Indeks 
 Forrige 
 Næste 
 Fuld tekst 
Procedure : 2013/0027(COD)
Forløb i plenarforsamlingen
Dokumentforløb : A7-0103/2014

Indgivne tekster :

A7-0103/2014

Forhandlinger :

PV 12/03/2014 - 15
CRE 12/03/2014 - 15

Afstemninger :

PV 13/03/2014 - 14.8
Stemmeforklaringer

Vedtagne tekster :

P7_TA(2014)0244

Vedtagne tekster
PDF 487kWORD 188k
Torsdag den 13. marts 2014 - Strasbourg
Højt fælles niveau for net- og informationssikkerhed ***I
P7_TA(2014)0244A7-0103/2014
Beslutning
 Konsolideret tekst

Europa-Parlamentets lovgivningsmæssige beslutning af 13. marts 2014 om forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD))

(Almindelig lovgivningsprocedure: førstebehandling)

Europa-Parlamentet,

–  der henviser til Kommissionens forslag til Europa-Parlamentet og Rådet (COM(2013)0048),

–  der henviser til artikel 294, stk. 2, og artikel 114 i traktaten om Den Europæiske Unions funktionsmåde, på grundlag af hvilke Kommissionen har forelagt forslaget for Parlamentet (C7‑0035/2013),

–  der henviser til artikel 294, stk. 3, i traktaten om Den Europæiske Unions funktionsmåde,

–  der henviser til den begrundede udtalelse, som inden for rammerne af protokol nr. 2 om anvendelse af nærhedsprincippet og proportionalitetsprincippet er blevet forelagt af den svenske Riksdag, om at udkastet til lovgivningsmæssig retsakt ikke overholder nærhedsprincippet,

–  der henviser til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg af 22. maj 2013(1),

–  der henviser til sin beslutning af 12. september 2013 om EU's strategi for cybersikkerhed: "Et åbent, sikkert og beskyttet cyberspace"(2),

–  der henviser til forretningsordenens artikel 55,

–  der henviser til betænkning fra Udvalget om det Indre Marked og Forbrugerbeskyttelse og udtalelser fra Udvalget om Industri, Forskning og Energi og Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender og Udenrigsudvalget (A7-0103/2014),

1.  vedtager nedenstående holdning ved førstebehandling;

2.  anmoder om fornyet forelæggelse, hvis Kommissionen agter at ændre sit forslag i væsentlig grad eller erstatte det med en anden tekst;

3.  pålægger sin formand at sende Parlamentets holdning til Rådet og Kommissionen samt til de nationale parlamenter.

(1) EUT C 271 af 19.9.2013, s. 133.
(2) Vedtagne tekster, P7_TA(2013)0376.


Europa-Parlamentets holdning fastlagt ved førstebehandlingen den 13. marts 2014 med henblik på vedtagelse af Europa-Parlamentets og Rådets direktiv 2014/.../EU om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele Unionen
P7_TC1-COD(2013)0027

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR –

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg(1),

efter den almindelige lovgivningsprocedure(2) og

ud fra følgende betragtninger:

(1)  Net og informationssystemer og -tjenester spiller en afgørende rolle i samfundet. Det er af afgørende betydning for EU-borgernes frihed og generelle sikkerhed samt for de økonomiske aktiviteter og den sociale velfærd og navnlig for et velfungerende indre marked, at de er pålidelige og sikre. [Ændring 1]

(2)  Omfanget, og hyppigheden og konsekvenserne af forsætlige eller utilsigtede sikkerhedshændelser er tiltagende og udgør en alvorlig trussel for driften af net og informationssystemer. Disse systemer kan endvidere blive et let offer for forsætlige skadelige handlinger, som har til formål at ødelægge eller forstyrre systemernes drift. Sådanne hændelser kan hindre gennemførelsen af økonomiske aktiviteter, medføre betydelige finansielle tab, underminere brugernes og investorernes tillid og forårsage stor skade for Unionens økonomi og i sidste instans true EU-borgernes velbefindende og medlemsstaternes evne til at beskytte sig selv og garantere sikkerheden i forbindelse med kritiske infrastrukturer. [Ændring 2]

(3)  På grund af sin rolle som kommunikationsinstrument uden grænser spiller digitale informationssystemer og navnlig Internettet en væsentlig rolle, når det gælder at fremme grænseoverskridende bevægelighed for varer, tjenesteydelser og personer. På grund af den tværnationale karakter vil væsentlige forstyrrelser af sådanne systemer i én medlemsstat også kunne påvirke andre medlemsstater og Unionen som helhed. Net og informationssystemers robusthed og stabilitet er derfor afgørende for et velfungerende indre marked.

(3a)  Da almindelige årsager til systemfejl fortsat er utilsigtede, såsom naturlige årsager eller menneskelige fejl, bør infrastrukturen være modstandsdygtig over for både forsætlige og utilsigtede afbrydelser, og operatører af kritisk infrastruktur bør udforme robuste systemer. [Ændring 3]

(4)  Der bør etableres en samarbejdsmekanisme på EU-plan, som giver mulighed for informationsudveksling og koordineret forebyggelse, detektering og reaktion i forbindelse med net- og informationssikkerhed (NIS). Hvis denne mekanisme skal være effektiv og inklusiv, er det vigtigt, at alle medlemsstater har et minimum af kapacitet og en strategi, der sikrer en høj grad af net- og informationssikkerhed på deres område. Der bør også gælde minimumssikkerhedskrav for de offentlige myndigheder og operatørerne i hvert fald visse markedsoperatører af informationsinfrastruktur for at fremme en risikostyringskultur og sikre, at de mest alvorlige hændelser anmeldes. Børsnoterede virksomheder bør tilskyndes til at offentliggøre hændelser i deres regnskaber på frivillig basis. Lovrammen bør tage udgangspunkt i behovet for at beskytte borgernes privatliv og integritet. Informations- og varslingsnetværket vedrørende kritisk infrastruktur (CIWIN) bør udvides til også at omfatte de markedsoperatører, der er omfattet af dette direktiv. [Ændring 4]

(4a)  Mens offentlige myndigheder som følge af deres offentlige opgaver bør udvise fornøden omhu i forbindelse med forvaltningen og beskyttelsen af deres egne net og informationssystemer, bør dette direktiv fokusere på kritisk infrastruktur, der er af afgørende betydning for opretholdelsen af centrale økonomiske og samfundsmæssige aktiviteter på områderne energi, transport, bankvæsen, finansmarkedsinfrastrukturer og sundhed. Softwareudviklere og hardwarefabrikanter bør ikke være omfattet af dette direktivs anvendelsesområde. [Ændring 5]

(4b)  Samarbejde og koordination mellem de relevante EU-myndigheder og den højtstående repræsentant/næstformanden i Kommissionen med ansvar for den fælles udenrigs- og sikkerhedspolitik og den fælles sikkerheds- og forsvarspolitik samt EU-antiterrorkoordinatoren bør garanteres i tilfælde, hvor hændelser, der har en betydelig indvirkning, anses for at være udefrakommende og have karakter af terror. [Ændring 6]

(5)  For at dække alle relevante hændelser og risici bør dette direktiv gælde for alle net og informationssystemer. De forpligtelser, der pålægges offentlige myndigheder og markedsaktører bør dog ikke gælde for virksomheder, der udbyder offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, jf. Europa-Parlamentets og Rådets direktiv 2002/21/EF(3), og som er undergivet specifikke sikkerheds- og integritetskrav, der er fastlagt i det pågældende direktivs artikel 13a, og de bør heller ikke gælde for tillidstjenesteudbydere.

(6)  Den eksisterende kapacitet er ikke tilstrækkelig til at sikre et højt NIS-niveau i Unionen. Medlemsstaterne har meget forskellige beredskabsniveauer, hvilket giver en usammenhængende tilgang i Unionen som helhed. Det fører til et uensartet beskyttelsesniveau for forbrugere og virksomheder og undergraver det samlede NIS-niveau i Unionen. Manglende fælles minimumskrav til offentlige myndigheder og markedsaktører gør det også umuligt at iværksætte en overordnet og effektiv samarbejdsmekanisme på EU-plan. Universiteter og forskningscentre spiller en afgørende rolle med hensyn til at fremme forskning, udvikling og innovation på disse områder og bør modtage passende finansiering. [Ændring 7]

(7)  En effektiv reaktion på de sikkerhedsproblemer, der opstår i net og informationssystemer, forudsætter en samlet strategi på EU-plan, der omfatter fælles mindstekrav til kapacitetsopbygning og planlægning, udvikling af tilstrækkelige færdigheder inden for cybersikkerhed, udveksling af oplysninger og samordning af aktioner og fælles mindstesikkerhedskrav for alle berørte markedsaktører og offentlige myndigheder. De fælles mindstekrav bør anvendes i overensstemmelse med relevante anbefalinger fra koordinationsgrupperne om cybersikkerhed. [Ændring 8]

(8)  Bestemmelserne i dette direktiv bør ikke være til hinder for, at hver medlemsstat kan træffe de nødvendige foranstaltninger for at sikre beskyttelsen af sine væsentlige sikkerhedsinteresser, af hensyn til den offentlige orden og sikkerhed og for at tillade efterforskning, detektering og retsforfølgelse af straffelovsovertrædelser. I henhold til artikel 346 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) er ingen medlemsstat forpligtet til at meddele oplysninger, hvis udbredelse efter dens opfattelse ville stride mod dens væsentlige sikkerhedsinteresser. Ingen medlemsstat er forpligtet til at videregive Unionens klassificerede informationer, som defineret i Rådets afgørelse 2011/292/EU(4), informationer, der er undergivet hemmeligholdelsesaftaler, eller informationer, der er undergivet uformelle hemmeligholdelsesaftaler, som f.eks. Traffic Light Protocol. [Ændring 9]

(9)  Hver medlemsstat bør have en national NIS-strategi, der fastlægger de strategiske mål og konkrete politiske foranstaltninger, der skal gennemføres for at nå og bibeholde et fælles højt NIS-niveau. Der bør med udgangspunkt i mindstekravene i dette direktiv udvikles NIS-samarbejdsplaner på nationalt plan, som opfylder de væsentlige krav, for at opnå et beredskabsniveau, der giver mulighed for et effektivt og velfungerende samarbejde nationalt og på EU-plan i tilfælde af hændelser, samtidig med at privatlivets fred og personoplysninger respekteres og beskyttes. De enkelte medlemsstater bør derfor have pligt til at opfylde fælles standarder for formatet og udvekslingsegnetheden af de data, der skal udveksles og evalueres. Medlemsstaterne bør kunne anmode Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) om bistand til at udvikle deres nationale NIS-strategier med udgangspunkt i en fælles NIS-minimumsstrategiplan. [Ændring 10]

(10)  Med sigte på en effektiv gennemførelse af de bestemmelser, som vedtages i henhold til dette direktiv, bør der i hver medlemsstat oprettes eller udpeges et organ, som har til opgave at koordinere net- og informationssikkerhed og fungere som kontaktpunkt i forbindelse med grænseoverskridende samarbejde på EU-niveau. Disse organer bør have tilstrækkelige tekniske, finansielle og menneskelige ressourcer til at sikre, at de på en effektiv og virksom måde kan udføre de opgaver, som de pålægges, og dermed opfylde målene i dette direktiv.

