SPRAWOZDANIE w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych

15.10.2021 - (COM(2020)0829 – C9-0421/2020 – 2020/0365(COD)) - ***I

Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
Sprawozdawca: Michal Šimečka
Sprawozdawcy komisji opiniodawczych (*):
Nils Torvalds, Komisja Przemysłu, Badań Naukowych i Energii
Alex Agius Saliba, Komisja Rynku Wewnętrznego i Ochrony Konsumentów
(*) Zaangażowane komisje – art. 57 Regulaminu


Procedura : 2020/0365(COD)
Przebieg prac nad dokumentem podczas sesji
Dokument w ramach procedury :  
A9-0289/2021
Teksty złożone :
A9-0289/2021
Głosowanie :
Teksty przyjęte :

PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO

w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych

(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

 uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2020)0829),

 uwzględniając art. 294 ust. 2 oraz art. 114 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C9-0421/2020),

 uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

 uwzględniając art. 59 Regulaminu,

 uwzględniając opinie przedstawione przez Komisję Przemysłu, Badań Naukowych i Energii, Komisję Rynku Wewnętrznego i Ochrony Konsumentów, Komisję Spraw Zagranicznych oraz Komisję Transportu i Turystyki,

 uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (A9-0289/2021),

1. przyjmuje poniższe stanowisko w pierwszym czytaniu;

2. zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli zastąpi ona pierwotny wniosek, wprowadzi w nim istotne zmiany lub planuje ich wprowadzenie;

3. zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji oraz parlamentom narodowym.


 

Poprawka  1

Wniosek dotyczący dyrektywy

Motyw 1

 

Tekst proponowany przez Komisję

Poprawka

(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz dostosowania się do nich i usunięcia ich skutków.

(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić świadczenie usług kluczowych przez podmiot krytyczny, swobodny przepływ usług kluczowych i funkcjonowanie rynku wewnętrznego, oraz reagowania na takie incydenty, dostosowania się do nich i usunięcia ich skutków.

_________________

_________________

17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

18 SWD(2019) 308.

18 SWD(2019) 308.

Poprawka  2

Wniosek dotyczący dyrektywy

Motyw 2

 

Tekst proponowany przez Komisję

Poprawka

(2) Mimo istniejących środków na poziomie unijnym19 i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającym się zagrożeniem terrorystycznym i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność i skuteczność niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich.

(2) Mimo istniejących środków na poziomie unijnym19 i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie zawsze są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającymi się zagrożeniami hybrydowymi i terrorystycznymi i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność, skuteczność i okres eksploatacji niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich. Na poziomie Unii nie istnieje jeden uznany wykaz sektorów infrastruktury krytycznej. Zamiast tego różne akty prawne regulują różne grupy sektorów.

_________________

_________________

19 Europejski program ochrony infrastruktury krytycznej.

19 Europejski program ochrony infrastruktury krytycznej.

Poprawka  3

Wniosek dotyczący dyrektywy

Motyw 2 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

(2a) Niektóre infrastruktury krytyczne mają wymiar ogólnoeuropejski, np. Europejska Organizacja ds. Bezpieczeństwa Żeglugi Powietrznej – Eurocontrol oraz globalny system pozycjonowania satelitarnego Unii Europejskiej – Galileo.

Poprawka  4

Wniosek dotyczący dyrektywy

Motyw 3

 

Tekst proponowany przez Komisję

Poprawka

(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka.

(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, produkcji, przetwórstwa i dostaw żywności, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie usług kluczowych – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka.

Poprawka  5

Wniosek dotyczący dyrektywy

Motyw 4

 

Tekst proponowany przez Komisję

Poprawka

(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach.

(4) Podmioty zaangażowane w świadczenie usług kluczowych podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, nie tylko stwarza różne poziomy odporności, ale również negatywnie wpływa na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, a także prowadzi do powstania nieuczciwej konkurencji i przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. Inwestorzy i przedsiębiorstwa mogą polegać na podmiotach krytycznych, które są odporne, a niezawodność i zaufanie są fundamentami dobrze funkcjonującego rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. Dlatego skutkiem ram unijnych będzie również zrównanie warunków działania podmiotów krytycznych w całej Unii.

Poprawka  6

Wniosek dotyczący dyrektywy

Motyw 5

 

Tekst proponowany przez Komisję

Poprawka

(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych.

(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych, aby zapewnić świadczenie i swobodny przepływ usług kluczowych na rynku wewnętrznym, zwiększyć odporność podmiotów krytycznych, a także usprawnić transgraniczną współpracę między właściwymi organami. Normy te muszą być dostosowane do przyszłych wyzwań. W związku z tym celem niniejszej dyrektywy jest zwiększenie odporności podmiotów krytycznych, a tym samym zwiększenie ich zdolności do zapewnienia ciągłego świadczenia kluczowych usług w obliczu różnego rodzaju zagrożeń. Dzięki określeniu zasad minimalnych dyrektywa ta umożliwia państwom członkowskim przyjęcie lub utrzymanie bardziej rygorystycznych przepisów w celu zapewnienia świadczenia podstawowych usług na rynku wewnętrznym i zwiększenia odporności podmiotów krytycznych.

Poprawka  7

Wniosek dotyczący dyrektywy

Motyw 6

 

Tekst proponowany przez Komisję

Poprawka

(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które z kolei powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka.

(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które świadczą kluczowe usługi w sektorach i podsektorach określonych w załączniku do niniejszej dyrektywy. Te podmioty krytyczne powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka.

Poprawka  8

Wniosek dotyczący dyrektywy

Motyw 7

 

Tekst proponowany przez Komisję

Poprawka

(7) Niektóre sektory gospodarki, takie jak sektory energii i transportu, są już regulowane lub mogą być w przyszłości regulowane sektorowymi aktami prawa Unii, które zawierają przepisy dotyczące niektórych aspektów odporności podmiotów prowadzących działalność w tych sektorach. Aby podejść do kwestii odporności tych podmiotów, które są krytyczne dla prawidłowego funkcjonowania rynku wewnętrznego, w sposób kompleksowy, wspomniane środki sektorowe należy uzupełnić środkami przewidzianymi w niniejszej dyrektywie, która tworzy nadrzędne ramy dotyczące odporności podmiotów krytycznych na wszystkie zagrożenia, to znaczy zagrożenia naturalne i spowodowane przez człowieka, przypadkowe i zamierzone.

(7) Niektóre sektory gospodarki, takie jak sektory energii i transportu, są już regulowane lub mogą być w przyszłości regulowane sektorowymi aktami prawa Unii, które zawierają przepisy dotyczące niektórych aspektów odporności podmiotów prowadzących działalność w tych sektorach. Aby podejść do kwestii odporności tych podmiotów, które są krytyczne dla prawidłowego funkcjonowania rynku wewnętrznego, w sposób kompleksowy, wspomniane środki sektorowe należy uznać za lex specialis i uzupełnić środkami przewidzianymi w niniejszej dyrektywie, która tworzy nadrzędne ramy dotyczące odporności podmiotów krytycznych na wszystkie zagrożenia, to znaczy zagrożenia naturalne i spowodowane przez człowieka, przypadkowe i zamierzone.

Poprawka  9

Wniosek dotyczący dyrektywy

Motyw 8

 

Tekst proponowany przez Komisję

Poprawka

(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii  (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej.

(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. W rezultacie właściwe organy wyznaczone na mocy dyrektywy NIS 2 będą odpowiedzialne za nadzór nad podmiotami zidentyfikowanymi jako podmioty krytyczne lub podmioty równoważne z podmiotami krytycznymi na mocy niniejszej dyrektywy w odniesieniu do kwestii wchodzących w zakres stosowania tej dyrektywy.

_________________

_________________

20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu].

20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu].

Poprawka  10

Wniosek dotyczący dyrektywy

Motyw 10

 

Tekst proponowany przez Komisję

Poprawka

(10) W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych każde państwo członkowskie powinno dysponować strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, państwa członkowskie powinny zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami, o których mowa w niniejszej dyrektywie i w dyrektywie NIS 2, w zakresie wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych.

(10) W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych każde państwo członkowskie powinno dysponować strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, oraz biorąc pod uwagę hybrydowy charakter wielu zagrożeń oraz unijną strategię w dziedzinie odporności opracowaną przez Grupę ds. Odporności Podmiotów Krytycznych ustanowioną na mocy niniejszej dyrektywy, państwa członkowskie powinny zapewnić, aby ich strategie przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami państw członkowskich na mocy niniejszej dyrektywy i na mocy dyrektywy NIS 2, w tym w zakresie wymiany informacji na temat incydentów i zagrożeń oraz wykonywania zadań nadzorczych.

Poprawka  11

Wniosek dotyczący dyrektywy

Motyw 11

 

Tekst proponowany przez Komisję

Poprawka

(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie.

(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, w tym zagrożeń międzysektorowych i transgranicznych, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, zagrożeń hybrydowych, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych, infiltracji przestępczej i sabotażu. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Państwa członkowskie nie powinny uważać za ryzyko zwykłego ryzyka prowadzenia działalności gospodarczej wynikającego z warunków rynkowych lub wszelkiego ryzyka wynikającego z demokratycznego podejmowania decyzji. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie. Komisja powinna również mieć możliwość udostępniania podmiotom z państw trzecich, na ich wniosek, doradczej wiedzy eksperckiej.

Poprawka  12

Wniosek dotyczący dyrektywy

Motyw 12

 

Tekst proponowany przez Komisję

Poprawka

(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi.

(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane normy minimalne pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić w przejrzysty sposób wspólne kryteria i metody dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi.

Poprawka  13

Wniosek dotyczący dyrektywy

Motyw 13 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

(13a) Zgodnie z właściwymi przepisami unijnymi i krajowymi, w tym z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/4521a ustanawiającym ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii, należy dostrzec potencjalne zagrożenie, jakie wiąże się z zagraniczną własnością infrastruktury krytycznej w Unii, gdyż usługi, gospodarka, swoboda przemieszczania się i bezpieczeństwo obywateli Unii zależą od należytego funkcjonowania infrastruktur krytycznych. Kluczowe znaczenie ma, by państwa członkowskie i Komisja zachowały czujność w związku z inwestycjami finansowymi obcych krajów w funkcjonowanie podmiotów krytycznych w Unii oraz wpływem, jaki te inwestycje mogą wywierać na zdolność do zapobiegania istotnym zakłóceniom.

 

_________________

 

1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 z dnia 19 marca 2019 r. ustanawiające ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii (Dz.U. L 79I z 21.3.2019, s. 1).

Poprawka  14

Wniosek dotyczący dyrektywy

Motyw 15

 

Tekst proponowany przez Komisję

Poprawka

(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany.

(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy; w związku z tym nie powinny one podlegać obowiązkom określonym w rozdziałach III–VI niniejszej dyrektywy. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany.

_________________

_________________

22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1).

22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1).

23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349).

23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349).

24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84).

24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84).

25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).

25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).

26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).

26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).

27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595.

27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595.

Poprawka  15

Wniosek dotyczący dyrektywy

Motyw 16

 

Tekst proponowany przez Komisję

Poprawka

(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym.

(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny, w tym z właściwymi organami innych państw członkowskich. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym, w tym z właściwymi organami innych państw członkowskich.

Poprawka  16

Wniosek dotyczący dyrektywy

Motyw 17

 

Tekst proponowany przez Komisję

Poprawka

(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie.

(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie. Każdy pojedynczy punkt kontaktowy powinien również pełnić funkcję łącznika między właściwymi organami odpowiedniego państwa członkowskiego a pojedynczymi punktami kontaktowymi innych państw członkowskich oraz Grupą ds. Odporności Podmiotów Krytycznych, a także koordynować wszelką komunikację między tymi podmiotami. Pojedyncze punkty kontaktowe powinny korzystać ze skutecznych, bezpiecznych i znormalizowanych kanałów sprawozdawczości.

Poprawka  17

Wniosek dotyczący dyrektywy

Motyw 18

 

Tekst proponowany przez Komisję

Poprawka

(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty.

(18) Podmioty wskazane jako podmioty krytyczne na mocy niniejszej dyrektywy, a także podmioty w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2. Właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny zatem współpracować ze sobą w skuteczny i spójny sposób, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. Ważne jest, by państwa członkowskie podejmowały środki, aby uniknąć podwójnej sprawozdawczości i kontroli oraz zapewnić komplementarność strategii i wymogów przewidzianych w niniejszej dyrektywie i w dyrektywie NIS 2, oraz aby podmioty krytyczne nie były narażone na obciążenia administracyjne wykraczające poza to, co jest konieczne do osiągnięcia celów niniejszej dyrektywy.

Poprawka  18

Wniosek dotyczący dyrektywy

Motyw 19

 

Tekst proponowany przez Komisję

Poprawka

(19) Państwa członkowskie powinny wspierać podmioty krytyczne we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie mogłyby w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji, aby wspierać dobrowolną wymianę informacji między podmiotami krytycznymi, bez uszczerbku dla zastosowania reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej.

(19) Państwa członkowskie powinny wspierać podmioty krytyczne – w szczególności te, które kwalifikują się jako małe i średnie przedsiębiorstwa (MŚP) – we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie powinny w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. W przypadku gdy jest to konieczne i uzasadnione celami interesu publicznego, państwa członkowskie powinny mieć możliwość zapewnienia zasobów finansowych podmiotom krytycznym, z zastrzeżeniem obowiązujących przepisów dotyczących pomocy państwa. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji i dobrych praktyk, aby wspierać wymianę informacji między podmiotami krytycznymi, nie naruszając reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej.

