SPRAWOZDANIE w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych
15.10.2021 - (COM(2020)0829 – C9-0421/2020 – 2020/0365(COD)) - ***I
Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
Sprawozdawca: Michal Šimečka
Sprawozdawcy komisji opiniodawczych (*):
Nils Torvalds, Komisja Przemysłu, Badań Naukowych i Energii
Alex Agius Saliba, Komisja Rynku Wewnętrznego i Ochrony Konsumentów
(*) Zaangażowane komisje – art. 57 Regulaminu
- PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO
- OPINIA KOMISJI PRZEMYSŁU, BADAŃ NAUKOWYCH I ENERGII
- OPINIA KOMISJI RYNKU WEWNĘTRZNEGO I OCHRONY KONSUMENTÓW
- OPINIA KOMISJI SPRAW ZAGRANICZNYCH
- OPINIA KOMISJI TRANSPORTU I TURYSTYKI
- PROCEDURA W KOMISJI PRZEDMIOTOWO WŁAŚCIWEJ
- GŁOSOWANIE KOŃCOWE W FORMIE GŁOSOWANIA IMIENNEGO W KOMISJI PRZEDMIOTOWO WŁAŚCIWEJ
PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO
w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych
(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))
(Zwykła procedura ustawodawcza: pierwsze czytanie)
Parlament Europejski,
– uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2020)0829),
– uwzględniając art. 294 ust. 2 oraz art. 114 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C9-0421/2020),
– uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,
– uwzględniając art. 59 Regulaminu,
– uwzględniając opinie przedstawione przez Komisję Przemysłu, Badań Naukowych i Energii, Komisję Rynku Wewnętrznego i Ochrony Konsumentów, Komisję Spraw Zagranicznych oraz Komisję Transportu i Turystyki,
– uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (A9-0289/2021),
1. przyjmuje poniższe stanowisko w pierwszym czytaniu;
2. zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli zastąpi ona pierwotny wniosek, wprowadzi w nim istotne zmiany lub planuje ich wprowadzenie;
3. zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji oraz parlamentom narodowym.
Poprawka 1
Wniosek dotyczący dyrektywy
Motyw 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz dostosowania się do nich i usunięcia ich skutków. |
(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić świadczenie usług kluczowych przez podmiot krytyczny, swobodny przepływ usług kluczowych i funkcjonowanie rynku wewnętrznego, oraz reagowania na takie incydenty, dostosowania się do nich i usunięcia ich skutków. |
_________________ |
_________________ |
17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75). |
17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75). |
18 SWD(2019) 308. |
18 SWD(2019) 308. |
Poprawka 2
Wniosek dotyczący dyrektywy
Motyw 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
(2) Mimo istniejących środków na poziomie unijnym19 i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającym się zagrożeniem terrorystycznym i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność i skuteczność niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich. |
(2) Mimo istniejących środków na poziomie unijnym19 i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie zawsze są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającymi się zagrożeniami hybrydowymi i terrorystycznymi i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność, skuteczność i okres eksploatacji niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich. Na poziomie Unii nie istnieje jeden uznany wykaz sektorów infrastruktury krytycznej. Zamiast tego różne akty prawne regulują różne grupy sektorów. |
_________________ |
_________________ |
19 Europejski program ochrony infrastruktury krytycznej. |
19 Europejski program ochrony infrastruktury krytycznej. |
Poprawka 3
Wniosek dotyczący dyrektywy
Motyw 2 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
(2a) Niektóre infrastruktury krytyczne mają wymiar ogólnoeuropejski, np. Europejska Organizacja ds. Bezpieczeństwa Żeglugi Powietrznej – Eurocontrol oraz globalny system pozycjonowania satelitarnego Unii Europejskiej – Galileo. |
Poprawka 4
Wniosek dotyczący dyrektywy
Motyw 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka. |
(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, produkcji, przetwórstwa i dostaw żywności, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie usług kluczowych – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka. |
Poprawka 5
Wniosek dotyczący dyrektywy
Motyw 4
|
|
Tekst proponowany przez Komisję |
Poprawka |
(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. |
(4) Podmioty zaangażowane w świadczenie usług kluczowych podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, nie tylko stwarza różne poziomy odporności, ale również negatywnie wpływa na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, a także prowadzi do powstania nieuczciwej konkurencji i przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. Inwestorzy i przedsiębiorstwa mogą polegać na podmiotach krytycznych, które są odporne, a niezawodność i zaufanie są fundamentami dobrze funkcjonującego rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. Dlatego skutkiem ram unijnych będzie również zrównanie warunków działania podmiotów krytycznych w całej Unii. |
Poprawka 6
Wniosek dotyczący dyrektywy
Motyw 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych. |
(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych, aby zapewnić świadczenie i swobodny przepływ usług kluczowych na rynku wewnętrznym, zwiększyć odporność podmiotów krytycznych, a także usprawnić transgraniczną współpracę między właściwymi organami. Normy te muszą być dostosowane do przyszłych wyzwań. W związku z tym celem niniejszej dyrektywy jest zwiększenie odporności podmiotów krytycznych, a tym samym zwiększenie ich zdolności do zapewnienia ciągłego świadczenia kluczowych usług w obliczu różnego rodzaju zagrożeń. Dzięki określeniu zasad minimalnych dyrektywa ta umożliwia państwom członkowskim przyjęcie lub utrzymanie bardziej rygorystycznych przepisów w celu zapewnienia świadczenia podstawowych usług na rynku wewnętrznym i zwiększenia odporności podmiotów krytycznych. |
Poprawka 7
Wniosek dotyczący dyrektywy
Motyw 6
|
|
Tekst proponowany przez Komisję |
Poprawka |
(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które z kolei powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka. |
(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które świadczą kluczowe usługi w sektorach i podsektorach określonych w załączniku do niniejszej dyrektywy. Te podmioty krytyczne powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka. |
Poprawka 8
Wniosek dotyczący dyrektywy
Motyw 7
|
|
Tekst proponowany przez Komisję |
Poprawka |
(7) Niektóre sektory gospodarki, takie jak sektory energii i transportu, są już regulowane lub mogą być w przyszłości regulowane sektorowymi aktami prawa Unii, które zawierają przepisy dotyczące niektórych aspektów odporności podmiotów prowadzących działalność w tych sektorach. Aby podejść do kwestii odporności tych podmiotów, które są krytyczne dla prawidłowego funkcjonowania rynku wewnętrznego, w sposób kompleksowy, wspomniane środki sektorowe należy uzupełnić środkami przewidzianymi w niniejszej dyrektywie, która tworzy nadrzędne ramy dotyczące odporności podmiotów krytycznych na wszystkie zagrożenia, to znaczy zagrożenia naturalne i spowodowane przez człowieka, przypadkowe i zamierzone. |
(7) Niektóre sektory gospodarki, takie jak sektory energii i transportu, są już regulowane lub mogą być w przyszłości regulowane sektorowymi aktami prawa Unii, które zawierają przepisy dotyczące niektórych aspektów odporności podmiotów prowadzących działalność w tych sektorach. Aby podejść do kwestii odporności tych podmiotów, które są krytyczne dla prawidłowego funkcjonowania rynku wewnętrznego, w sposób kompleksowy, wspomniane środki sektorowe należy uznać za lex specialis i uzupełnić środkami przewidzianymi w niniejszej dyrektywie, która tworzy nadrzędne ramy dotyczące odporności podmiotów krytycznych na wszystkie zagrożenia, to znaczy zagrożenia naturalne i spowodowane przez człowieka, przypadkowe i zamierzone. |
Poprawka 9
Wniosek dotyczący dyrektywy
Motyw 8
|
|
Tekst proponowany przez Komisję |
Poprawka |
(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. |
(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. W rezultacie właściwe organy wyznaczone na mocy dyrektywy NIS 2 będą odpowiedzialne za nadzór nad podmiotami zidentyfikowanymi jako podmioty krytyczne lub podmioty równoważne z podmiotami krytycznymi na mocy niniejszej dyrektywy w odniesieniu do kwestii wchodzących w zakres stosowania tej dyrektywy. |
_________________ |
_________________ |
20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu]. |
20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu]. |
Poprawka 10
Wniosek dotyczący dyrektywy
Motyw 10
|
|
Tekst proponowany przez Komisję |
Poprawka |
(10) W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych każde państwo członkowskie powinno dysponować strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, państwa członkowskie powinny zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami, o których mowa w niniejszej dyrektywie i w dyrektywie NIS 2, w zakresie wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych. |
(10) W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych każde państwo członkowskie powinno dysponować strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, oraz biorąc pod uwagę hybrydowy charakter wielu zagrożeń oraz unijną strategię w dziedzinie odporności opracowaną przez Grupę ds. Odporności Podmiotów Krytycznych ustanowioną na mocy niniejszej dyrektywy, państwa członkowskie powinny zapewnić, aby ich strategie przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami państw członkowskich na mocy niniejszej dyrektywy i na mocy dyrektywy NIS 2, w tym w zakresie wymiany informacji na temat incydentów i zagrożeń oraz wykonywania zadań nadzorczych. |
Poprawka 11
Wniosek dotyczący dyrektywy
Motyw 11
|
|
Tekst proponowany przez Komisję |
Poprawka |
(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie. |
(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, w tym zagrożeń międzysektorowych i transgranicznych, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, zagrożeń hybrydowych, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych, infiltracji przestępczej i sabotażu. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Państwa członkowskie nie powinny uważać za ryzyko zwykłego ryzyka prowadzenia działalności gospodarczej wynikającego z warunków rynkowych lub wszelkiego ryzyka wynikającego z demokratycznego podejmowania decyzji. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie. Komisja powinna również mieć możliwość udostępniania podmiotom z państw trzecich, na ich wniosek, doradczej wiedzy eksperckiej. |
Poprawka 12
Wniosek dotyczący dyrektywy
Motyw 12
|
|
Tekst proponowany przez Komisję |
Poprawka |
(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi. |
(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane normy minimalne pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić w przejrzysty sposób wspólne kryteria i metody dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi. |
Poprawka 13
Wniosek dotyczący dyrektywy
Motyw 13 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
(13a) Zgodnie z właściwymi przepisami unijnymi i krajowymi, w tym z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/4521a ustanawiającym ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii, należy dostrzec potencjalne zagrożenie, jakie wiąże się z zagraniczną własnością infrastruktury krytycznej w Unii, gdyż usługi, gospodarka, swoboda przemieszczania się i bezpieczeństwo obywateli Unii zależą od należytego funkcjonowania infrastruktur krytycznych. Kluczowe znaczenie ma, by państwa członkowskie i Komisja zachowały czujność w związku z inwestycjami finansowymi obcych krajów w funkcjonowanie podmiotów krytycznych w Unii oraz wpływem, jaki te inwestycje mogą wywierać na zdolność do zapobiegania istotnym zakłóceniom. |
|
_________________ |
|
1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 z dnia 19 marca 2019 r. ustanawiające ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii (Dz.U. L 79I z 21.3.2019, s. 1). |
Poprawka 14
Wniosek dotyczący dyrektywy
Motyw 15
|
|
Tekst proponowany przez Komisję |
Poprawka |
(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany. |
(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy; w związku z tym nie powinny one podlegać obowiązkom określonym w rozdziałach III–VI niniejszej dyrektywy. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany. |
_________________ |
_________________ |
22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1). |
22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1). |
23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349). |
23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349). |
24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84). |
24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84). |
25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1). |
25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1). |
26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338). |
26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338). |
27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595. |
27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595. |
Poprawka 15
Wniosek dotyczący dyrektywy
Motyw 16
|
|
Tekst proponowany przez Komisję |
Poprawka |
(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym. |
(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny, w tym z właściwymi organami innych państw członkowskich. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym, w tym z właściwymi organami innych państw członkowskich. |
Poprawka 16
Wniosek dotyczący dyrektywy
Motyw 17
|
|
Tekst proponowany przez Komisję |
Poprawka |
(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie. |
(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie. Każdy pojedynczy punkt kontaktowy powinien również pełnić funkcję łącznika między właściwymi organami odpowiedniego państwa członkowskiego a pojedynczymi punktami kontaktowymi innych państw członkowskich oraz Grupą ds. Odporności Podmiotów Krytycznych, a także koordynować wszelką komunikację między tymi podmiotami. Pojedyncze punkty kontaktowe powinny korzystać ze skutecznych, bezpiecznych i znormalizowanych kanałów sprawozdawczości. |
Poprawka 17
Wniosek dotyczący dyrektywy
Motyw 18
|
|
Tekst proponowany przez Komisję |
Poprawka |
(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. |
(18) Podmioty wskazane jako podmioty krytyczne na mocy niniejszej dyrektywy, a także podmioty w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2. Właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny zatem współpracować ze sobą w skuteczny i spójny sposób, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. Ważne jest, by państwa członkowskie podejmowały środki, aby uniknąć podwójnej sprawozdawczości i kontroli oraz zapewnić komplementarność strategii i wymogów przewidzianych w niniejszej dyrektywie i w dyrektywie NIS 2, oraz aby podmioty krytyczne nie były narażone na obciążenia administracyjne wykraczające poza to, co jest konieczne do osiągnięcia celów niniejszej dyrektywy. |
Poprawka 18