(10a)  I betragtning af forskellene mellem nationale forvaltningsstrukturer og med henblik på at sikre allerede eksisterende sektorforanstaltninger eller Unionens tilsyns- og kontrolorganer og undgå overlapninger bør medlemsstaterne kunne udpege mere end én national kompetent myndighed med ansvar for udførelsen af de opgaver, som er knyttet til sikkerheden i markedsoperatørers net og informationssystemer, i henhold til dette direktiv. For at sikre et problemfrit samarbejde og en problemfri kommunikation på tværs af grænserne er det imidlertid nødvendigt, at hver medlemsstat, uden at det berører sektorspecifikke kontrolordninger, kun udpeger ét nationalt centralt kontaktpunkt, der er ansvarligt for samarbejdet på tværs af grænserne på EU-plan. En medlemsstat bør kunne udpege udelukkende én myndighed til at udføre den kompetente myndigheds og det centrale kontaktpunkts opgaver, såfremt den pågældende medlemsstats forfatningsmæssige struktur eller andre ordninger gør det nødvendigt. De kompetente myndigheder og de centrale kontaktpunkter bør være civile organer, der er underlagt fuldt demokratisk tilsyn, og de bør ikke udføre opgaver inden for efterretningsområdet, retshåndhævelsesområdet eller forsvarsområdet eller på nogen måde være organisationsmæssigt forbundet med organer, der er aktive på disse områder. [Ændring 11]

(11)  Alle medlemsstater og markedsoperatører bør være udstyret med passende teknisk og organisatorisk kapacitet til at forebygge, detektere, reagere på og afhjælpe NIS-hændelser og -risici på ethvert tidspunkt. De offentlige myndigheders sikkerhedssystemer bør være sikre og underlagt demokratisk tilsyn og kontrol. Almindeligt påkrævet udstyr og kapacitet bør overholde fælles tekniske standarder og standarddriftsprocedurer. Der bør derfor oprettes velfungerende it-beredskabsenheder (CERT), som opfylder de væsentlige krav, i alle medlemsstater for at sikre en effektiv og kompatibel kapacitet, der kan reagere på hændelser og risici og sikre et effektivt samarbejde på EU-plan. Disse it-beredskabsenheder bør kunne arbejde sammen med udgangspunkt i fælles tekniske standarder og standarddriftsprocedurer. Da de eksisterende it-beredskabsenheder er forskellige og dækker forskellige behov og aktører, bør medlemsstaterne garantere, at hver af de sektorer, der er omhandlet i listen over markedsoperatører i dette direktiv, modtager tjenester fra mindst én it-beredskabsenhed. I forbindelse med grænseoverskridende samarbejde mellem it-beredskabsenheder bør medlemsstaterne sikre, at it-beredskabsenhederne råder over tilstrækkelige midler til at kunne deltage i allerede eksisterende internationale samarbejdsnetværk og EU-samarbejdsnetværk. [Ændring 12]

(12)  Med udgangspunkt i de betydelige fremskridt inden for det europæiske forum for medlemsstaterne (EFMS) med at fremme drøftelser og udvekslinger om god politisk praksis, herunder udvikling af principper for et europæisk cyberkrisesamarbejde, bør medlemsstaterne og Kommissionen etablere et permanent kommunikationsnetværk og støtte deres samarbejde. Denne sikre og effektive samarbejdsmekanisme, i hvilken markedsoperatørerne i givet fald deltager, burde muliggøre en struktureret og koordineret informationsudveksling, detektering og indsats på EU-plan. [Ændring 13]

(13)  Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) bør bistå medlemsstaterne og Kommissionen med ekspertise og rådgivning og ved at fremme udveksling af bedste praksis. Kommissionen og medlemsstaterne bør navnlig rådføre sig med ENISA for så vidt angår anvendelsen af dette direktiv. For at sikre effektiv og rettidig information til medlemsstaterne og Kommissionen bør der udsendes tidlig varsling om hændelser og risici via samarbejdsnetværket. Med sigte på opbygning af kapacitet og viden blandt medlemsstaterne bør samarbejdsnetværket også fungere som et redskab til udveksling af bedste praksis til støtte for medlemmernes arbejde med kapacitetsopbygning, styring af tilrettelæggelse af peer reviews og NIS-øvelser. [Ændring 14]

(13a)  Medlemsstaterne bør, hvor det er hensigtsmæssigt, kunne benytte eller tilpasse eksisterende organisationsstrukturer eller -strategier, når de anvender dette direktivs bestemmelser. [Ændring 15]

(14)   Der bør oprettes en sikret infrastruktur til informationsudveksling for at give mulighed for udveksling af følsomme og fortrolige oplysninger inden for samarbejdsnetværket. Eksisterende strukturer inden for Unionen bør anvendes fuldt ud med dette formål for øje. Uden at dette berører medlemsstaternes pligt til at anmelde hændelser og risici med en EU-dimension til samarbejdsnetværket, bør adgangen til fortrolige oplysninger fra andre medlemsstater kun gives til de medlemsstater, der påviser, at deres tekniske, finansielle og menneskelige ressourcer og procedurer såvel som deres kommunikationsinfrastruktur garanterer deres effektive, virksomme og sikre deltagelse i netværket gennem anvendelse af gennemsigtige metoder. [Ændring 16]

(15)  Da de fleste net og informationssystemer er privatejede, er samarbejde mellem den offentlige og private sektor afgørende. Markedsaktørerne bør tilskyndes til at benytte deres egne uformelle samarbejdsmekanismer for at sikre net- og informationssikkerheden. De bør også samarbejde med den offentlige sektor og gensidigt udveksle oplysninger og bedste praksis i udvekslingen, herunder gensidig udveksling af relevante oplysninger og operationel støtte og strategisk analyserede oplysninger i tilfælde af hændelser. For effektivt at fremme udvekslingen af oplysninger og bedste praksis er det afgørende at sikre, at markedsoperatører, som deltager i en sådan udveksling, ikke stilles dårligere som følge af deres samarbejde. Der er behov for passende beskyttelsesforanstaltninger for at sikre, at et sådant samarbejde ikke udsætter disse operatører for større risiko for manglende overensstemmelse eller nye forpligtelser med hensyn til bl.a. konkurrence, intellektuel ejendomsret, databeskyttelse og lovgivning om cyberkriminalitet og ikke udsætter dem for øgede operationelle eller sikkerhedsmæssige risici. [Ændring 17]

(16)  For at sikre gennemsigtighed og informere EU-borgerne og markedsaktørerne korrekt bør de kompetente myndigheder centrale kontaktpunkter etablere et fælles websted for hele Unionen, hvor der offentliggøres ikke-fortrolige oplysninger om hændelser og, risici og risikobegrænsningsmetoder, og hvor der om nødvendigt vil blive rådgivet om relevante vedligeholdelsesforanstaltninger. Oplysningerne på webstedet bør være tilgængelige, uanset hvilken anordning der anvendes. Alle personoplysninger, der offentliggøres på dette websted, bør være begrænset til det, der er nødvendigt, og de bør være så anonyme som muligt. [Ændring 18]

(17)  Hvis oplysningerne betragtes som fortrolige i overensstemmelse med Unionen regler og nationale regler om forretningshemmeligheder, skal denne fortrolighed sikres under udførelsen af aktiviteterne og opfyldelsen af målene i dette direktiv.

(18)  På grundlag af bl.a. nationale erfaringer med krisestyring og i samarbejde med ENISA bør Kommissionen og medlemsstaterne udvikle en EU-samarbejdsplan for net- og informationssikkerhed, som fastsætter samarbejdsmekanismer, bedste praksis og driftsmønstre til forebyggelse, detektering, indberetning og imødegåelse af risici og hændelser. Der bør tages behørigt hensyn til denne plan i forbindelse med tidlig varsling via samarbejdsnetværket. [Ændring 19]

(19)  Udsendelse af en tidlig varsling inden for netværket bør kun finde sted, hvis den pågældende hændelse eller risiko kan nå et så væsentligt omfang eller blive så alvorlig, at der er behov for oplysninger eller samordning af indsatsen på EU-plan. Tidlige varslinger bør derfor begrænses til de faktiske eller potentielle hændelser eller risici, som hurtigt eskalerer, overstiger den nationale beredskabskapacitet eller berører mere end én medlemsstat. Alle oplysninger, der er relevante for vurderingen af en risiko eller hændelse bør meddeles samarbejdsnetværket, så der kan foretages en korrekt evaluering. [Ændring 20]

(20)  Ved modtagelse af en tidlig varsling og vurderingen heraf bør de kompetente myndigheder centrale kontaktpunkter enes om en samordnet indsats i henhold til Unionens NIS-samarbejdsplan. De kompetente myndigheder centrale kontaktpunkter, ENISA og Kommissionen bør underrettes om de foranstaltninger, der er vedtaget på nationalt plan som følge af den samordnede indsats. [Ændring 21]

