозалежності;
(b) рамка управління для досягнення таких стратегічних цілей і пріоритетів, включно з описом ролей та обов’язків різних органів, критично важливих суб’єктів та інших сторін, що беруть участь у реалізації цієї стратегії;
(c) опис заходів, необхідних для посилення загальної стійкості критично важливих суб’єктів, включно з описом оцінювання ризиків, згаданого у статті 5;
(d) опис процесу, за допомогою якого визначають критично важливі суб’єкти;
(e) опис процесу підтримки критично важливих суб’єктів відповідно до цієї глави, включно із заходами для посилення співпраці між публічним сектором, з одного боку, і приватним сектором і публічними й приватними суб’єктами, з іншого боку;
(f) перелік основних органів і відповідних стейкхолдерів, крім критично важливих суб’єктів, що беруть участь у реалізації стратегії;
(g) рамка політики щодо координації між компетентними органами згідно з цією Директивою ("компетентні органи") та компетентними органами згідно з Директивою (ЄС) 2022/2555 з метою обміну інформацією щодо ризиків для кібербезпеки, кіберзагроз та кіберінцидентів, а також не пов’язаних із кібербезпекою ризиків, загроз та інцидентів та виконання наглядових завдань;
(h) опис уже запроваджених заходів, спрямованих на сприяння виконанню обов’язків відповідно до глави III цієї Директиви малими й середніми підприємствами у розумінні додатка до Рекомендації Комісії 2003/361/ЄС (- 31), які відповідна держава-член визначила як критично важливі суб’єкти.
За результатами консультацій, які, наскільки це можливо з практичної точки зору, відкриті для відповідних стейкхолдерів, держави-члени повинні оновлювати свої стратегії принаймні один раз на чотири роки.
3. Держави-члени повинні надавати свої стратегії та їхні суттєві оновлення Комісії впродовж трьох місяців із моменту їх ухвалення.
Стаття 5. Оцінювання ризиків державами-членами
1. Комісія уповноважена до 17 листопада 2023 року ухвалити делегований акт відповідно до статті 23 на доповнення цієї Директиви шляхом установлення неповного списку основних послуг у секторах і підсекторах, визначених у додатку. Компетентні органи повинні використовувати такий список основних послуг для цілей оцінювання ризиків ("оцінювання ризиків державою-членом") до 17 січня 2026 року, після того за необхідності та принаймні один раз на чотири роки. Компетентні органи повинні використовувати оцінки ризиків держав-членів для цілей визначення критично важливих суб’єктів відповідно до статті 6 та надання допомоги таким критично важливим суб’єктам у вжитті заходів відповідно до статті 13.
Оцінки ризиків держав-членів повинні враховувати відповідні природні та антропогенні ризики, в тому числі ті, що мають міжсекторальний або транскордонний характер, нещасні випадки, стихійні лиха, надзвичайні ситуації у сфері громадського здоров’я та гібридні загрози чи інші антагоністичні загрози, у тому числі терористичні злочини, як передбачено в Директиві Європейського Парламенту і Ради (ЄС) 2017/541 (- 32).
2. При оцінюванні ризиків держави-члени повинні враховувати принаймні таке:
(a) результати загального оцінювання ризиків, виконаного відповідно до статті 6(1) Рішення 1313/2013/ЄС;
(b) результати інших релевантних оцінювань ризиків, виконаних відповідно до вимог відповідних секторальних правових актів Союзу, у тому числі регламентів Європейського Парламенту і Ради (ЄС) 2017/1938 (- 33) та (ЄС) 2019/941 (- 34) і директив Європейського Парламенту і Ради 2007/60/ЄС (- 35) та 2012/18/ЄС (- 36);
(c) відповідні ризики, що виникають у зв’язку зі ступенем взаємозалежності секторів, визначених у додатку, у тому числі у зв’язку зі ступенем їхньої залежності від суб’єктів, розташованих у межах інших держав-членів і третіх країн, а також зі впливом, який суттєве порушення роботи в одному секторі може мати на інші сектори, в тому числі будь-які значні ризики для громадян і внутрішнього ринку;
(d) будь-яка інформація про інциденти, повідомлені відповідно до статті 15.
Для цілей пункту (c) першого підпараграфа, держави-члени повинні співпрацювати з компетентними органами інших держав-членів та компетентними органами третіх країн, залежно від випадку.
3. Держави-члени повинні надавати доступ до відповідних елементів оцінок ризиків держав-членів, у відповідних випадках через свої єдині контактні пункти, критично важливим суб’єктам, яких вони визначили відповідно до статті 6. Держави-члени повинні забезпечити, щоб інформація, надана критично важливим підприємствам, допомагала їм у виконанні їхніх оцінювань ризиків відповідно до статті 12 та у вжитті заходів для забезпечення їхньої стійкості відповідно до статті 13.
4. Протягом трьох місяців із моменту виконання державою-членом оцінювання ризиків держава-член повинна надати Комісії відповідну інформацію про типи ризиків, виявлених за результатами оцінювання ризиків державою-членом, та про результати такого оцінювання ризиків із розподілом за секторами й підсекторами, визначеними в додатку.
5. Комісія повинна у співпраці з державами-членами розробити добровільну форму спільної звітності для цілей досягнення відповідності положенням параграфа 4.
Стаття 6. Визначення критично важливих суб’єктів
1. До 17 липня 2026 року кожна держава-член повинна визначити критично важливі суб’єкти в секторах і підсекторах, визначених у додатку.
2. Якщо держава-член визначає критично важливі суб’єкти відповідно до параграфа 1, вона повинна враховувати результати оцінювання ризиків державою-членом та її стратегію і застосовувати всі зазначені нижче критерії:
(a) суб’єкт надає одну або декілька основних послуг;
(b) суб’єкт здійснює діяльність на території такої держави-члена, і його критична інфраструктура розташована на території такої держави-члена; та
(c) інцидент мав би значні негативні наслідки, визначені у статті 7(1), для надання таким суб’єктом однієї або декількох основних послуг або для надання інших основних послуг у визначених у додатку секторах, які залежать від такого суб’єкта або таких основних послуг.