Poprawka  19

Wniosek dotyczący dyrektywy

Motyw 19 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

(19a) Ważne jest, by podczas wdrażania niniejszej dyrektywy państwa członkowskie podjęły wszelkie niezbędne działania, aby zapobiegać jakimkolwiek nadmiernym obciążeniom administracyjnym, w szczególności dla MŚP, a także unikać dublujących się lub zbędnych zobowiązań. Kluczowe jest, by państwa członkowskie zapewniały pomoc na rzecz MŚP i ułatwiały udzielanie im, na żądanie, odpowiedniego wsparcia, podejmując środki techniczne i organizacyjne przewidziane niniejszą dyrektywą.

Poprawka  20

Wniosek dotyczący dyrektywy

Motyw 20

 

Tekst proponowany przez Komisję

Poprawka

(20) Aby móc zapewnić swoją odporność, podmioty krytyczne powinny mieć kompleksowe wyobrażenie na temat wszystkich istotnych czynników ryzyka, na które są narażone, oraz je analizować. W tym celu powinny przeprowadzać oceny ryzyka, gdy tylko jest to konieczne ze względu na ich szczególne okoliczności oraz zmianę tych czynników ryzyka, a w każdym wypadku co cztery lata. Oceny ryzyka prowadzone przez podmioty krytyczne powinny opierać się na ocenie ryzyka przeprowadzonej przez państwa członkowskie.

(20) Aby móc zapewnić swoją odporność, podmioty krytyczne powinny mieć kompleksowe wyobrażenie na temat wszystkich istotnych czynników ryzyka, na które są narażone, oraz je analizować. W tym celu powinny przeprowadzać oceny ryzyka, gdy tylko jest to konieczne ze względu na ich szczególne okoliczności oraz zmianę tych czynników ryzyka, a w każdym wypadku co cztery lata. Oceny ryzyka prowadzone przez podmioty krytyczne powinny opierać się na ocenie ryzyka przeprowadzonej przez państwa członkowskie oraz powinny być zgodne ze wspólnymi kryteriami i metodami.

Poprawka  21

Wniosek dotyczący dyrektywy

Motyw 23

 

Tekst proponowany przez Komisję

Poprawka

(23) Rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 300/200828, rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 725/200429 oraz dyrektywą Parlamentu Europejskiego i Rady 2005/65/WE30 ustanowiono wymagania mające zastosowanie do podmiotów w sektorach transportu lotniczego i transportu morskiego w celu zapobieżenia incydentom powodowanym bezprawnymi czynami oraz stawienia oporu skutkom takich incydentów i ograniczenia tych skutków. Chociaż środki wymagane zgodnie z niniejszą dyrektywą są ogólniejsze pod kątem czynników ryzyka, których dotyczą, i rodzajów środków, które należy wdrożyć, podmioty krytyczne w tych sektorach powinny odzwierciedlić w swoim planie zwiększania odporności lub równoważnych dokumentach środki wdrożone na podstawie wspomnianych innych aktów Unii. Ponadto podczas wdrażania środków na rzecz zwiększania odporności zgodnie z niniejszą dyrektywą podmioty krytyczne mogą rozważyć odniesienie się do niewiążących dokumentów zawierających wytyczne i dobre praktyki opracowanych w ramach sektorowych grup roboczych, takich jak unijna platforma bezpieczeństwa pasażerów w ruchu kolejowym31.

(23) Rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 300/200828, rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 725/200429 oraz dyrektywą Parlamentu Europejskiego i Rady 2005/65/WE30 ustanowiono wymagania mające zastosowanie do podmiotów w sektorach transportu lotniczego i transportu morskiego w celu zapobieżenia incydentom powodowanym bezprawnymi czynami oraz stawienia oporu skutkom takich incydentów i ograniczenia tych skutków. Chociaż środki wymagane zgodnie z niniejszą dyrektywą są ogólniejsze pod kątem czynników ryzyka, których dotyczą, i rodzajów środków, które należy wdrożyć, podmioty krytyczne w tych sektorach powinny odzwierciedlić w swoim planie zwiększania odporności lub równoważnych dokumentach środki wdrożone na podstawie wspomnianych innych aktów Unii. Ponadto podmioty krytyczne muszą również brać pod uwagę dyrektywę Parlamentu Europejskiego i Rady 2008/96/WE30a wprowadzającą ocenę bezpieczeństwa ruchu drogowego obejmującą całą sieć w celu określenia zagrożeń związanych z wypadkami oraz ukierunkowane kontrole bezpieczeństwa ruchu drogowego w celu określenia niebezpiecznych warunków, usterek i problemów, które zwiększają ryzyko wypadków i obrażeń, na podstawie kontroli w miejscu istniejącej drogi lub odcinka drogi. Zapewnienie ochrony i odporności krytycznych podmiotów ma ogromne znaczenie dla sektora kolejowego, a podczas wdrażania środków na rzecz zwiększania odporności zgodnie z niniejszą dyrektywą podmioty krytyczne zachęca się do odwoływania się do niewiążących wytycznych i dokumentów dotyczących dobrych praktyk opracowanych w kontekście działań sektorowych, takich jak unijna platforma bezpieczeństwa pasażerów w ruchu kolejowym31.

_________________

_________________

28 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z 9.4.2008, s. 72).

28 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z 9.4.2008, s. 72).

29 Rozporządzenie (WE) nr 725/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie wzmocnienia ochrony statków i obiektów portowych, Dz.U. L 129 z 29.4.2004, s. 6.

29 Rozporządzenie (WE) nr 725/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie wzmocnienia ochrony statków i obiektów portowych, Dz.U. L 129 z 29.4.2004, s. 6.

30 Dyrektywa 2005/65/WE Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie wzmocnienia ochrony portów (Dz.U. L 310 z 25.11.2005, s. 28).

30 Dyrektywa 2005/65/WE Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie wzmocnienia ochrony portów (Dz.U. L 310 z 25.11.2005, s. 28).

 

30a Dyrektywa Parlamentu Europejskiego i Rady 2008/96/WE z dnia 19 listopada 2008 r. w sprawie zarządzania bezpieczeństwem infrastruktury drogowej (Dz.U. L 319 z 29.11.2008, s. 59).

31 Decyzja Komisji z dnia 29 czerwca 2018 r. w sprawie utworzenia unijnej platformy bezpieczeństwa pasażerów w ruchu kolejowym, C/2018/4014.

31 Decyzja Komisji z dnia 29 czerwca 2018 r. w sprawie utworzenia unijnej platformy bezpieczeństwa pasażerów w ruchu kolejowym, C/2018/4014.

Poprawka  22

Wniosek dotyczący dyrektywy

Motyw 24

 

Tekst proponowany przez Komisję

Poprawka

(24) Ryzyko, że pracownicy podmiotów krytycznych nadużyją na przykład swoich praw dostępu w ramach organizacji podmiotu w celu wyrządzenia szkody, budzi coraz większe obawy. Ryzyko to zwiększa się wraz z przybierającym na sile zjawiskiem radykalizacji prowadzącym do brutalnego ekstremizmu i terroryzmu. Wobec tego niezbędne jest umożliwienie podmiotom krytycznym wnoszenia o sprawdzenie przeszłości osób należących do szczególnych kategorii ich personelu oraz zapewnienie, aby właściwe organy dokonywały sprawnej oceny takich wniosków, zgodnie z obowiązującymi przepisami unijnymi i krajowymi, w tym dotyczącymi ochrony danych osobowych.

(24) Ryzyko, że pracownicy podmiotów krytycznych nadużyją na przykład swoich praw dostępu w ramach organizacji podmiotu w celu wyrządzenia szkody, budzi coraz większe obawy. Ryzyko to zwiększa się wraz z przybierającym na sile zjawiskiem radykalizacji prowadzącym do brutalnego ekstremizmu i terroryzmu. Wobec tego niezbędne jest umożliwienie podmiotom krytycznym wnoszenia o sprawdzenie przeszłości osób należących do szczególnych kategorii ich personelu oraz zapewnienie, aby właściwe organy dokonywały sprawnej oceny takich wniosków, zgodnie z obowiązującymi przepisami unijnymi i krajowymi, w tym dotyczącymi ochrony danych osobowych, w szczególności z rozporządzeniem (UE) 2016/679.

Poprawka  23

Wniosek dotyczący dyrektywy

Motyw 25

 

Tekst proponowany przez Komisję

Poprawka

(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach, właściwym organom państw członkowskich incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty oraz uzyskanie kompleksowego wyobrażenia na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych.

(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach – a w każdym razie w ciągu 24 godzin od uzyskania informacji o danym incydencie – właściwym organom państw członkowskich każdy incydent, który w znacznym stopniu zakłóca lub może potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Właściwy organ powinien poinformować opinię publiczną o takim incydencie, jeżeli stwierdzi, że leży to w interesie publicznym. Właściwy organ powinien zapewnić, aby dany podmiot krytyczny informował użytkowników jego usług, na których taki incydent może mieć wpływ, o incydencie oraz, w stosownych przypadkach, o wszelkich możliwych środkach bezpieczeństwa lub środkach zaradczych. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty oraz uzyskanie kompleksowego wyobrażenia na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły bez zbędnej zwłoki przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych. Informacje na temat incydentów powinny być przetworzone w sposób gwarantujący zachowanie poufności oraz bezpieczeństwo i interesy handlowe danego podmiotu krytycznego.

Poprawka  24

Wniosek dotyczący dyrektywy

Motyw 26

 

Tekst proponowany przez Komisję

Poprawka

(26) Podczas gdy podmioty krytyczne działają zazwyczaj jako część w coraz większym stopniu połączonej sieci świadczenia usług i infrastruktur oraz często świadczą usługi kluczowe w więcej niż jednym państwie członkowskim, niektóre z tych podmiotów mają szczególne znaczenie dla Unii, ponieważ świadczą usługi kluczowe na rzecz dużej liczby państw członkowskich, i wymagają zatem szczególnego nadzoru na poziomie Unii. Należy zatem ustanowić przepisy dotyczące szczególnego nadzoru w odniesieniu do takich podmiotów krytycznych o szczególnym znaczeniu europejskim. Przepisy te pozostają bez uszczerbku dla przepisów dotyczących nadzoru i egzekwowania przewidzianych w niniejszej dyrektywie.

(26) Podczas gdy podmioty krytyczne działają zazwyczaj jako część w coraz większym stopniu połączonej sieci świadczenia usług i zapewniania infrastruktury oraz często świadczą usługi kluczowe w więcej niż jednym państwie członkowskim, niektóre z tych podmiotów mają szczególne znaczenie dla Unii i rynku wewnętrznego, ponieważ świadczą usługi kluczowe na rzecz kilku państw członkowskich, i wymagają zatem szczególnego nadzoru na poziomie Unii. Należy zatem ustanowić przepisy dotyczące szczególnego nadzoru w odniesieniu do takich podmiotów krytycznych o szczególnym znaczeniu europejskim. Przepisy te pozostają bez uszczerbku dla przepisów dotyczących nadzoru i egzekwowania przewidzianych w niniejszej dyrektywie.

Poprawka  25

Wniosek dotyczący dyrektywy

Motyw 27 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

(27a) Proces standaryzacji winien pozostać procesem uzależnionym od sytuacji na rynku. Nadal mogą jednak zaistnieć sytuacje, w których należy wymagać przestrzegania określonych norm na poziomie Unii. Komisja i państwa członkowskie powinny wspierać i promować opracowywanie i wdrażanie norm i specyfikacji istotnych dla odporności podmiotów krytycznych, określonych przez europejskie organizacje normalizacyjne, aby przyjąć środki techniczne i organizacyjne, które mają na celu zapewnienie odporności podmiotów krytycznych. Państwa członkowskie powinny również zachęcać do stosowania uznanych na szczeblu międzynarodowym norm i specyfikacji istotnych dla środków w zakresie odporności podmiotów krytycznych.

Poprawka  26

Wniosek dotyczący dyrektywy

Motyw 30

 

Tekst proponowany przez Komisję

Poprawka

(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje.

(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Ocena podmiotów krytycznych na mocy niniejszej dyrektywy – w kwestiach wchodzących w zakres dyrektywy NIS 2, takich jak fizyczne i niefizyczne cyberbezpieczeństwo – należy do obowiązków właściwych organów wyznaczonych na mocy dyrektywy NIS 2. Co więcej, dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje.

Poprawka  27

Wniosek dotyczący dyrektywy

Motyw 31

 

Tekst proponowany przez Komisję

Poprawka

(31) W celu uwzględnienia nowych czynników ryzyka, rozwoju technologii lub specyfiki jednego sektora lub ich większej liczby należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej uzupełniających środki na rzecz zwiększania odporności, które podmioty krytyczne mają obowiązek wdrożyć, poprzez dalsze określenie wszystkich tych środków lub niektórych spośród nich. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r.32 W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(31) W celu uwzględnienia nowych czynników ryzyka, rozwoju technologii lub specyfiki jednego sektora lub ich większej liczby należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej uzupełniających środki na rzecz zwiększania odporności, które podmioty krytyczne mają obowiązek wdrożyć, poprzez dalsze określenie wszystkich tych środków lub niektórych spośród nich. Aby uniknąć rozbieżnego stosowania niniejszej dyrektywy i poprawić funkcjonowanie rynku wewnętrznego, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej w celu uzupełnienia niniejszej dyrektywy przez sporządzenie wspólnego wykazu usług kluczowych. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r.32 W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

_________________

_________________

32 Dz.U. L 123 z 12.5.2016, s. 1.

32 Dz.U. L 123 z 12.5.2016, s. 1.

Poprawka  28

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 1 – wprowadzenie

 

Tekst proponowany przez Komisję

Poprawka

1. W niniejszej dyrektywie:

1. Niniejsza dyrektywa ustanawia środki mające na celu osiągnięcie wysokiego poziomu odporności podmiotów krytycznych, aby zapewnić świadczenie usług kluczowych w Unii oraz usprawnić funkcjonowanie rynku wewnętrznego. W tym celu w niniejszej dyrektywie:

Poprawka  29

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 1 – litera a

 

Tekst proponowany przez Komisję

Poprawka

a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków;

a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie ciągłego świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków;

Poprawka  30

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 2

 

Tekst proponowany przez Komisję

Poprawka

2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7.