(21)  I betragtning af NIS-problemernes globale karakter er der behov for et tættere internationalt samarbejde om at forbedre sikkerhedsstandarderne og informationsudvekslingen og for at fremme en fælles global tilgang til NIS-problemstillinger. Alle rammer for et sådant internationalt samarbejde bør underlægges Europa-Parlamentet og Rådets direktiv 95/46/EF(5) og Europa-Parlamentet og Rådets forordning (EF) nr. 45/2001(6). [Ændring 22]

(22)  Ansvaret for at sikre net- og informationssikkerheden ligger i vid udstrækning hos de offentlige myndigheder og markedsaktørerne. En risikostyringskultur kultur af risikostyring, tæt samarbejde og tillid med risikovurdering og gennemførelse af sikkerhedsforanstaltninger, som er passende i forhold til risiciene og hændelserne, uanset om de er af forsætlig eller utilsigtet karakter, bør fremmes og udvikles gennem passende forskriftsmæssige krav og en frivillig indsats fra industriens side. Etablering af pålidelige lige vilkår er også afgørende for et velfungerende samarbejdsnetværk, så man sikrer et effektivt samarbejde fra alle medlemsstater. [Ændring 23]

(23)  I direktiv 2002/21/EF fastsættes det, at de virksomheder, der udbyder offentligt tilgængelige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, skal træffe passende foranstaltninger til at beskytte deres integritet og sikkerhed, og direktivet indfører desuden anmeldelsespligt for brud på sikkerheden og integritetstab. I henhold til Europa-Parlamentets og Rådets direktiv 2002/58/EF(7) skal udbydere af offentligt tilgængelige elektroniske kommunikationstjenester træffer passende tekniske og organisatoriske foranstaltninger til at beskytte deres tjenester.

(24)  Disse forpligtelser bør udvides til ud over den elektroniske kommunikationssektor også at gælde for operatører af infrastruktur, som er stærkt afhængige af informations- og kommunikationsteknologi, og som er af afgørende betydning for opretholdelsen af centrale økonomiske eller samfundsmæssige funktioner som f.eks. elektricitet og gas, transport, kreditinstitutter, finansmarkedsinfrastrukturer og sundhedssektoren. En forstyrrelse af disse net og informationssystemer vil påvirke det indre marked. Selv om de forpligtelser, der er fastsat i dette direktiv, ikke bør gælde for vigtige udbydere af informationssamfundstjenester som defineret i Europa-Parlamentets og Rådets direktiv 98/34/EF(8), som er grundlaget for efterfølgende informationssamfundstjenester og onlineaktiviteter, f.eks. e-handelsplatforme, internetbetalingsportaler, sociale netværk, søgemaskiner, cloud computing-tjenester generelt og applikationsforhandlere En forstyrrelse af disse informationssamfundshjælpetjenester medfører at andre af informationssamfundets tjenester, som er afhængige af dem som vigtige input, ikke kan fungere.Softwareudviklere og hardwarefabrikanter udbyder ikke informationssamfundstjenester og er derfor ikke omfattet. Forpligtelserne bør udvides til også at omfatte offentlige myndigheder og operatører af kritisk infrastruktur, som er stærkt afhængige af informations- og kommunikationsteknologi, og som er af afgørende betydning for opretholdelsen af vigtige økonomiske eller samfundsmæssige funktioner som f.eks. elektricitet og gas, transport, kreditinstitutter, fondsbørser og sundhedssektoren. En forstyrrelse af disse net og informationssystemer vil påvirke det indre marked., kan disse på frivillig basis underrette den kompetente myndighed eller det centrale kontaktpunkt om de netsikkerhedshændelser, som de finder relevante. Den kompetente myndighed eller det centrale kontaktpunkt bør, for så vidt det er muligt, forsyne de markedsoperatører, der har indberettet hændelsen, med strategisk analyserede oplysninger, der kan medvirke til at imødegå sikkerhedstruslen. [Ændring 24]

(24a)  Selv om leverandører af hardware og software ikke er markedsoperatører, der kan sammenlignes med dem, som er omfattet af dette direktiv, letter deres produkter sikkerheden af net og informationssystemer. De har derfor en væsentlig rolle med hensyn til at gøre det muligt for markedsoperatører at sikre deres net- og informationsinfrastrukturer. Eftersom hardware- og softwareprodukter allerede er underlagt eksisterende krav om produktansvar, bør medlemsstaterne sikre, at disse regler håndhæves. [Ændring 25]

(25)  Tekniske og organisatoriske foranstaltninger, der pålægges offentlige myndigheder og markedsaktører, bør ikke kræve, at et bestemt kommercielt informations- og kommunikationsteknologiprodukt konstrueres, udvikles eller fremstilles på en bestemt måde. [Ændring 26]

(26)  De offentlige myndigheder og markedsaktørerne bør sikre beskyttelsen af net og systemer, der er under deres kontrol. Det vil hovedsageligt være private net og systemer, hvor administrationen varetages af deres eget it-personale, eller hvor sikkerhedsopgaverne er outsourcet. Sikkerheds- og anmeldelsesforpligtelserne bør gælde for de relevante markedsaktører og offentlige myndigheder, uanset om de selv står for vedligeholdelsen af deres net og informationssystemer eller outsourcer denne opgave. [Ændring 27]

(27)  Med sigte på at undgå, at mindre operatører og brugere pålægges en uforholdsmæssig stor finansiel og administrativ byrde, bør kravene stå i et rimeligt forhold til den risiko, der er forbundet med det pågældende net eller informationssystem, under hensyntagen til sådanne foranstaltningers aktuelle stade. Kravene bør ikke gælde for mikrovirksomheder.

(28)  De kompetente myndigheder og de centrale kontaktpunkter bør tage behørigt hensyn til nødvendigheden af at bevare uformelle og pålidelige kanaler til informationsudveksling mellem markedsaktørerne og mellem den offentlige og den private sektor. De kompetente myndigheder og de centrale kontaktpunkter bør underrette fabrikanterne og tjenesteudbyderne af berørte ikt-produkter og -tjenesteydelser om hændelser, der har en betydelig indvirkning, og som er blevet anmeldt til dem. Ved offentliggørelse af hændelser, der anmeldes til de kompetente myndigheder og de centrale kontaktpunkter, bør der foretages en nøje afvejning af offentlighedens interesse i at blive informeret om trusler i forhold til mulige imageskader og kommercielle skader for de offentlige myndigheder og markedsoperatører, der anmelder hændelser. Ved gennemførelsen af anmeldelsespligten bør de kompetente myndigheder og de centrale kontaktpunkter være særlig opmærksomme på behovet for at holde oplysninger om produkters sårbarhed strengt fortrolige, indtil der udsendes passende sikkerhedsopdateringer. De centrale kontaktpunkter bør som hovedregel ikke videregive personoplysninger om fysiske personer, der er involveret i hændelser. De centrale kontaktpunkter bør udelukkende videregive personoplysninger, hvis videregivelsen af sådanne oplysninger er nødvendig og står i et rimeligt forhold til det tilstræbte mål. [Ændring 28]

(29)  Kompetente myndigheder bør have de nødvendige midler til at varetage deres opgaver, herunder beføjelser til at indhente tilstrækkelige oplysninger fra markedsaktører og offentlige myndigheder til at kunne vurdere sikkerhedsniveauet i net og informationssystemer, måle antallet og omfanget af hændelser samt vurdere pålidelige og omfattende oplysninger om faktiske hændelser, der har påvirket driften af net og informationssystemer. [Ændring 29]

(30)  Kriminelle aktiviteter er i mange tilfælde grunden til en hændelse. Der kan være mistanke om, at en hændelse har en kriminel baggrund, også selv om det ikke står tilstrækkeligt klart fra begyndelsen. I denne forbindelse bør et passende samarbejde mellem de kompetente myndigheder, de centrale kontaktpunkter og de retshåndhævende myndigheder samt et samarbejde med EC3 (Europols Center til Bekæmpelse af IT-Kriminalitet) og ENISA være et led i en effektiv og omfattende indsats mod sikkerhedsrelaterede hændelser. Hvis et sikkert, beskyttet og mere robust miljø skal fremmes, kræver det en systematisk anmeldelse af hændelser af en formodet alvorlig kriminel karakter til de retshåndhævende myndigheder. Den alvorlige kriminelle karakter af hændelser bør vurderes på baggrund af Unionens lovgivning om bekæmpelse af cyberkriminalitet. [Ændring 30]

(31)  Personoplysninger er i mange tilfælde kompromitteret som følge af hændelser. Medlemsstaterne og markedsoperatørerne bør beskytte personoplysninger, der lagres, behandles eller fremsendes, mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller hændelig ændring og ubeføjet eller ulovlig lagring, adgang eller videregivelse eller udbredelse, og de bør sikre gennemførelsen af en sikkerhedspolitik for behandling af personoplysninger. De kompetente myndigheder, de centrale kontaktpunkter og databeskyttelsesmyndighederne bør i denne forbindelse samarbejde og udveksle oplysninger om alle relevante spørgsmål, bl.a. også med markedsoperatører, hvis det er hensigtsmæssigt, for at håndtere brud på sikkerheden af personoplysninger som følge af hændelser i overensstemmelse med gældende databeskyttelsesregler. Medlemsstaterne gennemfører Forpligtelsen til at anmelde sikkerhedsrelaterede hændelser er bør gennemføres på en måde, der reducerer den administrative byrde, hvis en sikkerhedsrelateret hændelse også er et brud på persondatasikkerheden i henhold til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(9). Ved at fungere som forbindelsesled mellem de kompetente myndigheder og databeskyttelsesmyndighederne kan, der skal anmeldes i overensstemmelse med Unionens databeskyttelseslovgivning. ENISA bør bidrage til at udvikle informationsudvekslingsmekanismer og skabeloner, så det ikke er nødvendigt med to forskellige udformninger af skabelonerne til anmeldelse. Denne en fælles anmeldelsesskabelon, som gør det nemmere at anmelde hændelser, hvor der er sket brud på sikkerheden i forbindelse med personoplysninger, og letter derved den administrative byrde for virksomhederne og de offentlige myndigheder. [Ændring 31]