3. Кожна держава-член повинна встановити список критично важливих суб’єктів, визначених відповідно до параграфа 2, та забезпечити повідомлення таких критично важливих суб’єктів про те, що їх визначено критично важливими суб’єктами, протягом одного місяця з моменту такого визначення. Держави-члени повинні поінформувати такі критично важливі суб’єкти про їхні обов’язки відповідно до глав III та IV, а також про дату, з якої до них застосовні такі обов’язки, без обмеження положень статті 8. Держави-члени повинні поінформувати критично важливі суб’єкти в секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку, про те, що вони не мають обов’язків відповідно до глав III та IV, крім випадків, коли національними інструментами передбачено інше.
Для відповідних критично важливих суб’єктів глава III повинна почати застосовуватися через 10 місяців після дати повідомлення, згаданого в першому підпараграфі цього параграфа.
4. Держави-члени повинні забезпечити, щоб їхні компетентні органи відповідно до цієї Директиви повідомляли компетентні органи відповідно до Директиви (ЄС) 2022/2555 про критично важливі суб’єкти, яких вони визначили відповідно до цієї статті, протягом одного місяця з моменту такого визначення. У такому повідомленні повинно бути вказано, у відповідних випадках, що відповідні критично важливі суб’єкти є суб’єктами в секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку до цієї Директиви, та не мають обов’язків відповідно до глав III та IV цієї Директиви.
5. Держави-члени повинні за необхідності та в будь-якому випадку принаймні кожні чотири роки переглядати та, у відповідних випадках, оновлювати список визначених критично важливих суб’єктів, згаданий у параграфі 3. Якщо такі оновлення призводять до визначення додаткових критично важливих суб’єктів, параграфи 3 та 4 повинні застосовуватися до таких додаткових критично важливих суб’єктів. Крім того, держави-члени повинні забезпечити, щоб суб’єкти, які більше не визначені як критично важливі суб’єкти за результатами будь-якого такого оновлення, отримували відповідне повідомлення про це і про те, що на них більше не поширюються обов’язки відповідно до глави III з дати отримання такого повідомлення.
6. Комісія повинна у співпраці з державами-членами розробити рекомендації та незобов’язальні настанови для надання підтримки державам-членам у визначенні критично важливих суб’єктів.
Стаття 7. Значні негативні наслідки
1. При визначенні того, наскільки значними є негативні наслідки, згадані в пункті (c) статті 6(2), держави-члени повинні враховувати такі критерії:
(a) кількість користувачів, які покладаються на основну послугу, яку надає відповідний суб’єкт;
(b) ступінь залежності інших секторів і підсекторів, визначених у додатку, від відповідної основної послуги;
(c) вплив, який можуть мати інциденти, з точки зору ступеню й тривалості, на економічну та суспільну діяльність, довкілля, громадську безпеку та безпеку або на здоров’я населення;
(d) ринкова частка суб’єкта на ринку відповідної основної послуги або відповідних основних послуг;
(e) географічний район, на який може вплинути інцидент, у тому числі будь-який транскордонний вплив, із урахуванням вразливості, пов’язаної зі ступенем ізоляції певних типів географічних районів, як-то острівних регіонів, віддалених регіонів або гірських районів;
(f) важливість суб’єкта для підтримки достатнього рівня основної послуги з урахуванням доступності альтернативних засобів для надання такої основної послуги.
2. Після визначення критично важливих суб’єктів відповідно до статті 6(1) кожна держава-член повинна невідкладно подавати Комісії зазначену нижче інформацію:
(a) список основних послуг у такій державі-члені за наявності будь-яких додаткових основних послуг порівняно зі списком основних послуг, згаданим у статті 5(1);
(b) кількість критично важливих суб’єктів у кожному секторі та підсекторі, визначеному в додатку, та стосовно кожної основної послуги;
(c) будь-які порогові значення, застосовані для визначення одного чи декількох критеріїв у параграфі 1.
Порогові значення, згадані в пункті (c) першого підпараграфа, можуть бути представлені як такі в агрегованій формі.
Держави-члени повинні в подальшому подавати інформацію, згадану в першому підпараграфі, за необхідності та принаймні один раз на чотири роки.
3. Комісія повинна за результатами консультацій із Групою з питань стійкості критично важливих суб’єктів, згаданою у статті 19, ухвалити незобов’язальні настанови для сприяння застосуванню критеріїв, згаданих у параграфі 1 цієї статті, з урахуванням інформації, згаданої в параграфі 2 цієї статті.
Стаття 8. Критично важливі суб’єкти в банківському секторі, секторах інфраструктури фінансових ринків та цифрової інфраструктури
Держави-члени повинні забезпечити, щоб стаття 11 і глави III, IV та VI не застосовувалися до критично важливих суб’єктів, яких вони визначили в секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку. Держави-члени можуть ухвалити або зберігати положення національного права для досягнення вищого рівня стійкості таких критично важливих суб’єктів за умови, що такі положення узгоджені із застосовним правом Союзу.
Стаття 9. Компетентні органи та єдині контактні пункти
1. Кожна держава-член повинна визначити або створити один або декілька компетентних органів, відповідальних за коректне застосування та, за необхідності, забезпечення застосування правил, визначених у цій Директиві, на національному рівні.
Що стосується критично важливих суб’єктів у секторах, визначених у пунктах 3 та 4 таблиці в додатку до цієї Директиви, компетентні органи повинні, в принципі, бути компетентними органами, згаданими у статті 46 Регламенту (ЄС) 2022/2554. Що стосується критично важливих суб’єктів у секторі, визначеному в пункті 8 таблиці в додатку до цієї Директиви, компетентні органи повинні, в принципі, бути компетентними органами відповідно до Директиви (ЄС) 2022/2555. Держави-члени можуть визначити інший компетентний орган у секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку до цієї Директиви, відповідно до існуючих національних рамок.