2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7. Z uwagi na wzajemne powiązania między cyberbezpieczeństwem a fizycznym bezpieczeństwem podmiotów państwa członkowskie zapewniają spójne wdrożenie niniejszej dyrektywy i dyrektywy NIS 2.

Poprawka  31

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 3

 

Tekst proponowany przez Komisję

Poprawka

3) „incydent” oznacza każde zdarzenie mogące zakłócić lub zakłócające funkcjonowanie podmiotu krytycznego;

3) „incydent” oznacza każde zdarzenie mogące zakłócić lub zakłócające świadczenie usługi kluczowej przez podmiot krytyczny;

Poprawka  32

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 4

 

Tekst proponowany przez Komisję

Poprawka

4) „infrastruktura” oznacza składnik infrastruktury, system lub jego część niezbędny lub niezbędną do świadczenia usługi kluczowej;

4) „infrastruktura” oznacza składniki infrastruktury, w tym obiekty, systemy i urządzenia lub ich części niezbędne do świadczenia usługi kluczowej;

Poprawka  33

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 5

 

Tekst proponowany przez Komisję

Poprawka

5) „usługa kluczowa” oznacza usługę, która ma kluczowe znaczenie dla utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej;

5) „usługa kluczowa” oznacza usługę, która ma kluczowe znaczenie dla utrzymania niezbędnych funkcji społecznych, działalności gospodarczej, zdrowia i bezpieczeństwa publicznego, środowiska lub praworządności;

Poprawka  34

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 6

 

Tekst proponowany przez Komisję

Poprawka

6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na odporność podmiotów krytycznych;

6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na zdolność podmiotu krytycznego do świadczenia usługi kluczowej;

Poprawka  35

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 7

 

Tekst proponowany przez Komisję

Poprawka

7) „ocena ryzyka” oznacza metodykę umożliwiającą ustalenie charakteru i zakresu ryzyka poprzez analizę potencjalnych zagrożeń oraz ocenę istniejących uwarunkowań podatności, które mogłyby prowadzić do zakłócenia funkcjonowania podmiotu krytycznego.

7) „ocena ryzyka” oznacza metodykę umożliwiającą ustalenie charakteru i zakresu ryzyka poprzez ocenę potencjalnych zagrożeń w stosunku do odporności podmiotu krytycznego, analizę istniejących uwarunkowań podatności, które mogłyby spowodować zakłócenie funkcjonowania podmiotu krytycznego, oraz ocenę potencjalnego, niekorzystnego wpływu, jaki zakłócenie funkcjonowania mogłoby mieć na świadczenie usług kluczowych.

Poprawka  36

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 7 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

7a) „norma” oznacza normę zgodnie z definicją w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/20121a;

 

____________

 

1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12).

Poprawka  37

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 7 b (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

7b) „specyfikacja techniczna” oznacza specyfikację techniczną zdefiniowaną w art. 2 pkt 4 rozporządzenia (UE) nr 1025/2012;

Poprawka  38

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Każde państwo członkowskie przyjmuje w terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy] strategię mającą na celu wzmocnienie odporności podmiotów krytycznych. W strategii tej określa się cele strategiczne i środki polityczne służące osiągnięciu i utrzymaniu wysokiego poziomu odporności po stronie tych podmiotów krytycznych oraz obejmujące co najmniej sektory, o których mowa w załączniku.

1. Po konsultacji otwartej dla wszystkich zainteresowanych stron każde państwo członkowskie przyjmuje w terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy] strategię mającą na celu wzmocnienie odporności podmiotów krytycznych. W strategii tej uwzględnia się unijną strategię w dziedzinie odporności opracowaną przez Grupę ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16, i określa się cele strategiczne i środki polityczne służące osiągnięciu i utrzymaniu wysokiego poziomu odporności po stronie tych podmiotów krytycznych oraz obejmujące co najmniej sektory, o których mowa w załączniku.

Poprawka  39

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 2 – litera c

 

Tekst proponowany przez Komisję

Poprawka

c) opis środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, w tym krajowej oceny ryzyka, wskazania podmiotów krytycznych i podmiotów równoważnych z podmiotami krytycznymi, a także środków mających na celu wsparcie podmiotów krytycznych zastosowanych zgodnie z niniejszym rozdziałem;

c) opis środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, w tym krajowej oceny ryzyka, o której mowa w art. 4, wskazania podmiotów krytycznych i podmiotów równoważnych z podmiotami krytycznymi, a także środków mających na celu wsparcie podmiotów krytycznych zastosowanych zgodnie z niniejszym rozdziałem, w tym środków mających na celu zacieśnienie współpracy między sektorem publicznym i sektorem prywatnym oraz podmiotami publicznymi i prywatnymi;

Poprawka  40

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 2 – litera c a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

ca) wykaz wszystkich organów i podmiotów zaangażowanych we wdrażanie strategii;

Poprawka  41

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 2 – litera d a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

da) ramy polityczne uwzględniające szczególne potrzeby i cechy małych i średnich przedsiębiorstw uznanych za podmioty krytyczne w celu poprawy ich odporności;

Poprawka  42

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 2 – litera d b (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

db) odpowiednie aspekty krajowej strategii w dziedzinie cyberbezpieczeństwa przewidzianej w dyrektywie NIS 2 i wszelkich innych krajowych strategii sektorowych w celu osiągnięcia koordynacji, komplementarności i synergii.

Poprawka  43

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 2 – akapit 1

 

Tekst proponowany przez Komisję

Poprawka

Strategię tę aktualizuje się w razie potrzeby i co najmniej co cztery lata.

Po konsultacji otwartej dla wszystkich zainteresowanych podmiotów strategię tę aktualizuje się co najmniej co cztery lata.

Poprawka  44

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 1 – akapit 1

 

Tekst proponowany przez Komisję

Poprawka

1. Właściwe organy wyznaczone na podstawie art. 8 ustanawiają wykaz usług kluczowych w sektorach, o których mowa w załączniku. W terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata dokonują one oceny wszystkich istotnych czynników ryzyka, które mogą wpływać na świadczenie tych usług kluczowych, w celu wskazania podmiotów krytycznych zgodnie z art. 5 ust. 1 oraz udzielenia pomocy tym podmiotom krytycznym we wdrożeniu środków zgodnie z art. 11.

1. Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 21 w celu uzupełnienia niniejszej dyrektywy przez ustanowienie wykazu usług kluczowych w sektorach i podsektorach, o których mowa w załączniku. Komisja przyjmuje akt delegowany nie później niż … [sześć miesięcy po wejściu w życie niniejszej dyrektywy]. Właściwe organy wyznaczone na podstawie art. 8 dokonują w terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata oceny wszystkich istotnych czynników ryzyka, które mogą wpływać na świadczenie usług kluczowych wymienionych w akcie delegowanym, w celu wskazania podmiotów krytycznych zgodnie z art. 5 ust. 1 oraz udzielenia pomocy tym podmiotom krytycznym we wdrożeniu środków zgodnie z art. 11.

Poprawka  45

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 1 – akapit 2

 

Tekst proponowany przez Komisję

Poprawka

Ocena ryzyka uwzględnia wszystkie istotne zagrożenia, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134.

Ocena ryzyka uwzględnia wszystkie istotne zagrożenia o charakterze międzysektorowym lub transgranicznym, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134.

_________________

_________________

34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6).

34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6).

Poprawka  46

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 2 – akapit 1 – litera c

 

Tekst proponowany przez Komisję

Poprawka

c) wszelkie czynniki ryzyka wynikające ze współzależności między sektorami wymienionymi w załączniku, w tym z innych państw członkowskich i państw trzecich, oraz wpływ, jaki zakłócenie w jednym sektorze może mieć na inne sektory;

c) wszelkie czynniki ryzyka wynikające ze współzależności między sektorami wymienionymi w załączniku, w tym z innych państw członkowskich i państw trzecich, oraz wpływ, jaki zakłócenie w jednym sektorze może mieć na inne sektory, w tym wszelkie czynniki ryzyka dla obywateli i rynku wewnętrznego;

Poprawka  47

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 3

 

Tekst proponowany przez Komisję

Poprawka

3. Państwa członkowskie udostępniają odpowiednie elementy oceny ryzyka, o których mowa w ust. 1, podmiotom krytycznym, które wskazały zgodnie z art. 5, w celu udzielenia tym podmiotom krytycznym wsparcia w przeprowadzaniu oceny ryzyka, zgodnie z art. 10, oraz w stosowaniu środków służących zapewnieniu ich odporności, zgodnie z art. 11.

3. Za pośrednictwem pojedynczego punktu kontaktowego, o którym mowa w art. 8 ust. 2, państwa członkowskie udostępniają odpowiednie elementy oceny ryzyka, o których mowa w ust. 1, podmiotom krytycznym, które wskazały zgodnie z art. 5, w celu udzielenia tym podmiotom krytycznym wsparcia w przeprowadzaniu oceny ryzyka, zgodnie z art. 10, oraz w stosowaniu środków służących zapewnieniu ich odporności, zgodnie z art. 11.

Poprawka  48

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 5

 

Tekst proponowany przez Komisję

Poprawka

5. Komisja może – we współpracy z państwami członkowskimi – opracować dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4.

5. Komisja – we współpracy z państwami członkowskimi – opracowuje dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4.

Poprawka  49

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – wprowadzenie

 

Tekst proponowany przez Komisję

Poprawka

2. Wskazując podmioty krytyczne zgodnie z ust. 1, państwa członkowskie biorą pod uwagę wyniki oceny ryzyka zgodnie z art. 4, oraz stosują następujące kryteria:

2. Wskazując podmioty krytyczne zgodnie z ust. 1, państwa członkowskie biorą pod uwagę wyniki oceny ryzyka zgodnie z art. 4 oraz strategię w dziedzinie odporności podmiotów krytycznych, o której mowa w art. 3, i stosują następujące kryteria:

Poprawka  50

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera b

 

Tekst proponowany przez Komisję

Poprawka

b) świadczenie tej usługi zależy od infrastruktury znajdującej się w państwie członkowskim; oraz

b) świadczenie tej usługi kluczowej zależy od infrastruktury znajdującej się w państwie członkowskim; oraz

Poprawka  51

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera c

 

Tekst proponowany przez Komisję

Poprawka

c) incydent miałby istotne skutki zakłócające dla świadczenia tej usługi lub innych usług kluczowych w sektorach, o których mowa w załączniku, zależnych od tej usługi.

c) incydent miałby istotne skutki zakłócające dla świadczenia tej usługi kluczowej lub innych usług kluczowych w sektorach, o których mowa w załączniku, zależnych od tej usługi.

Poprawka  52

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 5

 

Tekst proponowany przez Komisję

Poprawka

5. Po powiadomieniu, o którym mowa w ust. 3, państwa członkowskie zapewniają, aby podmioty krytyczne przekazały informacje ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy o tym, czy zostały one wskazane jako podmioty krytyczne w co najmniej jednym innym państwie członkowskim. Gdy co najmniej dwa państwa członkowskie wskazały dany podmiot jako podmiot krytyczny, te państwa członkowskie przystępują do wzajemnych konsultacji w celu ograniczenia obciążenia podmiotu krytycznego pod względem obowiązków przewidzianych w rozdziale III.

5. Po powiadomieniu, o którym mowa w ust. 3, państwa członkowskie zapewniają, aby podmioty krytyczne przekazały informacje ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy o tym, czy zostały one wskazane jako podmioty krytyczne w co najmniej jednym innym państwie członkowskim. Gdy co najmniej dwa państwa członkowskie wskazały dany podmiot jako podmiot krytyczny, te państwa członkowskie przystępują do wzajemnych konsultacji w celu osiągnięcia jak najwyższego stopnia spójności i ograniczenia obciążenia podmiotu krytycznego pod względem obowiązków przewidzianych w rozdziale III.

Poprawka  53

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 6

 

Tekst proponowany przez Komisję

Poprawka

6. Do celów rozdziału IV państwa członkowskie zapewniają, aby podmioty krytyczne – po powiadomieniu, o którym mowa w ust. 3 – przekazały ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy informacje o tym, czy świadczą one usługi kluczowe na rzecz ponad jednej trzeciej lub w ponad jednej trzeciej państw członkowskich. W takim przypadku odnośne państwo członkowskie niezwłocznie przekazuje Komisji dane identyfikacyjne tych podmiotów krytycznych.

6. Do celów rozdziału IV państwa członkowskie zapewniają, aby podmioty krytyczne – po powiadomieniu, o którym mowa w ust. 3 – przekazały ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy informacje o tym, czy świadczą one te same lub podobne usługi kluczowe na rzecz więcej niż trzech państw członkowskich lub w więcej niż trzech państwach członkowskich. W takim przypadku odnośne państwo członkowskie niezwłocznie przekazuje Komisji dane identyfikacyjne tych podmiotów krytycznych.

 

Poprawka  54

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 7 – akapit 2

 

Tekst proponowany przez Komisję

Poprawka

Jeżeli takie aktualizacje prowadzą do wskazania dodatkowych podmiotów krytycznych, stosuje się ust. 3, 4, 5 i 6. Ponadto państwa członkowskie zapewniają, aby podmioty, które wskutek jakiejkolwiek tego rodzaju aktualizacji nie są już wskazane jako podmioty krytyczne, zostały poinformowane, że z chwilą otrzymania takiej informacji nie podlegają już obowiązkom przewidzianym w rozdziale III.