(32)  Standardisering af sikkerhedskrav er en markedsstyret proces af frivillig karakter, der bør sætte markedsoperatører i stand til som minimum at opnå lignende resultater ved hjælp af alternative midler. Medlemsstaterne bør for at sikre en konvergerende anvendelse af sikkerhedsstandarder tilskynde til overholdelse af eller overensstemmelse med specificerede interoperable standarder for at sikre et højt sikkerhedsniveau på EU-plan. Med dette mål for øje kan det være skal anvendelsen af åbne internationale standarder på netværksinformationssikkerhed og udformning af sådanne værktøjer overvejes. Et yderligere nødvendigt skridt fremad kan være at udarbejde udkast til harmoniserede standarder, som bør udformes i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012(10). Navnlig bør ETSI, CEN og Cenelec bemyndiges til at stille forslag om effektive og virkningsfulde åbne EU-sikkerhedsstandarder, hvor teknologiske præferencer i videst muligt omfang undgås. Disse standarder bør være lette at håndtere for små og mellemstore markedsoperatører. De internationale standarder for cybersikkerhed bør gennemgås nøje med henblik på at sikre, at de ikke er blevet kompromitteret, og at de yder en passende sikkerhed og dermed garantere, at den påkrævede overensstemmelse med cybersikkerhedsstandarderne forbedrer den generelle cybersikkerhed i Unionen og ikke det modsatte. [Ændring 32]

(33)  Kommissionen bør regelmæssigt tage dette direktivs bestemmelser op til fornyet overvejelse i samråd med alle interessenter, særlig med henblik på at afgøre, om der er behov for ændringer i lyset af skiftende samfundsmæssige, politiske, teknologiske betingelser og markedsvilkår. [Ændring 33]

(34)  Hvis samarbejdsnetværket skal kunne fungere korrekt, bør beføjelserne til at vedtage retsakter i overensstemmelse med artikel 290 i TEUF delegeres til Kommissionen for så vidt angår definitionen af de kriterier, der skal være opfyldt for, at en medlemsstat kan få tilladelse til at deltage i det fælles sæt af sammenkoblings- og sikkerhedsstandarder for det sikrede informationsudvekslingssystem, informationsudvekslingssystems infrastruktur og den nærmere fastlæggelse af begivenheder, som skal udløse tidlig varsling, og definition af, hvornår markedsoperatører og offentlige myndigheder er forpligtet til at anmelde hændelser. [Ændring 34]

(35)  Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau. Kommissionen bør i forbindelse med forberedelsen og udarbejdelsen af delegerede retsakter sørge for samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet.

(36)  For at sikre ensartede betingelser for gennemførelsen af dette direktiv bør gennemførelsesbeføjelser overdrages til Kommissionen for så vidt angår samarbejdet mellem de kompetente myndigheder centrale kontaktpunkter og Kommissionen inden for samarbejdsnetværket, adgangen til den sikrede informationsudvekslingsinfrastruktur uden at det berører eksisterende samarbejdsmekanismer på nationalt plan, Unionens NIS-samarbejdsplan og formater og procedurer til informering anmeldelse af offentligheden om hændelser og standarder og/eller tekniske specifikationer, der er relevante for net- og informationssikkerhed, der har en betydelig indvirkning. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011(11). [Ændring 35]

(37)  I forbindelse med anvendelsen af dette direktiv bør Kommissionen i det nødvendige omfang varetage kontakten med relevante sektorudvalg og relevante organer på EU-niveau, herunder navnlig inden for områderne e-forvaltning, energi, transport og, sundhed og forsvar. [Ændring 36]

(38)  Oplysninger, der betragtes som fortrolige af en kompetent myndighed eller et centralt kontaktpunkt i henhold til EU-regler og nationale regler om forretningshemmeligheder, bør kun udveksles med Kommissionen og, dens relevante agenturer, de centrale kontaktpunkter og/eller andre nationale kompetente myndigheder, hvis det er strengt nødvendigt for anvendelsen af dette direktiv. Udveksling af oplysninger bør kun ske i det omfang, det er relevant og nødvendigt, og omfanget bør står stå i et rimeligt forhold til formålet med udvekslingen, og udvekslingen bør respektere foruddefinerede kriterier for fortrolighed og sikkerhed i overensstemmelse med afgørelse 2011/292/EU, informationer, der er undergivet hemmeligholdelsesaftaler, og informationer, der er undergivet uformelle hemmeligholdelsesaftaler, såsom Traffic Light Protocol. [Ændring 37]

(39)  Udveksling af information om risici og hændelser i samarbejdsnetværket og overholdelse af kravet om anmeldelse af hændelser til de nationale kompetente myndigheder eller de centrale kontaktpunkter kan kræve behandling af personoplysninger. En sådan behandling af personoplysninger er nødvendig for at opfylde de mål af almen interesse, der forfølges med dette direktiv, og er dermed er berettiget i henhold til artikel 7 i direktiv 95/46/EF. Den udgør derfor ikke i forhold til disse legitime mål et uforholdsmæssigt og uacceptabelt indgreb, der krænker selve kernen i retten til beskyttelse af personoplysninger, der er sikret ved artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder. I forbindelse med anvendelsen af dette direktiv bør Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001(12) finde anvendelse i nødvendigt omfang. Når oplysningerne behandles af EU-institutioner og ‑organer, bør en sådan behandling som led i gennemførelsen af dette direktiv ske i overensstemmelse med forordning (EF) nr. 45/2001. [Ændring 38]

(40)  Målet for dette direktiv, nemlig at sikre et højt niveau af net- og informationssikkerhed i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor på grund af handlingens omfang eller virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går direktivet ikke ud over, hvad der er nødvendigt for at nå disse mål.

(41)  Dette forslag overholder de grundlæggende rettigheder og de principper, der anerkendes i Den Europæiske Unions charter om grundlæggende rettigheder, herunder navnlig retten til respekt for privatlivet og kommunikation, beskyttelsen af personoplysninger, frihed til at oprette og drive egen virksomhed, ejendomsretten og retten til effektive retsmidler for en domstol og ret til at blive hørt. Direktivet skal gennemføres i overensstemmelse med disse rettigheder og principper.

(41a)  I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter har medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget, at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. I forbindelse med dette direktiv finder lovgiver, at fremsendelse af sådanne dokumenter er berettiget [Ændring 39].

(41b)  Den Europæiske Tilsynsførende for Databeskyttelse blev afhørt i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001 og afgav en udtalelse den 14. juni 2013(13)

VEDTAGET DETTE DIREKTIV:

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1

Genstand og anvendelsesområde

1.  Dette direktiv fastsætter foranstaltninger til sikring af et højt fælles niveau for net- og informationssikkerhed ("NIS") i Den Europæiske Union.

2.  Direktivet:

a)  fastsætter forpligtelser for alle medlemsstater vedrørende forebyggelse, håndtering af og reaktion på risici og hændelser, der berører net og informationssystemer

b)  etablerer en samarbejdsmekanisme mellem medlemsstaterne for at sikre en ensartet anvendelse af dette direktiv i Unionen og om nødvendigt en koordineret og, effektiv og virkningsfuld håndtering af og reaktion på risici og hændelser, der berører net og informationssystemer, med deltagelse af relevante interessenter [Ændring 40]

c)  fastsætter sikkerhedskrav for markedsoperatører og offentlige myndigheder. [Ændring 41]

3.  De sikkerhedskrav, der er fastsat i artikel 14i dette direktiv, gælder ikke for virksomheder, der udbyder offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, jf. direktiv 2002/21/EF, som er omfattet af de specifikke sikkerheds- og integritetskrav, der er fastsat i det pågældende direktivs artikel 13a og 13b, og de gælder heller ikke for tillidstjenesteudbydere.

4.  Dette direktiv berører ikke Unionens lovgivning om cyberkriminalitet og Rådets direktiv 2008/114/EF(14).

5.  Dette direktiv berører heller ikke Europa-Parlamentets og Rådets direktiv 95/46/EF og heller ikke Europa-Parlamentets og Rådets direktiv 2002/58/EF og heller ikke forordning (EF) nr. 45/2001. Enhver anvendelse af personoplysninger skal begrænses til, hvad der er strengt nødvendigt for at opfylde formålene med dette direktiv, og sådanne oplysninger skal være så anonyme som muligt, hvis ikke fuldstændig anonyme. [Ændring 42]

6.  Udvekslingen af information inden for samarbejdsnetværket, jf. kapitel III, og anmeldelsen af NIS-hændelser, jf. artikel 14, kan kræve behandling af personoplysninger. En sådan behandling, som er nødvendig for at nå målene i den offentlige interesse, der forfølges ved dette direktiv, godkendes af medlemsstaten i henhold til artikel 7 i direktiv 95/46/EF og direktiv 2002/58/EF som gennemført i den nationale lovgivning.

Artikel 1a

Beskyttelse og behandling af personoplysninger

1.  Enhver behandling af personoplysninger i medlemsstaterne i henhold til dette direktiv gennemføres i overensstemmelse med direktiv 95/46/EF og direktiv 2002/58/EF.

2.  Kommissionens og ENISA's behandling af personoplysninger i henhold til denne forordning gennemføres i overensstemmelse med forordning (EF) nr. 45/2001.

3.  Enhver behandling af personoplysninger i det Europæiske Center til Bekæmpelse af IT-Kriminalitet skal i henhold til dette direktiv gennemføres i overensstemmelse med Rådets afgørelse 2009/371/RIA(15).

4.  Behandlingen af personoplysninger skal være retfærdig og lovlig og begrænses til det minimum af oplysninger, der er strengt nødvendige for at opfylde de formål, hvortil de behandles. De skal opbevares på en sådan måde, at det er muligt at identificere de registrerede i en periode, der ikke er længere end nødvendigt for at opfylde det formål, hvortil personoplysningerne behandles.

5.  De i artikel 14 i dette direktiv omhandlede anmeldelser af hændelser berører ikke de bestemmelser og forpligtelser om anmeldelse af brud på persondatasikkerheden som fastlagt i artikel 4 i direktiv 2002/58/EF og i Kommissionens forordning (EU) nr. 611/2013(16). [Ændring 43]

Artikel 2

Minimumsharmonisering

Medlemsstaterne er ikke afskåret fra at vedtage eller bibeholde bestemmelser, der sikrer et højere sikkerhedsniveau, idet dette dog ikke berører deres forpligtelser i henhold til EU-lovgivningen.