Wniosek dotyczący dyrektywy
Motyw 19
|
|
Tekst proponowany przez Komisję |
Poprawka |
(19) Państwa członkowskie powinny wspierać podmioty krytyczne we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie mogłyby w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji, aby wspierać dobrowolną wymianę informacji między podmiotami krytycznymi, bez uszczerbku dla zastosowania reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej. |
(19) Państwa członkowskie powinny wspierać podmioty krytyczne – w szczególności te, które kwalifikują się jako małe i średnie przedsiębiorstwa (MŚP) – we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie powinny w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. W przypadku gdy jest to konieczne i uzasadnione celami interesu publicznego, państwa członkowskie powinny mieć możliwość zapewnienia zasobów finansowych podmiotom krytycznym, z zastrzeżeniem obowiązujących przepisów dotyczących pomocy państwa. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji i dobrych praktyk, aby wspierać wymianę informacji między podmiotami krytycznymi, nie naruszając reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej. |
Poprawka 19
Wniosek dotyczący dyrektywy
Motyw 19 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
(19a) Ważne jest, by podczas wdrażania niniejszej dyrektywy państwa członkowskie podjęły wszelkie niezbędne działania, aby zapobiegać jakimkolwiek nadmiernym obciążeniom administracyjnym, w szczególności dla MŚP, a także unikać dublujących się lub zbędnych zobowiązań. Kluczowe jest, by państwa członkowskie zapewniały pomoc na rzecz MŚP i ułatwiały udzielanie im, na żądanie, odpowiedniego wsparcia, podejmując środki techniczne i organizacyjne przewidziane niniejszą dyrektywą. |
Poprawka 20
Wniosek dotyczący dyrektywy
Motyw 20
|
|
Tekst proponowany przez Komisję |
Poprawka |
(20) Aby móc zapewnić swoją odporność, podmioty krytyczne powinny mieć kompleksowe wyobrażenie na temat wszystkich istotnych czynników ryzyka, na które są narażone, oraz je analizować. W tym celu powinny przeprowadzać oceny ryzyka, gdy tylko jest to konieczne ze względu na ich szczególne okoliczności oraz zmianę tych czynników ryzyka, a w każdym wypadku co cztery lata. Oceny ryzyka prowadzone przez podmioty krytyczne powinny opierać się na ocenie ryzyka przeprowadzonej przez państwa członkowskie. |
(20) Aby móc zapewnić swoją odporność, podmioty krytyczne powinny mieć kompleksowe wyobrażenie na temat wszystkich istotnych czynników ryzyka, na które są narażone, oraz je analizować. W tym celu powinny przeprowadzać oceny ryzyka, gdy tylko jest to konieczne ze względu na ich szczególne okoliczności oraz zmianę tych czynników ryzyka, a w każdym wypadku co cztery lata. Oceny ryzyka prowadzone przez podmioty krytyczne powinny opierać się na ocenie ryzyka przeprowadzonej przez państwa członkowskie oraz powinny być zgodne ze wspólnymi kryteriami i metodami. |
Poprawka 21
Wniosek dotyczący dyrektywy
Motyw 23
|
|
Tekst proponowany przez Komisję |
Poprawka |
(23) Rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 300/200828, rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 725/200429 oraz dyrektywą Parlamentu Europejskiego i Rady 2005/65/WE30 ustanowiono wymagania mające zastosowanie do podmiotów w sektorach transportu lotniczego i transportu morskiego w celu zapobieżenia incydentom powodowanym bezprawnymi czynami oraz stawienia oporu skutkom takich incydentów i ograniczenia tych skutków. Chociaż środki wymagane zgodnie z niniejszą dyrektywą są ogólniejsze pod kątem czynników ryzyka, których dotyczą, i rodzajów środków, które należy wdrożyć, podmioty krytyczne w tych sektorach powinny odzwierciedlić w swoim planie zwiększania odporności lub równoważnych dokumentach środki wdrożone na podstawie wspomnianych innych aktów Unii. Ponadto podczas wdrażania środków na rzecz zwiększania odporności zgodnie z niniejszą dyrektywą podmioty krytyczne mogą rozważyć odniesienie się do niewiążących dokumentów zawierających wytyczne i dobre praktyki opracowanych w ramach sektorowych grup roboczych, takich jak unijna platforma bezpieczeństwa pasażerów w ruchu kolejowym31. |
(23) Rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 300/200828, rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 725/200429 oraz dyrektywą Parlamentu Europejskiego i Rady 2005/65/WE30 ustanowiono wymagania mające zastosowanie do podmiotów w sektorach transportu lotniczego i transportu morskiego w celu zapobieżenia incydentom powodowanym bezprawnymi czynami oraz stawienia oporu skutkom takich incydentów i ograniczenia tych skutków. Chociaż środki wymagane zgodnie z niniejszą dyrektywą są ogólniejsze pod kątem czynników ryzyka, których dotyczą, i rodzajów środków, które należy wdrożyć, podmioty krytyczne w tych sektorach powinny odzwierciedlić w swoim planie zwiększania odporności lub równoważnych dokumentach środki wdrożone na podstawie wspomnianych innych aktów Unii. Ponadto podmioty krytyczne muszą również brać pod uwagę dyrektywę Parlamentu Europejskiego i Rady 2008/96/WE30a wprowadzającą ocenę bezpieczeństwa ruchu drogowego obejmującą całą sieć w celu określenia zagrożeń związanych z wypadkami oraz ukierunkowane kontrole bezpieczeństwa ruchu drogowego w celu określenia niebezpiecznych warunków, usterek i problemów, które zwiększają ryzyko wypadków i obrażeń, na podstawie kontroli w miejscu istniejącej drogi lub odcinka drogi. Zapewnienie ochrony i odporności krytycznych podmiotów ma ogromne znaczenie dla sektora kolejowego, a podczas wdrażania środków na rzecz zwiększania odporności zgodnie z niniejszą dyrektywą podmioty krytyczne zachęca się do odwoływania się do niewiążących wytycznych i dokumentów dotyczących dobrych praktyk opracowanych w kontekście działań sektorowych, takich jak unijna platforma bezpieczeństwa pasażerów w ruchu kolejowym31. |
_________________ |
_________________ |
28 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z 9.4.2008, s. 72). |
28 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z 9.4.2008, s. 72). |
29 Rozporządzenie (WE) nr 725/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie wzmocnienia ochrony statków i obiektów portowych, Dz.U. L 129 z 29.4.2004, s. 6. |
29 Rozporządzenie (WE) nr 725/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie wzmocnienia ochrony statków i obiektów portowych, Dz.U. L 129 z 29.4.2004, s. 6. |
30 Dyrektywa 2005/65/WE Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie wzmocnienia ochrony portów (Dz.U. L 310 z 25.11.2005, s. 28). |
30 Dyrektywa 2005/65/WE Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie wzmocnienia ochrony portów (Dz.U. L 310 z 25.11.2005, s. 28). |
|
30a Dyrektywa Parlamentu Europejskiego i Rady 2008/96/WE z dnia 19 listopada 2008 r. w sprawie zarządzania bezpieczeństwem infrastruktury drogowej (Dz.U. L 319 z 29.11.2008, s. 59). |
31 Decyzja Komisji z dnia 29 czerwca 2018 r. w sprawie utworzenia unijnej platformy bezpieczeństwa pasażerów w ruchu kolejowym, C/2018/4014. |
31 Decyzja Komisji z dnia 29 czerwca 2018 r. w sprawie utworzenia unijnej platformy bezpieczeństwa pasażerów w ruchu kolejowym, C/2018/4014. |
Poprawka 22
Wniosek dotyczący dyrektywy
Motyw 24
|
|
Tekst proponowany przez Komisję |
Poprawka |
(24) Ryzyko, że pracownicy podmiotów krytycznych nadużyją na przykład swoich praw dostępu w ramach organizacji podmiotu w celu wyrządzenia szkody, budzi coraz większe obawy. Ryzyko to zwiększa się wraz z przybierającym na sile zjawiskiem radykalizacji prowadzącym do brutalnego ekstremizmu i terroryzmu. Wobec tego niezbędne jest umożliwienie podmiotom krytycznym wnoszenia o sprawdzenie przeszłości osób należących do szczególnych kategorii ich personelu oraz zapewnienie, aby właściwe organy dokonywały sprawnej oceny takich wniosków, zgodnie z obowiązującymi przepisami unijnymi i krajowymi, w tym dotyczącymi ochrony danych osobowych. |
(24) Ryzyko, że pracownicy podmiotów krytycznych nadużyją na przykład swoich praw dostępu w ramach organizacji podmiotu w celu wyrządzenia szkody, budzi coraz większe obawy. Ryzyko to zwiększa się wraz z przybierającym na sile zjawiskiem radykalizacji prowadzącym do brutalnego ekstremizmu i terroryzmu. Wobec tego niezbędne jest umożliwienie podmiotom krytycznym wnoszenia o sprawdzenie przeszłości osób należących do szczególnych kategorii ich personelu oraz zapewnienie, aby właściwe organy dokonywały sprawnej oceny takich wniosków, zgodnie z obowiązującymi przepisami unijnymi i krajowymi, w tym dotyczącymi ochrony danych osobowych, w szczególności z rozporządzeniem (UE) 2016/679. |
Poprawka 23
Wniosek dotyczący dyrektywy
Motyw 25
|
|
Tekst proponowany przez Komisję |
Poprawka |
(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach, właściwym organom państw członkowskich incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty oraz uzyskanie kompleksowego wyobrażenia na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych. |
(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach – a w każdym razie w ciągu 24 godzin od uzyskania informacji o danym incydencie – właściwym organom państw członkowskich każdy incydent, który w znacznym stopniu zakłóca lub może potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Właściwy organ powinien poinformować opinię publiczną o takim incydencie, jeżeli stwierdzi, że leży to w interesie publicznym. Właściwy organ powinien zapewnić, aby dany podmiot krytyczny informował użytkowników jego usług, na których taki incydent może mieć wpływ, o incydencie oraz, w stosownych przypadkach, o wszelkich możliwych środkach bezpieczeństwa lub środkach zaradczych. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty oraz uzyskanie kompleksowego wyobrażenia na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły bez zbędnej zwłoki przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych. Informacje na temat incydentów powinny być przetworzone w sposób gwarantujący zachowanie poufności oraz bezpieczeństwo i interesy handlowe danego podmiotu krytycznego. |
Poprawka 24
Wniosek dotyczący dyrektywy
Motyw 26
|
|
Tekst proponowany przez Komisję |
Poprawka |
(26) Podczas gdy podmioty krytyczne działają zazwyczaj jako część w coraz większym stopniu połączonej sieci świadczenia usług i infrastruktur oraz często świadczą usługi kluczowe w więcej niż jednym państwie członkowskim, niektóre z tych podmiotów mają szczególne znaczenie dla Unii, ponieważ świadczą usługi kluczowe na rzecz dużej liczby państw członkowskich, i wymagają zatem szczególnego nadzoru na poziomie Unii. Należy zatem ustanowić przepisy dotyczące szczególnego nadzoru w odniesieniu do takich podmiotów krytycznych o szczególnym znaczeniu europejskim. Przepisy te pozostają bez uszczerbku dla przepisów dotyczących nadzoru i egzekwowania przewidzianych w niniejszej dyrektywie. |
(26) Podczas gdy podmioty krytyczne działają zazwyczaj jako część w coraz większym stopniu połączonej sieci świadczenia usług i zapewniania infrastruktury oraz często świadczą usługi kluczowe w więcej niż jednym państwie członkowskim, niektóre z tych podmiotów mają szczególne znaczenie dla Unii i rynku wewnętrznego, ponieważ świadczą usługi kluczowe na rzecz kilku państw członkowskich, i wymagają zatem szczególnego nadzoru na poziomie Unii. Należy zatem ustanowić przepisy dotyczące szczególnego nadzoru w odniesieniu do takich podmiotów krytycznych o szczególnym znaczeniu europejskim. Przepisy te pozostają bez uszczerbku dla przepisów dotyczących nadzoru i egzekwowania przewidzianych w niniejszej dyrektywie. |
Poprawka 25
Wniosek dotyczący dyrektywy
Motyw 27 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
(27a) Proces standaryzacji winien pozostać procesem uzależnionym od sytuacji na rynku. Nadal mogą jednak zaistnieć sytuacje, w których należy wymagać przestrzegania określonych norm na poziomie Unii. Komisja i państwa członkowskie powinny wspierać i promować opracowywanie i wdrażanie norm i specyfikacji istotnych dla odporności podmiotów krytycznych, określonych przez europejskie organizacje normalizacyjne, aby przyjąć środki techniczne i organizacyjne, które mają na celu zapewnienie odporności podmiotów krytycznych. Państwa członkowskie powinny również zachęcać do stosowania uznanych na szczeblu międzynarodowym norm i specyfikacji istotnych dla środków w zakresie odporności podmiotów krytycznych. |
Poprawka 26
Wniosek dotyczący dyrektywy
Motyw 30
|
|
Tekst proponowany przez Komisję |
Poprawka |
(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje. |
(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Ocena podmiotów krytycznych na mocy niniejszej dyrektywy – w kwestiach wchodzących w zakres dyrektywy NIS 2, takich jak fizyczne i niefizyczne cyberbezpieczeństwo – należy do obowiązków właściwych organów wyznaczonych na mocy dyrektywy NIS 2. Co więcej, dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje. |
Poprawka 27
Wniosek dotyczący dyrektywy
Motyw 31
|
|
Tekst proponowany przez Komisję |
Poprawka |
(31) W celu uwzględnienia nowych czynników ryzyka, rozwoju technologii lub specyfiki jednego sektora lub ich większej liczby należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej uzupełniających środki na rzecz zwiększania odporności, które podmioty krytyczne mają obowiązek wdrożyć, poprzez dalsze określenie wszystkich tych środków lub niektórych spośród nich. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r.32 W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych. |
(31) W celu uwzględnienia nowych czynników ryzyka, rozwoju technologii lub specyfiki jednego sektora lub ich większej liczby należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej uzupełniających środki na rzecz zwiększania odporności, które podmioty krytyczne mają obowiązek wdrożyć, poprzez dalsze określenie wszystkich tych środków lub niektórych spośród nich. Aby uniknąć rozbieżnego stosowania niniejszej dyrektywy i poprawić funkcjonowanie rynku wewnętrznego, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej w celu uzupełnienia niniejszej dyrektywy przez sporządzenie wspólnego wykazu usług kluczowych. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r.32 W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych. |
_________________ |
_________________ |
32 Dz.U. L 123 z 12.5.2016, s. 1. |
32 Dz.U. L 123 z 12.5.2016, s. 1. |
Poprawka 28
Wniosek dotyczący dyrektywy
Artykuł 1 – ustęp 1 – wprowadzenie
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. W niniejszej dyrektywie: |
1. Niniejsza dyrektywa ustanawia środki mające na celu osiągnięcie wysokiego poziomu odporności podmiotów krytycznych, aby zapewnić świadczenie usług kluczowych w Unii oraz usprawnić funkcjonowanie rynku wewnętrznego. W tym celu w niniejszej dyrektywie: |
Poprawka 29
Wniosek dotyczący dyrektywy
Artykuł 1 – ustęp 1 – litera a
|
|
Tekst proponowany przez Komisję |
Poprawka |
a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków; |
a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie ciągłego świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków; |
Poprawka 30
Wniosek dotyczący dyrektywy
Artykuł 1 – ustęp 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7. |