Якщо держави-члени визначають або створюють декілька компетентних органів, вони повинні чітко визначити завдання кожного з відповідних органів та забезпечити, щоб вони дієво співпрацювали для виконання своїх завдань відповідно до цієї Директиви, в тому числі в частині визначення й діяльності єдиного контактного пункту, згаданого в параграфі 2.
2. Кожна держава-член повинна визначити або створити один єдиний контактний пункт для виконання функції зв’язку для цілей забезпечення транскордонної співпраці з єдиними контактними пунктами інших держав-членів і Групи з питань стійкості критично важливих суб’єктів, згаданої у статті 19 ("єдиний контактний пункт"). У відповідних випадках держава-член повинна визначити свій єдиний контактний пункт у межах компетентного органу. У відповідних випадках держава-член може передбачити, що її єдиний контактний пункт повинен виконувати функцію зв’язку з Комісією та забезпечувати співпрацю з третіми країнами.
3. До 17 липня 2028 року та кожні два роки після зазначеної дати єдині контактні пункти повинні подавати зведений звіт Комісії та Групі з питань стійкості критично важливих суб’єктів, згаданій у статті 19, про повідомлення, які вони отримали, в тому числі про кількість повідомлень, характер повідомлених інцидентів та дії, виконані відповідно до статті 15(3).
Комісія повинна у співпраці з Групою з питань стійкості критично важливих суб’єктів розробити форму спільної звітності. Компетентні органи можуть добровільно використовувати таку форму спільної звітності для цілей подання зведених звітів, згаданих у першому підпараграфі.
4. Кожна держава-член повинна забезпечити, щоб її компетентні органи та єдиний контактний пункт мали повноваження та достатні фінансові, людські й технічні ресурси для дієвого й ефективного виконання доручених їм завдань.
5. Кожна держава-член повинна забезпечити, щоб її компетентний орган, у відповідних випадках та згідно з правом Союзу і національним правом, консультувався і співпрацював із іншими відповідними національними органами, в тому числі з тими, що відповідають за цивільний захист, правоохоронну функцію і захист персональних даних, а також із критично важливими суб’єктами й відповідними зацікавленими сторонами.
6. Кожна держава-член повинна забезпечити, щоб її компетентний орган відповідно до цієї Директиви співпрацював та обмінювався інформацією з компетентними органами відповідно до Директиви (ЄС) 2022/2555 про ризики для кібербезпеки, кіберзагрози та кіберінциденти, а також про не пов’язані з кібербезпекою ризики, загрози й інциденти, що впливають на критично важливі суб’єкти, в тому числі в частині відповідних заходів, ужитих її компетентним органом та компетентними органами відповідно до Директиви (ЄС) 2022/2555.
7. Протягом трьох місяців із моменту визначення або створення компетентного органу та єдиного контактного пункту кожна держава-член повинна повідомити Комісії їхні ідентифікаційні дані, завдання й обов’язки відповідно до цієї Директиви, їхні контактні дані та будь-які подальші зміни в них. Держави-члени повинні інформувати Комісію у випадках, коли вони вирішують визначити орган, який не є компетентним органом, згаданим у другому підпараграфі параграфа 1, компетентним органом стосовно критично важливих суб’єктів у секторах, визначених у пунктах 3, 4 та 8 таблиці в додатку. Кожна держава-член повинна оприлюднити ідентифікаційні дані свого компетентного органу та єдиного контактного пункту.
8. Комісія повинна оприлюднити список єдиних контактних пунктів.
Стаття 10. Підтримки державами-членами критично важливих суб’єктів
1. Держави-члени повинні надавати підтримку критично важливим суб’єктам у посиленні їхньої стійкості. Така підтримка може включати розробку інструктивних матеріалів і методологій, підтримку в організації практичних сесій для випробування їхньої стійкості та надання рекомендацій і навчання персоналу критично важливих суб’єктів. Без обмеження застосовних правил щодо державної допомоги, держави-члени можуть надавати фінансові ресурси критично важливим суб’єктам у випадках, коли це необхідно та виправдано цілями суспільних інтересів.
2. Кожна держава-член повинна забезпечити, щоб її компетентний орган співпрацював та обмінювався інформацією та належними практиками з критично важливими суб’єктами із секторів, визначених у додатку.
3. Держави-члени повинні сприяти добровільному обміну інформацією між критично важливими суб’єктами з питань, охоплених цією Директивою, згідно з правом Союзу та національним правом щодо, зокрема, секретної та чутливої інформації, конкуренції та захисту персональних даних.
Стаття 11. Співпраця між державами-членами
1. У відповідних випадках держави-члени повинні консультуватися одна з одною щодо критично важливих суб’єктів для забезпечення узгодженого застосування цієї Директиви. Такі консультації повинні відбуватися, зокрема, стосовно критично важливих суб’єктів, які:
a) користуються критичною інфраструктурою, що є фізично сполученою між двома або декількома державами-членами;
b) є частиною корпоративних структур, які сполучені з критично важливими суб’єктами в інших державах-членах або під’єднані до них;
c) визначено як критично важливі суб’єкти в одній держав-члені і надають основні послуги іншим державам-членам або в інших державах-членах.
2. Консультації, згадані в параграфі 1, повинні бути спрямовані на посилення стійкості критично важливих суб’єктів та за можливості на зменшення адміністративного тягаря для них.
ГЛАВА III
СТІЙКІСТЬ КРИТИЧНО ВАЖЛИВИХ СУБ’ЄКТІВ
Стаття 12. Оцінювання ризиків критично важливими суб’єктами
1. Незважаючи на термін, визначений у другому підпараграфі статті 6(3), держави-члени повинні забезпечити, щоб критично важливі суб’єкти виконувати оцінювання ризиків впродовж дев’яти місяців із моменту отримання повідомлення, згаданого у статті 6(3), в подальшому за необхідності та принаймні один раз на чотири роки на основі результатів оцінювання ризиків державами-членами та інших відповідних джерел інформації, щоб оцінити всі актуальні ризики, які можуть призвести до порушення надання їхніх основних послуг ("оцінювання ризиків критично важливим суб’єктом").