Artikel 3

Definitioner

I dette direktiv forstås ved:

1)  "net og informationssystem":

a)  et elektronisk kommunikationsnet som omhandlet i direktiv 2002/21/EF og

b)  enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede enheder, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af edb-data digitale data, samt [Ændring 44]

c)  edb-data digitale date, som lagres, behandles, fremfindes eller overføres af elementer i litra a) og b) i forbindelse med deres drift, brug, beskyttelse og vedligeholdelse [Ændring 45]

2)  "sikkerhed": et nets eller et informationssystems evne til, på et givet tillidsniveau, at modstå uheld, ulovlige handlinger og handlinger i ond hensigt, der er til skade for disponibiliteten, autenticiteten, integriteten og fortroligheden i forbindelse med arkiverede og overførte data og de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via dette net eller system. "Sikkerhed" omfatter passende tekniske anordninger, løsninger og driftsprocedurer, der sikrer overholdelse af sikkerhedskravene i dette direktiv [Ændring 46]

3)  "risiko": enhver rimeligt identificerbar omstændighed eller begivenhed, der har en potentiel negativ indvirkning på sikkerheden [Ændring 47]

4)  "hændelse": enhver omstændighed eller begivenhed, der har en faktisk negativ indvirkning på sikkerheden [Ændring 48]

5)  "informationssamfundstjeneste": tjenesteydelser som omhandlet i artikel 1, nr. 2, i direktiv 98/34/EF [Ændring 49]

6)  "NIS-samarbejdsplan": en plan, som fastlægger rammerne for organisatoriske roller, ansvarsområder og procedurer for at opretholde eller genoprette funktionen af net og informationssystemer i tilfælde af en risiko eller en hændelse, der berører dem

7)  "håndtering af hændelser": alle procedurer til detektering, forebyggelse, analyse og begrænsning af samt reaktion på en hændelse [Ændring 50]

8)  "markedsoperatør":

a)  en leverandør af informationssamfundstjenester, som gør det muligt at levere andre informationssamfundstjenester; en ikke-udtømmende liste findes i bilag II [Ændring 51]

b)  en operatør af kritisk infrastruktur, der er af afgørende betydning for opretholdelsen af centrale økonomiske og samfundsmæssige aktiviteter på områderne energi, transport, bankvæsen, børser finansmarkedsinfrastrukturer, internetudvekslingspunkter, fødevareforsyningskæden og sundhed, og hvis afbrydelse eller ødelæggelse i væsentlig grad ville påvirke en medlemsstat som følge af, at disse funktioner ikke kan opretholdes, for så vidt som de berørte net og informationssystemer har tilknytning til dennes centrale tjenester; en ikke-udtømmende liste findes i bilag II [Ændring 52]

8a)  "hændelse, der har en betydelig indvirkning": en hændelse, der påvirker sikkerheden og kontinuiteten i et informationsnet eller -system, og som medfører omfattende forstyrrelser af centrale økonomiske eller samfundsmæssige funktioner [Ændring 53]

9)  "standard": en standard som omhandlet i forordning (EU) nr. 1025/2012

10)  "specifikation": en specifikation som omhandlet i forordning (EU) nr. 1025/2012

11)  "tillidstjenesteudbyder": enhver fysisk eller juridisk person, som udbyder en hvilken som helst elektronisk tjeneste, der omfatter generering, verificering, validering, håndtering og bevaring af elektroniske signaturer, elektroniske segl, elektroniske tidsstempler, elektroniske dokumenter, elektroniske leveringstjenester, webstedsautentifikation og elektroniske certifikater, herunder certifikater for elektroniske signaturer og elektroniske segl

11a)  "reguleret marked": et reguleret marked som defineret i artikel 4, nr. 14), i Europa-Parlamentets og Rådets direktiv 2004/39/EF(17) [Ændring 54]

11b)  "multilateral handelsfacilitet (MHF)": en multilateral handelsfacilitet som defineret i artikel 4, nr. 15), i direktiv 2004/39/EF [Ændring 55]

11c)  "organiseret handelsfacilitet": et multilateralt system eller en multilateral facilitet, som ikke er et reguleret marked, en multilateral handelsfacilitet eller en central modpart, og som drives af et investeringsselskab eller en markedsoperatør, hvor forskellige tredjeparters købs- og salgsinteresser i obligationer, strukturerede finansielle produkter, emissionskvoter eller derivater kan interagere i systemet på en sådan måde, at det medfører indgåelse af en kontrakt i overensstemmelse med afsnit II i direktiv 2004/39/EF. [Ændring 56]

KAPITEL II

Nationale rammer for net- og informationssikkerhed

Artikel 4

Princip

Medlemsstaterne sikrer et højt sikkerhedsniveau for net og informationssystemer på deres område i overensstemmelse med dette direktiv.

Artikel 5

Nationale NIS-strategier og nationale NIS-samarbejdsplaner

1.  Hver medlemsstat vedtager en national NIS-strategi, der fastlægger de strategiske mål og konkrete politiske og lovgivningsmæssige foranstaltninger med henblik på at nå og opretholde et højt niveau for net- og informationssikkerhed. De nationale NIS-strategier skal navnlig omfatte:

a)  fastsættelse af strategiens mål og prioriterede områder med udgangspunkt i en ajourført risikovurderings- og hændelsesanalyse

b)  styringsmæssige rammer for at nå de strategiske mål og prioriteringer, herunder en klar definition af roller og ansvar for de statslige organer og andre relevante aktører

c)  fastlæggelse af de generelle foranstaltninger vedrørende beredskab, indsats og genopretning, herunder mekanismer for samarbejde mellem den offentlige og den private sektor

d)  en angivelse af teoretiske og praktiske uddannelsesprogrammer og oplysningsprogrammer

e)  forsknings- og udviklingsplaner og en beskrivelse af, hvordan disse planer afspejler de fastlagte prioriteter

ea)  medlemsstaterne kan anmode ENISA om bistand til at udvikle deres nationale NIS-strategier og nationale NIS-samarbejdsplaner med udgangspunkt i en fælles NIS-minimumsstrategi. [Ændring 57]

2.  Den nationale NIS-strategi skal omfatte en national NIS-samarbejdsplan, som mindst omfatter

a)  en risikovurderingsplan risikostyringsramme til indførelse af en metode til brug ved identifikation, prioritering, evaluering og behandling af risici og, vurdering af potentielle begivenheders konsekvenser, forebyggelses- og kontrolmuligheder og til fastlæggelse af kriterier for valg af mulige modforanstaltninger [Ændring 58]

b)  definition af roller og ansvarsområder for de forskellige myndigheder og andre aktører, der er involveret i planens rammens gennemførelse [Ændring 59]

c)  definition af samarbejds- og kommunikationsprocesser, som sikrer forebyggelse, detektion, reaktion, reparation og genopretning, og moduleret i forhold til alarmniveauet

d)  en køreplan for NIS-øvelser og praktisk uddannelse for at styrke, validere og teste planen. Høstede erfaringer dokumenteres og indarbejdes i ajourføringer af planen.

3.  De nationale NIS-strategier og de nationale NIS-samarbejdsplaner fremsendes til Kommissionen senest en måned tre måneder efter deres vedtagelse. [Ændring 60]

Artikel 6

Nationale kompetente myndigheder og de centrale kontaktpunkter for net og informationssystemer [Ændring 61]

1.  Hver medlemsstat udpeger en national kompetent myndighed eller flere civile nationale kompetente myndigheder for sikkerheden af net og informationssystemer ("kompetent myndighed/kompetente myndigheder"). [Ændring 62]

2.  De kompetente myndigheder overvåger anvendelsen af dette direktiv på nationalt plan og bidrager til en konsekvent anvendelse i hele Unionen.

2a.  Hvis en medlemsstat udpeger mere end én kompetent myndighed, udpeger medlemsstaten en civil national myndighed, f.eks. en kompetent myndighed, som det nationale centrale kontaktpunkt for sikkerheden af net og informationssystemer ("centralt kontaktpunkt"). Hvis en medlemsstat kun udpeger én kompetent myndighed, fungerer denne kompetente myndighed ligeledes som det centrale kontaktpunkt. [Ændring 63]

2b.  De kompetente myndigheder og det centrale kontaktpunkt i den samme medlemsstat arbejder nært sammen med hensyn til de forpligtelser, der er fastlagt i dette direktiv. [Ændring 64]

2c.  Det centrale kontaktpunkt sikrer samarbejdet på tværs af grænserne med andre centrale kontaktpunkter. [Ændring 65]

3.  Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter har tilstrækkelige tekniske, finansielle og menneskelige ressourcer til på en effektiv og virksom måde at udføre de opgaver, de pålægges, og dermed opfylde målene i dette direktiv. Medlemsstaterne sikrer et effektivt, virksomt og sikkert samarbejde mellem de kompetente myndigheder centrale kontaktpunkter via det netværk, der er omhandlet i artikel 8. [Ændring 66]

4.  Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter, alt efter hvad der er relevant, i henhold til denne artikels stk. 2a modtager anmeldelser af hændelser fra de offentlige myndigheder og markedsaktørerne som fastsat i artikel 14, stk. 2, og overdrages de gennemførelses- og håndhævelsesbeføjelser, der er omhandlet i artikel 15. [Ændring 67]

4a.  Hvis EU-lovgivningen foreskriver et sektorspecifikt EU-tilsynsorgan eller EU-kontrolorgan, bl.a. vedrørende sikkerheden i net- og informationssystemer, skal dette organ modtage anmeldelserne om hændelser i henhold til artikel 14, stk. 2, fra de pågældende markedsoperatører i sektoren og tillægges de gennemførelses- og håndhævelsesbeføjelser, der er omhandlet i artikel 15. Dette EU-organ skal opretholde et tæt samarbejde med værtsmedlemsstatens kompetente myndigheder og centrale kontaktpunkt med hensyn til disse forpligtelser. Værtsmedlemsstatens centrale kontaktpunkt skal repræsentere EU-organet med hensyn til forpligtelserne i kapitel III. [Ændring 68]

5.  De kompetente myndigheder og de centrale kontaktpunkter konsulterer og samarbejder, hvor det er hensigtsmæssigt, med de relevante retshåndhævende nationale myndigheder og databeskyttelsesmyndigheder. [Ændring 69]

6.  Hver medlemsstat underretter straks Kommissionen om udpegelsen af den de kompetente myndighed, dens myndigheder og det centrale kontaktpunkt, dets opgaver og enhver senere ændring heraf. Hver medlemsstat offentliggør sin udpegelse af den de kompetente myndighed myndigheder. [Ændring 70]

Artikel 7

It-beredskabsenhed (CERT)

1.  Hver medlemsstat opretter en mindst én it-beredskabsenhed for hver af de i bilag II opførte sektorer, som er ansvarlig for at håndtere hændelser og risici i henhold til en nøje fastlagt proces, der skal opfylde kravene i bilag I, punkt 1. Et it-udrykningshold kan oprettes som en del af den kompetente myndighed. [Ændring 71]

2.  Medlemsstaterne sikrer, at sådanne enheder har passende tekniske, finansielle og menneskelige ressourcer til at udføre deres opgaver, som er fastlagt i bilag I, punkt 2.