Jeżeli takie aktualizacje prowadzą do wskazania dodatkowych podmiotów krytycznych, stosuje się ust. 3, 4, 5 i 6. Ponadto państwa członkowskie zapewniają, aby podmioty, które wskutek jakiejkolwiek tego rodzaju aktualizacji nie są już wskazane jako podmioty krytyczne, zostały w odpowiednim czasie poinformowane, że z chwilą otrzymania takiej informacji nie podlegają już obowiązkom przewidzianym w rozdziale III.

Poprawka  55

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 7 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

7a. Komisja we współpracy z państwami członkowskimi opracowuje zalecenia i wytyczne, aby wesprzeć państwa członkowskie w identyfikowaniu podmiotów krytycznych.

Poprawka  56

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 1 – litera a

 

Tekst proponowany przez Komisję

Poprawka

a) liczbę użytkowników zależnych od usługi świadczonej przez podmiot;

a) liczbę użytkowników zależnych od usługi kluczowej świadczonej przez podmiot;

Poprawka  57

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 1 – litera b

 

Tekst proponowany przez Komisję

Poprawka

b) zależność innych sektorów, o których mowa w załączniku, od tej usługi;

b) zależność innych sektorów i podsektorów, o których mowa w załączniku, lub łańcucha dostaw od tej usługi kluczowej;

Poprawka  58

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 1 – litera e

 

Tekst proponowany przez Komisję

Poprawka

e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego;

e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego, przy uwzględnieniu wrażliwości związanej ze stopniem odizolowania niektórych rodzajów obszarów geograficznych, takich jak regiony wyspiarskie, regiony najbardziej oddalone lub obszary górskie;

Poprawka  59

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 1 – litera f

 

Tekst proponowany przez Komisję

Poprawka

f) znaczenie podmiotu w utrzymywaniu wystarczającego poziomu usługi przy uwzględnieniu dostępności alternatywnych sposobów świadczenia tej usługi.

f) znaczenie podmiotu w utrzymywaniu wystarczającego poziomu usługi kluczowej przy uwzględnieniu dostępności alternatywnych sposobów świadczenia tej usługi kluczowej.

Poprawka  60

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 3

 

Tekst proponowany przez Komisję

Poprawka

3. Komisja może – po skonsultowaniu się z Grupą ds. Odporności Podmiotów Krytycznych – przyjąć wytyczne mające na celu ułatwienie stosowania kryteriów, o których mowa w ust. 1, biorąc pod uwagę informacje, o których mowa w ust. 2.

3. Komisja – po skonsultowaniu się z Grupą ds. Odporności Podmiotów Krytycznych – przyjmuje wytyczne mające na celu ułatwienie stosowania kryteriów, o których mowa w ust. 1, biorąc pod uwagę informacje, o których mowa w ust. 2.

Poprawka  61

Wniosek dotyczący dyrektywy

Artykuł 7 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Jeżeli chodzi o sektory, o których mowa w pkt 3, 4 i 8 załącznika, w terminie do dnia [trzy latatrzy miesiące po wejściu w życie niniejszej dyrektywy] państwa członkowskie wskazują podmioty, które należy traktować jako równoważne z podmiotami krytycznymi do celów niniejszego rozdziału. W odniesieniu do tych podmiotów państwa członkowskie stosują przepisy art. 3, 4, art. 5 ust. 1–4 i 7 oraz art. 9.

1. Jeżeli chodzi o sektory, o których mowa w pkt 3, 4 i 8 załącznika, w terminie do dnia [jeden roksześć miesięcy po wejściu w życie niniejszej dyrektywy] państwa członkowskie wskazują podmioty, które należy traktować jako równoważne z podmiotami krytycznymi do celów niniejszego rozdziału. W odniesieniu do tych podmiotów państwa członkowskie stosują przepisy art. 3, 4, art. 5 ust. 1–4 i 7 oraz art. 9.

Poprawka  62

Wniosek dotyczący dyrektywy

Artykuł 8 – ustęp 2

 

Tekst proponowany przez Komisję

Poprawka

2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich oraz z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”).

2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich i z Komisją oraz z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”), a także, w stosownych przypadkach, w celu zapewnienia współpracy z państwami trzecimi.

Poprawka  63

Wniosek dotyczący dyrektywy

Artykuł 8 – ustęp 3

 

Tekst proponowany przez Komisję

Poprawka

3. W terminie do dnia [trzy lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3.

3. W terminie do dnia [cztery lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku w pierwszym kwartale, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3.

Poprawka  64

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to może obejmować opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie szkoleń dla personelu podmiotów krytycznych.

1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to obejmuje opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie szkoleń dla personelu podmiotów krytycznych. Państwa członkowskie mogą przekazywać środki finansowe podmiotom krytycznym znaczeniu, z zastrzeżeniem obowiązujących przepisów dotyczących pomocy państwa, jeżeli jest to konieczne i uzasadnione celami interesu publicznego.

Poprawka  65

Wniosek dotyczący dyrektywy

Artykuł 10 – akapit 1

 

Tekst proponowany przez Komisję

Poprawka

Państwa członkowskie zapewniają, aby w ciągu sześciu miesięcy po otrzymaniu powiadomienia, o którym mowa w art. 5 ust. 3, a następnie w stosownych przypadkach i co najmniej raz na cztery lata, podmioty krytyczne dokonywały oceny – na podstawie ocen ryzyka i innych istotnych źródeł informacji – wszystkich istotnych czynników ryzyka, które mogą zakłócać ich funkcjonowanie.

Państwa członkowskie zapewniają, aby w ciągu sześciu miesięcy po otrzymaniu powiadomienia, o którym mowa w art. 5 ust. 3, a następnie w stosownych przypadkach i co najmniej raz na cztery lata, podmioty krytyczne dokonywały oceny – na podstawie ocen ryzyka i innych istotnych źródeł informacji – wszystkich istotnych czynników ryzyka, które mogą zakłócać świadczenie przez nie danych usług kluczowych.

Poprawka  66

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 1 – litera d

 

Tekst proponowany przez Komisję

Poprawka

d) zapewnienia działań naprawczych po incydentach, w tym środki na rzecz ciągłości działania oraz identyfikacji alternatywnych łańcuchów dostaw;

d) zapewnienia działań naprawczych po incydentach, w tym środki na rzecz ciągłości działania oraz identyfikacji alternatywnych łańcuchów dostaw w celu zapewnienia nieprzerwanego świadczenia usługi kluczowej;

Poprawka  67

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 1 – litera e

 

Tekst proponowany przez Komisję

Poprawka

e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12;

e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, określenie odpowiednich wymogów szkoleniowych i kwalifikacji, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12; jeżeli w zarządzanie bezpieczeństwem pracowników zaangażowani są dostawcy zewnętrzni, podmioty krytyczne powinny zapewniają przestrzeganie przez nich ogólnie przyjętych standardów i specyfikacji;

Poprawka  68

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 1 – litera f

 

Tekst proponowany przez Komisję

Poprawka

f) zwiększania świadomości odpowiednich pracowników na temat środków, o których mowa w lit. a)–e).

f) zwiększania świadomości odpowiednich pracowników na temat środków, o których mowa w lit. a)–e), w tym dzięki okresowym szkoleniom.

Poprawka  69

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 3

 

Tekst proponowany przez Komisję

Poprawka

3. Na wniosek państwa członkowskiego, które wskazało podmiot krytyczny, oraz za zgodą zainteresowanego podmiotu krytycznego Komisja organizuje misje doradcze – zgodnie z ustaleniami określonymi w art. 15 ust. 4, 5, 7 i 8 – w celu zapewnienia zainteresowanemu podmiotowi krytycznemu porady w zakresie wypełniania przez niego obowiązków zgodnie z rozdziałem III. Misja doradcza zgłasza swoje ustalenia Komisji, danemu państwu członkowskiemu oraz zainteresowanemu podmiotowi krytycznemu.

3. Na wniosek państwa członkowskiego, które wskazało podmiot krytyczny, oraz po konsultacji z zainteresowanym podmiotem krytycznym Komisja organizuje misje doradcze – zgodnie z ustaleniami określonymi w art. 15 ust. 4, 5, 7 i 8 – w celu zapewnienia zainteresowanemu podmiotowi krytycznemu porady w zakresie wypełniania przez niego obowiązków zgodnie z rozdziałem III. Misja doradcza zgłasza swoje ustalenia Komisji, danemu państwu członkowskiemu oraz zainteresowanemu podmiotowi krytycznemu. Na ich wniosek Komisja może również organizować misje doradcze dla podmiotów z państw trzecich.

Poprawka  70

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków.

1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków. Takie sprawdzanie przeszłości jest proporcjonalne i ściśle ograniczone do tego, co niezbędne i istotne dla wypełniania obowiązków przez dane osoby.

Poprawka  71

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 2 – akapit 1 – wprowadzenie

 

Tekst proponowany przez Komisję

Poprawka

2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/67938, w ramach sprawdzenia przeszłości, o którym mowa w ust. 1:

2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, państwa członkowskie zapewniają, aby sprawdzenie przeszłości, o którym mowa w ust.1, było prowadzone wyłącznie w celu oceny potencjalnego zagrożenia dla bezpieczeństwa danego podmiotu krytycznego. Sprawdzenie przeszłości:

_________________

 

38 Dz.U. L 119 z 4.5.2016, s. 1.

 

Poprawka  72

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność.

1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. W ciągu 24 godzin od chwili, gdy podmioty krytyczny wykryje incydent, należy przedłożyć zgłoszenie wstępne, a następnie – w terminie nie dłuższym niż jeden miesiąc – szczegółowe sprawozdanie. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność.

 

Jeżeli incydent ma lub może mieć istotny wpływ na podmioty krytyczne lub na ciągłość świadczenia usług kluczowych w ponad trzech państwach członkowskich, państwa członkowskie zapewniają, aby dane podmioty krytyczne powiadamiały Komisję o takich incydentach. Komisja bez zbędnej zwłoki informuje Grupę ds. Odporności Podmiotów Krytycznych o wszelkich takich zgłoszeniach. Komisja i Grupa ds. Odporności Podmiotów Krytycznych, zgodnie z prawem Unii, traktują informacje przekazane w ramach takich powiadomień w sposób zapewniający ich poufność oraz chroniący bezpieczeństwo i interesy handlowe danego podmiotu krytycznego lub podmiotów krytycznych.

Poprawka  73

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 2 – litera c

 

Tekst proponowany przez Komisję

Poprawka

c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie.

c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie, z uwzględnieniem tego, czy obszar jest geograficznie odizolowany.

Poprawka  74

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 3 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

3a. Dany właściwy organ corocznie przedkłada Komisji i Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie, w którym podsumowuje otrzymane powiadomienia i działania podjęte zgodnie z niniejszym artykułem.

Poprawka  75

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 4

 

Tekst proponowany przez Komisję

Poprawka

4. Możliwie najszybciej po otrzymaniu zgłoszenia zgodnie z ust. 1 właściwy organ przekazuje podmiotowi krytycznemu, od którego otrzymał zgłoszenie, odpowiednie informacje dotyczące działań następczych podjętych w związku z przekazanym przez niego zgłoszeniem, w tym informacje, które mogą pomóc podmiotowi krytycznemu w skutecznym zareagowaniu na incydent.

4. Możliwie najszybciej po otrzymaniu zgłoszenia zgodnie z ust. 1 właściwy organ przekazuje podmiotowi krytycznemu, od którego otrzymał zgłoszenie, odpowiednie informacje dotyczące działań następczych podjętych w związku z przekazanym przez niego zgłoszeniem, w tym informacje, które mogą pomóc podmiotowi krytycznemu w skutecznym zareagowaniu na incydent. Właściwy organ informuje opinię publiczną o incydencie, jeżeli stwierdzi, że leży to w interesie publicznym. Właściwy organ zapewnia, aby podmioty krytyczne informowały użytkowników swych usług, na których incydent może mieć wpływ, o incydencie oraz, w stosownych przypadkach, o wszelkich możliwych środkach bezpieczeństwa lub środkach zaradczych.

Poprawka  76

Wniosek dotyczący dyrektywy

Artykuł 13 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 13a

 

Standardy

 

Aby wspierać spójne wdrażanie niniejszej dyrektywy, państwa członkowskie zachęcają do stosowania standardów i specyfikacji istotnych dla bezpieczeństwa i odporności podmiotów krytycznych, nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii.

Poprawka  77

Wniosek dotyczący dyrektywy

Artykuł 14 – ustęp 2

 

Tekst proponowany przez Komisję

Poprawka

2. Podmiot uznaje się za podmiot krytyczny o szczególnym znaczeniu europejskim, gdy wskazano go jako podmiot krytyczny oraz gdy świadczy usługi kluczowe na rzecz co najmniej jednej trzeciej państw członkowskich lub w co najmniej jednej trzeciej państw członkowskich, a także gdy zgłoszono go Komisji jako taki podmiot odpowiednio na podstawie art. 5 ust. 1 i 6.

2. Podmiot uznaje się za podmiot krytyczny o szczególnym znaczeniu europejskim, gdy wskazano go jako podmiot krytyczny oraz gdy świadczy te same lub podobne usługi kluczowe na rzecz więcej niż trzech państw członkowskich lub w więcej niż trzech państwach członkowskich, a także gdy zgłoszono go Komisji jako taki podmiot odpowiednio na podstawie art. 5 ust. 1 i 6.

Poprawka  78

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 1 – akapit 1

 

Tekst proponowany przez Komisję

Poprawka

Na wniosek co najmniej jednego państwa członkowskiego lub Komisji państwo członkowskie, w którym znajduje się infrastruktura podmiotu krytycznego o szczególnym znaczeniu europejskim, wraz z tym podmiotem przekazuje Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych informacje na temat wyniku oceny ryzyka przeprowadzonej na podstawie art. 10 oraz środków wprowadzonych zgodnie z art. 11.