2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7. Z uwagi na wzajemne powiązania między cyberbezpieczeństwem a fizycznym bezpieczeństwem podmiotów państwa członkowskie zapewniają spójne wdrożenie niniejszej dyrektywy i dyrektywy NIS 2. |
Poprawka 31
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3) „incydent” oznacza każde zdarzenie mogące zakłócić lub zakłócające funkcjonowanie podmiotu krytycznego; |
3) „incydent” oznacza każde zdarzenie mogące zakłócić lub zakłócające świadczenie usługi kluczowej przez podmiot krytyczny; |
Poprawka 32
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 4
|
|
Tekst proponowany przez Komisję |
Poprawka |
4) „infrastruktura” oznacza składnik infrastruktury, system lub jego część niezbędny lub niezbędną do świadczenia usługi kluczowej; |
4) „infrastruktura” oznacza składniki infrastruktury, w tym obiekty, systemy i urządzenia lub ich części niezbędne do świadczenia usługi kluczowej; |
Poprawka 33
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
5) „usługa kluczowa” oznacza usługę, która ma kluczowe znaczenie dla utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej; |
5) „usługa kluczowa” oznacza usługę, która ma kluczowe znaczenie dla utrzymania niezbędnych funkcji społecznych, działalności gospodarczej, zdrowia i bezpieczeństwa publicznego, środowiska lub praworządności; |
Poprawka 34
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 6
|
|
Tekst proponowany przez Komisję |
Poprawka |
6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na odporność podmiotów krytycznych; |
6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na zdolność podmiotu krytycznego do świadczenia usługi kluczowej; |
Poprawka 35
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 7
|
|
Tekst proponowany przez Komisję |
Poprawka |
7) „ocena ryzyka” oznacza metodykę umożliwiającą ustalenie charakteru i zakresu ryzyka poprzez analizę potencjalnych zagrożeń oraz ocenę istniejących uwarunkowań podatności, które mogłyby prowadzić do zakłócenia funkcjonowania podmiotu krytycznego. |
7) „ocena ryzyka” oznacza metodykę umożliwiającą ustalenie charakteru i zakresu ryzyka poprzez ocenę potencjalnych zagrożeń w stosunku do odporności podmiotu krytycznego, analizę istniejących uwarunkowań podatności, które mogłyby spowodować zakłócenie funkcjonowania podmiotu krytycznego, oraz ocenę potencjalnego, niekorzystnego wpływu, jaki zakłócenie funkcjonowania mogłoby mieć na świadczenie usług kluczowych. |
Poprawka 36
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 7 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
7a) „norma” oznacza normę zgodnie z definicją w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/20121a; |
|
____________ |
|
1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12). |
Poprawka 37
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 7 b (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
7b) „specyfikacja techniczna” oznacza specyfikację techniczną zdefiniowaną w art. 2 pkt 4 rozporządzenia (UE) nr 1025/2012; |
Poprawka 38
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Każde państwo członkowskie przyjmuje w terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy] strategię mającą na celu wzmocnienie odporności podmiotów krytycznych. W strategii tej określa się cele strategiczne i środki polityczne służące osiągnięciu i utrzymaniu wysokiego poziomu odporności po stronie tych podmiotów krytycznych oraz obejmujące co najmniej sektory, o których mowa w załączniku. |
1. Po konsultacji otwartej dla wszystkich zainteresowanych stron każde państwo członkowskie przyjmuje w terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy] strategię mającą na celu wzmocnienie odporności podmiotów krytycznych. W strategii tej uwzględnia się unijną strategię w dziedzinie odporności opracowaną przez Grupę ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16, i określa się cele strategiczne i środki polityczne służące osiągnięciu i utrzymaniu wysokiego poziomu odporności po stronie tych podmiotów krytycznych oraz obejmujące co najmniej sektory, o których mowa w załączniku. |
Poprawka 39
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 2 – litera c
|
|
Tekst proponowany przez Komisję |
Poprawka |
c) opis środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, w tym krajowej oceny ryzyka, wskazania podmiotów krytycznych i podmiotów równoważnych z podmiotami krytycznymi, a także środków mających na celu wsparcie podmiotów krytycznych zastosowanych zgodnie z niniejszym rozdziałem; |
c) opis środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, w tym krajowej oceny ryzyka, o której mowa w art. 4, wskazania podmiotów krytycznych i podmiotów równoważnych z podmiotami krytycznymi, a także środków mających na celu wsparcie podmiotów krytycznych zastosowanych zgodnie z niniejszym rozdziałem, w tym środków mających na celu zacieśnienie współpracy między sektorem publicznym i sektorem prywatnym oraz podmiotami publicznymi i prywatnymi; |
Poprawka 40
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 2 – litera c a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
ca) wykaz wszystkich organów i podmiotów zaangażowanych we wdrażanie strategii; |
Poprawka 41
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 2 – litera d a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
da) ramy polityczne uwzględniające szczególne potrzeby i cechy małych i średnich przedsiębiorstw uznanych za podmioty krytyczne w celu poprawy ich odporności; |
Poprawka 42
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 2 – litera d b (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
db) odpowiednie aspekty krajowej strategii w dziedzinie cyberbezpieczeństwa przewidzianej w dyrektywie NIS 2 i wszelkich innych krajowych strategii sektorowych w celu osiągnięcia koordynacji, komplementarności i synergii. |
Poprawka 43
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 2 – akapit 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
Strategię tę aktualizuje się w razie potrzeby i co najmniej co cztery lata. |
Po konsultacji otwartej dla wszystkich zainteresowanych podmiotów strategię tę aktualizuje się co najmniej co cztery lata. |
Poprawka 44
Wniosek dotyczący dyrektywy
Artykuł 4 – ustęp 1 – akapit 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Właściwe organy wyznaczone na podstawie art. 8 ustanawiają wykaz usług kluczowych w sektorach, o których mowa w załączniku. W terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata dokonują one oceny wszystkich istotnych czynników ryzyka, które mogą wpływać na świadczenie tych usług kluczowych, w celu wskazania podmiotów krytycznych zgodnie z art. 5 ust. 1 oraz udzielenia pomocy tym podmiotom krytycznym we wdrożeniu środków zgodnie z art. 11. |
1. Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 21 w celu uzupełnienia niniejszej dyrektywy przez ustanowienie wykazu usług kluczowych w sektorach i podsektorach, o których mowa w załączniku. Komisja przyjmuje akt delegowany nie później niż … [sześć miesięcy po wejściu w życie niniejszej dyrektywy]. Właściwe organy wyznaczone na podstawie art. 8 dokonują – w terminie do dnia [trzy lata po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata – oceny wszystkich istotnych czynników ryzyka, które mogą wpływać na świadczenie usług kluczowych wymienionych w akcie delegowanym, w celu wskazania podmiotów krytycznych zgodnie z art. 5 ust. 1 oraz udzielenia pomocy tym podmiotom krytycznym we wdrożeniu środków zgodnie z art. 11. |
Poprawka 45
Wniosek dotyczący dyrektywy
Artykuł 4 – ustęp 1 – akapit 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
Ocena ryzyka uwzględnia wszystkie istotne zagrożenia, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134. |
Ocena ryzyka uwzględnia wszystkie istotne zagrożenia o charakterze międzysektorowym lub transgranicznym, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134. |
_________________ |
_________________ |
34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6). |
34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6). |
Poprawka 46
Wniosek dotyczący dyrektywy
Artykuł 4 – ustęp 2 – akapit 1 – litera c
|
|
Tekst proponowany przez Komisję |
Poprawka |
c) wszelkie czynniki ryzyka wynikające ze współzależności między sektorami wymienionymi w załączniku, w tym z innych państw członkowskich i państw trzecich, oraz wpływ, jaki zakłócenie w jednym sektorze może mieć na inne sektory; |
c) wszelkie czynniki ryzyka wynikające ze współzależności między sektorami wymienionymi w załączniku, w tym z innych państw członkowskich i państw trzecich, oraz wpływ, jaki zakłócenie w jednym sektorze może mieć na inne sektory, w tym wszelkie czynniki ryzyka dla obywateli i rynku wewnętrznego; |
Poprawka 47
Wniosek dotyczący dyrektywy
Artykuł 4 – ustęp 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3. Państwa członkowskie udostępniają odpowiednie elementy oceny ryzyka, o których mowa w ust. 1, podmiotom krytycznym, które wskazały zgodnie z art. 5, w celu udzielenia tym podmiotom krytycznym wsparcia w przeprowadzaniu oceny ryzyka, zgodnie z art. 10, oraz w stosowaniu środków służących zapewnieniu ich odporności, zgodnie z art. 11. |
3. Za pośrednictwem pojedynczego punktu kontaktowego, o którym mowa w art. 8 ust. 2, państwa członkowskie udostępniają odpowiednie elementy oceny ryzyka, o których mowa w ust. 1, podmiotom krytycznym, które wskazały zgodnie z art. 5, w celu udzielenia tym podmiotom krytycznym wsparcia w przeprowadzaniu oceny ryzyka, zgodnie z art. 10, oraz w stosowaniu środków służących zapewnieniu ich odporności, zgodnie z art. 11. |
Poprawka 48
Wniosek dotyczący dyrektywy
Artykuł 4 – ustęp 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
5. Komisja może – we współpracy z państwami członkowskimi – opracować dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4. |
5. Komisja – we współpracy z państwami członkowskimi – opracowuje dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4. |
Poprawka 49
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 2 – wprowadzenie
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Wskazując podmioty krytyczne zgodnie z ust. 1, państwa członkowskie biorą pod uwagę wyniki oceny ryzyka zgodnie z art. 4, oraz stosują następujące kryteria: |
2. Wskazując podmioty krytyczne zgodnie z ust. 1, państwa członkowskie biorą pod uwagę wyniki oceny ryzyka zgodnie z art. 4 oraz strategię w dziedzinie odporności podmiotów krytycznych, o której mowa w art. 3, i stosują następujące kryteria: |
Poprawka 50
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 2 – litera b
|
|
Tekst proponowany przez Komisję |
Poprawka |
b) świadczenie tej usługi zależy od infrastruktury znajdującej się w państwie członkowskim; oraz |
b) świadczenie tej usługi kluczowej zależy od infrastruktury znajdującej się w państwie członkowskim; oraz |
Poprawka 51
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 2 – litera c
|
|
Tekst proponowany przez Komisję |
Poprawka |
c) incydent miałby istotne skutki zakłócające dla świadczenia tej usługi lub innych usług kluczowych w sektorach, o których mowa w załączniku, zależnych od tej usługi. |
c) incydent miałby istotne skutki zakłócające dla świadczenia tej usługi kluczowej lub innych usług kluczowych w sektorach, o których mowa w załączniku, zależnych od tej usługi. |
Poprawka 52
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
5. Po powiadomieniu, o którym mowa w ust. 3, państwa członkowskie zapewniają, aby podmioty krytyczne przekazały informacje ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy o tym, czy zostały one wskazane jako podmioty krytyczne w co najmniej jednym innym państwie członkowskim. Gdy co najmniej dwa państwa członkowskie wskazały dany podmiot jako podmiot krytyczny, te państwa członkowskie przystępują do wzajemnych konsultacji w celu ograniczenia obciążenia podmiotu krytycznego pod względem obowiązków przewidzianych w rozdziale III. |
5. Po powiadomieniu, o którym mowa w ust. 3, państwa członkowskie zapewniają, aby podmioty krytyczne przekazały informacje ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy o tym, czy zostały one wskazane jako podmioty krytyczne w co najmniej jednym innym państwie członkowskim. Gdy co najmniej dwa państwa członkowskie wskazały dany podmiot jako podmiot krytyczny, te państwa członkowskie przystępują do wzajemnych konsultacji w celu osiągnięcia jak najwyższego stopnia spójności i ograniczenia obciążenia podmiotu krytycznego pod względem obowiązków przewidzianych w rozdziale III. |
Poprawka 53
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 6
|
|
Tekst proponowany przez Komisję |
Poprawka |
6. Do celów rozdziału IV państwa członkowskie zapewniają, aby podmioty krytyczne – po powiadomieniu, o którym mowa w ust. 3 – przekazały ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy informacje o tym, czy świadczą one usługi kluczowe na rzecz ponad jednej trzeciej lub w ponad jednej trzeciej państw członkowskich. W takim przypadku odnośne państwo członkowskie niezwłocznie przekazuje Komisji dane identyfikacyjne tych podmiotów krytycznych. |
6. Do celów rozdziału IV państwa członkowskie zapewniają, aby podmioty krytyczne – po powiadomieniu, o którym mowa w ust. 3 – przekazały ich właściwym organom wyznaczonym na podstawie art. 8 niniejszej dyrektywy informacje o tym, czy świadczą one te same lub podobne usługi kluczowe na rzecz więcej niż trzech państw członkowskich lub w więcej niż trzech państwach członkowskich. W takim przypadku odnośne państwo członkowskie niezwłocznie przekazuje Komisji dane identyfikacyjne tych podmiotów krytycznych. |
Poprawka 54
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 7 – akapit 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
Jeżeli takie aktualizacje prowadzą do wskazania dodatkowych podmiotów krytycznych, stosuje się ust. 3, 4, 5 i 6. Ponadto państwa członkowskie zapewniają, aby podmioty, które wskutek jakiejkolwiek tego rodzaju aktualizacji nie są już wskazane jako podmioty krytyczne, zostały poinformowane, że z chwilą otrzymania takiej informacji nie podlegają już obowiązkom przewidzianym w rozdziale III. |
Jeżeli takie aktualizacje prowadzą do wskazania dodatkowych podmiotów krytycznych, stosuje się ust. 3, 4, 5 i 6. Ponadto państwa członkowskie zapewniają, aby podmioty, które wskutek jakiejkolwiek tego rodzaju aktualizacji nie są już wskazane jako podmioty krytyczne, zostały w odpowiednim czasie poinformowane, że z chwilą otrzymania takiej informacji nie podlegają już obowiązkom przewidzianym w rozdziale III. |
Poprawka 55
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 7 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
7a. Komisja we współpracy z państwami członkowskimi opracowuje zalecenia i wytyczne, aby wesprzeć państwa członkowskie w identyfikowaniu podmiotów krytycznych. |
Poprawka 56
Wniosek dotyczący dyrektywy
Artykuł 6 – ustęp 1 – litera a
|
|
Tekst proponowany przez Komisję |
Poprawka |
a) liczbę użytkowników zależnych od usługi świadczonej przez podmiot; |
a) liczbę użytkowników zależnych od usługi kluczowej świadczonej przez podmiot; |
Poprawka 57
Wniosek dotyczący dyrektywy
Artykuł 6 – ustęp 1 – litera b
|
|
Tekst proponowany przez Komisję |
Poprawka |
b) zależność innych sektorów, o których mowa w załączniku, od tej usługi; |