2. Оцінки ризиків критично важливих суб’єктів повинні враховувати всі відповідні природні та антропогенні ризики, які можуть призводити до інцидентів, у тому числі ті, що мають міжсекторальний або транскордонний характер, нещасні випадки, стихійні лиха, надзвичайні ситуації у сфері громадського здоров’я, гібридні загрози та інші антагоністичні загрози, у тому числі терористичні злочини, як передбачено в Директиві (ЄС) 2017/541. Оцінки ризиків критично важливих суб’єктів повинні враховувати ступінь залежності інших секторів, визначених у додатку, від основних послуг, надаваних такими критично важливими суб’єктами, і ступінь залежності таких критично важливих суб’єктів від основних послуг, надаваних іншими суб’єктами в таких інших секторах, у тому числі, у відповідних випадках, у сусідніх державах-членах і третіх країнах.
Якщо критично важливий суб’єкт виконав інші оцінювання ризиків або склав документи на виконання обов’язків, встановлених в інших правових актах, які є релевантними для його оцінювання ризиків критично важливим суб’єктом, він може використовувати такі оцінки й документи для виконання вимог, визначених у цій статті. При виконанні своїх наглядових функцій компетентний орган може визнати існуючу оцінку ризиків критично важливого суб’єкта, в якій визначено ризики та ступінь залежності, згаданий у першому підпараграфі цього параграфа, такими, що повністю або частково відповідають обов’язкам відповідно до цієї статті.
Стаття 13. Заходи із забезпечення стійкості критично важливих суб’єктів
1. Держави-члени повинні забезпечити, щоб критично важливі суб’єкти вживали належних і пропорційних технічних, безпекових та організаційних заходів для забезпечення їхньої стійкості на основі релевантної інформації, надаваної державами-членами щодо оцінювання ризиків державами-членами та щодо результатів оцінювання ризиків критично важливими суб’єктами, в тому числі заходів, необхідних для:
(a) запобігання інцидентам із належним урахуванням можливості вжиття заходів зі зменшення ризику катастрофи та адаптації до зміни клімату;
(b) забезпечення належного фізичного захисту їхніх приміщень та критичної інфраструктури з належним урахуванням можливості встановлення, наприклад, огорож, бар’єрів, інструментів і рутинних процедур моніторингу периметру, детекторного обладнання та засобів для контролю доступу;
(c) реагування на інциденти, протистояння їхнім наслідкам та пом’якшення їхніх наслідків із належним урахуванням можливості реалізації процедур і протоколів управління ризиками і кризами та процедур оповіщення;
(d) відновлення після інцидентів із належним урахуванням можливості вжиття заходів із забезпечення безперервної роботи та визначення альтернативних ланцюгів постачання з метою відновлення надання основних послуг;
(e) забезпечення адекватного управління безпекою персоналу з належним урахуванням можливості вжиття таких заходів, як визначення категорій персоналу, що здійснюють критично важливі функції, встановлення прав доступу до приміщень, критичної інфраструктури й чутливої інформації, визначення процедур перевірки анкетних даних відповідно до статті 14 та визначення категорій осіб, які зобов’язані проходити перевірки анкетних даних, а також встановлення належних вимог щодо підготовки та кваліфікацій;
(f) підвищення рівня обізнаності щодо заходів, згаданих у пунктах (a)-(e), серед відповідного персоналу з належним урахуванням можливості організації навчальних курсів, забезпечення інформаційними матеріалами та проведення інформаційних заходів.
Для цілей пункту (e) першого підпараграфа, держави-члени повинні забезпечити, щоб критично важливі суб’єкти враховували персонал зовнішніх надавачів послуг при визначенні категорій персоналу, що виконує критично важливі функції.
2. Держави-члени повинні забезпечити, щоб критично важливі суб’єкти мали та застосовувати план забезпечення стійкості або еквівалентний документ чи еквівалентні документи з описом заходів, ужитих відповідно до параграфа 1. Якщо критично важливі суб’єкти склали документи або вжили заходів на виконання обов’язків, встановлених в інших правових актах, які є релевантними стосовно заходів, згаданих у параграфі 1, вони можуть використовувати такі документи й заходи для виконання вимог, визначених у цій статті. При виконанні своїх наглядових функцій компетентний орган може визнати існуючі вжиті критично важливим суб’єктом заходи з посилення стійкості, що в належний і пропорційний спосіб врегульовують технічні, безпекові та організаційні заходи, згадані в параграфі 1, такими, що повністю або частково відповідають обов’язкам відповідно до цієї статті.
3. Держави-члени повинні забезпечити, щоб кожен критично важливий суб’єкт призначив зв’язкового офіцера або еквівалентного фахівця контактною особою в компетентних органах.
4. На запит держави-члена, яка визначила критично важливий суб’єкт, та за згодою відповідного критично важливого суб’єкта Комісія повинна організувати дорадчі місії згідно з механізмами, визначеними у статті 18(6), (8) та (9), для надання рекомендацій відповідному критично важливому суб’єкту стосовно виконання обов’язків відповідно до глави III. Така дорадча місія повинна повідомити отримані нею результати Комісії, відповідній державі-члену та відповідному критично важливому суб’єкту.
5. Комісія повинна за результатами консультацій із Групою з питань стійкості критично важливих суб’єктів, згаданою у статті 19, ухвалити незобов’язальні настанови для подальшого визначення технічних, безпекових та організаційних заходів, які можуть бути вжиті відповідно до параграфа 1 цієї статті.
6. Комісія повинна ухвалити імплементаційні акти для визначення необхідних технічних і методологічних специфікацій, що стосуються застосування заходів, згаданих у параграфі 1 цієї статті. Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною у статті 24(2).