3.  Medlemsstaterne sikrer, at it-beredskabsenheden kan benytte sikker og robust kommunikations- og informationsinfrastruktur på nationalt plan, som skal være kompatibel og interoperabel med det sikrede informationsudvekslingssystem, der er omhandlet i artikel 9.

4.  Medlemsstaterne underretter Kommissionen om it-beredskabenhedens ressourcer, mandat og procedurer for håndtering af hændelser.

5.  It-beredskabsenheden It-beredskabsenhederne handler under tilsyn af den kompetente myndighed eller det centrale kontaktpunkt, som regelmæssigt foretager en vurdering af tilstrækkeligheden af it-beredskabsenhedens it-beredskabsenhedernes ressourcer og mandat mandater og af effektiviteten af dens deres procedurer for håndtering af hændelser. [Ændring 72]

5a.  Medlemsstaterne sikrer, at it-beredskabsenhederne har tilstrækkelige menneskelige og økonomiske ressourcer til at deltage aktivt i samarbejdsnetværk på internationalt plan, og navnlig på EU-plan. [Ændring 73]

5b.  It-beredskabsenhederne skal have mulighed for og opfordres til at indlede og deltage i fælles øvelser sammen med andre it-beredskabsenheder, med alle medlemsstaternes it-beredskabsenheder og med relevante institutioner i tredjelande samt med it-beredskabsenheder i multinationale og internationale institutioner såsom Den Nordatlantiske Traktats Organisation og De Forende Nationer. [Ændring 74]

5c.  Medlemsstaterne kan anmode ENISA eller andre medlemsstater om bistand til at udvikle deres nationale it-beredskabsenheder. [Ændring 75]

KAPITEL III

SAMARBEJDE MELLEM KOMPETENTE MYNDIGHEDER

Artikel 8

Samarbejdsnetværk

1.  De kompetente myndigheder centrale kontaktpunkter og Kommissionen og ENISA opretter et netværk ("samarbejdsnetværk") med henblik på at samarbejde om indsatsen mod risici og hændelser i forbindelse med net og informationssystemer. [Ændring 76]

2.  Samarbejdsnetværket etablerer en permanent kommunikationsforbindelse mellem Kommissionen og de kompetente myndigheder centrale kontaktpunkter. På anmodning bistår Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) samarbejdsnetværket med sin ekspertise og rådgivning. Hvor det er hensigtsmæssigt, kan markedsoperatører og udbydere af cybersikkerhedsløsninger også blive indbudt til at deltage i aktiviteterne i det samarbejdsnetværk, der er omhandlet i stk. 3, litra g) og i).

Samarbejdsnetværket skal, hvor det er relevant, samarbejde med databeskyttelsesmyndighederne.

Kommissionen oplyser regelmæssigt samarbejdsnetværket om sikkerhedsforskning og andre relevante programmer under Horisont 2020. [Ændring 77]

3.   Inden for samarbejdsnetværket skal de kompetente myndigheder centrale kontaktpunkter:

a)  rundsende tidlige varslinger om risici og hændelser, jf. artikel 10

b)  sikre en samordnet reaktion, jf. artikel 11

c)  med jævne mellemrum offentliggøre ikke-fortrolige oplysninger om igangværende tidlige varslinger og samordnede reaktioner på en fælles hjemmeside

d)  på anmodning af en medlemsstat eller Kommissionen i fællesskab drøfte og evaluere en eller flere af de i artikel 5 omhandlede nationale NIS-strategier og nationale NIS-samarbejdsplaner inden for dette direktivs anvendelsesområde

e)  på anmodning af en medlemsstat eller af Kommissionen i fællesskab drøfte og evaluere effektiviteten af it-beredskabsenhederne, herunder navnlig i forbindelse med gennemførelsen af NIS-øvelser på EU-plan

f)  samarbejde og udveksle oplysninger ekspertise om alle relevante emner med Europol's europæiske center for bekæmpelse af cyberkriminalitet og med andre relevante europæiske organer om net- og informationssikkerhed, herunder navnlig på områderne databeskyttelse, energi, transport, bankvæsen, børser finansielle markeder og sundhed, med Europols Europæiske Center til Bekæmpelse af IT-Kriminalitet og med andre relevante europæiske organer

fa)  når det er relevant, underrette EU-antiterrorkoordinatoren gennem en rapport og kan anmode om bistand til analyser, forberedende arbejde og foranstaltninger i samarbejdsnetværket

g)  udveksle oplysninger og bedste praksis med hinanden og Kommissionen og bistå hinanden med at opbygge NIS-kapacitet

h)  gennemføre regelmæssige peer reviews af kapacitet og beredskab

i)  gennemføre NIS-øvelser på EU-plan og deltage i internationale NIS-øvelser i det nødvendige omfang

ia)  involvere, konsultere og i givet fald udveksle oplysninger med markedsoperatører for så vidt angår de risici og hændelser, der berører deres net og informationssystemer

ib)  i samarbejde med ENISA udvikle retningslinjer for sektorspecifikke kriterier for anmeldelse af betydelige hændelser ud over de parametre, der er fastsat i artikel 14, stk. 2, med henblik på en fælles fortolkning, konsekvent anvendelse og sammenhængende gennemførelse i Unionen.. [Ændring 78]

3a.  Samarbejdsnetværket offentliggør én gang om året en rapport, der er baseret på aktiviteterne i netværket og på den sammenfattende rapport, som forelægges i overensstemmelse med artikel 14, stk. 4, i dette direktiv, for de forudgående tolv måneder. [Ændring 79]

4.  Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de nødvendige modaliteter for at lette samarbejdet mellem de kompetente myndigheder og centrale kontaktpunkter, Kommissionen og ENISA, jf. stk. 2 og 3. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren undersøgelsesproceduren i artikel 19, stk. 23. [Ændring 80]

Artikel 9

Sikret informationsudvekslingssystem

1.  Udveksling af følsomme og fortrolige oplysninger i samarbejdsnetværket skal ske via en sikret infrastruktur.

1a.  Deltagere i den sikre infrastruktur skal bl.a. overholde passende fortroligheds- og sikkerhedsforanstaltninger i overensstemmelse med direktiv 95/46/EF og forordning (EF) nr. 45/2001 på alle trin i behandlingen. [Ændring 81]

2.  Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i henhold til artikel 18 for så vidt angår definition af de kriterier, der skal være opfyldt for, at en medlemsstat kan få adgang til at deltage i det sikrede informationsudvekslingssystem, herunder:

a)  der skal være en sikker og robust national kommunikations- og informationsinfrastruktur, som er kompatibel og interoperabel med samarbejdsnetværkets sikrede infrastruktur, jf. artikel 7, stk. 3, og

b)  medlemsstatens kompetente myndighed og it-beredskabsenhed skal have tilstrækkelige tekniske, finansielle og menneskelige ressourcer og procedurer til en effektiv, virksom og sikker deltagelse i det sikrede informationsudvekslingssystem, jf. artikel 6, stk. 3, artikel 7, stk. 2, og artikel 7, stk. 3. [Ændring 82]

3.  Kommissionen vedtager ved hjælp af gennemførelsesretsakter afgørelser om medlemsstaternes adgang til den sikrede infrastruktur i henhold til de i stk. 2 og 3 omhandlede kriterier. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 19, stk. 3. delegerede retsakter i overensstemmelse med artikel 18, et fælles sæt sammenkoblings- og sikkerhedsstandarder, som de centrale kontaktpunkter skal overholde, inden de udveksler følsomme og fortrolige oplysninger i samarbejdsnetværket. [Ændring 83]

Artikel 10

Tidlig varsling

1.  De kompetente myndigheder centrale kontaktpunkter eller Kommissionen rundsender tidlige varslinger i samarbejdsnetværket om risici og hændelser, der opfylder mindst én af følgende betingelser:

a)  de eskalerer hurtigt eller kan hurtigt eskalere

b)   de det centrale kontaktpunkt vurderer, at risikoen eller hændelsen potentielt overstiger eller kan overstige den nationale reaktionskapacitet

c)   de de centrale kontaktpunkter eller Kommissionen vurderer, at risikoen eller hændelsen påvirker eller kan påvirke mere end én medlemsstat. [Ændring 84]

2.  I forbindelse med tidlige varslinger meddeler de kompetente myndigheder centrale kontaktpunkter og Kommissionen hurtigst muligt alle relevante oplysninger i deres besiddelse, som kan være nyttige ved vurderingen af risikoen eller hændelsen. [Ændring 85]

3.  På anmodning af en medlemsstat eller på eget initiativ kan Kommissionen anmode en medlemsstat om at fremlægge alle relevante oplysninger vedrørende en specifik risiko eller hændelse. [Ændring 86]

4.  Hvis risikoen eller hændelsen formodes at være af kriminel karakter, underretter de kompetente myndigheder eller Kommissionen og hvis den pågældende markedsoperatør har anmeldt hændelser, der formodes at være af alvorlig kriminel karakter, jf. artikel 15, stk. 4, sikrer medlemsstaterne, at Europol's europæiske center for bekæmpelse af cyberkriminalitet Europæiske Center til Bekæmpelse af IT-Kriminalitet i givet fald underrettes. [Ændring 87]

4a.  Medlemmer af samarbejdsnetværket må ikke offentliggøre oplysninger, de har modtaget om risici og hændelser i henhold til stk. 1, uden at have modtaget en forhåndsgodkendelse fra det anmeldende centrale kontaktpunkt.