b) zależność innych sektorów i podsektorów, o których mowa w załączniku, lub łańcucha dostaw od tej usługi kluczowej; |
Poprawka 58
Wniosek dotyczący dyrektywy
Artykuł 6 – ustęp 1 – litera e
|
|
Tekst proponowany przez Komisję |
Poprawka |
e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego; |
e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego, przy uwzględnieniu wrażliwości związanej ze stopniem odizolowania niektórych rodzajów obszarów geograficznych, takich jak regiony wyspiarskie, regiony najbardziej oddalone lub obszary górskie; |
Poprawka 59
Wniosek dotyczący dyrektywy
Artykuł 6 – ustęp 1 – litera f
|
|
Tekst proponowany przez Komisję |
Poprawka |
f) znaczenie podmiotu w utrzymywaniu wystarczającego poziomu usługi przy uwzględnieniu dostępności alternatywnych sposobów świadczenia tej usługi. |
f) znaczenie podmiotu w utrzymywaniu wystarczającego poziomu usługi kluczowej przy uwzględnieniu dostępności alternatywnych sposobów świadczenia tej usługi kluczowej. |
Poprawka 60
Wniosek dotyczący dyrektywy
Artykuł 6 – ustęp 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3. Komisja może – po skonsultowaniu się z Grupą ds. Odporności Podmiotów Krytycznych – przyjąć wytyczne mające na celu ułatwienie stosowania kryteriów, o których mowa w ust. 1, biorąc pod uwagę informacje, o których mowa w ust. 2. |
3. Komisja – po skonsultowaniu się z Grupą ds. Odporności Podmiotów Krytycznych – przyjmuje wytyczne mające na celu ułatwienie stosowania kryteriów, o których mowa w ust. 1, biorąc pod uwagę informacje, o których mowa w ust. 2. |
Poprawka 61
Wniosek dotyczący dyrektywy
Artykuł 7 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Jeżeli chodzi o sektory, o których mowa w pkt 3, 4 i 8 załącznika, w terminie do dnia [trzy lata i trzy miesiące po wejściu w życie niniejszej dyrektywy] państwa członkowskie wskazują podmioty, które należy traktować jako równoważne z podmiotami krytycznymi do celów niniejszego rozdziału. W odniesieniu do tych podmiotów państwa członkowskie stosują przepisy art. 3, 4, art. 5 ust. 1–4 i 7 oraz art. 9. |
1. Jeżeli chodzi o sektory, o których mowa w pkt 3, 4 i 8 załącznika, w terminie do dnia [jeden rok i sześć miesięcy po wejściu w życie niniejszej dyrektywy] państwa członkowskie wskazują podmioty, które należy traktować jako równoważne z podmiotami krytycznymi do celów niniejszego rozdziału. W odniesieniu do tych podmiotów państwa członkowskie stosują przepisy art. 3, 4, art. 5 ust. 1–4 i 7 oraz art. 9. |
Poprawka 62
Wniosek dotyczący dyrektywy
Artykuł 8 – ustęp 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich oraz z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”). |
2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich i z Komisją oraz z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”), a także, w stosownych przypadkach, w celu zapewnienia współpracy z państwami trzecimi. |
Poprawka 63
Wniosek dotyczący dyrektywy
Artykuł 8 – ustęp 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3. W terminie do dnia [trzy lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3. |
3. W terminie do dnia … [cztery lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku w pierwszym kwartale, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3. |
Poprawka 64
Wniosek dotyczący dyrektywy
Artykuł 9 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to może obejmować opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie szkoleń dla personelu podmiotów krytycznych. |
1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to obejmuje opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie szkoleń dla personelu podmiotów krytycznych. Państwa członkowskie mogą przekazywać środki finansowe podmiotom krytycznym znaczeniu, z zastrzeżeniem obowiązujących przepisów dotyczących pomocy państwa, jeżeli jest to konieczne i uzasadnione celami interesu publicznego. |
Poprawka 65
Wniosek dotyczący dyrektywy
Artykuł 10 – akapit 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
Państwa członkowskie zapewniają, aby w ciągu sześciu miesięcy po otrzymaniu powiadomienia, o którym mowa w art. 5 ust. 3, a następnie w stosownych przypadkach i co najmniej raz na cztery lata, podmioty krytyczne dokonywały oceny – na podstawie ocen ryzyka i innych istotnych źródeł informacji – wszystkich istotnych czynników ryzyka, które mogą zakłócać ich funkcjonowanie. |
Państwa członkowskie zapewniają, aby w ciągu sześciu miesięcy po otrzymaniu powiadomienia, o którym mowa w art. 5 ust. 3, a następnie w stosownych przypadkach i co najmniej raz na cztery lata, podmioty krytyczne dokonywały oceny – na podstawie ocen ryzyka i innych istotnych źródeł informacji – wszystkich istotnych czynników ryzyka, które mogą zakłócać świadczenie przez nie danych usług kluczowych. |
Poprawka 66
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 1 – litera d
|
|
Tekst proponowany przez Komisję |
Poprawka |
d) zapewnienia działań naprawczych po incydentach, w tym środki na rzecz ciągłości działania oraz identyfikacji alternatywnych łańcuchów dostaw; |
d) zapewnienia działań naprawczych po incydentach, w tym środki na rzecz ciągłości działania oraz identyfikacji alternatywnych łańcuchów dostaw w celu zapewnienia nieprzerwanego świadczenia usługi kluczowej; |
Poprawka 67
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 1 – litera e
|
|
Tekst proponowany przez Komisję |
Poprawka |
e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12; |
e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, określenie odpowiednich wymogów szkoleniowych i kwalifikacji, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12; jeżeli w zarządzanie bezpieczeństwem pracowników zaangażowani są dostawcy zewnętrzni, podmioty krytyczne powinny zapewniają przestrzeganie przez nich ogólnie przyjętych standardów i specyfikacji; |
Poprawka 68
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 1 – litera f
|
|
Tekst proponowany przez Komisję |
Poprawka |
f) zwiększania świadomości odpowiednich pracowników na temat środków, o których mowa w lit. a)–e). |
f) zwiększania świadomości odpowiednich pracowników na temat środków, o których mowa w lit. a)–e), w tym dzięki okresowym szkoleniom. |
Poprawka 69
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3. Na wniosek państwa członkowskiego, które wskazało podmiot krytyczny, oraz za zgodą zainteresowanego podmiotu krytycznego Komisja organizuje misje doradcze – zgodnie z ustaleniami określonymi w art. 15 ust. 4, 5, 7 i 8 – w celu zapewnienia zainteresowanemu podmiotowi krytycznemu porady w zakresie wypełniania przez niego obowiązków zgodnie z rozdziałem III. Misja doradcza zgłasza swoje ustalenia Komisji, danemu państwu członkowskiemu oraz zainteresowanemu podmiotowi krytycznemu. |
3. Na wniosek państwa członkowskiego, które wskazało podmiot krytyczny, oraz po konsultacji z zainteresowanym podmiotem krytycznym Komisja organizuje misje doradcze – zgodnie z ustaleniami określonymi w art. 15 ust. 4, 5, 7 i 8 – w celu zapewnienia zainteresowanemu podmiotowi krytycznemu porady w zakresie wypełniania przez niego obowiązków zgodnie z rozdziałem III. Misja doradcza zgłasza swoje ustalenia Komisji, danemu państwu członkowskiemu oraz zainteresowanemu podmiotowi krytycznemu. Na ich wniosek Komisja może również organizować misje doradcze dla podmiotów z państw trzecich. |
Poprawka 70
Wniosek dotyczący dyrektywy
Artykuł 12 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków. |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków. Takie sprawdzanie przeszłości jest proporcjonalne i ściśle ograniczone do tego, co niezbędne i istotne dla wypełniania obowiązków przez dane osoby. |
Poprawka 71
Wniosek dotyczący dyrektywy
Artykuł 12 – ustęp 2 – akapit 1 – wprowadzenie
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/67938, w ramach sprawdzenia przeszłości, o którym mowa w ust. 1: |
2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, państwa członkowskie zapewniają, aby sprawdzenie przeszłości, o którym mowa w ust.1, było prowadzone wyłącznie w celu oceny potencjalnego zagrożenia dla bezpieczeństwa danego podmiotu krytycznego. Sprawdzenie przeszłości: |
_________________ |
|
38 Dz.U. L 119 z 4.5.2016, s. 1. |
|
Poprawka 72
Wniosek dotyczący dyrektywy
Artykuł 13 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność. |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. W ciągu 24 godzin od chwili, gdy podmioty krytyczny wykryje incydent, należy przedłożyć zgłoszenie wstępne, a następnie – w terminie nie dłuższym niż jeden miesiąc – szczegółowe sprawozdanie. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność. |
|
Jeżeli incydent ma lub może mieć istotny wpływ na podmioty krytyczne lub na ciągłość świadczenia usług kluczowych w ponad trzech państwach członkowskich, państwa członkowskie zapewniają, aby dane podmioty krytyczne powiadamiały Komisję o takich incydentach. Komisja bez zbędnej zwłoki informuje Grupę ds. Odporności Podmiotów Krytycznych o wszelkich takich zgłoszeniach. Komisja i Grupa ds. Odporności Podmiotów Krytycznych, zgodnie z prawem Unii, traktują informacje przekazane w ramach takich powiadomień w sposób zapewniający ich poufność oraz chroniący bezpieczeństwo i interesy handlowe danego podmiotu krytycznego lub podmiotów krytycznych. |
Poprawka 73
Wniosek dotyczący dyrektywy
Artykuł 13 – ustęp 2 – litera c
|
|
Tekst proponowany przez Komisję |
Poprawka |
c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie. |
c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie, z uwzględnieniem tego, czy obszar jest geograficznie odizolowany. |
Poprawka 74
Wniosek dotyczący dyrektywy
Artykuł 13 – ustęp 3 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
3a. Dany właściwy organ corocznie przedkłada Komisji i Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie, w którym podsumowuje otrzymane powiadomienia i działania podjęte zgodnie z niniejszym artykułem. |
Poprawka 75
Wniosek dotyczący dyrektywy
Artykuł 13 – ustęp 4
|
|
Tekst proponowany przez Komisję |
Poprawka |
4. Możliwie najszybciej po otrzymaniu zgłoszenia zgodnie z ust. 1 właściwy organ przekazuje podmiotowi krytycznemu, od którego otrzymał zgłoszenie, odpowiednie informacje dotyczące działań następczych podjętych w związku z przekazanym przez niego zgłoszeniem, w tym informacje, które mogą pomóc podmiotowi krytycznemu w skutecznym zareagowaniu na incydent. |
4. Możliwie najszybciej po otrzymaniu zgłoszenia zgodnie z ust. 1 właściwy organ przekazuje podmiotowi krytycznemu, od którego otrzymał zgłoszenie, odpowiednie informacje dotyczące działań następczych podjętych w związku z przekazanym przez niego zgłoszeniem, w tym informacje, które mogą pomóc podmiotowi krytycznemu w skutecznym zareagowaniu na incydent. Właściwy organ informuje opinię publiczną o incydencie, jeżeli stwierdzi, że leży to w interesie publicznym. Właściwy organ zapewnia, aby podmioty krytyczne informowały użytkowników swych usług, na których incydent może mieć wpływ, o incydencie oraz, w stosownych przypadkach, o wszelkich możliwych środkach bezpieczeństwa lub środkach zaradczych. |
Poprawka 76
Wniosek dotyczący dyrektywy
Artykuł 13 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
Artykuł 13a |
|
Standardy |
|
Aby wspierać spójne wdrażanie niniejszej dyrektywy, państwa członkowskie zachęcają do stosowania standardów i specyfikacji istotnych dla bezpieczeństwa i odporności podmiotów krytycznych, nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii. |
Poprawka 77
Wniosek dotyczący dyrektywy
Artykuł 14 – ustęp 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Podmiot uznaje się za podmiot krytyczny o szczególnym znaczeniu europejskim, gdy wskazano go jako podmiot krytyczny oraz gdy świadczy usługi kluczowe na rzecz co najmniej jednej trzeciej państw członkowskich lub w co najmniej jednej trzeciej państw członkowskich, a także gdy zgłoszono go Komisji jako taki podmiot odpowiednio na podstawie art. 5 ust. 1 i 6. |
2. Podmiot uznaje się za podmiot krytyczny o szczególnym znaczeniu europejskim, gdy wskazano go jako podmiot krytyczny oraz gdy świadczy te same lub podobne usługi kluczowe na rzecz więcej niż trzech państw członkowskich lub w więcej niż trzech państwach członkowskich, a także gdy zgłoszono go Komisji jako taki podmiot odpowiednio na podstawie art. 5 ust. 1 i 6. |
Poprawka 78
Wniosek dotyczący dyrektywy
Artykuł 15 – ustęp 1 – akapit 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
Na wniosek co najmniej jednego państwa członkowskiego lub Komisji państwo członkowskie, w którym znajduje się infrastruktura podmiotu krytycznego o szczególnym znaczeniu europejskim, wraz z tym podmiotem przekazuje Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych informacje na temat wyniku oceny ryzyka przeprowadzonej na podstawie art. 10 oraz środków wprowadzonych zgodnie z art. 11. |
Na wniosek co najmniej jednego państwa członkowskiego lub Komisji podmiot krytyczny o szczególnym znaczeniu europejskim przekazuje Grupie ds. Odporności Podmiotów Krytycznych informacje na temat wyniku oceny ryzyka przeprowadzonej na podstawie art. 10 oraz środków wprowadzonych zgodnie z art. 11. |
Poprawka 79
Wniosek dotyczący dyrektywy
Artykuł 15 – ustęp 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Na wniosek co najmniej jednego państwa członkowskiego lub z własnej inicjatywy oraz po uzgodnieniu z państwem członkowskim, w którym znajduje się infrastruktura podmiotu krytycznego o szczególnym znaczeniu europejskim, Komisja organizuje misję doradczą w celu oceny środków wdrożonych przez ten podmiot, aby wywiązać się z obowiązków wynikających z rozdziału III. W stosownych przypadkach misje doradcze mogą zwrócić się o konkretną wiedzę specjalistyczną w obszarze zarządzania ryzykiem związanym z klęskami żywiołowymi za pośrednictwem Centrum Koordynacji Reagowania Kryzysowego. |
2. Na wniosek co najmniej jednego państwa członkowskiego lub z własnej inicjatywy oraz po konsultacji z państwem członkowskim, w którym znajduje się infrastruktura podmiotu krytycznego o szczególnym znaczeniu europejskim, Komisja organizuje misję doradczą w celu oceny środków wdrożonych przez ten podmiot, aby wywiązać się z obowiązków wynikających z rozdziału III. W stosownych przypadkach misje doradcze mogą zwrócić się o konkretną wiedzę specjalistyczną w obszarze zarządzania ryzykiem związanym z klęskami żywiołowymi za pośrednictwem Centrum Koordynacji Reagowania Kryzysowego. |
Poprawka 80
Wniosek dotyczący dyrektywy
Artykuł 15 – ustęp 4 – akapit 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
Komisja organizuje program misji doradczej po konsultacji z członkami określonej misji doradczej oraz w porozumieniu z państwem członkowskim, w którym znajduje się infrastruktura lub siedziba podmiotu krytycznego o znaczeniu europejskim. |
Komisja organizuje program misji doradczej po konsultacji z członkami określonej misji doradczej oraz z państwem członkowskim, w którym znajduje się infrastruktura lub siedziba podmiotu krytycznego o znaczeniu europejskim. |
Poprawka 81
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 2 – akapit 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych może zaprosić do udziału w swoich pracach przedstawicieli zainteresowanych stron. |
Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych zaprasza do udziału w swoich pracach przedstawicieli odpowiednich zainteresowanych stron oraz Parlament Europejski w charakterze obserwatora. |
Poprawka 82
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 3 – litera c
|
|
Tekst proponowany przez Komisję |
Poprawka |
c) ułatwianie wymiany najlepszych praktyk w odniesieniu do wskazywania podmiotów krytycznych przez państwa członkowskie, zgodnie z art. 5, w tym w odniesieniu do transgranicznych zależności oraz ryzyka i incydentów; |
c) ułatwianie wymiany najlepszych praktyk w odniesieniu do wskazywania podmiotów krytycznych przez państwa członkowskie, zgodnie z art. 5, w tym w odniesieniu do transgranicznych i międzysektorowych zależności oraz ryzyka i incydentów; |
Poprawka 83
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 3 – litera c a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
ca) przygotowanie unijnej strategii w dziedzinie odporności zgodnie z celami określonymi w niniejszej dyrektywie; |
Poprawka 84
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 3 – litera h
|
|
Tekst proponowany przez Komisję |
Poprawka |
h) wymiana informacji i najlepszych praktyk dotyczących badań i rozwoju w zakresie odporności podmiotów krytycznych zgodnie z niniejszą dyrektywą; |
h) wymiana informacji i najlepszych praktyk dotyczących innowacji, badań i rozwoju w zakresie odporności podmiotów krytycznych zgodnie z niniejszą dyrektywą; |
Poprawka 85
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 3 – litera h a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
ha) promowanie i wspieranie skoordynowanych ocen ryzyka i wspólnych działań wśród podmiotów krytycznych; |
Poprawka 86
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu propagowania strategicznej współpracy i wymiany informacji. |
5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu ułatwiania strategicznej współpracy i wymiany informacji. |
Poprawka 87
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 7
|
|
Tekst proponowany przez Komisję |
Poprawka |
7. Komisja przekazuje Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące dotyczące informacji przekazanych przez państwa członkowskie zgodnie z art. 3 ust. 3 i art. 4 ust. 4 w terminie do dnia [trzy i pół roku po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata. |
7. Komisja przekazuje Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące dotyczące informacji przekazanych przez państwa członkowskie zgodnie z art. 3 ust. 3 i art. 4 ust. 4 w terminie do dnia [trzy i pół roku po wejściu w życie niniejszej dyrektywy], a następnie w miarę potrzeby i co najmniej co cztery lata. Komisja regularnie publikuje sprawozdanie podsumowujące działalność Grupy ds. Odporności Podmiotów Krytycznych. |
|
Komisja tworzy wspólny sekretariat dla Grupy ds. Odporności Podmiotów Krytycznych i Grupy ds. Współpracy ustanowionej zgodnie z dyrektywą NIS 2, aby usprawnić komunikację między tymi dwiema grupami, a w konsekwencji zminimalizować niejasności między różnymi organami wyznaczonymi na mocy niniejszej dyrektywy i dyrektywy NIS 2. |
Poprawka 88
Wniosek dotyczący dyrektywy
Artykuł 17 – ustęp 2 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
2a. Aby otrzymywać i właściwie wykorzystywać informacje przekazywane na mocy art. 8 ust. 3, Komisja prowadzi unijny rejestr incydentów w celu opracowania i wymiany najlepszych praktyk i metodologii. |
Poprawka 89
Wniosek dotyczący dyrektywy
Artykuł 21 – ustęp 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 11 ust. 4, powierza się Komisji na okres pięciu lat od dnia wejścia w życie niniejszej dyrektywy lub każdej innej daty ustalonej przez współprawodawców. |
2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 4 ust. 1 i art. 11 ust. 4, powierza się Komisji na okres pięciu lat od dnia wejścia w życie niniejszej dyrektywy lub każdej innej daty ustalonej przez współprawodawców. |
Poprawka 90
Wniosek dotyczący dyrektywy
Artykuł 21 – ustęp 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3. Przekazanie uprawnień, o którym mowa w art. 11 ust. 4, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych. |
3. Przekazanie uprawnień, o którym mowa w art. 4 ust. 1 i art. 11 ust. 4, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych. |
Poprawka 91
Wniosek dotyczący dyrektywy
Artykuł 22 – akapit 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
Do dnia [54 miesiące po wejściu w życie niniejszej dyrektywy] Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym ocenia, w jakim zakresie państwa członkowskie przyjęły środki niezbędne do wykonania niniejszej dyrektywy. |
Do dnia [54 miesiące po wejściu w życie niniejszej dyrektywy] Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym ocenia, w jakim zakresie państwa członkowskie przyjęły środki niezbędne do wykonania niniejszej dyrektywy. Sprawozdanie zawiera osobny dla każdego kraju rozdział przedstawiający konkretne postępy we wdrażaniu osiągnięte przez dane państwo członkowskie. |
Poprawka 92
Wniosek dotyczący dyrektywy
Artykuł 22 – akapit 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy] i zawiera w szczególności ocenę konieczności rozszerzenia zakresu dyrektywy na sektor produkcji, przetwórstwa i dystrybucji żywności. |
Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy] i zawiera w szczególności ocenę konieczności rozszerzenia zakresu dyrektywy. W tym celu Komisja uwzględnia odpowiednie dokumenty Grupy ds. Odporności Podmiotów Krytycznych. |
Poprawka 93
Wniosek dotyczący dyrektywy
Załącznik – Tabela – punkt 2 – Transport – litera e (nowa)
|
||||
Tekst proponowany przez Komisję |
||||
2. Transport |
a) Transport lotniczy |
— Przewoźnicy lotniczy, o których mowa w art. 3 pkt 4 rozporządzenia (WE) nr 300/200856 |
||
— Zarządzający portem lotniczym, o których mowa w art. 2 pkt 2 dyrektywy 2009/12/WE57, porty lotnicze, o których mowa w art. 2 pkt 1 tej dyrektywy, w tym porty lotnicze sieci bazowej wymienione w sekcji 2 załącznika II do rozporządzenia (UE) nr 1315/201358, oraz podmioty obsługujące urządzenia pomocnicze znajdujące się portach lotniczych |
||||
— Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC), o której mowa w art. 2 pkt 1 rozporządzenia (WE) nr 549/200459 |
||||
|
b) Transport kolejowy |
— Zarządcy infrastruktury, o których mowa w art. 3 pkt 2 dyrektywy 2012/34/UE60 |
||
— Przedsiębiorstwa kolejowe, o których mowa w art. 3 pkt 1 dyrektywy 2012/34/UE, w tym operatorzy obiektów infrastruktury usługowej, o których mowa w art. 3 pkt 12 dyrektywy 2012/34/UE |
||||
|
c) Transport wodny |
— Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, o których mowa w odniesieniu do transportu morskiego w załączniku I do rozporządzenia (WE) nr 725/200461, z wyłączeniem poszczególnych statków eksploatowanych przez tych armatorów |
||
|
— Organy zarządzające portami, o których mowa w art. 3 pkt 1 dyrektywy 2005/65/WE62, w tym ich obiekty portowe, o których mowa w art. 2 pkt 11 rozporządzenia (WE) nr 725/2004, oraz podmioty wykonujące prace i operujące sprzętem znajdującym się w tych portach |
|||
|
— Operatorzy systemów ruchu statków, o których mowa w art. 3 lit. o) dyrektywy 2002/59/WE63 Parlamentu Europejskiego i Rady |
|||
|
d) Transport drogowy |
— Organy administracji drogowej, o których mowa w art. 2 pkt 12 rozporządzenia delegowanego Komisji (UE) 2015/96264, odpowiedzialne za zarządzanie ruchem drogowym |
||
|
— Operatorzy inteligentnych systemów transportowych, o których mowa w art. 4 pkt 1 dyrektywy 2010/40/UE65 |
|||
|
||||
Poprawka |
||||
2. Transport |
a) Transport lotniczy |
— Przewoźnicy lotniczy, o których mowa w art. 3 pkt 4 rozporządzenia (WE) nr 300/200856 |
||
— Zarządzający portem lotniczym, o których mowa w art. 2 pkt 2 dyrektywy 2009/12/WE57, porty lotnicze, o których mowa w art. 2 pkt 1 tej dyrektywy, w tym porty lotnicze sieci bazowej wymienione w sekcji 2 załącznika II do rozporządzenia (UE) nr 1315/201358, oraz podmioty obsługujące urządzenia pomocnicze znajdujące się portach lotniczych |
||||
— Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC), o której mowa w art. 2 pkt 1 rozporządzenia (WE) nr 549/200459 |
||||
|
b) Transport kolejowy |
— Zarządcy infrastruktury, o których mowa w art. 3 pkt 2 dyrektywy 2012/34/UE60 |
||
— Przedsiębiorstwa kolejowe, o których mowa w art. 3 pkt 1 dyrektywy 2012/34/UE, w tym operatorzy obiektów infrastruktury usługowej, o których mowa w art. 3 pkt 12 dyrektywy 2012/34/UE |
||||
|
c) Transport wodny |
— Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, o których mowa w odniesieniu do transportu morskiego w załączniku I do rozporządzenia (WE) nr 725/200461, z wyłączeniem poszczególnych statków eksploatowanych przez tych armatorów |
||
— Organy zarządzające portami, o których mowa w art. 3 pkt 1 dyrektywy 2005/65/WE62, w tym ich obiekty portowe, o których mowa w art. 2 pkt 11 rozporządzenia (WE) nr 725/2004, oraz podmioty wykonujące prace i operujące sprzętem znajdującym się w tych portach |
||||
— Operatorzy systemów ruchu statków, o których mowa w art. 3 lit. o) dyrektywy 2002/59/WE63 Parlamentu Europejskiego i Rady |
||||
|
d) Transport drogowy |
— Organy administracji drogowej, o których mowa w art. 2 pkt 12 rozporządzenia delegowanego Komisji (UE) 2015/96264, odpowiedzialne za zarządzanie ruchem drogowym |
||
— Operatorzy inteligentnych systemów transportowych, o których mowa w art. 4 pkt 1 dyrektywy 2010/40/UE65 |
||||
|
e) Transport publiczny |
— Organy do spraw transportu publicznego oraz podmioty świadczące usługi publiczne, o których mowa w art. 2 lit. b) i d) rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1370/200765a. |
||
|
|
_____________________ |
||
|
|
65a Rozporządzenie (WE) nr 1370/2007 Parlamentu Europejskiego i Rady z dnia 23 października 2007 r. dotyczące usług publicznych w zakresie kolejowego i drogowego transportu pasażerskiego oraz uchylające rozporządzenia Rady (EWG) nr 1191/69 i (EWG) nr 1107/70 (Dz.U. L 315 z 3.12.2007, s. 1). |
||
Poprawka 94
Wniosek dotyczący dyrektywy
Załącznik – Sektor 5 – Podsektor 6 (nowy)
|
Poprawka 95
Wniosek dotyczący dyrektywy
Załącznik – Sektor 9 – Tytuł
|
|
Tekst proponowany przez Komisję |
Poprawka |
9. Administracja publiczna |
9. Administracja publiczna i instytucje demokratyczne |
Poprawka 96
Wniosek dotyczący dyrektywy
Załącznik – Sektor 9 – Rodzaj podmiotu – 3 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
— Rządy i zgromadzenia centralne, regionalne i lokalne |
Poprawka 97
Wniosek dotyczący dyrektywy
Załącznik – Sektor 10 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
10a. Produkcja, przetwarzanie i dystrybucja żywności |
|
— Przedsiębiorstwa spożywcze, o których mowa w art. 3 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 178/20021a |
|
________________ |
|
1a Rozporządzenie (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności (Dz.U. L 31 z 1.2.2002, s. 1). |
OPINIA KOMISJI PRZEMYSŁU, BADAŃ NAUKOWYCH I ENERGII (2.7.2021)
dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych
(COM(2020)0829 – C9-0421/2020 – (2020)0365(COD))
Sprawozdawca komisji opiniodawczej: Nils Torvalds
(*) Zaangażowane komisje – art. 57 Regulaminu
POPRAWKI
Komisja Przemysłu, Badań Naukowych i Energii zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, jako komisji przedmiotowo właściwej, o wzięcie pod uwagę następujących poprawek:
Poprawka 1
Wniosek dotyczący dyrektywy
Motyw 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz dostosowania się do nich i usunięcia ich skutków. |
(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz reagowania na nie, dostosowania się do nich i usunięcia ich skutków, zagrażających ogólnemu dobrobytowi gospodarczemu i społecznemu obywateli. |
__________________ |
__________________ |
17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75). |
17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75). |
18 SWD(2019) 308. |
18 SWD(2019) 308. |
Poprawka 2
Wniosek dotyczący dyrektywy
Motyw 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka. |
(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, żywności, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Innowacje i postęp technologiczny przyczyniają się do tworzenia nowych form i rodzajów systemów infrastruktury, które wykorzystują innowacje mające na celu zmniejszenie kosztów i zwiększenie wydajności oraz mogą wpływać na ryzyko i odporność. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Odporność infrastruktur energetycznych odgrywa ważną rolę we wzroście gospodarczym w całej Unii i przyczynia się do zapewnienia godnego poziomu życia odbiorcom energii podatnym na zagrożenia. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka. |
Poprawka 3
Wniosek dotyczący dyrektywy
Motyw 4
|
|
Tekst proponowany przez Komisję |
Poprawka |
(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. |
(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. Odporność podmiotów krytycznych ma ogromne znaczenie dla funkcjonowania rynku wewnętrznego oraz dla bezpieczeństwa Unii i jej obywateli. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. |
Poprawka 4
Wniosek dotyczący dyrektywy
Motyw 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych. |
(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych. Ponieważ niniejsza dyrektywa przewiduje zasady minimalne, państwa członkowskie mają swobodę przyjęcia lub utrzymania bardziej rygorystycznych przepisów w celu zapewnienia świadczenia podstawowych usług na rynku wewnętrznym i zwiększenia odporności podmiotów krytycznych, jeżeli uznają je za konieczne dla ochrony bezpieczeństwa narodowego. |
Poprawka 5
Wniosek dotyczący dyrektywy
Motyw 8
|
|
Tekst proponowany przez Komisję |
Poprawka |
(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. |
(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)], zapobiegając wszelkiemu dublowaniu działań, które mogłoby osłabić skuteczność tych dwóch dyrektyw. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. |
__________________ |
__________________ |
20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu]. |
20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu]. |
Poprawka 6
Wniosek dotyczący dyrektywy
Motyw 11
|
|
Tekst proponowany przez Komisję |
Poprawka |
(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie. |
(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych i infiltracji przestępców. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie. |
Poprawka 7
Wniosek dotyczący dyrektywy
Motyw 12
|
|
Tekst proponowany przez Komisję |
Poprawka |
(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi. |
(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Niniejsza dyrektywa odnosi się do potrzeby zapewnienia ciągłości usług o kluczowym znaczeniu dla utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, z zastrzeżeniem kompetencji krajowych w zakresie organizacji i świadczenia usług publicznych. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi. |
Poprawka 8
Wniosek dotyczący dyrektywy
Motyw 16
|
|
Tekst proponowany przez Komisję |
Poprawka |
(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym. |
(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już krajowych lub wspieranych przez Unię ustaleń sektorowych lub krajowych oraz unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym. |
Poprawka 9