Стаття 14. Перевірки анкетних даних
1. Держави-члени повинні визначити умови, за яких критично важливому суб’єкту дозволено, в належним чином обґрунтованих випадках та з урахуванням результатів оцінювання ризиків державами- членами, подавати запити про проведення перевірок анкетних даних стосовно осіб, які:
(a) виконують чутливі функції в критично важливих суб’єктах або на їхню користь, зокрема в частині забезпечення стійкості критично важливого суб’єкта;
(b) уповноважені мати прямий або віддалений доступ до його приміщень, інформаційних систем або систем контролю, в тому числі у зв’язку із забезпеченням безпеки критичного важливого суб’єкта;
(c) розглядаються як кандидати на посади, на які поширюються критерії, визначені в пункті (a) або (b).
2. Запити, згадані в параграфі 1 цієї статті, повинні оцінювати в межах розумного строку та опрацьовувати відповідно до національного права та національних процедур і релевантного й застосовного права Союзу, у тому числі Регламенту (ЄС) 2016/679 і Директиви Європейського Парламенту і Ради (ЄС) 2016/680 (- 37). Перевірки анкетних даних повинні бути пропорційними та суворо обмеженими необхідним. Їх повинні проводити виключно з метою оцінювання потенційного безпекового ризику для відповідного критично важливого суб’єкта.
3. Перевірка анкетних даних, згадана в параграфі 1, повинна досягати принаймні таких цілей:
(a) підтвердження ідентифікаційних даних особи, стосовно якої проводять таку перевірку анкетних даних;
(b) перевірка інформації про судимість такої особи у зв’язку зі вчиненням правопорушень, які є релевантними для конкретної посади.
При проведенні перевірок анкетних даних держави-члени повинні використовувати Європейську систему інформації про судимості згідно з процедурами, визначеними в Рамковому рішенні 2009/315/ЮВС та, у відповідних випадках, коли це застосовно, в Регламенті (ЄС) 2019/816, для отримання інформації з реєстрів судимостей, які ведуть інші держави-члени. Центральні органи, згадані у статті 3(1) Рамкового рішення 2009/315/ЮВС та в пункті (5) статті 3 Регламенту (ЄС) 2019/816, повинні відповідати на запити про надання такої інформації протягом 10 робочих днів із дати, коли такий запит було отримано, відповідно до статті 8(1) Рамкового рішення 2009/315/ЮВС.
Стаття 15. Повідомлення про інциденти
1. Держави-члени повинні забезпечити, щоб критично важливі суб’єкти невідкладно повідомляли компетентний орган про інциденти, що призводять або можуть призвести до серйозних порушень у наданні основних послуг. Держави-члени повинні забезпечити, щоб критично важливі суб’єкти, крім випадків, коли вони не мають операційної можливості це зробити, подавали початкове повідомлення не пізніше ніж через 24 години після того, як їм стане відомо про інцидент, з подальшим поданням, у відповідних випадках, детального звіту впродовж не більше одного місяця. Щоб визначити серйозність порушення, повинні бути враховані, зокрема, зазначені нижче фактори:
(a) кількість і частка користувачів, які зазнали впливу внаслідок такого порушення;
(b) тривалість порушення;
(c) географічний район, який зазнав впливу внаслідок такого порушення, з урахуванням того, чи такий географічний район є ізольованим.
Якщо інцидент має або може мати значний вплив на безперервність надання основних послуг не менше шести державам-членам або в не менше шести державах-членах, компетентні органи таких держав-членів, які зазнали впливу внаслідок такого порушення, повинні повідомити Комісію про такий інцидент.
2. Повідомлення, згадані в першому підпараграфі параграфа 1, повинні включати будь-яку доступну інформацію, необхідну для того, щоб дати можливість компетентному органу зрозуміти характер, причину та можливі наслідки такого інциденту, включно з будь-якою доступною інформацією, необхідною для визначення будь-якого транскордонного впливу такого інциденту. Такі повідомлення не тягнуть за собою збільшення відповідальності для критично важливих суб’єктів.
3. На основі інформації, наданої критично важливим суб’єктом у повідомленні, згаданому в параграфі 1, відповідний компетентний орган через єдиний контактний пункт повинен поінформувати єдиний контактний пункт інших відповідних держав-членів, якщо інцидент має або може мати значний вплив на критично важливі суб’єкти та на безперервність надання основних послуг одній чи декільком державам-членам або в одній чи декількох державах-членах.
Єдині контактні пункти, які надсилають та отримують інформацію відповідно до першого підпараграфа, повинні, згідно з правом Союзу або національним правом, поводитися з такою інформацією в такий спосіб, щоб зберігати її конфіденційність та захищати безпекові й комерційні інтереси відповідних критично важливих суб’єктів.
4. Якнайшвидше після повідомлення, згаданого в параграфі 1, відповідний компетентний орган повинен надати відповідному критично важливому суб’єкту відповідну інформацію для контролю, в тому числі інформацію, яка може сприяти дієвому реагуванню таким критично важливим суб’єктом на відповідний інцидент. Держави-члени повинні інформувати суспільство у випадках, коли вони вирішать, що це буде в суспільних інтересах.
Стаття 16. Стандарти
Для сприяння конвергентній імплементації цієї Директиви держави-члени повинні у випадках, коли це корисно, без нав’язування або дискримінації на користь використання певного типу технології, заохочувати використання європейських або міжнародних стандартів і технічних специфікацій, які стосуються заходів із забезпечення безпеки і стійкості, застосовні до критично важливих суб’єктів.
ГЛАВА IV
КРИТИЧНО ВАЖЛИВІ СУБ’ЄКТИ, ЩО МАЮТЬ ОСОБЛИВЕ ЗНАЧЕННЯ ДЛЯ ЄВРОПИ
Стаття 17. Визначення критично важливих суб’єктів, які є особливо важливими для Європи
1. Суб’єкт вважають критично важливим суб’єктом, що має особливе значення для Європи, якщо він:
(a) визначений як критично важливий суб’єкт відповідно до статті 6(1);
(b) надає такі самі або подібні основні послуги не менше шести державам-членам або в не менше шести державах-членах; та
(c) отримав повідомлення відповідно до параграфа 3 цієї статті.