Det anmeldende centrale kontaktpunkt informerer endvidere inden udvekslingen af oplysninger i samarbejdsnetværket den markedsoperatør, som oplysningerne vedrører, om sin hensigt, og anonymiserer de pågældende oplysninger i tilfælde, hvor det skønnes hensigtsmæssigt. [Ændring 88]

4b.  Hvis risikoen eller hændelsen formodes at være af alvorlig grænseoverskridende teknisk karakter, underretter det centrale kontaktpunkt eller Kommissionen ENISA. [Ændring 89]

5.  Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 18 for så vidt angår yderligere specifikation af risici og hændelser, der udløser en tidlig varsling som omhandlet i stk. 1 i denne artikel.

Artikel 11

Samordnet indsats

1.  Efter en tidlig varsling som omhandlet i artikel 10 skal de kompetente myndigheder centrale kontaktpunkter, når de har vurderet de relevante oplysninger, uden unødig forsinkelse enes om en samordnet indsats i overensstemmelse med Unionens NIS-samarbejdsplan, der er omhandlet i artikel 12. [Ændring 90]

2.  De forskellige foranstaltninger, der vedtages på nationalt plan som følge af den samordnede indsats, meddeles samarbejdsnetværket.

Artikel 12

Unionens NIS-samarbejdsplan

1.  Kommissionen tillægges beføjelser til ved hjælp af gennemførelsesretsakter at vedtage en NIS-samarbejdsplan for Unionen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 19, stk. 3.

2.  Unionens NIS-samarbejdsplan skal indeholde:

a)  i forbindelse med artikel 10:

—  en definition af formatet og procedurerne for de kompetente myndigheders centrale kontaktpunkters indsamling og deling af forenelige og sammenlignelige oplysninger om risici og hændelser [Ændring 91]

—  en definition af procedurerne og kriterierne for samarbejdsnetværkets vurdering af risici og hændelser

b)  de procedurer, der skal følges i forbindelse med den samordnede indsats i medfør af artikel 11, herunder identifikation af roller og ansvarsområder samt samarbejdsprocedurer

c)  en køreplan for NIS-øvelser og praktisk uddannelse for at styrke, validere og teste planen

d)  et program for videnoverførsel mellem medlemsstaterne til brug ved kapacitetsopbygning og peer learning

e)  et program til gensidig oplysning og uddannelse medlemsstaterne imellem.

3.  Unionens NIS-samarbejdsplan vedtages senest et år efter dette direktivs ikrafttræden og tages regelmæssigt op til fornyet overvejelse. Europa-Parlamentet underrettes om resultaterne af disse overvejelser. [Ændring 92]

3a.  Der skal sikres sammenhæng mellem Unionens NIS-samarbejdsplan og nationale NIS-strategier og ‑samarbejdsplaner som omhandlet i artikel 5. [Ændring 93]

Artikel 13

Internationalt samarbejde

Uden at det berører samarbejdsnetværkets muligheder for at iværksætte uformelt internationalt samarbejde, kan Unionen indgå internationale aftaler med tredjelande eller internationale organisationer, som giver disse mulighed for og tilrettelægger deres deltagelse i nogle af samarbejdsnetværkets aktiviteter. En sådan aftale skal tage hensyn til behovet for at sikre tilstrækkelig beskyttelse af de personoplysninger, der rundsendes i samarbejdsnetværket, og skal fastlægge den overvågningsprocedure, der skal følges for at sikre beskyttelse af disse personoplysninger. Europa-Parlamentet skal orienteres om forhandlingen om aftalerne. Alle videregivelser af personoplysninger til modtagere i lande uden for Unionen gennemføres i overensstemmelse med artikel 25 og 26 i direktiv 95/46/EF og artikel 9 i forordning (EF) nr. 45/2001. [Ændring 94].

Artikel 13a

Markedsoperatørernes kritikalitetsniveau

Medlemsstaterne kan fastlægge markedsoperatørernes kritikalitetsniveau under hensyntagen til sektorernes særlige forhold, parametre som f.eks. den pågældende markedsoperatørs betydning for at opretholde et tilstrækkeligt sektorspecifikt serviceniveau, antallet af parter, der forsynes af markedsoperatøren, og den tid, der medgår, indtil en manglende kontinuitet i markedsoperatørens centrale tjenester har en negativ indvirkning på opretholdelsen af centrale økonomiske og samfundsmæssige aktiviteter. [Ændring 95]

KAPITEL IV

offentlige myndigheders og markedsaktørers net- og informationssystemsikkerhed

Artikel 14

Sikkerhedskrav og anmeldelse af hændelser

1.  Medlemsstaterne sikrer, at de offentlige myndigheder og markedsaktørerne træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at detektere og effektivt styre risiciene for sikkerheden i net og informationssystemer, som de kontrollerer og anvender til deres aktiviteter. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger garantere sikre et sikkerhedsniveau, der står i forhold til risikoen. Der skal navnlig træffes foranstaltninger for at forhindre og minimere virkningen af hændelser, der berører informationssystem sikkerheden af deres net og informationssystemer for de centrale tjenester, de leverer, og dermed sikre kontinuiteten af de tjenester, der understøttes af disse net og informationssystemer. [Ændring 96]

2.  Medlemsstaterne sikrer, at de offentlige myndigheder og markedsaktørerne uden unødig forsinkelse foretager en anmeldelse til den kompetente myndighed eller til det centrale kontaktpunkt af hændelser, der har en betydelig indvirkning på sikkerheden af kontinuiteten i de centrale tjenester, de leverer. Anmeldelsen udsætter ikke den anmeldende part for et øget ansvar.

Med henblik på at fastlægge omfanget af en hændelses konsekvenser skal følgende parametre bl.a. tages i betragtning: [Ændring 97]

a)  antallet af brugere, hvis centrale tjeneste er berørt [Ændring 98]

b)  hændelsens varighed [Ændring 99]

c)  geografisk spredning med hensyn til det område, der er berørt af hændelsen. [Ændring 100]

Disse parametre skal nærmere specificeres i overensstemmelse med artikel 8, stk. 3, litra ib). [Ændring 101]

2a.  Markedsoperatører anmelder hændelser, der er omhandlet i stk. 1 og 2, til den kompetente myndighed eller til det centrale kontaktpunkt i den medlemsstat, hvor den centrale tjeneste er berørt. Hvis centrale tjenester i mere end én medlemsstat er berørt, advarer det centrale kontaktpunkt, som har modtaget anmeldelsen, på grundlag af oplysninger fra markedsoperatøren de andre berørte centrale kontaktpunkter. Markedsoperatøren underrettes hurtigst muligt om, hvilke andre centrale kontaktpunkter der er blevet underrettet om hændelsen, og om de trufne foranstaltninger, resultaterne heraf og alle i forbindelse med hændelsen relevante oplysninger. [Ændring 102]

2b.  Såfremt anmeldelsen indeholder personoplysninger, må de kun videregives til modtagere inden for den kompetente myndighed eller det centrale kontaktpunkt, der har modtaget anmeldelsen, og som skal behandle disse oplysninger for at kunne udføre deres opgaver i overensstemmelse med databeskyttelsesregler. De videregivne oplysninger skal begrænses til, hvad der er nødvendigt for udførelsen af deres opgaver. [Ændring 103]

2c.  Markedsoperatører, der ikke er omfattet af bilag II, kan foretage anmeldelser af hændelser som fastlagt i artikel 14, stk. 2, på frivillig basis. [Ændring 104]

3.  Stk. 1 og 2 skal finde anvendelse på alle markedsoperatører, som leverer tjenester i Den Europæiske Union.

4.  Efter samråd med den kompetente myndighed, der har modtaget anmeldelsen, og den pågældende markedsoperatør kan det centrale kontaktpunkt underrette offentligheden eller kræve, at de offentlige myndigheder og markedsaktørerne gør det, hvis den beslutter, at offentliggørelse af hændelsen er i offentlighedens interesse om enkelte hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forhindre en hændelse eller håndtere en igangværende hændelse, eller hvis markedsoperatøren i tilfælde af en hændelse har nægtet at håndtere en alvorlig strukturel sårbarhed, der har tilknytning til hændelsen, omgående.

Inden enhver offentliggørelse sikrer den kompetente myndighed, der har modtaget anmeldelsen, at den pågældende markedsoperatør får mulighed for at blive hørt, og at afgørelsen om offentliggørelse afvejes behørigt mod offentlighedens interesse.

Såfremt der offentliggøres oplysninger om enkelte hændelser, skal den kompetente myndighed eller det centrale kontaktpunkt, der modtager anmeldelsen, sikre, at disse oplysninger bliver så anonymiserede som muligt.

Den kompetente myndighed eller det centrale kontaktpunkt skal, for så vidt det er muligt, forsyne den berørte markedsoperatør med oplysninger, der understøtter en effektiv håndtering af den anmeldte hændelse.

En gang om året forelægger den kompetente myndighed det centrale kontaktpunkt en sammenfattende rapport for samarbejdsnetværket om de anmeldelser, den har modtaget, bl.a. oplysninger om antallet af anmeldelser og de hændelsesparametre, der er omhandlet i stk. 2 i denne artikel, og de foranstaltninger, der er truffet i henhold til dette stykke. [Ændring 105]

4a.  Medlemsstaterne skal tilskynde markedsoperatørerne til at offentliggøre hændelser, der involverer deres virksomheder, i deres regnskaber på frivillig basis. [Ændring 106]

5.  Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 18 for så vidt angår definition af tilfælde, hvor offentlige myndigheder og markedsaktører er forpligtet til at anmelde hændelser. [Ændring 107]

6.  Med forbehold af enhver delegeret retsakt, der er vedtaget i henhold til stk. 5, kan De kompetente myndigheder eller de centrale kontaktpunkter kan vedtage retningslinjer og om nødvendigt udstede instrukser om de omstændigheder, hvorunder de offentlige myndigheder og markedsaktører har pligt til at anmelde hændelser. [Ændring 108]

7.  Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, formater og procedurer for gennemførelsen af stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 19, stk. 3.