Na wniosek co najmniej jednego państwa członkowskiego lub Komisji podmiot krytyczny o szczególnym znaczeniu europejskim przekazuje Grupie ds. Odporności Podmiotów Krytycznych informacje na temat wyniku oceny ryzyka przeprowadzonej na podstawie art. 10 oraz środków wprowadzonych zgodnie z art. 11.

Poprawka  79

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 2

 

Tekst proponowany przez Komisję

Poprawka

2. Na wniosek co najmniej jednego państwa członkowskiego lub z własnej inicjatywy oraz po uzgodnieniu z państwem członkowskim, w którym znajduje się infrastruktura podmiotu krytycznego o szczególnym znaczeniu europejskim, Komisja organizuje misję doradczą w celu oceny środków wdrożonych przez ten podmiot, aby wywiązać się z obowiązków wynikających z rozdziału III. W stosownych przypadkach misje doradcze mogą zwrócić się o konkretną wiedzę specjalistyczną w obszarze zarządzania ryzykiem związanym z klęskami żywiołowymi za pośrednictwem Centrum Koordynacji Reagowania Kryzysowego.

2. Na wniosek co najmniej jednego państwa członkowskiego lub z własnej inicjatywy oraz po konsultacji z państwem członkowskim, w którym znajduje się infrastruktura podmiotu krytycznego o szczególnym znaczeniu europejskim, Komisja organizuje misję doradczą w celu oceny środków wdrożonych przez ten podmiot, aby wywiązać się z obowiązków wynikających z rozdziału III. W stosownych przypadkach misje doradcze mogą zwrócić się o konkretną wiedzę specjalistyczną w obszarze zarządzania ryzykiem związanym z klęskami żywiołowymi za pośrednictwem Centrum Koordynacji Reagowania Kryzysowego.

Poprawka  80

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 4 – akapit 2

 

Tekst proponowany przez Komisję

Poprawka

Komisja organizuje program misji doradczej po konsultacji z członkami określonej misji doradczej oraz w porozumieniu z państwem członkowskim, w którym znajduje się infrastruktura lub siedziba podmiotu krytycznego o znaczeniu europejskim.

Komisja organizuje program misji doradczej po konsultacji z członkami określonej misji doradczej oraz z państwem członkowskim, w którym znajduje się infrastruktura lub siedziba podmiotu krytycznego o znaczeniu europejskim.

Poprawka  81

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 2 – akapit 1

 

Tekst proponowany przez Komisję

Poprawka

Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych może zaprosić do udziału w swoich pracach przedstawicieli zainteresowanych stron.

Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych zaprasza do udziału w swoich pracach przedstawicieli odpowiednich zainteresowanych stron oraz Parlament Europejski w charakterze obserwatora.

Poprawka  82

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 – litera c

 

Tekst proponowany przez Komisję

Poprawka

c) ułatwianie wymiany najlepszych praktyk w odniesieniu do wskazywania podmiotów krytycznych przez państwa członkowskie, zgodnie z art. 5, w tym w odniesieniu do transgranicznych zależności oraz ryzyka i incydentów;

c) ułatwianie wymiany najlepszych praktyk w odniesieniu do wskazywania podmiotów krytycznych przez państwa członkowskie, zgodnie z art. 5, w tym w odniesieniu do transgranicznych i międzysektorowych zależności oraz ryzyka i incydentów;

Poprawka  83

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 – litera c a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

ca) przygotowanie unijnej strategii w dziedzinie odporności zgodnie z celami określonymi w niniejszej dyrektywie;

Poprawka  84

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 – litera h

 

Tekst proponowany przez Komisję

Poprawka

h) wymiana informacji i najlepszych praktyk dotyczących badań i rozwoju w zakresie odporności podmiotów krytycznych zgodnie z niniejszą dyrektywą;

h) wymiana informacji i najlepszych praktyk dotyczących innowacji, badań i rozwoju w zakresie odporności podmiotów krytycznych zgodnie z niniejszą dyrektywą;

Poprawka  85

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 – litera h a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

ha) promowanie i wspieranie skoordynowanych ocen ryzyka i wspólnych działań wśród podmiotów krytycznych;

Poprawka  86

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 5

 

Tekst proponowany przez Komisję

Poprawka

5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu propagowania strategicznej współpracy i wymiany informacji.

5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu ułatwiania strategicznej współpracy i wymiany informacji.

Poprawka  87

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 7

 

Tekst proponowany przez Komisję

Poprawka

7. Komisja przekazuje Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące dotyczące informacji przekazanych przez państwa członkowskie zgodnie z art. 3 ust. 3 i art. 4 ust. 4 w terminie do dnia [trzy i pół roku po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata.

7. Komisja przekazuje Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące dotyczące informacji przekazanych przez państwa członkowskie zgodnie z art. 3 ust. 3 i art. 4 ust. 4 w terminie do dnia [trzy i pół roku po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata. Komisja regularnie publikuje sprawozdanie podsumowujące działalność Grupy ds. Odporności Podmiotów Krytycznych.

 

Komisja tworzy wspólny sekretariat dla Grupy ds. Odporności Podmiotów Krytycznych i Grupy ds. Współpracy ustanowionej zgodnie z dyrektywą NIS 2, aby usprawnić komunikację między tymi dwiema grupami, a w konsekwencji zminimalizować niejasności między różnymi organami wyznaczonymi na mocy niniejszej dyrektywy i dyrektywy NIS 2.

Poprawka  88

Wniosek dotyczący dyrektywy

Artykuł 17 – ustęp 2 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

2a. Aby otrzymywać i właściwie wykorzystywać informacje przekazywane na mocy art. 8 ust. 3, Komisja prowadzi unijny rejestr incydentów w celu opracowania i wymiany najlepszych praktyk i metodologii.

Poprawka  89

Wniosek dotyczący dyrektywy

Artykuł 21 – ustęp 2

 

Tekst proponowany przez Komisję

Poprawka

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 11 ust. 4, powierza się Komisji na okres pięciu lat od dnia wejścia w życie niniejszej dyrektywy lub każdej innej daty ustalonej przez współprawodawców.

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 4 ust. 1 i art. 11 ust. 4, powierza się Komisji na okres pięciu lat od dnia wejścia w życie niniejszej dyrektywy lub każdej innej daty ustalonej przez współprawodawców.

Poprawka  90

Wniosek dotyczący dyrektywy

Artykuł 21 – ustęp 3

 

Tekst proponowany przez Komisję

Poprawka

3. Przekazanie uprawnień, o którym mowa w art. 11 ust. 4, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

3. Przekazanie uprawnień, o którym mowa w art. 4 ust. 1 i art. 11 ust. 4, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

Poprawka  91

Wniosek dotyczący dyrektywy

Artykuł 22 – akapit 1

 

Tekst proponowany przez Komisję

Poprawka

Do dnia [54 miesiące po wejściu w życie niniejszej dyrektywy] Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym ocenia, w jakim zakresie państwa członkowskie przyjęły środki niezbędne do wykonania niniejszej dyrektywy.

Do dnia [54 miesiące po wejściu w życie niniejszej dyrektywy] Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym ocenia, w jakim zakresie państwa członkowskie przyjęły środki niezbędne do wykonania niniejszej dyrektywy. Sprawozdanie zawiera osobny dla każdego kraju rozdział przedstawiający konkretne postępy we wdrażaniu osiągnięte przez dane państwo członkowskie.

Poprawka  92

Wniosek dotyczący dyrektywy

Artykuł 22 – akapit 2

 

Tekst proponowany przez Komisję

Poprawka

Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy] i zawiera w szczególności ocenę konieczności rozszerzenia zakresu dyrektywy na sektor produkcji, przetwórstwa i dystrybucji żywności.

Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy] i zawiera w szczególności ocenę konieczności rozszerzenia zakresu dyrektywy. W tym celu Komisja uwzględnia odpowiednie dokumenty Grupy ds. Odporności Podmiotów Krytycznych.

Poprawka  93

Wniosek dotyczący dyrektywy

Załącznik – Tabela – punkt 2 – Transport – litera e (nowa)

 

Tekst proponowany przez Komisję

2. Transport

a) Transport lotniczy

— Przewoźnicy lotniczy, o których mowa w art. 3 pkt 4 rozporządzenia (WE) nr 300/200856

— Zarządzający portem lotniczym, o których mowa w art. 2 pkt 2 dyrektywy 2009/12/WE57, porty lotnicze, o których mowa w art. 2 pkt 1 tej dyrektywy, w tym porty lotnicze sieci bazowej wymienione w sekcji 2 załącznika II do rozporządzenia (UE) nr 1315/201358, oraz podmioty obsługujące urządzenia pomocnicze znajdujące się portach lotniczych

— Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC), o której mowa w art. 2 pkt 1 rozporządzenia (WE) nr 549/200459

 

b) Transport kolejowy

— Zarządcy infrastruktury, o których mowa w art. 3 pkt 2 dyrektywy 2012/34/UE60

— Przedsiębiorstwa kolejowe, o których mowa w art. 3 pkt 1 dyrektywy 2012/34/UE, w tym operatorzy obiektów infrastruktury usługowej, o których mowa w art. 3 pkt 12 dyrektywy 2012/34/UE

 

c) Transport wodny

— Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, o których mowa w odniesieniu do transportu morskiego w załączniku I do rozporządzenia (WE) nr 725/200461, z wyłączeniem poszczególnych statków eksploatowanych przez tych armatorów

 

— Organy zarządzające portami, o których mowa w art. 3 pkt 1 dyrektywy 2005/65/WE62, w tym ich obiekty portowe, o których mowa w art. 2 pkt 11 rozporządzenia (WE) nr 725/2004, oraz podmioty wykonujące prace i operujące sprzętem znajdującym się w tych portach

 

— Operatorzy systemów ruchu statków, o których mowa w art. 3 lit. o) dyrektywy 2002/59/WE63 Parlamentu Europejskiego i Rady

 

d) Transport drogowy

— Organy administracji drogowej, o których mowa w art. 2 pkt 12 rozporządzenia delegowanego Komisji (UE) 2015/96264, odpowiedzialne za zarządzanie ruchem drogowym

 

— Operatorzy inteligentnych systemów transportowych, o których mowa w art. 4 pkt 1 dyrektywy 2010/40/UE65

 

Poprawka

2. Transport

a) Transport lotniczy

— Przewoźnicy lotniczy, o których mowa w art. 3 pkt 4 rozporządzenia (WE) nr 300/200856

— Zarządzający portem lotniczym, o których mowa w art. 2 pkt 2 dyrektywy 2009/12/WE57, porty lotnicze, o których mowa w art. 2 pkt 1 tej dyrektywy, w tym porty lotnicze sieci bazowej wymienione w sekcji 2 załącznika II do rozporządzenia (UE) nr 1315/201358, oraz podmioty obsługujące urządzenia pomocnicze znajdujące się portach lotniczych

— Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC), o której mowa w art. 2 pkt 1 rozporządzenia (WE) nr 549/200459

 

b) Transport kolejowy

— Zarządcy infrastruktury, o których mowa w art. 3 pkt 2 dyrektywy 2012/34/UE60

— Przedsiębiorstwa kolejowe, o których mowa w art. 3 pkt 1 dyrektywy 2012/34/UE, w tym operatorzy obiektów infrastruktury usługowej, o których mowa w art. 3 pkt 12 dyrektywy 2012/34/UE

 

c) Transport wodny

— Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, o których mowa w odniesieniu do transportu morskiego w załączniku I do rozporządzenia (WE) nr 725/200461, z wyłączeniem poszczególnych statków eksploatowanych przez tych armatorów

— Organy zarządzające portami, o których mowa w art. 3 pkt 1 dyrektywy 2005/65/WE62, w tym ich obiekty portowe, o których mowa w art. 2 pkt 11 rozporządzenia (WE) nr 725/2004, oraz podmioty wykonujące prace i operujące sprzętem znajdującym się w tych portach

— Operatorzy systemów ruchu statków, o których mowa w art. 3 lit. o) dyrektywy 2002/59/WE63 Parlamentu Europejskiego i Rady

 

d) Transport drogowy

— Organy administracji drogowej, o których mowa w art. 2 pkt 12 rozporządzenia delegowanego Komisji (UE) 2015/96264, odpowiedzialne za zarządzanie ruchem drogowym

— Operatorzy inteligentnych systemów transportowych, o których mowa w art. 4 pkt 1 dyrektywy 2010/40/UE65

 

e) Transport publiczny

— Organy do spraw transportu publicznego oraz podmioty świadczące usługi publiczne, o których mowa w art. 2 lit. b) i d) rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1370/200765a.

 

 

_____________________

 

 

65a Rozporządzenie (WE) nr 1370/2007 Parlamentu Europejskiego i Rady z dnia 23 października 2007 r. dotyczące usług publicznych w zakresie kolejowego i drogowego transportu pasażerskiego oraz uchylające rozporządzenia Rady (EWG) nr 1191/69 i (EWG) nr 1107/70 (Dz.U. L 315 z 3.12.2007, s. 1).

Poprawka  94

Wniosek dotyczący dyrektywy

Załącznik – Sektor 5 – Podsektor 6 (nowy)

 

 

 

Tekst proponowany przez Komisję

Poprawka

Sektory, podsektory i rodzaje podmiotów

Sektory, podsektory i rodzaje podmiotów

5. Zdrowie

5. Zdrowie

— Świadczeniodawcy, o których mowa w art. 3 lit. g) dyrektywy 2011/24/UE19

— Świadczeniodawcy, o których mowa w art. 3 lit. g) dyrektywy 2011/24/UE19

— Laboratoria referencyjne UE, o których mowa w art. 15 rozporządzenia [XX] w sprawie poważnych transgranicznych zagrożeń dla zdrowia

— Laboratoria referencyjne UE, o których mowa w art. 15 rozporządzenia [XX] w sprawie poważnych transgranicznych zagrożeń dla zdrowia

— Podmioty prowadzące działania badawczo-rozwojowe w zakresie produktów leczniczych, o których mowa w art. 1 pkt 2 dyrektywy 2001/83/WE

— Podmioty prowadzące działania badawczo-rozwojowe w zakresie produktów leczniczych, o których mowa w art. 1 pkt 2 dyrektywy 2001/83/WE

— Podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2.

— Podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2.

— Podmioty produkujące wyroby medyczne uznane za krytyczne w przypadku stanu zagrożenia zdrowia publicznego („wykaz wyrobów medycznych o krytycznym znaczeniu”), o których mowa w art. 20 rozporządzenia XXXX

— Podmioty produkujące wyroby medyczne uznane za krytyczne w przypadku stanu zagrożenia zdrowia publicznego („wykaz wyrobów medycznych o krytycznym znaczeniu”), o których mowa w art. 20 rozporządzenia XXXX

 

— Podmioty posiadające pozwolenie na dystrybucję, o którym mowa w art. 79 dyrektywy 2001/83/WE

Poprawka  95

Wniosek dotyczący dyrektywy

Załącznik – Sektor 9 – Tytuł

 

Tekst proponowany przez Komisję

Poprawka

9. Administracja publiczna

9. Administracja publiczna i instytucje demokratyczne

Poprawka  96

Wniosek dotyczący dyrektywy

Załącznik – Sektor 9 – Rodzaj podmiotu – 3 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

— Rządy i zgromadzenia centralne, regionalne i lokalne

Poprawka  97

Wniosek dotyczący dyrektywy

Załącznik – Sektor 10 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

10a. Produkcja, przetwarzanie i dystrybucja żywności

 

Przedsiębiorstwa spożywcze, o których mowa w art. 3 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 178/20021a

 

________________

 

1a Rozporządzenie (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności (Dz.U. L 31 z 1.2.2002, s. 1).

 


OPINIA KOMISJI PRZEMYSŁU, BADAŃ NAUKOWYCH I ENERGII (2.7.2021)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych

(COM(2020)0829 – C9-0421/2020 – (2020)0365(COD))

Sprawozdawca komisji opiniodawczej: Nils Torvalds

(*)  Zaangażowane komisje – art. 57 Regulaminu

 

POPRAWKI

Komisja Przemysłu, Badań Naukowych i Energii zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, jako komisji przedmiotowo właściwej, o wzięcie pod uwagę następujących poprawek:

Poprawka  1

 

Wniosek dotyczący dyrektywy

Motyw 1

 

Tekst proponowany przez Komisję

Poprawka

(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz dostosowania się do nich i usunięcia ich skutków.

(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz reagowania na nie, dostosowania się do nich i usunięcia ich skutków, zagrażających ogólnemu dobrobytowi gospodarczemu i społecznemu obywateli.

__________________

__________________

17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

18 SWD(2019) 308.

18 SWD(2019) 308.

Poprawka  2

 

Wniosek dotyczący dyrektywy

Motyw 3

 

Tekst proponowany przez Komisję

Poprawka

(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka.

(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, żywności, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Innowacje i postęp technologiczny przyczyniają się do tworzenia nowych form i rodzajów systemów infrastruktury, które wykorzystują innowacje mające na celu zmniejszenie kosztów i zwiększenie wydajności oraz mogą wpływać na ryzyko i odporność. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Odporność infrastruktur energetycznych odgrywa ważną rolę we wzroście gospodarczym w całej Unii i przyczynia się do zapewnienia godnego poziomu życia odbiorcom energii podatnym na zagrożenia. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka.

Poprawka  3

 

Wniosek dotyczący dyrektywy

Motyw 4

 

Tekst proponowany przez Komisję

Poprawka

(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach.

(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. Odporność podmiotów krytycznych ma ogromne znaczenie dla funkcjonowania rynku wewnętrznego oraz dla bezpieczeństwa Unii i jej obywateli. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach.

Poprawka  4

 

Wniosek dotyczący dyrektywy

Motyw 5

 

Tekst proponowany przez Komisję

Poprawka

(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych.

(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych. Ponieważ niniejsza dyrektywa przewiduje zasady minimalne, państwa członkowskie mają swobodę przyjęcia lub utrzymania bardziej rygorystycznych przepisów w celu zapewnienia świadczenia podstawowych usług na rynku wewnętrznym i zwiększenia odporności podmiotów krytycznych, jeżeli uznają je za konieczne dla ochrony bezpieczeństwa narodowego.

Poprawka  5

 

Wniosek dotyczący dyrektywy

Motyw 8

 

Tekst proponowany przez Komisję

Poprawka

(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej.

(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)], zapobiegając wszelkiemu dublowaniu działań, które mogłoby osłabić skuteczność tych dwóch dyrektyw. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej.

__________________

__________________

20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu].

20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu].

Poprawka  6

 

Wniosek dotyczący dyrektywy

Motyw 11

 

Tekst proponowany przez Komisję

Poprawka

(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie.

(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych i infiltracji przestępców. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie.

Poprawka  7

 

Wniosek dotyczący dyrektywy

Motyw 12

 

Tekst proponowany przez Komisję

Poprawka

(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi.

(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Niniejsza dyrektywa odnosi się do potrzeby zapewnienia ciągłości usług o kluczowym znaczeniu dla utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, z zastrzeżeniem kompetencji krajowych w zakresie organizacji i świadczenia usług publicznych. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi.

Poprawka  8

 

Wniosek dotyczący dyrektywy

Motyw 16

 

Tekst proponowany przez Komisję

Poprawka

(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym.

(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już krajowych lub wspieranych przez Unię ustaleń sektorowych lub krajowych oraz unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym.

Poprawka  9

 

Wniosek dotyczący dyrektywy

Motyw 18

 

Tekst proponowany przez Komisję

Poprawka

(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty.

(18) Podmioty wskazane jako podmioty krytyczne na mocy niniejszej dyrektywy, a także podmioty w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2. W związku z tym właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. Państwa członkowskie powinny podjąć środki w celu uniknięcia podwójnej sprawozdawczości i kontroli, aby zapewnić komplementarność strategii i wymogów przewidzianych w niniejszej dyrektywie i w dyrektywie NIS 2 oraz aby podmioty krytyczne nie były narażone na dodatkowe obciążenia administracyjne.

Poprawka  10

 

Wniosek dotyczący dyrektywy

Motyw 19

 

Tekst proponowany przez Komisję

Poprawka

(19) Państwa członkowskie powinny wspierać podmioty krytyczne we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie mogłyby w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji, aby wspierać dobrowolną wymianę informacji między podmiotami krytycznymi, bez uszczerbku dla zastosowania reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej.

(19) Państwa członkowskie powinny wspierać podmioty krytyczne we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie powinny w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji, aby wspierać dobrowolną wymianę informacji między podmiotami krytycznymi, bez uszczerbku dla zastosowania reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej.

Poprawka  11

 

Wniosek dotyczący dyrektywy

Motyw 25

 

Tekst proponowany przez Komisję

Poprawka

(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach, właściwym organom państw członkowskich incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty oraz uzyskanie kompleksowego wyobrażenia na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych.

(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach, właściwym organom państw członkowskich incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty, aby zapobiec jeszcze gorszym konsekwencjom oraz uzyskać kompleksowe wyobrażenie na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych. Z uwagi na delikatny charakter niektórych wydarzeń należy ustanowić odpowiednie formy poufności, wraz z mechanizmami zapobiegającymi rozpowszechnianiu danych, które mogłoby zagrozić bezpieczeństwu narodowemu.

Poprawka  12

 

Wniosek dotyczący dyrektywy

Motyw 30

 

Tekst proponowany przez Komisję

Poprawka

(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje.

(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Ocena podmiotów krytycznych na mocy niniejszej dyrektywy – w kwestiach wchodzących w zakres dyrektywy NIS 2, takich jak fizyczne i niefizyczne cyberbezpieczeństwo – należy do obowiązków właściwych organów wyznaczonych na mocy dyrektywy NIS 2. Co więcej, dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje.

Poprawka  13

 

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 1 – litera a

 

Tekst proponowany przez Komisję

Poprawka

a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków;

a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie ciągłego świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków;

Poprawka  14

 

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 2

 

Tekst proponowany przez Komisję

Poprawka

2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7.

2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7. Z uwagi na wzajemne powiązania między cyberbezpieczeństwem a fizycznym bezpieczeństwem podmiotów państwa członkowskie zapewniają spójne wdrożenie obu dyrektyw.

Poprawka  15

 

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 3 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

3a. Państwa członkowskie zapewniają, by ich strategie bezpieczeństwa, w tym sektorowe strategie bezpieczeństwa, przewidywały skoordynowane ramy polityczne na rzecz wzmocnionej koordynacji w kontekście wymiany informacji na temat incydentów i zagrożeń oraz wykonywania zadań nadzorczych, co pozwoli uniknąć powielania wymogów oraz działań w zakresie sprawozdawczości i monitorowania.

Poprawka  16

 

Wniosek dotyczący dyrektywy

Artykuł 2 – akapit 1 – punkt 6

 

Tekst proponowany przez Komisję

Poprawka

6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na odporność podmiotów krytycznych;

6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na funkcjonowanie podmiotów krytycznych;

Poprawka  17

 

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 2 – akapit 1 – litera d a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

da) odpowiednie aspekty krajowej strategii w dziedzinie cyberbezpieczeństwa przewidzianej w dyrektywie NIS 2 i wszelkich innych krajowych strategii sektorowych w celu osiągnięcia koordynacji, komplementarności i synergii.

Poprawka  18

 

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 3 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

3a. Opracowując strategie, państwa członkowskie mogą konsultować się z władzami lokalnymi i regionalnymi oraz uwzględniać możliwości lokalne.

Poprawka  19

 

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 1 – akapit 2

 

Tekst proponowany przez Komisję

Poprawka

Ocena ryzyka uwzględnia wszystkie istotne zagrożenia, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134.

Ocena ryzyka uwzględnia wszystkie istotne zagrożenia, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134. W stosownych przypadkach w ocenie ryzyka uwzględnia się możliwości władz lokalnych i regionalnych.

__________________

__________________

34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6).

34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6).

Poprawka  20

 

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 5

 

Tekst proponowany przez Komisję

Poprawka

5. Komisja może – we współpracy z państwami członkowskimi – opracować dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4.

5. Komisja – we współpracy z państwami członkowskimi – opracowuje dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4.

Poprawka  21

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 4 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

4a. Państwa członkowskie mogą określić podmioty, które uznały za podmioty kluczowe na mocy dyrektywy NIS 2, jako podmioty krytyczne na mocy niniejszej dyrektywy. Jeżeli państwo członkowskie postanawia nie określać podmiotów niezbędnych na mocy dyrektywy NIS 2 jako podmiotów krytycznych na mocy niniejszej dyrektywy, uzasadnia powody takiej decyzji.

Poprawka  22

 

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 1 – litera e

 

Tekst proponowany przez Komisję

Poprawka

e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego;

e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego, przy uwzględnieniu wrażliwości związanej ze stopniem odizolowania niektórych rodzajów obszarów geograficznych, takich jak regiony wyspiarskie, regiony najbardziej oddalone lub obszary górskie;

Poprawka  23

 

Wniosek dotyczący dyrektywy

Artykuł 8 – ustęp 2

 

Tekst proponowany przez Komisję

Poprawka

2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich oraz z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”).

2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich, z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”) oraz z podmiotami krytycznymi. Każde państwo członkowskie dba o to, by pojedynczy punkt kontaktowy wyznaczony na mocy dyrektywy NIS 2 był pojedynczym punktem kontaktowym na mocy niniejszej dyrektywy.

Poprawka  24

 

Wniosek dotyczący dyrektywy

Artykuł 8 – ustęp 3

 

Tekst proponowany przez Komisję

Poprawka

3. W terminie do dnia [trzy lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3.

3. W terminie do dnia [trzy lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku w pierwszym kwartale, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3.

Poprawka  25

 

Wniosek dotyczący dyrektywy

Artykuł 8 – ustęp 5

 

Tekst proponowany przez Komisję

Poprawka

5. Państwa członkowskie zapewniają, aby ich właściwe organy – w stosownych przypadkach oraz zgodnie z prawem Unii i prawem krajowym – konsultowały się oraz współpracowały z innymi odpowiednimi organami krajowymi, w szczególności z tymi, które zajmują się ochroną ludności, egzekwowaniem prawa oraz ochroną danych osobowych, a także z odpowiednimi zainteresowanymi stronami, w tym z podmiotami krytycznymi.

5. Państwa członkowskie zapewniają, aby ich właściwe organy – w stosownych przypadkach oraz zgodnie z prawem Unii i prawem krajowym – konsultowały się oraz współpracowały z innymi odpowiednimi organami krajowymi, w tym, w stosownych przypadkach, z władzami lokalnymi i regionalnymi, w szczególności z tymi, które zajmują się ochroną ludności, egzekwowaniem prawa oraz ochroną danych osobowych, a także z odpowiednimi zainteresowanymi stronami, w tym z podmiotami krytycznymi.

Poprawka  26

 

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to może obejmować opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie szkoleń dla personelu podmiotów krytycznych.

1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności, opracowywaniu protokołów, porozumień i współpracy oraz w wymianie informacji i wiedzy fachowej między sektorem publicznym a prywatnym. Wsparcie to obejmuje między innymi opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie okresowych szkoleń dla personelu podmiotów krytycznych.

Poprawka  27

 

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 1 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

1a. W razie potrzeby państwa członkowskie przeznaczają wystarczające zasoby na wsparcie podmiotów krytycznych w spełnianiu wymogów zgodności, w szczególności na pokrycie dodatkowych kosztów związanych z działaniami edukacyjnymi i szkoleniowymi lub zatrudnieniem dodatkowych pracowników zajmujących się sprawozdawczością, monitorowaniem i przeglądem.