2. Держави-члени повинні забезпечити, щоб критично важливий суб’єкт після отримання повідомлення, згаданого у статті 6(3), поінформував свій компетентний орган про те, що він надає основні послуги не менше шести державам-членам або в не менше шести державах-членах. У такому випадку держави-члени повинні забезпечити, щоб критично важливий суб’єкт поінформував свій компетентний орган про основні послуги, які він надає таким державам-членам або в таких державах-членах, та про держави-члени, яким або в яких він надає такі основні послуги. Держави-члени повинні невідкладно надавати Комісії ідентифікаційні дані таких критично важливих суб’єктів та інформацію, яку вони надають відповідно до цього параграфа.
Комісія повинна проводити консультації з компетентним органом держави-члена, яка визначила критично важливий суб’єкт, згаданий у першому підпараграфі, компетентним органом інших відповідних держав-членів і відповідним критично важливим суб’єктом. Під час таких консультацій кожна держава-член повинна інформувати Комісію, якщо вона вважає, що послуги, надавані такій державі-члену таким критично важливим суб’єктом, є основними послугами.
3. Якщо Комісія за результатами консультацій, згаданих у параграфі 2 цієї статті, встановлює, що відповідний критично важливий суб’єкт надає основні послуги не менше шести державам-членам або в не менше шести державах-членах, Комісія повинна повідомити такий критично важливий суб’єкт через свій компетентний орган про те, що його вважають критично важливим суб’єктом, що має особливе значення для Європи, та поінформувати такий критично важливий суб’єкт про його обов’язки відповідно до цієї глави та про дату, з якої до нього застосовні такі обов’язки. Після того, як Комісія поінформує компетентний орган про своє рішення вважати критично важливий суб’єкт критично важливим суб’єктом, що має особливе значення для Європи, такий компетентний орган повинен невідкладно передати таке повідомлення такому критично важливому суб’єкту.
4. Цю главу застосовують до відповідних критично важливих суб’єктів, що мають особливе значення для Європи, з дати отримання повідомлення, згаданого в параграфі 3 цієї статті.
Стаття 18. Дорадчі місії
1. На запит держави-члена, яка визнала критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1), Комісія повинна організувати дорадчу місію для оцінювання заходів, які такий критично важливий суб’єкт запровадив на виконання своїх обов’язків відповідно до глави III.
2. З власної ініціативи або на запит однієї чи декількох держав-членів, яким або в яких надають основну послугу, а також за умови, що держава-член, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1), надає свою згоду, Комісія повинна організувати дорадчу місію, згадану в параграфі 1 цієї статті.
3. На обґрунтований запит Комісії або однієї чи декількох держав-членів, яким або в яких надають основну послугу, держава-член, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1), повинна надати Комісії таку інформацію:
(a) відповідні частини оцінки ризиків критично важливого суб’єкта;
(b) перелік відповідних заходів, ужитих відповідно до статті 13;
(c) наглядові або правозастосовчі дії, в тому числі оцінки відповідності або видані приписи, які її компетентний орган виконав/видав відповідно до статті 21 та 22 стосовно такого критично важливого суб’єкта.
4. Дорадча місія повинна повідомити отримані нею результати Комісії, державі-члену, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1), державам-членам, яким або в яких надають основну послугу, і відповідному критично важливому суб’єкту впродовж трьох місяців із моменту видачі висновку такою дорадчою місією.
Держави-члени, яким або в яких надають основну послугу, повинні проаналізувати звіт, згаданий у першому підпараграфі, та за необхідності проконсультувати Комісію щодо того, чи критично важливий суб’єкт, що має особливе значення для Європи, виконує свої обов’язки відповідно до глави III, а також, у відповідних випадках, щодо заходів, яких можна вжити для покращення стійкості такого критично важливого суб’єкта.
Комісія повинна на основі консультації, згаданої в другому підпараграфі цього параграфа, повідомити свій висновок державі-члену, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1), державам-членам, яким або в яких надають основну послугу, і такому критично важливому суб’єкту щодо того, чи такий критично важливий суб’єкт виконує свої обов’язки відповідно до глави III, та, у відповідних випадках, щодо заходів, яких можна вжити для покращення стійкості такого критично важливого суб’єкта.
Держава-член, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1), повинна забезпечити, щоб її компетентний орган і відповідний критично важливий суб’єкт врахували висновок, згаданий у третьому підпараграфі цього параграфа, та надали інформацію Комісії і державам-членам, яким або в яких надають основну послугу, щодо заходів, яких він ужив відповідно до такого висновку.
5. Кожна дорадча місія повинна складатися з експертів із держави-члена, в якій розташований критично важливий суб’єкт, що має особливе значення для Європи, експертів із держав-членів, яким або в яких надають основну послугу, і представників Комісії. Такі держави-члени можуть пропонувати кандидатам долучитися до дорадчої місії. Комісія повинна за результатами консультації з державою-членом, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1), вибрати та призначити членів кожної дорадчої місії відповідно до їхньої професійної спроможності та за можливості забезпечити географічно збалансоване представлення всіх держав-членів. За необхідності члени дорадчої місії повинні мати дійсний і належний допуск до секретної інформації. Комісія повинна покривати витрати, пов’язані з участю в дорадчих місіях.
Комісія повинна організувати програму кожної дорадчої місії у консультації з членами відповідної дорадчої місії та за згоди держави-члена, яка визначила критично важливий суб’єкт, що має особливе значення для Європи, критично важливим суб’єктом відповідно до статті 6(1)
6. Комісія повинна ухвалити імплементаційний акт, який би встановлював процедурний порядок стосовно запитів про організацію дорадчих місій, стосовно опрацювання таких запитів, стосовно поведінки та звітів дорадчих місій та організації повідомлення про висновок Комісії, згаданий у третьому підпараграфі параграфа 4 цієї статті, а також про вжиті заходи з належним урахуванням конфіденційності та комерційної чутливості відповідної інформації. Такий імплементаційний акт ухвалюють згідно із експертною процедурою, зазначеною у статті 24(2).