Wniosek dotyczący dyrektywy
Motyw 18
|
|
Tekst proponowany przez Komisję |
Poprawka |
(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. |
(18) Podmioty wskazane jako podmioty krytyczne na mocy niniejszej dyrektywy, a także podmioty w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2. W związku z tym właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. Państwa członkowskie powinny podjąć środki w celu uniknięcia podwójnej sprawozdawczości i kontroli, aby zapewnić komplementarność strategii i wymogów przewidzianych w niniejszej dyrektywie i w dyrektywie NIS 2 oraz aby podmioty krytyczne nie były narażone na dodatkowe obciążenia administracyjne. |
Poprawka 10
Wniosek dotyczący dyrektywy
Motyw 19
|
|
Tekst proponowany przez Komisję |
Poprawka |
(19) Państwa członkowskie powinny wspierać podmioty krytyczne we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie mogłyby w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji, aby wspierać dobrowolną wymianę informacji między podmiotami krytycznymi, bez uszczerbku dla zastosowania reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej. |
(19) Państwa członkowskie powinny wspierać podmioty krytyczne we wzmacnianiu ich odporności, zgodnie z ich obowiązkami przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów za zapewnienie takiej zgodności. Państwa członkowskie powinny w szczególności opracować materiały zawierające wytyczne i metodyki, wspierać organizację działań mających na celu sprawdzenie ich odporności oraz zapewnić szkolenia personelu podmiotów krytycznych. Ponadto biorąc pod uwagę współzależności między podmiotami i sektorami, państwa członkowskie powinny ustanowić narzędzia służące do wymiany informacji, aby wspierać dobrowolną wymianę informacji między podmiotami krytycznymi, bez uszczerbku dla zastosowania reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej. |
Poprawka 11
Wniosek dotyczący dyrektywy
Motyw 25
|
|
Tekst proponowany przez Komisję |
Poprawka |
(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach, właściwym organom państw członkowskich incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty oraz uzyskanie kompleksowego wyobrażenia na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych. |
(25) Podmioty krytyczne powinny zgłaszać tak szybko, jak jest to racjonalnie możliwe w danych okolicznościach, właściwym organom państw członkowskich incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenie powinno umożliwiać właściwym organom szybką i adekwatną reakcję na incydenty, aby zapobiec jeszcze gorszym konsekwencjom oraz uzyskać kompleksowe wyobrażenie na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W tym celu należy ustanowić procedurę zgłaszania określonych incydentów oraz określić parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące, w związku z czym dane incydenty należy zgłosić. Zważywszy na potencjalny wpływ transgraniczny takich zakłóceń, należy ustanowić procedurę, za pomocą której państwa członkowskie będą mogły przekazywać informacje innym zainteresowanym państwom członkowskim za pośrednictwem pojedynczych punktów kontaktowych. Z uwagi na delikatny charakter niektórych wydarzeń należy ustanowić odpowiednie formy poufności, wraz z mechanizmami zapobiegającymi rozpowszechnianiu danych, które mogłoby zagrozić bezpieczeństwu narodowemu. |
Poprawka 12
Wniosek dotyczący dyrektywy
Motyw 30
|
|
Tekst proponowany przez Komisję |
Poprawka |
(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje. |
(30) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te należą do ich jurysdykcji. Takie uprawnienia powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów oraz sprawowania nadzoru, wymagania, aby podmioty krytyczne przekazały informacje i dowody związane ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach wydawanie nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z wymogami wynikającymi z Karty praw podstawowych Unii Europejskiej. Ocena podmiotów krytycznych na mocy niniejszej dyrektywy – w kwestiach wchodzących w zakres dyrektywy NIS 2, takich jak fizyczne i niefizyczne cyberbezpieczeństwo – należy do obowiązków właściwych organów wyznaczonych na mocy dyrektywy NIS 2. Co więcej, dokonując oceny wypełnienia obowiązków wynikających z niniejszej dyrektywy przez podmiot krytyczny, właściwe organy wyznaczone na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów wyznaczonych na podstawie dyrektywy NIS 2 o przeprowadzenie oceny cyberbezpieczeństwa tych podmiotów. W tym celu wyżej wymienione właściwe organy powinny współpracować i wymieniać informacje. |
Poprawka 13
Wniosek dotyczący dyrektywy
Artykuł 1 – ustęp 1 – litera a
|
|
Tekst proponowany przez Komisję |
Poprawka |
a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków; |
a) nakłada się na państwa członkowskie obowiązki polegające na przyjmowaniu pewnych środków mających na celu zapewnienie ciągłego świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej, a w szczególności na wskazywaniu podmiotów krytycznych i podmiotów, które w niektórych aspektach należy traktować jako równoważne, oraz umożliwianiu im dopełniania ich obowiązków; |
Poprawka 14
Wniosek dotyczący dyrektywy
Artykuł 1 – ustęp 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7. |
2. Niniejsza dyrektywa nie ma zastosowania do kwestii objętych dyrektywą (UE) XX/YY [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („dyrektywa NIS 2”)], bez uszczerbku dla art. 7. Z uwagi na wzajemne powiązania między cyberbezpieczeństwem a fizycznym bezpieczeństwem podmiotów państwa członkowskie zapewniają spójne wdrożenie obu dyrektyw. |
Poprawka 15
Wniosek dotyczący dyrektywy
Artykuł 1 – ustęp 3 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
3a. Państwa członkowskie zapewniają, by ich strategie bezpieczeństwa, w tym sektorowe strategie bezpieczeństwa, przewidywały skoordynowane ramy polityczne na rzecz wzmocnionej koordynacji w kontekście wymiany informacji na temat incydentów i zagrożeń oraz wykonywania zadań nadzorczych, co pozwoli uniknąć powielania wymogów oraz działań w zakresie sprawozdawczości i monitorowania. |
Poprawka 16
Wniosek dotyczący dyrektywy
Artykuł 2 – akapit 1 – punkt 6
|
|
Tekst proponowany przez Komisję |
Poprawka |
6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na odporność podmiotów krytycznych; |
6) „ryzyko” oznacza każdą okoliczność lub każde zdarzenie, które mają potencjalny niekorzystny wpływ na funkcjonowanie podmiotów krytycznych; |
Poprawka 17
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 2 – akapit 1 – litera d a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
da) odpowiednie aspekty krajowej strategii w dziedzinie cyberbezpieczeństwa przewidzianej w dyrektywie NIS 2 i wszelkich innych krajowych strategii sektorowych w celu osiągnięcia koordynacji, komplementarności i synergii. |
Poprawka 18
Wniosek dotyczący dyrektywy
Artykuł 3 – ustęp 3 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
3a. Opracowując strategie, państwa członkowskie mogą konsultować się z władzami lokalnymi i regionalnymi oraz uwzględniać możliwości lokalne. |
Poprawka 19
Wniosek dotyczący dyrektywy
Artykuł 4 – ustęp 1 – akapit 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
Ocena ryzyka uwzględnia wszystkie istotne zagrożenia, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134. |
Ocena ryzyka uwzględnia wszystkie istotne zagrożenia, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134. W stosownych przypadkach w ocenie ryzyka uwzględnia się możliwości władz lokalnych i regionalnych. |
__________________ |
__________________ |
34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6). |
34 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6). |
Poprawka 20
Wniosek dotyczący dyrektywy
Artykuł 4 – ustęp 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
5. Komisja może – we współpracy z państwami członkowskimi – opracować dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4. |
5. Komisja – we współpracy z państwami członkowskimi – opracowuje dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4. |
Poprawka 21
Wniosek dotyczący dyrektywy
Artykuł 5 – ustęp 4 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
4a. Państwa członkowskie mogą określić podmioty, które uznały za podmioty kluczowe na mocy dyrektywy NIS 2, jako podmioty krytyczne na mocy niniejszej dyrektywy. Jeżeli państwo członkowskie postanawia nie określać podmiotów niezbędnych na mocy dyrektywy NIS 2 jako podmiotów krytycznych na mocy niniejszej dyrektywy, uzasadnia powody takiej decyzji. |
Poprawka 22
Wniosek dotyczący dyrektywy
Artykuł 6 – ustęp 1 – litera e
|
|
Tekst proponowany przez Komisję |
Poprawka |
e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego; |
e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego, przy uwzględnieniu wrażliwości związanej ze stopniem odizolowania niektórych rodzajów obszarów geograficznych, takich jak regiony wyspiarskie, regiony najbardziej oddalone lub obszary górskie; |
Poprawka 23
Wniosek dotyczący dyrektywy
Artykuł 8 – ustęp 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich oraz z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”). |
2. Każde państwo członkowskie wyznacza w ramach właściwego organu pojedynczy punkt kontaktowy, aby pełnił on funkcję łącznikową w celu zapewnienia współpracy transgranicznej z właściwymi organami innych państw członkowskich, z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 16 („pojedynczy punkt kontaktowy”) oraz z podmiotami krytycznymi. Każde państwo członkowskie dba o to, by pojedynczy punkt kontaktowy wyznaczony na mocy dyrektywy NIS 2 był pojedynczym punktem kontaktowym na mocy niniejszej dyrektywy. |
Poprawka 24
Wniosek dotyczący dyrektywy
Artykuł 8 – ustęp 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3. W terminie do dnia [trzy lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3. |
3. W terminie do dnia [trzy lata i sześć miesięcy po wejściu w życie niniejszej dyrektywy], a następnie raz do roku w pierwszym kwartale, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 13 ust. 3. |
Poprawka 25
Wniosek dotyczący dyrektywy
Artykuł 8 – ustęp 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
5. Państwa członkowskie zapewniają, aby ich właściwe organy – w stosownych przypadkach oraz zgodnie z prawem Unii i prawem krajowym – konsultowały się oraz współpracowały z innymi odpowiednimi organami krajowymi, w szczególności z tymi, które zajmują się ochroną ludności, egzekwowaniem prawa oraz ochroną danych osobowych, a także z odpowiednimi zainteresowanymi stronami, w tym z podmiotami krytycznymi. |
5. Państwa członkowskie zapewniają, aby ich właściwe organy – w stosownych przypadkach oraz zgodnie z prawem Unii i prawem krajowym – konsultowały się oraz współpracowały z innymi odpowiednimi organami krajowymi, w tym, w stosownych przypadkach, z władzami lokalnymi i regionalnymi, w szczególności z tymi, które zajmują się ochroną ludności, egzekwowaniem prawa oraz ochroną danych osobowych, a także z odpowiednimi zainteresowanymi stronami, w tym z podmiotami krytycznymi. |
Poprawka 26
Wniosek dotyczący dyrektywy
Artykuł 9 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to może obejmować opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie szkoleń dla personelu podmiotów krytycznych. |
1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności, opracowywaniu protokołów, porozumień i współpracy oraz w wymianie informacji i wiedzy fachowej między sektorem publicznym a prywatnym. Wsparcie to obejmuje między innymi opracowywanie materiałów zawierających wytyczne i metodyk, wspieranie organizacji działań mających na celu sprawdzenie ich odporności oraz zapewnianie okresowych szkoleń dla personelu podmiotów krytycznych. |
Poprawka 27
Wniosek dotyczący dyrektywy
Artykuł 9 – ustęp 1 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
1a. W razie potrzeby państwa członkowskie przeznaczają wystarczające zasoby na wsparcie podmiotów krytycznych w spełnianiu wymogów zgodności, w szczególności na pokrycie dodatkowych kosztów związanych z działaniami edukacyjnymi i szkoleniowymi lub zatrudnieniem dodatkowych pracowników zajmujących się sprawozdawczością, monitorowaniem i przeglądem. |
Poprawka 28
Wniosek dotyczący dyrektywy
Artykuł 9 – ustęp 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
3. Państwa członkowskie ustanawiają narzędzia wymiany informacji w celu wspierania dobrowolnej wymiany informacji między podmiotami krytycznymi w odniesieniu do kwestii objętych niniejszą dyrektywą zgodnie z unijnymi i krajowymi przepisami, w szczególności z przepisami dotyczącymi konkurencji i ochrony danych osobowych. |
3. W celu zwiększenia wymiany wiedzy i przejrzystości w ramach sektorów i pomiędzy nimi państwa członkowskie ustanawiają narzędzia wymiany informacji w celu wspierania dobrowolnej wymiany informacji między podmiotami krytycznymi w odniesieniu do kwestii objętych niniejszą dyrektywą zgodnie z unijnymi i krajowymi przepisami, w szczególności z przepisami dotyczącymi konkurencji i ochrony danych osobowych. |
Poprawka 29
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 1 – litera c a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
ca) zapobiegania incydentom, które mogłyby zagrozić bezpieczeństwu i ciągłości dostaw towarów i usług; |
Poprawka 30
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 1 – litera d a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
da) wykorzystywania przyjętych norm i specyfikacji europejskich istotnych dla odporności podmiotów krytycznych, bez narzucania korzystania z określonego rodzaju usług lub technologii ani dyskryminowania na ich korzyść; |
Poprawka 31
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 1 – litera e
|
|
Tekst proponowany przez Komisję |
Poprawka |
e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12; |
e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników i szkoleń, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu w kontekście art. 12; |
Poprawka 32
Wniosek dotyczący dyrektywy
Artykuł 11 – ustęp 1 – litera f
|
|
Tekst proponowany przez Komisję |
Poprawka |
f) zwiększania świadomości odpowiednich pracowników na temat środków, o których mowa w lit. a)–e). |
f) zwiększania świadomości odpowiednich podmiotów i ich pracowników na temat środków, o których mowa w lit. a)–e), dzięki okresowym szkoleniom. |
Poprawka 33
Wniosek dotyczący dyrektywy
Artykuł 12 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków. |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne mogły składać należycie uzasadnione wnioski o sprawdzenie przeszłości osób, które należą do pewnych szczególnych kategorii personelu, określonych na podstawie wspólnych kryteriów krajowych, w tym osób, które są brane pod uwagę przy rekrutacji na stanowiska kluczowe należące do tych kategorii, a także aby organy odpowiedzialne za sprawdzanie przeszłości dokonywały sprawnej oceny takich wniosków. |
Poprawka 34
Wniosek dotyczący dyrektywy
Artykuł 12 – ustęp 2 – akapit 1 – wprowadzenie
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/67938, w ramach sprawdzenia przeszłości, o którym mowa w ust. 1: |
2. Zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi, w tym zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/67938, państwa członkowskie zapewniają, aby sprawdzenie przeszłości, o którym mowa w ust. 1, było przeprowadzane wyłącznie w celu oceny potencjalnego zagrożenia dla bezpieczeństwa podmiotu krytycznego oraz z poszanowaniem praw podstawowych danej osoby. Sprawdzenie przeszłości: |
__________________ |
__________________ |
38 Dz.U. L 119 z 4.5.2016, s. 1. |
38 Dz.U. L 119 z 4.5.2016, s. 1. |
Poprawka 35
Wniosek dotyczący dyrektywy
Artykuł 12 – ustęp 2 – akapit 1 – litera c
|
|
Tekst proponowany przez Komisję |
Poprawka |
c) sprawdza się poprzednie miejsca zatrudnienia, kształcenia oraz wszelkie luki w kształceniu lub zatrudnieniu w życiorysie danej osoby w okresie co najmniej pięciu poprzednich lat, a maksymalnie dziesięciu. |
c) w wyjątkowych przypadkach i na podstawie kryteriów krajowych, sprawdza się poprzednie miejsca zatrudnienia, kształcenia oraz wszelkie luki w kształceniu lub zatrudnieniu w życiorysie danej osoby w okresie co najmniej pięciu poprzednich lat, a maksymalnie dziesięciu. |
Poprawka 36
Wniosek dotyczący dyrektywy
Artykuł 13 – ustęp 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi incydenty, które w znacznym stopniu zakłócają lub mogą potencjalnie w znacznym stopniu zakłócać ich funkcjonowanie. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność. |
1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi tylko incydenty, które w znacznym stopniu zakłócają lub ich funkcjonowanie, aby uniknąć nadmiaru informacji i niepotrzebnego przepływu danych oraz aby zagwarantować skuteczne funkcjonowanie organów krajowych i podmiotów prywatnych. Zgłoszenia muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, jak również aby określić wszelki wpływ transgraniczny danego incydentu. Zgłoszenie takie nie może narażać podmiotów krytycznych na zwiększoną odpowiedzialność. |
Poprawka 37
Wniosek dotyczący dyrektywy
Artykuł 13 – ustęp 2 – litera -a (nowa)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
-a) wpływ na życie ludzkie i skutki dla środowiska; |
Poprawka 38
Wniosek dotyczący dyrektywy
Artykuł 13 – ustęp 2 – litera c
|
|
Tekst proponowany przez Komisję |
Poprawka |
c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie. |
c) obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie, z uwzględnieniem tego, czy obszar jest geograficznie odizolowany. |
Poprawka 39
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 2 – akapit 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
2. Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych może zaprosić do udziału w swoich pracach przedstawicieli zainteresowanych stron. |
2. Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji. Jeżeli jest to konieczne do wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych może zaprosić do udziału w swoich pracach przedstawicieli odpowiednich stron, zachęcając do zaangażowania MŚP, społeczeństwo obywatelskie oraz związki zawodowe, zwłaszcza jeśli chodzi o aspekty szkoleniowe. |
Poprawka 40
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu propagowania strategicznej współpracy i wymiany informacji. |
5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie co najmniej raz w roku z Grupą ds. Współpracy ustanowioną zgodnie z [dyrektywą NIS 2] w celu ułatwienia strategicznej współpracy i wymiany informacji. |
Poprawka 41
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 7 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
7a. Grupa ds. Odporności Podmiotów Krytycznych, w duchu współpracy w dziedzinie bezpieczeństwa i otwartego dostępu, może udostępnić, na wniosek, swoje ustalenia i dane źródłowe do wykorzystania w środowisku akademickim, badaniach nad bezpieczeństwem oraz do innych pożytecznych zastosowań. Wnioski o dostęp powinny być umotywowane i uzasadnione, a dostarczone dane powinny respektować podstawowe prawa osób i być proporcjonalne do wpływu na dane podmioty. |
Poprawka 42
Wniosek dotyczący dyrektywy
Artykuł 16 – ustęp 7 b (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
7b. Komisja tworzy wspólny sekretariat dla Grupy ds. Odporności Podmiotów Krytycznych i Grupy ds. Współpracy ustanowionej zgodnie z [dyrektywą NIS 2], aby usprawnić komunikację między tymi dwiema grupami, a w konsekwencji zminimalizować niejasności między różnymi organami wyznaczonymi na mocy niniejszej dyrektywy i [dyrektywy NIS 2]. |
Poprawka 43
Wniosek dotyczący dyrektywy
Artykuł 17 – ustęp 2 a (nowy)
|
|
Tekst proponowany przez Komisję |
Poprawka |
|
2a. W celu otrzymania i właściwego wykorzystania informacji przekazywanych na mocy art. 8 ust. 3 Komisja prowadzi europejski rejestr incydentów w celu opracowania i wymiany najlepszych praktyk i metodologii. |
Poprawka 44
Wniosek dotyczący dyrektywy
Artykuł 22 – akapit 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy] i zawiera w szczególności ocenę konieczności rozszerzenia zakresu dyrektywy na sektor produkcji, przetwórstwa i dystrybucji żywności. |
Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdania na ten temat. Sprawozdanie to zawiera w szczególności ocenę wpływu i wartości dodanej niniejszej dyrektywy, jeżeli chodzi o zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności rozszerzenia zakresu dyrektywy na inne sektory lub podsektory. Pierwsze sprawozdanie składane jest najpóźniej do dnia [sześć lat po wejściu w życie niniejszej dyrektywy]. W tym celu i z myślą o dalszym rozwoju współpracy strategicznej Komisja uwzględnia wszelkie niewiążące wytyczne Grupy ds. Odporności Podmiotów Krytycznych dotyczące doświadczeń zdobytych na poziomie strategicznym. |
Poprawka 45
Wniosek dotyczący dyrektywy
Załącznik – punkt 5. Zdrowie (nowy)
|
||
Tekst proponowany przez Komisję |
||
Sektor |
Podsektor |
Rodzaj podmiotu |
|
||
Poprawka |
||
|
|
Podmioty posiadające pozwolenie na dystrybucję, o którym mowa w art. 79 dyrektywy 2001/83/WE |
Poprawka 46
Wniosek dotyczący dyrektywy
Załącznik – punkt 8 a (nowy)
|
||
Tekst proponowany przez Komisję |
||
Sektor |
Podsektor |
Rodzaj podmiotu |
|
||
Poprawka |
||
Żywność |
Rynek hurtowy |
— Przedsiębiorstwa sektora spożywczego, o których mowa w załączniku I do rozporządzenia (WE) nr 853/2004 (1a) |
1a Rozporządzenie (WE) nr 853/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. ustanawiające szczególne przepisy dotyczące higieny w odniesieniu do żywności pochodzenia zwierzęcego (Dz.U. L 139 z 30.4.2004, s. 39). |
PROCEDURA W KOMISJI OPINIODAWCZEJ
Tytuł |
Odporność podmiotów krytycznych |
|||
Odsyłacze |
COM(2020)0829 – C9-0421/2020 – 2020/0365(COD) |
|||
Komisja przedmiotowo właściwa Data ogłoszenia na posiedzeniu |
LIBE 11.2.2021 |
|
|
|
Opinia wydana przez Data ogłoszenia na posiedzeniu |
ITRE 11.2.2021 |
|||
Zaangażowane komisje - data ogłoszenia na posiedzeniu |
29.4.2021 |
|||
Sprawozdawca(czyni) komisji opiniodawczej Data powołania |
Nils Torvalds 15.2.2021 |
|||
Rozpatrzenie w komisji |
26.5.2021 |
|
|
|
Data przyjęcia |
1.7.2021 |
|
|
|
Wynik głosowania końcowego |
+: –: 0: |
58 0 14 |
||
Posłowie obecni podczas głosowania końcowego |
Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Paolo Borchia, Marc Botenga, Markus Buchheit, Martin Buschmann, Cristian-Silviu Buşoi, Jerzy Buzek, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Bart Groothuis, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Joëlle Mélin, Iskra Mihaylova, Dan Nica, Angelika Niebler, Ville Niinistö, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Jérôme Rivière, Robert Roos, Massimiliano Salini, Sara Skyttedal, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Patrizia Toia, Evžen Tošenovský, Marie Toussaint, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho |
|||
Zastępcy obecni podczas głosowania końcowego |
Klemen Grošelj, Alicia Homs Ginel, Elena Lizzi, Jutta Paulus, Susana Solís Pérez, Nils Torvalds |
GŁOSOWANIE KOŃCOWE W FORMIE GŁOSOWANIA IMIENNEGO
W KOMISJI OPINIODAWCZEJ
58 |
+ |
NI |
Martin Buschmann, Clara Ponsatí Obiols, Viktor Uspaskich |
PPE |
François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Markus Pieper, Massimiliano Salini, Sara Skyttedal, Riho Terras, Henna Virkkunen, Pernille Weiss |
Renew |
Nicola Beer, Nicola Danti, Valter Flego, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Iskra Mihaylova, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds |
S&D |
Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Robert Hajšel, Alicia Homs Ginel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Dan Nica, Tsvetelina Penkova, Patrizia Toia, Carlos Zorrinho |
The Left |
Marisa Matias |
Verts/ALE |
Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Jutta Paulus, Manuela Ripa, Marie Toussaint |
14 |
0 |
ECR |
Izabela-Helena Kloc, Robert Roos, Jessica Stegrud, Beata Szydło, Grzegorz Tobiszowski, Evžen Tošenovský |
ID |
Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Joëlle Mélin, Jérôme Rivière, Isabella Tovaglieri |
The Left |
Marc Botenga |
Objaśnienie używanych znaków:
+ : za
- : przeciw
0 : wstrzymało się
OPINIA KOMISJI RYNKU WEWNĘTRZNEGO I OCHRONY KONSUMENTÓW (23.7.2021)
dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych
(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))
Sprawozdawca komisji opiniodawczej: Alex Agius Saliba
(*) Zaangażowana komisja – art. 57 Regulaminu
ZWIĘZŁE UZASADNIENIE
16 grudnia 2020 r. Komisja przedstawiła wniosek dotyczący dyrektywy w sprawie odporności podmiotów krytycznych wraz z towarzyszącą mu oceną skutków. Wniosek ten opiera się na przeprowadzonej w 2019 r. ocenie wdrożenia dyrektywy 2008/114/WE w sprawie europejskiej infrastruktury krytycznej. Biorąc pod uwagę znaczenie cyberbezpieczeństwa dla odporności podmiotów krytycznych, Komisja przedłożyła równocześnie wniosek dotyczący zmienionej dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych („NIS 2”). Aby zapewnić pełną spójność, obowiązki związane z odpornością w zakresie cyberbezpieczeństwa wynikające NIS 2 miałyby również zastosowanie do podmiotów krytycznych wskazanych w nowym wniosku.
Wniosek dotyczący dyrektywy w sprawie odporności podmiotów krytycznych odzwierciedla odejście od obecnego podejścia, które polega na ochronie pojedynczych składników infrastruktury i przejście w kierunku zwiększania odporności podmiotów krytycznych, które wykorzystują tę infrastrukturę. Na mocy wniosku państwa członkowskie będą zobowiązane do przyjmowania strategii krajowych i przeprowadzania regularnych ocen ryzyka. Również na podmioty krytyczne nakłada się obowiązki, których celem jest zwiększanie odporność tych podmiotów i ich zdolności do świadczenia usług kluczowych. Procedura identyfikacji podmiotów krytycznych byłaby inna niż ta określona w dyrektywie w sprawie europejskiej infrastruktury krytycznej. Komisja sprawowałaby również szczególny nadzór nad podmiotami krytycznymi o szczególnym znaczeniu europejskim.
Sprawozdawca komisji opiniodawczej w znacznej mierze popiera wniosek dotyczący dyrektywy w sprawie odporności podmiotów krytycznych i uważa, że istotne jest, by komisja IMCO uznała, że istniejące na szczeblu UE środki ochrony usług kluczowych i infrastruktury przed zagrożeniami fizycznymi wymagają aktualizacji. Mając na uwadze, że między sektorami, podmiotami i usługami na rynku wewnętrznym jest coraz więcej powiązań, niezwykle ważne jest, by zwiększyć odporności podmiotów krytycznych w państwach członkowskich i stworzyć bardziej wyrównane warunki działania podmiotów krytycznych w całej Unii.
Komisja IMCO jest komisją zaangażowaną zgodnie z art. 57 Regulaminu i posiada kompetencje dzielone w odniesieniu do kwestii, które wchodzą w zakres uprawnień komisji IMCO i mają na celu poprawę funkcjonowania rynku wewnętrznego.
Zakres i definicje
Sprawozdawca komisji opiniodawczej z zadowoleniem przyjmuje rozszerzenie zakresu dyrektywy, ponieważ umożliwia to włączenie nowych sektorów, które nie korzystały dotąd ze szczególnych środków ochrony. Sprawozdawca uważa jednak, że należy jasno określić ogólny cel, jakim jest zapewnienie wysokiego poziomu odporności podmiotów krytycznych i infrastruktury podstawowej oraz zapewnienie świadczenia usług kluczowych w celu poprawy funkcjonowania rynku wewnętrznego.
Ponadto, tam gdzie to możliwe, sprawozdawca starał się zapewnić większą spójność i harmonizację dyrektywy w sprawie odporności podmiotów krytycznych z dyrektywą NIS 2, w szczególności w odniesieniu do zakresu i definicji. W tym celu sprawozdawca zdecydowanie opowiada się za tym, by fizyczna ochrona niezwiązana z cyberbezpieczeństwem na mocy proponowanej dyrektywy w sprawie odporności podmiotów krytycznych była wyraźnie oddzielona od wymogów zawartych w dyrektywie NIS 2. Można to zapewnić poprzez wyraźne rozróżnienie w definicji „odporności” zawartej w art. 2 ust. 2. Ponadto proponuje zestaw dobrze sformułowanych definicji obejmujących między innymi „podmioty krytyczne”, „odporność”, „incydent” i „infrastrukturę podstawową”.
Strategia i ocena ryzyka przez państwa członkowskie
Sprawozdawca z zadowoleniem przyjmuje strategię, która zwiększa odporność podmiotów krytycznych, a także ocenę ryzyka, którą przeprowadzać muszą poszczególne państwa członkowskie. Sprawozdawca proponuje jednak, aby zwiększyć zaangażowanie podmiotów krytycznych i zainteresowanych stron oraz częściej zasięgać ich opinii. Ściślejsza współpraca ma duże znaczenie dla osiągnięcia celów niniejszej dyrektywy, ponieważ przedsiębiorstwa te świadczą usługi niezbędne do sprawnego funkcjonowania codziennego życia obywateli. Sprawozdawca uznaje również znaczenie zarządzania ryzykiem związanym z łańcuchem dostaw i dostawcami, jeżeli korzystają z nich podmioty krytyczne. Jest ono istotne dla zapewnienia wkładu łańcuchów dostaw w odporność podmiotów będących odbiorcami dostaw.
Wskazanie podmiotów krytycznych
Sprawozdawca popiera założenie, że państwa członkowskie będą musiały wskazać podmioty krytyczne w najważniejszych sektorach, o których mowa w załączniku. Wyjaśnia jednak, że obowiązek ten dotyczy tych sektorów i podsektorów wymienionych w załączniku, które istnieją w danym państwie członkowskim i w których podmioty krytyczne są głównymi dostawcami usług koniecznych do utrzymania niezbędnych funkcji społecznych lub działalności gospodarczej. Dlatego sprawozdawca przedstawił propozycje w tym zakresie.
Właściwe organy i pojedynczy punkt kontaktowy
Sprawozdawca uznaje znaczenie właściwego nadzoru i zacieśnionej współpracy między właściwymi organami państw członkowskich. Zauważa jednak, że potrzebne są pojedyncze punkty kontaktowe, które pełniłyby funkcje łącznikowe i koordynacyjne pomiędzy podmiotami krytycznymi, właściwymi organami i innymi pojedynczymi punktami kontaktowymi oraz Grupą ds. Odporności Podmiotów Krytycznych. Pojedynczy punkt kontaktowy powinien również uprościć i ujednolicić kanały sprawozdawczości (zasada jednego punktu kontaktowego).
Zgłaszanie incydentów
Sprawozdawca uważa, że incydenty, które znacząco zakłócają funkcjonowanie podmiotów krytycznych i naruszają interes publiczny, trzeba zgłaszać nie tylko właściwym organom – za pośrednictwem pojedynczego punktu kontaktowego – ale także opinii publicznej lub, w razie konieczności, użytkownikom, których one dotyczą. Sprawozdawca proponuje również, aby sprecyzować niektóre wymogi dotyczące zgłaszania incydentów, do których jeszcze nie doszło, oraz przedstawia dodatkowe wytyczne dotyczące progów sprawozdawczości.