Poprawka  28

 

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 3

 

Tekst proponowany przez Komisję

Poprawka

3. Państwa członkowskie ustanawiają narzędzia wymiany informacji w celu wspierania dobrowolnej wymiany informacji między podmiotami krytycznymi w odniesieniu do kwestii objętych niniejszą dyrektywą zgodnie z unijnymi i krajowymi przepisami, w szczególności z przepisami dotyczącymi konkurencji i ochrony danych osobowych.

3. W celu zwiększenia wymiany wiedzy i przejrzystości w ramach sektorów i pomiędzy nimi państwa członkowskie ustanawiają narzędzia wymiany informacji w celu wspierania dobrowolnej wymiany informacji między podmiotami krytycznymi w odniesieniu do kwestii objętych niniejszą dyrektywą zgodnie z unijnymi i krajowymi przepisami, w szczególności z przepisami dotyczącymi konkurencji i ochrony danych osobowych.

Poprawka  29

 

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 1 – litera c a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

ca) zapobiegania incydentom, które mogłyby zagrozić bezpieczeństwu i ciągłości dostaw towarów i usług;

Poprawka  30

 

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 1 – litera d a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

da) wykorzystywania przyjętych norm i specyfikacji europejskich istotnych dla odporności podmiotów krytycznych, bez narzucania korzystania z określonego rodzaju usług lub technologii ani dyskryminowania na ich korzyść;

Poprawka  31

 

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 1 – litera e

 

Tekst proponowany przez Komisję

Poprawka

e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12;

e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników i szkoleń, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12;

Poprawka  32

 

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 1 – litera f

 

Tekst proponowany przez Komisję

Poprawka

f) zwiększania świadomości odpowiednich pracowników na temat środków, o których mowa w lit. a)–e).

f) zwiększania świadomości odpowiednich podmiotów i ich pracowników na temat środków, o których mowa w lit. a)–e), dzięki okresowym szkoleniom.

Poprawka  33

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków.

1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać należycie uzasadnione wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, określonych na podstawie wspólnych kryteriów krajowych, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska kluczowe należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków.

Poprawka  34

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 2 – akapit 1 – wprowadzenie

 

Tekst proponowany przez Komisję

Poprawka

2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/67938, w ramach sprawdzenia przeszłości, o którym mowa w ust. 1:

2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/67938, państwa członkowskie zapewniają, aby sprawdzenie przeszłości, o którym mowa w ust. 1, było przeprowadzane wyłącznie w celu oceny potencjalnego zagrożenia dla bezpieczeństwa podmiotu krytycznego oraz z poszanowaniem praw podstawowych danej osoby. Sprawdzenie przeszłości:

__________________

__________________

38 Dz.U. L 119 z 4.5.2016, s. 1.

38 Dz.U. L 119 z 4.5.2016, s. 1.

Poprawka  35

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 2 – akapit 1 – litera c

 

Tekst proponowany przez Komisję

Poprawka

c) sprawdza się poprzednie miejsca zatrudnienia, kształcenia oraz wszelkie luki w kształceniu lub zatrudnieniu w życiorysie danej osoby w okresie co najmniej pięciu poprzednich lat, a maksymalnie dziesięciu.

c) w wyjątkowych przypadkach i na podstawie kryteriów krajowych, sprawdza się poprzednie miejsca zatrudnienia, kształcenia oraz wszelkie luki w kształceniu lub zatrudnieniu w życiorysie danej osoby w okresie co najmniej pięciu poprzednich lat, a maksymalnie dziesięciu.

Poprawka  36

 

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 1

 

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność.

1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi tylko incydenty, które w znacznym stopniu zakłócają lub ich funkcjonowanie, aby uniknąć nadmiaru informacji i niepotrzebnego przepływu danych oraz aby zagwarantować skuteczne funkcjonowanie organów krajowych i podmiotów prywatnych. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność.

Poprawka  37

 

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 2 – litera -a (nowa)

 

Tekst proponowany przez Komisję

Poprawka

 

-a) wpływ na życie ludzkie i skutki dla środowiska;

Poprawka  38

 

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 2 – litera c

 

Tekst proponowany przez Komisję

Poprawka

c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie.

c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie, z uwzględnieniem tego, czy obszar jest geograficznie odizolowany.

Poprawka  39

 

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 2 – akapit 1

 

Tekst proponowany przez Komisję

Poprawka

2. Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych może zaprosić do udziału w swoich pracach przedstawicieli zainteresowanych stron.

2. Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych może zaprosić do udziału w swoich pracach przedstawicieli odpowiednich stron, zachęcając do zaangażowania MŚP, społeczeństwo obywatelskie oraz związki zawodowe, zwłaszcza jeśli chodzi o aspekty szkoleniowe.

Poprawka  40

 

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 5

 

Tekst proponowany przez Komisję

Poprawka

5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu propagowania strategicznej współpracy i wymiany informacji.

5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu ułatwienia strategicznej współpracy i wymiany informacji.

Poprawka  41

 

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 7 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

7a. Grupa ds. Odporności Podmiotów Krytycznych, w duchu współpracy w dziedzinie bezpieczeństwa i otwartego dostępu, może udostępnić, na wniosek, swoje ustalenia i dane źródłowe do wykorzystania w środowisku akademickim, badaniach nad bezpieczeństwem oraz do innych pożytecznych zastosowań. Wnioski o dostęp powinny być umotywowane i uzasadnione, a dostarczone dane powinny respektować podstawowe prawa osób i być proporcjonalne do wpływu na dane podmioty.

Poprawka  42

 

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 7 b (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

7b. Komisja tworzy wspólny sekretariat dla Grupy ds. Odporności Podmiotów Krytycznych i Grupy ds. Współpracy ustanowionej zgodnie z [dyrektywą NIS 2], aby usprawnić komunikację między tymi dwiema grupami, a w konsekwencji zminimalizować niejasności między różnymi organami wyznaczonymi na mocy niniejszej dyrektywy i [dyrektywy NIS 2].

Poprawka  43

 

Wniosek dotyczący dyrektywy

Artykuł 17 – ustęp 2 a (nowy)

 

Tekst proponowany przez Komisję

Poprawka

 

2a. W celu otrzymania i właściwego wykorzystania informacji przekazywanych na mocy art. 8 ust. 3 Komisja prowadzi europejski rejestr incydentów w celu opracowania i wymiany najlepszych praktyk i metodologii.

Poprawka  44

 

Wniosek dotyczący dyrektywy

Artykuł 22 – akapit 2

 

Tekst proponowany przez Komisję

Poprawka

Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy] i zawiera w szczególności ocenę konieczności rozszerzenia zakresu dyrektywy na sektor produkcji, przetwórstwa i dystrybucji żywności.

Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy]. W tym celu i z myślą o dalszym rozwoju współpracy strategicznej Komisja uwzględnia wszelkie niewiążące wytyczne Grupy ds. Odporności Podmiotów Krytycznych dotyczące doświadczeń zdobytych na poziomie strategicznym.

Poprawka  45

 

Wniosek dotyczący dyrektywy

Załącznik – punkt 5. Zdrowie (nowy)

 

 

Tekst proponowany przez Komisję

Sektor

Podsektor

Rodzaj podmiotu

 

Poprawka

 

 

Podmioty posiadające pozwolenie na dystrybucję, o którym mowa w art. 79 dyrektywy 2001/83/WE

Poprawka  46

 

Wniosek dotyczący dyrektywy

Załącznik – punkt 8 a (nowy)

 

 

Tekst proponowany przez Komisję

Sektor

Podsektor

Rodzaj podmiotu

 

Poprawka

Żywność

Rynek hurtowy

 Przedsiębiorstwa sektora spożywczego, o których mowa w załączniku I do rozporządzenia (WE) nr 853/2004 (1a)

1a Rozporządzenie (WE) nr 853/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. ustanawiające szczególne przepisy dotyczące higieny w odniesieniu do żywności pochodzenia zwierzęcego (Dz.U. L 139 z 30.4.2004, s. 39).


PROCEDURA W KOMISJI OPINIODAWCZEJ

Tytuł

Odporność podmiotów krytycznych

Odsyłacze

COM(2020)0829 – C9-0421/2020 – 2020/0365(COD)

Komisja przedmiotowo właściwa

 Data ogłoszenia na posiedzeniu

LIBE

11.2.2021

 

 

 

Opinia wydana przez

 Data ogłoszenia na posiedzeniu

ITRE

11.2.2021

Zaangażowane komisje - data ogłoszenia na posiedzeniu

29.4.2021

Sprawozdawca(czyni) komisji opiniodawczej

 Data powołania

Nils Torvalds

15.2.2021

Rozpatrzenie w komisji

26.5.2021

 

 

 

Data przyjęcia

1.7.2021

 

 

 

Wynik głosowania końcowego

+:

–:

0:

58

0

14

Posłowie obecni podczas głosowania końcowego

Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Paolo Borchia, Marc Botenga, Markus Buchheit, Martin Buschmann, Cristian-Silviu Buşoi, Jerzy Buzek, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Bart Groothuis, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Joëlle Mélin, Iskra Mihaylova, Dan Nica, Angelika Niebler, Ville Niinistö, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Jérôme Rivière, Robert Roos, Massimiliano Salini, Sara Skyttedal, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Patrizia Toia, Evžen Tošenovský, Marie Toussaint, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho

Zastępcy obecni podczas głosowania końcowego

Klemen Grošelj, Alicia Homs Ginel, Elena Lizzi, Jutta Paulus, Susana Solís Pérez, Nils Torvalds

 


GŁOSOWANIE KOŃCOWE W FORMIE GŁOSOWANIA IMIENNEGO
W KOMISJI OPINIODAWCZEJ

58

+

NI

Martin Buschmann, Clara Ponsatí Obiols, Viktor Uspaskich

PPE

François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Markus Pieper, Massimiliano Salini, Sara Skyttedal, Riho Terras, Henna Virkkunen, Pernille Weiss

Renew

Nicola Beer, Nicola Danti, Valter Flego, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Iskra Mihaylova, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds

S&D

Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Robert Hajšel, Alicia Homs Ginel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Dan Nica, Tsvetelina Penkova, Patrizia Toia, Carlos Zorrinho

The Left

Marisa Matias

Verts/ALE

Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Jutta Paulus, Manuela Ripa, Marie Toussaint

 

14

0

ECR

Izabela-Helena Kloc, Robert Roos, Jessica Stegrud, Beata Szydło, Grzegorz Tobiszowski, Evžen Tošenovský

ID

Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Joëlle Mélin, Jérôme Rivière, Isabella Tovaglieri

The Left

Marc Botenga

 

Objaśnienie używanych znaków:

+ : za

- : przeciw

0 : wstrzymało się

 


 

 

OPINIA KOMISJI RYNKU WEWNĘTRZNEGO I OCHRONY KONSUMENTÓW (23.7.2021)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych

(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))

Sprawozdawca komisji opiniodawczej: Alex Agius Saliba

 

 

(*) Zaangażowana komisja – art. 57 Regulaminu

 

 

ZWIĘZŁE UZASADNIENIE

16 grudnia 2020 r. Komisja przedstawiła wniosek dotyczący dyrektywy w sprawie odporności podmiotów krytycznych wraz z towarzyszącą mu oceną skutków. Wniosek ten opiera się na przeprowadzonej w 2019 r. ocenie wdrożenia dyrektywy 2008/114/WE w sprawie europejskiej infrastruktury krytycznej. Biorąc pod uwagę znaczenie cyberbezpieczeństwa dla odporności podmiotów krytycznych, Komisja przedłożyła równocześnie wniosek dotyczący zmienionej dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych („NIS 2”). Aby zapewnić pełną spójność, obowiązki związane z odpornością w zakresie cyberbezpieczeństwa wynikające NIS 2 miałyby również zastosowanie do podmiotów krytycznych wskazanych w nowym wniosku.

Wniosek dotyczący dyrektywy w sprawie odporności podmiotów krytycznych odzwierciedla odejście od obecnego podejścia, które polega na ochronie pojedynczych składników infrastruktury i przejście w kierunku zwiększania odporności podmiotów krytycznych, które wykorzystują tę infrastrukturę. Na mocy wniosku państwa członkowskie będą zobowiązane do przyjmowania strategii krajowych i przeprowadzania regularnych ocen ryzyka. Również na podmioty krytyczne nakłada się obowiązki, których celem jest zwiększanie odporność tych podmiotów i ich zdolności do świadczenia usług kluczowych. Procedura identyfikacji podmiotów krytycznych byłaby inna niż ta określona w dyrektywie w sprawie europejskiej infrastruktury krytycznej. Komisja sprawowałaby również szczególny nadzór nad podmiotami krytycznymi o szczególnym znaczeniu europejskim.

Sprawozdawca komisji opiniodawczej w znacznej mierze popiera wniosek dotyczący dyrektywy w sprawie odporności podmiotów krytycznych i uważa, że istotne jest, by komisja IMCO uznała, że istniejące na szczeblu UE środki ochrony usług kluczowych i infrastruktury przed zagrożeniami fizycznymi wymagają aktualizacji. Mając na uwadze, że między sektorami, podmiotami i usługami na rynku wewnętrznym jest coraz więcej powiązań, niezwykle ważne jest, by zwiększyć odporności podmiotów krytycznych w państwach członkowskich i stworzyć bardziej wyrównane warunki działania podmiotów krytycznych w całej Unii.

 

Komisja IMCO jest komisją zaangażowaną zgodnie z art. 57 Regulaminu i posiada kompetencje dzielone w odniesieniu do kwestii, które wchodzą w zakres uprawnień komisji IMCO i mają na celu poprawę funkcjonowania rynku wewnętrznego.