7. Держави-члени повинні забезпечити, щоб критично важливі суб’єкти, що мають особливе значення для Європи, надавали дорадчим місіям доступ до інформації, систем та об’єктів, пов’язаних із наданням їхніх основних послуг, необхідних для здійснення відповідної дорадчої місії.
8. Дорадчі місії повинні здійснюватися згідно із застосовним національним правом держави-члена, в якій вони відбуваються, з дотриманням відповідальності держав-членів за національну безпеку та захист її безпекових інтересів.
9. При організації дорадчих місій Комісія повинна враховувати звіти про результати будь-яких інспекцій, проведених Комісією відповідно до регламентів (ЄС) № 725/2004 та (ЄС) № 300/2008, а також звіти про результати будь-якого моніторингу, який здійснює Комісія відповідно до Директиви 2005/65/ЄС стосовно відповідного критичного важливого суб’єкта.
10. Комісія повинна інформувати Групу з питань стійкості критично важливих суб’єктів, згадану у статті 19, про всі випадки організації дорадчої місії. Держава-член, в якій відбулася дорадча місія, і Комісія повинні також інформувати Групу з питань стійкості критично важливих суб’єктів про основні результати роботи дорадчої місії та отримані висновки з метою сприяння взаємному навчанню.
ГЛАВА V
СПІВПРАЦЯ ТА ЗВІТУВАННЯ
Стаття 19. Група з питань стійкості критично важливих суб’єктів
1. Групу з питань стійкості критично важливих суб’єктів створено цією Директивою. Група з питань стійкості критично важливих суб’єктів повинна надавати підтримку Комісії та сприяти співпраці між державами-членами й обміну інформацією з питань, що стосуються цієї Директиви.
2. Група з питань стійкості критично важливих суб’єктів повинна складатися з представників держав-членів і Комісії, які, у відповідних випадках, мають допуск до секретної інформації. Якщо це доречно для виконання її завдань, Група з питань стійкості критично важливих суб’єктів може запросити відповідних стейкхолдерів взяти участь у її роботі. На запит Європейського Парламенту Комісія може запропонувати експертам із Європейського Парламенту відвідати засідання Групи з питань стійкості критично важливих суб’єктів.
Очолювати Групу з питань стійкості критично важливих суб’єктів повинен представник Комісії.
3. Група з питань стійкості критично важливих суб’єктів має такі завдання:
(a) надання підтримки Комісії в наданні допомоги державам-членам у посиленні їхньої спроможності сприяти забезпеченню стійкості критично важливих суб’єктів відповідно до цієї Директиви;
(b) аналіз стратегій для визначення найкращих практик стосовно таких стратегій;
(c) сприяння обміну найкращими практиками стосовно визначення критично важливих суб’єктів державами-членами відповідно до статті 6(1), у тому числі стосовно транскордонної та міжсекторальної залежності і стосовно ризиків та інцидентів;
(d) у відповідних випадках сприяння в питаннях, пов’язаних із цією Директивою, стосовно документів щодо стійкості на рівні Союзу;
(e) сприяння підготовці настанов, згаданих у статті 7(3) та статті 13(5), а також, за запитом, будь-яких делегованих або імплементаційних актів, ухвалюваних відповідно до цієї Директиви;
(f) аналіз зведених звітів, згаданих у статті 9(3), з метою сприяння поширенню найкращих практик щодо дій, виконуваних відповідно до статті 15(3);
(g) обмін найкращими практиками щодо повідомлення про інциденти, згаданого у статті 15;
(h) обговорення зведених звітів дорадчих місій та отриманих висновків відповідно до статті 18(10);
(i) обмін інформацією та найкращими практиками щодо інновацій, досліджень і розробок, пов’язаних зі стійкістю критично важливих суб’єктів відповідно до цієї Директиви;
(j) у відповідних випадках обмін інформацією з питань, що стосуються стійкості критично важливих суб’єктів, із відповідними установами, органами, офісами та агентствами Союзу.
4. До 17 січня 2025 року та кожні два роки після того Група з питань стійкості критично важливих суб’єктів повинна встановити робочу програму стосовно дій, які належить виконувати для досягнення її цілей та виконання її завдань. Робоча програма повинна відповідати вимогам і цілям цієї Директиви.
5. Група з питань стійкості критично важливих суб’єктів повинна проводити регулярні зустрічі, в будь-якому випадку щонайменше раз на рік, з Групою з питань співпраці, створеною відповідно до Директиви (ЄС) 2022/2555, щоб сприяти співпраці та обміну інформацією і полегшувати їх.
6. Комісія може ухвалювати імплементаційні акти, які би встановлювали процедурні порядки, необхідні для функціонування Групи з питань стійкості критично важливих суб’єктів, з дотриманням положень статті 1(4). Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною у статті 24(2).
7. Комісія повинна надавати Групі з питань стійкості критично важливих суб’єктів зведений звіт, що містить інформацію, надавану державами-членами відповідно до статті 4(3) та статті 5(4), до 17 січня 2027 року, а в подальшому за необхідності та принаймні один раз на чотири роки.
Стаття 20. Підтримка Комісією компетентних органів і критично важливих суб’єктів
1. Комісія повинна у відповідних випадках надавати підтримку державам-членам і критично важливим суб’єктам у виконанні їхніх обов’язків відповідно до цієї Директиви. Комісія повинна підготувати огляд транскордонних і міжсекторальних ризиків для надання основних послуг на рівні Союзу, організувати дорадчі місії, згадані у статті 13(4) та статті 18, а також сприяти обміну інформацією між державами-членами та експертами по всьому Союзу.