POPRAWKI
Komisja Rynku Wewnętrznego i Ochrony Konsumentów zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, jako komisji przedmiotowo właściwej, o wzięcie pod uwagę następujących poprawek:
Poprawka 1
Wniosek dotyczący dyrektywy
Motyw 1
|
|
Tekst proponowany przez Komisję |
Poprawka |
(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów mogących zakłócić funkcjonowanie podmiotu krytycznego oraz dostosowania się do nich i usunięcia ich skutków. |
(1) Dyrektywa Rady 2008/114/WE17 przewiduje procedurę wyznaczania europejskich infrastruktur krytycznych w sektorach energii i transportu, których zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny w co najmniej dwóch państwach członkowskich. W dyrektywie tej skoncentrowano się wyłącznie na ochronie takich infrastruktur. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r.18 wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia na podejście zapewniające odporność podmiotów krytycznych, a mianowicie ich zdolność do łagodzenia i tłumienia incydentów lub zagrożeń mogących zakłócić funkcjonowanie podmiotu krytycznego, funkcjonowanie rynku wewnętrznego i swobodny przepływ usług kluczowych oraz ich zdolność dostosowania się do tych incydentów lub zagrożeń i usunięcia ich skutków. |
__________________ |
__________________ |
17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75). |
17 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75). |
18 SWD(2019) 308. |
18 SWD(2019) 308. |
Poprawka 2
Wniosek dotyczący dyrektywy
Motyw 2
|
|
Tekst proponowany przez Komisję |
Poprawka |
(2) Mimo istniejących środków na poziomie unijnym[1] i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającym się zagrożeniem terrorystycznym i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność i skuteczność niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich. |
(2) Mimo istniejących środków na poziomie unijnym19 i krajowym mających na celu wsparcie ochrony infrastruktur krytycznych w Unii podmioty będące operatorami tych infrastruktur nie są odpowiednio przygotowane do reagowania na obecne i przewidywane ryzyko dla ich funkcjonowania, które może prowadzić do zakłóceń świadczenia usług koniecznych do pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. Wynika to z dynamicznego krajobrazu zagrożeń charakteryzującego się rozwijającym się zagrożeniem terrorystycznym i rosnącymi współzależnościami między infrastrukturami i sektorami, a także ze zwiększonego fizycznego ryzyka związanego z klęskami żywiołowymi i zmianą klimatu, które przyczynia się do zwiększenia częstotliwości i skali ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolność i skuteczność niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu odporności lub przystosowania się do zmiany klimatu. Ponadto odpowiednich sektorów i rodzajów podmiotów nie uznaje się konsekwentnie za krytyczne we wszystkich państwach członkowskich.Ze względu na coraz większe międzysektorowe i transgraniczne współzależności między infrastrukturami krytycznymi incydent w jednym państwie członkowskim może poważnie wpłynąć na działania w innym państwie członkowskim. Aby osiągnąć wysoki poziom odporności infrastruktury krytycznej w całej Unii, usługi kluczowe i infrastruktura podstawowa powinny być chronione i odporne we wszystkich państwach członkowskich. |
Poprawka 3
Wniosek dotyczący dyrektywy
Motyw 3
|
|
Tekst proponowany przez Komisję |
Poprawka |
(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka. |
(3) Te rosnące współzależności są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług kluczowych wykorzystującej kluczowe infrastruktury w całej Unii w sektorach energii, transportu, bankowości, infrastruktury rynku finansowego, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także w sektorze kosmicznym – w zakresie obejmującym świadczenie niektórych usług zależnych od naziemnych infrastruktur, których właścicielami są, którymi zarządzają i które obsługują albo państwa członkowskie, albo podmioty prywatne, czyli z pominięciem infrastruktur, których właścicielem jest, którymi zarządza lub które obsługuje Unia lub odbywa się to w jej imieniu w ramach unijnych programów kosmicznych. Współzależności te oznaczają, że jakiekolwiek zakłócenie usług kluczowych – nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora – może wywołać szerzej zakrojony efekt kaskadowy, potencjalnie prowadzący do daleko idącego i długotrwałego negatywnego wpływu na świadczenie tych usług na rynku wewnętrznym, w tym wpływu na osoby fizyczne, konsumentów i przedsiębiorstwa. Pandemia COVID-19 uwidoczniła podatność naszych w coraz większym stopniu współzależnych społeczeństw w obliczu mało prawdopodobnego ryzyka. |
Poprawka 4
Wniosek dotyczący dyrektywy
Motyw 4
|
|
Tekst proponowany przez Komisję |
Poprawka |
(4) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, może nie tylko negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, lecz prowadzi również do powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. |
(4) Podmioty zaangażowane w świadczenie usług kluczowych i funkcjonowanie infrastruktury podstawowej w coraz większym stopniu podlegają zróżnicowanym wymaganiom nakładanym na nie na gruncie prawa państw członkowskich. Fakt, iż niektóre państwa członkowskie mają mniej surowe wymagania w zakresie bezpieczeństwa względem tych podmiotów, nie tylko powoduje zróżnicowanie poziomów odporności i różnice w państwach członkowskich w odniesieniu do wyznaczania i kontroli podmiotów krytycznych, ale również negatywnie wpływa na utrzymanie niezbędnych funkcji społecznych lub działalności gospodarczej w Unii, a także prowadzi do nieuczciwej konkurencji i powstania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. W niektórych państwach członkowskich, lecz nie we wszystkich, za krytyczne uznaje się podobne rodzaje podmiotów, a podmioty wskazane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. Dlatego skutkiem ram europejskich powinno być również zrównanie warunków działania podmiotów krytycznych w całej Unii. |
Poprawka 5
Wniosek dotyczący dyrektywy
Motyw 5
|
|
Tekst proponowany przez Komisję |
Poprawka |
(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych. |
(5) Konieczne jest zatem wprowadzenie zharmonizowanych norm minimalnych celem zapewnienia świadczenia i swobodnego przepływu usług kluczowych na rynku wewnętrznym oraz zwiększenia odporności podmiotów krytycznych i infrastruktury podstawowej koniecznej do niezbędnych działań społecznych i gospodarczych w Unii. Celem niniejszej dyrektywy powinno być zatem uczynienie infrastruktury krytycznej i podmiotów krytycznych odpornymi, a tym samym zwiększenie ich zdolności do zapewnienia nieprzerwanego świadczenia usług kluczowych lub funkcjonowania infrastruktury podstawowej lub przynajmniej do szybkiego przywrócenia sprawności po wystąpieniu incydentu. Operatorzy infrastruktury krytycznej świadczący usługi kluczowe na całym rynku wewnętrznym w różnych sektorach niezbędnych ze względu na podstawowe funkcje społeczne i działalność gospodarczą, powinni stać się odporni na zagrożenia obecne i przewidywane w przyszłości. |
Poprawka 6
Wniosek dotyczący dyrektywy
Motyw 6
|
|
Tekst proponowany przez Komisję |
Poprawka |
(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które z kolei powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka. |
(6) Aby osiągnąć ten cel, państwa członkowskie powinny wskazać podmioty krytyczne, które świadczą usługi kluczowe lub zapewniają infrastrukturę podstawową i wchodzą w zakres określonych w załączniku sektorów i podsektorów; te podmioty krytyczne powinny podlegać szczególnym wymogom i nadzorowi, otrzymując jednak również szczególne wsparcie i wytyczne mające na celu osiągnięcie wysokiego poziomu odporności w obliczu wszystkich istotnych czynników ryzyka i potencjalnych kryzysów. |
Poprawka 7
Wniosek dotyczący dyrektywy
Motyw 8
|
|
Tekst proponowany przez Komisję |
Poprawka |
(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 [proponowaną dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej „dyrektywa NIS 2”)]. Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. |
(8) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie spójność, niezbędne jest, aby w miarę możliwości zachować spójne podejście między niniejszą dyrektywą a dyrektywą Parlamentu Europejskiego i Rady (UE) XX/YY20 („dyrektywa NIS 2”). Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą NIS 2 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy że w dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej. Zapewnić należy spójne podejście do tych aktów, np. przez zagwarantowanie, że podmioty objęte systemem NIS 2, które mogą podlegać obowiązkom wynikającym z niniejszej dyrektywy, w miarę możliwości, skorzystają z pojedynczego punktu kontaktowego i wspólnego zbioru przepisów. W związku z tym nadzór nad podmiotami wskazanymi jako krytyczne lub równoważne z podmiotami krytycznymi zgodnie z niniejszą dyrektywą, w sprawach wchodzących w zakres dyrektywy NIS 2 będzie należał do obowiązków właściwych organów wyznaczonych na mocy dyrektywy NIS 2. Ponadto podmioty, które zostały wskazane jako podmioty krytyczne na mocy dyrektywy NIS 2, ale nie zostały uznane za podmioty krytyczne na mocy niniejszej dyrektywy, powinny również, w stosownych przypadkach, zwiększyć odporność swojej infrastruktury fizycznej. |
__________________ |
__________________ |
20 [Odniesienie do dyrektywy NIS 2, po jej przyjęciu]. |
20 Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148 (Dz.U. L ... z ..., s. ..). |
Poprawka 8
Wniosek dotyczący dyrektywy
Motyw 10
|
|
Tekst proponowany przez Komisję |
Poprawka |
(10) W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych każde państwo członkowskie powinno dysponować strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, państwa członkowskie powinny zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami, o których mowa w niniejszej dyrektywie i w dyrektywie NIS 2, w zakresie wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych. |
W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych – a także biorąc pod uwagę cele unijnej strategii w dziedzinie odporności opracowanej przez Grupę ds. Odporności Podmiotów Krytycznych – każde państwo członkowskie powinno przyjąć krajową strategią określającą cele i środki z zakresu polityki, które należy wdrożyć. Aby to osiągnąć, państwa członkowskie powinny zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami, o których mowa w niniejszej dyrektywie i w dyrektywie NIS 2, w zakresie wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych. |
Poprawka 9
Wniosek dotyczący dyrektywy
Motyw 11
|
|
Tekst proponowany przez Komisję |
Poprawka |
(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie. |
(11) Podstawą działań państw członkowskich mających na celu wskazanie i przyczynienie się do zapewnienia odporności podmiotów krytycznych powinno być podejście oparte na analizie ryzyka, w ramach którego starania skupiają się na podmiotach najważniejszych dla świadczenia usług kluczowych niezbędnych do pełnienia funkcji społecznych lub prowadzenia działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić – w zharmonizowanych ramach – ocenę wszystkich istotnych zagrożeń, w tym międzysektorowych i transgranicznych, naturalnych i spowodowanych przez człowieka, które mogą wpływać na świadczenie usług kluczowych, w tym wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych. Dokonując takich ocen ryzyka, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawa Unii oraz powinny wziąć pod uwagę zależności między sektorami, w tym sektorami z innych państw członkowskich i państw trzecich, a także ryzyka dla populacji ogólnej lub rynku wewnętrznego. Państwa członkowskie nie powinny uważać za ryzyko zwykłego ryzyka prowadzenia działalności gospodarczej wynikającego z warunków rynkowych lub wszelkiego ryzyka wynikającego z demokratycznego podejmowania decyzji. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych i wspierania tych podmiotów w spełnianiu wymogów dotyczących odporności przewidzianych w niniejszej dyrektywie. |
Poprawka 10
Wniosek dotyczący dyrektywy
Motyw 12
|
|
Tekst proponowany przez Komisję |
Poprawka |
(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki. Należy zatem określić kryteria dotyczące wskazywania podmiotów krytycznych. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi. |
(12) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte tymi wymogami, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne wskazywanie podmiotów krytycznych na terenie Unii, umożliwiając przy tym państwom członkowskim odzwierciedlenie ich krajowej specyfiki w wymienionych w załączniku sektorach i podsektorach na ich terytorium. Należy zatem określić – w ścisłej współpracy z właściwymi organami – wspólne kryteria i specyfikacje dotyczące wskazywania podmiotów krytycznych, oparte na minimalnych wskaźnikach i metodykach dla każdego sektora i podsektora. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić również odpowiednie przepisy dotyczące zgłaszania i współpracy w związku z takim wskazywaniem oraz jego skutki prawne. W celu umożliwienia Komisji oceny prawidłowego stosowania niniejszej dyrektywy państwa członkowskie powinny przekazać Komisji, w sposób jak najbardziej szczegółowy i konkretny, odpowiednie informacje i, w każdym wypadku, wykaz podmiotów krytycznych, liczbę podmiotów krytycznych wskazanych w każdym sektorze i podsektorze, o których mowa w załączniku, oraz usługę kluczową lub usługi kluczowe, które świadczy każdy z tych podmiotów, a także wszelkie zastosowane progi. Aby uniknąć rozbieżnego stosowania niniejszej dyrektywy i poprawić funkcjonowanie rynku wewnętrznego, Komisja we współpracy z państwami członkowskimi powinna przedstawić szczegółowe wytyczne i zalecenia w celu wsparcia państw członkowskich w określaniu wykazu usług kluczowych i infrastruktury oraz podmiotów krytycznych dla każdego krajowego sektora i podsektora, o których mowa w załączniku. |
Poprawka 11
Wniosek dotyczący dyrektywy
Motyw 15
|
|
Tekst proponowany przez Komisję |
Poprawka |
(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany. |
(15) W dorobku prawnym UE dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Obejmuje on rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/201222, dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE23 i rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/201424, a także rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/201325 i dyrektywę Parlamentu Europejskiego i Rady 2013/36/UE26. Niedawno Komisja zaproponowała uzupełnienie tych ram rozporządzeniem Parlamentu Europejskiego i Rady XX/YYYY [proponowane rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej „rozporządzenie DORA”)27], w którym określono wymagania względem przedsiębiorstw finansowych dotyczące zarządzania ryzykiem związanym z ICT, w tym ochrony fizycznych infrastruktur ICT. Ponieważ odporność podmiotów wymienionych w załączniku pkt 3 i 4 jest kompleksowo uregulowana w dorobku prawnym UE dotyczącym usług finansowych, podmioty te również należy traktować jako równoważne z podmiotami krytycznymi wyłącznie do celów rozdziału II niniejszej dyrektywy; w związku z tym nie powinny one podlegać obowiązkom określonym w rozdziałach III–VI. Aby zapewnić spójne stosowanie przepisów dotyczących ryzyka operacyjnego i odporności cyfrowej w sektorze finansowym, wsparcia ze strony państw członkowskich w zwiększaniu ogólnej odporności podmiotów finansowych równoważnych z podmiotami krytycznymi powinny udzielać organy wyznaczone zgodnie z art. 41 [rozporządzenia DORA] oraz powinno ono podlegać procedurom określonym w tych przepisach w sposób w pełni zharmonizowany. |
__________________ |
__________________ |
22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1). |
22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1). |
23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349). |
23 Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349). |
24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84). |
24 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84). |
25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1). |
25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1). |
26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338). |
26 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338). |
27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595. |
27 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 – COM(2020) 595. |
Poprawka 12
Wniosek dotyczący dyrektywy
Motyw 16
|
|
Tekst proponowany przez Komisję |
Poprawka |
(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym. |
(16) Państwa członkowskie powinny wyznaczyć organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice w krajowych strukturach zarządzania oraz w celu zabezpieczenia obowiązujących już ustaleń sektorowych lub unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania państwa członkowskie powinny móc wyznaczać więcej niż jeden właściwy organ. W takim wypadku powinny one jednak wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi właściwymi organami, zarówno na szczeblu krajowym, jak i szczeblu unijnym. |
Poprawka 13
Wniosek dotyczący dyrektywy
Motyw 17
|
|
Tekst proponowany przez Komisję |
Poprawka |
(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie. |
(17) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla unijnych wymogów prawnych dotyczących danego sektora, wyznaczyć – w ramach jednego z organów wskazanych jako właściwe organy na podstawie niniejszej dyrektywy – pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii w tym zakresie. Pojedyncze punkty kontaktowe powinny również pełnić funkcję łącznika między właściwymi organami odpowiedniego państwa członkowskiego a pojedynczymi punktami kontaktowymi innych państw członkowskich, a także Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na mocy niniejszej dyrektywy i podmiotami uznanymi na mocy niniejszej dyrektywy za podmioty krytyczne; powinny one także koordynować wszelką komunikację między wszystkimi tymi podmiotami. W celu ułatwienia współpracy i komunikacji z państwami członkowskimi podmioty wskazane jako podmioty krytyczne zgodnie z niniejszą dyrektywą powinny również wyznaczyć referencyjny punkt kontaktowy w ramach danego podmiotu. Referencyjny punkt kontaktowy powinien być wykorzystywany przez podmiot krytyczny do kontaktów, koordynacji i komunikacji z państwami członkowskimi w kwestii środków dotyczących aspektów organizacyjnych i technicznych związanych z wdrożeniem niniejszej dyrektywy. W tym celu pojedyncze punkty kontaktowe powinny korzystać ze skutecznych, bezpiecznych, znormalizowanych i zharmonizowanych kanałów sprawozdawczości. |
Poprawka 14
Wniosek dotyczący dyrektywy
Motyw 18
|
|
Tekst proponowany przez Komisję |
Poprawka |
(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. |
(18) Zważywszy, że zgodnie z dyrektywą NIS 2 podmioty wskazane jako podmioty krytyczne, a także podmioty wskazane w sektorze infrastruktury cyfrowej, które należy traktować jako równoważne na podstawie niniejszej dyrektywy, podlegają wymaganiom dotyczącym cyberbezpieczeństwa przewidzianym w dyrektywie NIS 2, właściwe organy wyznaczone na podstawie obu tych dyrektyw powinny ze sobą współpracować w skuteczny i spójny sposób, w szczególności w odniesieniu do ryzyka w cyberprzestrzeni i incydentów mających wpływ na te podmioty. |
Poprawka 15
Wniosek dotyczący dyrektywy
Motyw 19
|
|