Zakres i definicje

Sprawozdawca komisji opiniodawczej z zadowoleniem przyjmuje rozszerzenie zakresu dyrektywy, ponieważ umożliwia to włączenie nowych sektorów, które nie korzystały dotąd ze szczególnych środków ochrony. Sprawozdawca uważa jednak, że należy jasno określić ogólny cel, jakim jest zapewnienie wysokiego poziomu odporności podmiotów krytycznych i infrastruktury podstawowej oraz zapewnienie świadczenia usług kluczowych w celu poprawy funkcjonowania rynku wewnętrznego.

Ponadto, tam gdzie to możliwe, sprawozdawca starał się zapewnić większą spójność i harmonizację dyrektywy w sprawie odporności podmiotów krytycznych z dyrektywą NIS 2, w szczególności w odniesieniu do zakresu i definicji. W tym celu sprawozdawca zdecydowanie opowiada się za tym, by fizyczna ochrona niezwiązana z cyberbezpieczeństwem na mocy proponowanej dyrektywy w sprawie odporności podmiotów krytycznych była wyraźnie oddzielona od wymogów zawartych w dyrektywie NIS 2. Można to zapewnić poprzez wyraźne rozróżnienie w definicji „odporności” zawartej w art. 2 ust. 2. Ponadto proponuje zestaw dobrze sformułowanych definicji obejmujących między innymi „podmioty krytyczne”, „odporność”, „incydent” i „infrastrukturę podstawową”.

Strategia i ocena ryzyka przez państwa członkowskie

 

Sprawozdawca z zadowoleniem przyjmuje strategię, która zwiększa odporność podmiotów krytycznych, a także ocenę ryzyka, którą przeprowadzać muszą poszczególne państwa członkowskie. Sprawozdawca proponuje jednak, aby zwiększyć zaangażowanie podmiotów krytycznych i zainteresowanych stron oraz częściej zasięgać ich opinii. Ściślejsza współpraca ma duże znaczenie dla osiągnięcia celów niniejszej dyrektywy, ponieważ przedsiębiorstwa te świadczą usługi niezbędne do sprawnego funkcjonowania codziennego życia obywateli. Sprawozdawca uznaje również znaczenie zarządzania ryzykiem związanym z łańcuchem dostaw i dostawcami, jeżeli korzystają z nich podmioty krytyczne. Jest ono istotne dla zapewnienia wkładu łańcuchów dostaw w odporność podmiotów będących odbiorcami dostaw.

 

Wskazanie podmiotów krytycznych

 

Sprawozdawca popiera założenie, że państwa członkowskie będą musiały wskazać podmioty krytyczne w najważniejszych sektorach, o których mowa w załączniku. Wyjaśnia jednak, że obowiązek ten dotyczy tych sektorów i podsektorów wymienionych w załączniku, które istnieją w danym państwie członkowskim i w których podmioty krytyczne są głównymi dostawcami usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej. Dlatego sprawozdawca przedstawił propozycje w tym zakresie.

 

Właściwe organy i pojedynczy punkt kontaktowy

 

Sprawozdawca uznaje znaczenie właściwego nadzoru i zacieśnionej współpracy między właściwymi organami państw członkowskich. Zauważa jednak, że potrzebne są pojedyncze punkty kontaktowe, które pełniłyby funkcje łącznikowe i koordynacyjne pomiędzy podmiotami krytycznymi, właściwymi organami i innymi pojedynczymi punktami kontaktowymi oraz Grupą ds. Odporności Podmiotów Krytycznych. Pojedynczy punkt kontaktowy powinien również uprościć i ujednolicić kanały sprawozdawczości (zasada jednego punktu kontaktowego).

 

Zgłaszanie incydentów

Sprawozdawca uważa, że incydenty, które znacząco zakłócają funkcjonowanie podmiotów krytycznych i naruszają interes publiczny, trzeba zgłaszać nie tylko właściwym organom – za pośrednictwem pojedynczego punktu kontaktowego – ale także opinii publicznej lub, w razie konieczności, użytkownikom, których one dotyczą. Sprawozdawca proponuje również, aby sprecyzować niektóre wymogi dotyczące zgłaszania incydentów, do których jeszcze nie doszło, oraz przedstawia dodatkowe wytyczne dotyczące progów sprawozdawczości.


POPRAWKI

Komisja Rynku Wewnętrznego i Ochrony Konsumentów zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, jako komisji przedmiotowo właściwej, o wzięcie pod uwagę następujących poprawek:

Poprawka  1

Wniosek dotyczący dyrektywy

Motyw 1

 

Tekst proponowany przez Komisję

Poprawka

(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz dostosowania się do nich i usunięcia ich skutków.

(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów lub zagrożeń mogących zakłócić funkcjonowanie podmiotu krytycznego, funkcjonowanie rynku wewnętrznego i swobodny przepływ usług kluczowych oraz ich zdolność dostosowania się do tych incydentów lub zagrożeń i usunięcia ich skutków.

__________________

__________________

17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

18 SWD(2019) 308.

18 SWD(2019) 308.

Poprawka  2

Wniosek dotyczący dyrektywy

Motyw 2

 

Tekst proponowany przez Komisję

Poprawka

(2) Mimo istniejących środków na poziomie unijnym[1] i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającym się zagrożeniem terrorystycznym i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność i skuteczność niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich.

(2) Mimo istniejących środków na poziomie unijnym19 i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającym się zagrożeniem terrorystycznym i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność i skuteczność niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich.Ze względu na coraz większe międzysektorowe i transgraniczne współzależności między infrastrukturami krytycznymi incydent w jednym państwie członkowskim może poważnie wpłynąć na działania w innym państwie członkowskim. Aby osiągnąć wysoki poziom odporności infrastruktury krytycznej w całej Unii, usługi kluczowe i infrastruktura podstawowa powinny być chronione i odporne we wszystkich państwach członkowskich.

Poprawka  3

Wniosek dotyczący dyrektywy

Motyw 3

 

Tekst proponowany przez Komisję

Poprawka

(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka.

(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług kluczowych wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie usług kluczowych – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie tych usług na rynku wewnętrznym, w tym wpływu na osoby fizyczne, konsumentów i przedsiębiorstwa. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka.

Poprawka  4

Wniosek dotyczący dyrektywy

Motyw 4

 

Tekst proponowany przez Komisję

Poprawka

(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach.

(4) Podmioty zaangażowane w świadczenie usług kluczowych i funkcjonowanie infrastruktury podstawowej w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, nie tylko powoduje zróżnicowanie poziomów odporności i różnice w państwach członkowskich w odniesieniu do wyznaczania i kontroli podmiotów krytycznych, ale również negatywnie wpływa na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, a także prowadzi do nieuczciwej konkurencji i powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. Dlatego skutkiem ram europejskich powinno być również zrównanie warunków działania podmiotów krytycznych w całej Unii.

Poprawka  5

Wniosek dotyczący dyrektywy

Motyw 5

 

Tekst proponowany przez Komisję

Poprawka

(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych.

(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia i swobodnego przepływu usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych i infrastruktury podstawowej koniecznej do niezbędnych działań społecznych i gospodarczych w Unii. Celem niniejszej dyrektywy powinno być zatem uczynienie infrastruktury krytycznej i podmiotów krytycznych odpornymi, a tym samym zwiększenie ich zdolności do zapewnienia nieprzerwanego świadczenia usług kluczowych lub funkcjonowania infrastruktury podstawowej lub przynajmniej do szybkiego przywrócenia sprawności po wystąpieniu incydentu. Operatorzy infrastruktury krytycznej świadczący usługi kluczowe na całym rynku wewnętrznym w różnych sektorach niezbędnych ze względu na podstawowe funkcje społeczne i działalność gospodarczą, powinni stać się odporni na zagrożenia obecne i przewidywane w przyszłości.

Poprawka  6

Wniosek dotyczący dyrektywy

Motyw 6

 

Tekst proponowany przez Komisję

Poprawka

(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które z kolei powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka.

(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które świadczą usługi kluczowe lub zapewniają infrastrukturę podstawową i wchodzą w zakres określonych w załączniku sektorów i podsektorów; te podmioty krytyczne powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka i potencjalnych kryzysów.

Poprawka  7

Wniosek dotyczący dyrektywy

Motyw 8

 

Tekst proponowany przez Komisję

Poprawka

(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej.

(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 („dyrektywa NIS 2”). Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. Zapewnić należy spójne podejście do tych aktów, np. przez zagwarantowanie, że podmioty objęte systemem NIS 2, które mogą podlegać obowiązkom wynikającym z niniejszej dyrektywy, w miarę możliwości, skorzystają z pojedynczego punktu kontaktowego i wspólnego zbioru przepisów. W związku z tym nadzór nad podmiotami wskazanymi jako krytyczne lub równoważne z podmiotami krytycznymi zgodnie z niniejszą dyrektywą, w sprawach wchodzących w zakres dyrektywy NIS 2 będzie należał do obowiązków właściwych organów wyznaczonych na mocy dyrektywy NIS 2. Ponadto podmioty, które zostały wskazane jako podmioty krytyczne na mocy dyrektywy NIS 2, ale nie zostały uznane za podmioty krytyczne na mocy niniejszej dyrektywy, powinny również, w stosownych przypadkach, zwiększyć odporność swojej infrastruktury fizycznej.

__________________

__________________

20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu].

20 Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148 (Dz.U. L ... z ..., s. ..).

Poprawka  8

Wniosek dotyczący dyrektywy

Motyw 10

 

Tekst proponowany przez Komisję

Poprawka

(10) W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych każde państwo członkowskie powinno dysponować strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, państwa członkowskie powinny zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami, o których mowa w niniejszej dyrektywie i w dyrektywie NIS 2, w zakresie wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych.

W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych – a także biorąc pod uwagę cele unijnej strategii w dziedzinie odporności opracowanej przez Grupę ds. Odporności Podmiotów Krytycznych – każde państwo członkowskie powinno przyjąć krajową strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, państwa członkowskie powinny zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami, o których mowa w niniejszej dyrektywie i w dyrektywie NIS 2, w zakresie wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych.

Poprawka  9

Wniosek dotyczący dyrektywy

Motyw 11

 

Tekst proponowany przez Komisję

Poprawka

(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie.

(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla świadczenia usług kluczowych niezbędnych do pełnienia funkcji społecznych lub prowadzenia działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, w tym międzysektorowych i transgranicznych, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich, a także ryzyka dla populacji ogólnej lub rynku wewnętrznego. Państwa członkowskie nie powinny uważać za ryzyko zwykłego ryzyka prowadzenia działalności gospodarczej wynikającego z warunków rynkowych lub wszelkiego ryzyka wynikającego z demokratycznego podejmowania decyzji. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie.

Poprawka  10

Wniosek dotyczący dyrektywy

Motyw 12

 

Tekst proponowany przez Komisję

Poprawka

(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi.

(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki w wymienionych w załączniku sektorach i podsektorach na ich terytorium. Należy zatem określić – w ścisłej współpracy z właściwymi organami – wspólne kryteria i specyfikacje dotyczące wskazywania podmiotów krytycznych, oparte na minimalnych wskaźnikach i metodykach dla każdego sektora i podsektora. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi. Aby uniknąć rozbieżnego stosowania niniejszej dyrektywy i poprawić funkcjonowanie rynku wewnętrznego, Komisja we współpracy z państwami członkowskimi powinna przedstawić szczegółowe wytyczne i zalecenia w celu wsparcia państw członkowskich w określaniu wykazu usług kluczowych i infrastruktury oraz podmiotów krytycznych dla każdego krajowego sektora i podsektora, o których mowa w załączniku.

Poprawka  11

Wniosek dotyczący dyrektywy

Motyw 15

 

Tekst proponowany przez Komisję

Poprawka

(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany.

(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy; w związku z tym nie powinny one podlegać obowiązkom określonym w rozdziałach III–VI. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany.

__________________

__________________

22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1).

22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1).

23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349).

23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349).

24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84).

24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84).

25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).

25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).

26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).

26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).

27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595.

27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595.

Poprawka  12

Wniosek dotyczący dyrektywy

Motyw 16

 

Tekst proponowany przez Komisję

Poprawka

(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ.  W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym.

(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ.  W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym.

Poprawka  13

Wniosek dotyczący dyrektywy

Motyw 17

 

Tekst proponowany przez Komisję

Poprawka

(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie.

(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie. Pojedyncze punkty kontaktowe powinny również pełnić funkcję łącznika między właściwymi organami odpowiedniego państwa członkowskiego a pojedynczymi punktami kontaktowymi innych państw członkowskich, a także Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na mocy niniejszej dyrektywy i podmiotami uznanymi na mocy niniejszej dyrektywy za podmioty krytyczne; powinny one także koordynować wszelką komunikację między wszystkimi tymi podmiotami.  W celu ułatwienia współpracy i komunikacji z państwami członkowskimi podmioty wskazane jako podmioty krytyczne zgodnie z niniejszą dyrektywą powinny również wyznaczyć referencyjny punkt kontaktowy w ramach danego podmiotu. Referencyjny punkt kontaktowy powinien być wykorzystywany przez podmiot krytyczny do kontaktów, koordynacji i komunikacji z państwami członkowskimi w kwestii środków dotyczących aspektów organizacyjnych i technicznych związanych z wdrożeniem niniejszej dyrektywy. W tym celu pojedyncze punkty kontaktowe powinny korzystać ze skutecznych, bezpiecznych, znormalizowanych i zharmonizowanych kanałów sprawozdawczości.

Poprawka  14

Wniosek dotyczący dyrektywy

Motyw 18

 

Tekst proponowany przez Komisję

Poprawka

(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty.

(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować w skuteczny i spójny sposób, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty.

Poprawka  15

Wniosek dotyczący dyrektywy

Motyw 19