2. Комісія повинна доповнювати діяльність держав-членів, згаданих у статті 10, шляхом розроблення найкращих практик, інструктивних матеріалів і методологій, а також проведення транскордонних навчань і практичних сесій для випробовування стійкості критично важливих суб’єктів.
3. Комісія повинна інформувати держави-члени про фінансові ресурси на рівні Союзу, доступні державам-членам для посилення стійкості критично важливих суб’єктів.
ГЛАВА VI
НАГЛЯД І ЗАБЕЗПЕЧЕННЯ ВИКОНАННЯ
Стаття 21. Нагляд і забезпечення виконання
1. Щоб оцінити, чи виконують суб’єкти, визначені державами-членами як критично важливі суб’єкти відповідно до статті 6(1), обов’язки, встановлені в цій Директиві, держави-члени повинні забезпечити, щоб компетентні органи мали повноваження та засоби для:
(a) проведення виїзних інспекцій об’єктів критичної інфраструктури та приміщень, які використовує критично важливий суб’єкт для надання своїх основних послуг, а також виїзного нагляду за заходами, яких критично важливі суб’єкти вживають відповідно до статті 13;
(b) проведення або розпорядження про проведення аудиторських перевірок стосовно критично важливих суб’єктів.
2. Держави-члени повинні забезпечити, щоб компетентні органи мали повноваження та засоби вимагати, якщо це необхідно для виконання їхніх завдань відповідно до цієї Директиви, від суб’єктів, які відповідно до Директиви (ЄС) 2022/2555 держави-члени визначили критично важливими суб’єктами, відповідно до цієї Директиви надавати протягом розумного строку, встановленого такими органами:
(a) інформацію, необхідну для оцінювання того, чи заходи, вжиті такими суб’єктами для забезпечення своєї стійкості, відповідають вимогам, визначеним у статті 13;
(b) докази дієвої реалізації таких заходів, у тому числі результати аудиторської перевірки, проведеної незалежним і кваліфікованим аудитором, вибраним таким суб’єктом, та за рахунок такого суб’єкта.
Надаючи запит про надання такої інформації, компетентні органи повинні зазначати мету такої вимоги та конкретизувати, яка саме інформація вимагається.
3. Без обмеження можливості накладати санкції відповідно до статті 22, компетентні органи можуть після проведення наглядових дій, згаданих у параграфі 1 цієї статті, або оцінювання інформації, згаданої в параграфі 2 цієї статті, розпорядитися про вжиття відповідними критично важливими суб’єктами необхідних і пропорційних заходів для усунення будь-яких виявлених порушень цієї Директиви протягом розумного строку, встановленого такими органами, та про надання таким органам інформації про вжиті заходи. У таких розпорядженнях повинна бути врахована, зокрема, серйозність порушення.
4. Держави-члени повинні забезпечити, щоб повноваження, передбачені в параграфах 1, 2 та 3, могли би бути здійснені лише за умови вжиття належних запобіжних заходів. Такі запобіжні заходи повинні гарантувати, зокрема, щоб здійснення таких повноважень відбувалося в об’єктивний, прозорий і пропорційний спосіб і щоб права й законні інтереси відповідних критично важливих суб’єктів, як-то захист торгових і комерційних секретів, були належним чином гарантовані, у тому числі право бути заслуханим, право на оборону та право на дієвий правовий захист перед незалежним судом.
5. Держави-члени повинні забезпечити, щоб компетентний орган відповідно до цієї Директиви оцінював відповідність критично важливого суб’єкта відповідно до цієї статті, щоб компетентний орган інформував компетентні органи відповідних держав-членів відповідно до цієї Директиви (ЄС) 2022/2555. Для цього держави-члени повинні забезпечити, щоб компетентні органи відповідно до цієї Директиви мали можливість звернутися до компетентних органів відповідно до Директиви (ЄС) 2022/2555 із запитом про здійснення своїх наглядових та правозастосовчих повноважень стосовно суб’єкта відповідно до цієї Директиви, якого визначено критично важливим суб’єктом відповідно до цієї Директиви. Для цього держави-члени повинні забезпечити, щоб компетентні органи відповідно до цієї Директиви співпрацювали та обмінювалися інформацією з компетентними органами відповідно до Директиви (ЄС) 2022/2555.
Стаття 22. Санкції
Держави-члени повинні встановити правила щодо санкцій, застосовних у разі недотримання національних інструментів, ухвалених згідно з цією Директивою, та вживати всіх необхідних заходів для забезпечення їх виконання. Передбачені санкції повинні бути дієвими, пропорційними та стримувальними. Держави-члени повинні до 17 жовтня 2024 року повідомити Комісію про такі правила й заходи, а також повинні невідкладно повідомляти її про будь-які подальші зміни, які на них впливають.
ГЛАВА VII
ДЕЛЕГОВАНІ ТА ІМПЛЕМЕНТАЦІЙНІ АКТИ
Стаття 23. Здійснення делегованих повноважень
1. Повноваження ухвалювати делеговані акти надано Комісії відповідно до умов, встановлених у цій статті.
2. Повноваження ухвалювати делеговані акти, згадані у статті 5(1), надано Комісії на п’ятирічний період, починаючи з 16 січня 2023 року.
3. Делеговані повноваження, згадані у статті 5(1), можуть бути в будь-який час відкликані Європейським Парламентом або Радою. Рішення про відкликання припиняє дію делегованих повноважень, зазначених у такому рішенні. Таке рішення набуває чинності на наступний день після його опублікування в Офіційному віснику Європейського Союзу або з пізнішої дати, вказаної в ньому. Воно не впливає на чинність будь-яких делегованих актів, які вже набули чинності.
4. Перед ухваленням делегованого акта Комісія повинна провести консультації з експертами, визначеними кожною державою-членом відповідно до принципів, встановлених у Міжінституційній угоді від 13 квітня 2016 року про краще законотворення.
5. Щойно Комісія ухвалює делегований акт, вона повинна нотифікувати його одночасно Європейському Парламенту і Раді.