8.  Stk. 1 og 2 gælder ikke for mikrovirksomheder som defineret i Kommissionens anbefaling nr. 2003/361/EF(18), medmindre mikrovirksomhederne fungerer som datterselskab for en markedsoperatør som defineret i artikel 3, nr. 8), litra b). [Ændring 109].

8a.  Medlemsstaterne kan beslutte at anvende denne artikel og artikel 15 på offentlige myndigheder med de fornødne ændringer. [Ændring 110]

Artikel 15

Gennemførelse og håndhævelse

1.  Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter har de nødvendige beføjelser til at undersøge tilfælde af offentlige myndigheders og markedsaktørers manglende opfyldelse af sikre, at markedsoperatører opfylder deres forpligtelser i henhold til artikel 14 og virkningerne heraf for net og informationssystemers sikkerhed. [Ændring 111]

2.  Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter har beføjelse til at pålægge markedsaktørerne og offentlige myndigheder at: [Ændring 112]

a)  forelægge de oplysninger, der nødvendige for at vurdere sikkerheden af deres net og informationssystemer, herunder en dokumenteret sikkerhedspolitik

b)  underkaste sig dokumentere den faktiske gennemførelse af sikkerhedspolitikker, som f.eks. resultaterne af en sikkerhedsaudit udført af et kvalificeret uafhængigt organ eller en national myndighed, og stille resultaterne heraf dokumentationen til rådighed for den kompetente myndighed eller det centrale kontaktpunkt. [Ændring 113]

Når denne anmodning fremsættes, angiver de kompetente myndigheder og de centrale kontaktpunkter formålet med anmodningen og anfører tilstrækkeligt detaljeret, hvilke oplysninger der kræves. [Ændring 114]

3.  Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter har beføjelse til at udstede bindende instrukser til markedsaktørerne og de offentlige myndigheder. [Ændring 115]

3a.  Uanset denne artikels stk. 2, litra b), kan medlemsstaterne beslutte, at de kompetente myndigheder eller de centrale kontaktpunkter, alt efter hvad der er relevant, skal anvende en anden procedure for bestemte markedsoperatører på grundlag af deres kritikalitetsniveau fastlagt i overensstemmelse med artikel 13a. Medlemsstaterne beslutter i så fald:

a)  at de kompetente myndigheder eller de centrale kontaktpunkter, alt efter hvad der er relevant, skal have beføjelse til at rette en tilstrækkeligt specifik anmodning til markedsoperatørerne med krav om, at de forelægger dokumentation for en effektiv gennemførelse af sikkerhedspolitikkerne, såsom resultaterne af en sikkerhedsaudit gennemført af en kvalificeret intern revisor, og stiller dokumentationen til rådighed for den kompetente myndighed eller det centrale kontaktpunkt

b)  at den kompetente myndighed eller det centrale kontaktpunkt om nødvendigt, efter at markedsoperatøren har fremsat den anmodning, der er omhandlet i litra a), kan kræve at få udleveret supplerende dokumentation, eller at der gennemføres en yderligere audit ved et kvalificeret uafhængigt organ eller en national myndighed.

3b.  Medlemsstaterne kan beslutte at reducere antallet og intensiteten af auditter for en berørt markedsoperatør, såfremt sikkerhedsauditten heraf har vist, at kapitel IV konsekvent er blevet overholdt. [Ændring 116]

4.  De kompetente myndigheder anmelder og de centrale kontaktpunkter underretter de pågældende markedsoperatører om muligheden for at anmelde hændelser af formodet alvorlig kriminel karakter til de retshåndhævende myndigheder. [Ændring 117]

5.  Uden at dette berører de gældende databeskyttelsesregler, indgår de kompetente myndigheder indgår og de centrale kontaktpunkter i et tæt samarbejde med persondatabeskyttelsesmyndigheder, når de håndterer hændelser, som medfører brud på persondatasikkerheden. De centrale kontaktpunkter og databeskyttelsesmyndighederne udvikler i samarbejde med ENISA informationsudvekslingsmekanismer og en fælles skabelon, der skal anvendes i forbindelse med anmeldelser i henhold til såvel dette direktivs artikel 14, stk. 2, som anden EU-lovgivning om databeskyttelse. [Ændring 118]

6.  Medlemsstaterne sikrer, at alle forpligtelser, der pålægges offentlige myndigheder og markedsaktører i medfør af dette kapitel, kan indbringes for domstolene. [Ændring 119]

6a.   Medlemsstaterne kan beslutte at anvende artikel 14 og denne artikel på offentlige myndigheder med de fornødne ændringer. [Ændring 120]

Artikel 16

Standardisering

1.  For at sikre en konvergerende anvendelse af artikel 14, stk. 1, tilskynder medlemsstaterne uden at foreskrive anvendelse af en bestemt teknologi til at benytte europæiske eller internationale interoperable standarder og/eller specifikationer, der er relevante for net- og informationssikkerhed. [Ændring 121]

2.  Kommissionen opstiller ved hjælp af gennemførelsesretsakter giver et relevant europæisk standardiseringsorgan mandat til i samråd med relevante interessenter at opstille en liste over de standarder og/eller specifikationer, der er nævnt i stk. 1. Listen offentliggøres i Den Europæiske Unions Tidende. [Ændring 122]

KAPITEL V

AFSLUTTENDE BESTEMMELSER

Artikel 17

Sanktioner

1.  Medlemsstaterne fastsætter regler om sanktioner for overtrædelse af de nationale bestemmelser, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre håndhævelsen heraf. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsernes grovhed og have afskrækkende virkning. Medlemsstaterne giver senest på datoen for dette direktivs gennemførelse i national lovgivning Kommissionen meddelelse om disse bestemmelser og meddeler omgående senere ændringer af betydning for bestemmelserne.

1a.  Medlemsstaterne sikrer, at de sanktioner, der er omhandlet i denne artikels stk. 1, kun finder anvendelse, såfremt markedsoperatøren har tilsidesat sine forpligtelser i henhold til kapitel IV med forsæt eller ved grov forsømmelse. [Ændring 123]

2.  Medlemsstaterne sikrer, når en sikkerhedsrelateret hændelse omfatter personoplysninger, at de påtænkte sanktioner er forenelige med de sanktioner, der er fastsat i forordningen fra Europa-Parlamentet og Rådet om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(19).

Artikel 18

Udøvelse af de delegerede beføjelser

1.  Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2.  Beføjelsen til at vedtage delegerede retsakter, der er omhandlet i artikel 9, stk. 2 og artikel 10, stk. 5, tillægges Kommissionen. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3.  De delegerede beføjelser Den i artikel 9, stk. 3, artikel 10, stk. 5, og artikel 14, stk. 5, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller af Rådet. En afgørelse om tilbagekaldelse bringer delegationen af beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft. [Ændring 124]

4.  Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

5.  En delegeret retsakt vedtaget i henhold til artikel 9, stk. 3, artikel 10, stk. 5, og artikel 14, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Denne frist forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ. [Ændring 125]

Artikel 19

Udvalgsprocedure

1.  Kommissionen bistås af et udvalg ("Udvalget for Net- og Informationssikkerhed"). Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.  Når der henvises til dette stykke, finder artikel 4 i forordning (EU) nr. 182/2011 anvendelse.

3.  Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

Artikel 20

Revision

Kommissionen tager regelmæssigt dette direktivs funktion, navnlig listen i bilag II, op til revision og forelægger en rapport for Europa-Parlamentet og Rådet. Den første rapport forelægges senest tre år efter gennemførelsesdatoen i artikel 21. Kommissionen kan med henblik herpå anmode medlemsstaterne om hurtigst muligt at fremsende oplysninger. [Ændring 126]

Artikel 21

Gennemførelse

1.  Medlemsstaterne vedtager og offentliggør senest den [et og et halvt år efter vedtagelsen] de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen teksten til disse love og bestemmelser.

Medlemsstaterne anvender disse bestemmelser fra [et og et halvt år efter vedtagelsen].

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2.  Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale bestemmelser, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 22

Ikrafttræden

Dette direktiv træder i kraft på [tyvendedagen] efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 23

Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i ...

På Europa-Parlamentets vegne På Rådets vegne

Formand Formand

BILAG I

Krav til it-beredskabsenheden it-beredskabsenhederne (CERT) og enhedens enhedernes opgaver [Ændring 127]

Kravene til it-beredskabsenheden og enhedens opgaver skal være tilstrækkeligt og klart defineret og understøttet af national politik og/eller relevante forskrifter. De skal omfatte følgende elementer:

1)  Krav til it-beredskabsenheden

a)  It-beredskabsenheden It-beredskabsenhederne skal sikre omfattende disponibilitet for sine kommunikationstjenester ved at undgå svage punkter og have flere midler til at blive kontaktet og til at kontakte andre til enhver tid. Desuden skal kommunikationskanalerne være tydeligt angivet og kendt af andre it-beredskabsenheder og samarbejdspartnere. [Ændring 128]

b)  It-beredskabsenheden skal gennemføre og administrere sikkerhedsforanstaltninger, der har til formål at sikre fortroligheden, integriteten, disponibiliteten og autenticiteten af oplysninger, som enheden modtager og behandler.

c)  It-beredskabsenhedens It-beredskabsenhedernes kontorer og de underliggende informationssystemer skal være placeret i sikrede områder med sikrede netværksinformationssystemer. [Ændring 129]

d)  Der oprettes et service management-kvalitetssystem for at følge op på it-beredskabsenhedens resultater og sikre løbende forbedringer af processer. Det skal være baseret på klart definerede måleenheder, der omfatter formelle serviceniveauer og vigtige resultatindikatorer.

e)  Driftskontinuitet:

—  It-beredskabsenheden skal være udstyret med et passende system til at administrere og videresende anmodninger, så overdragelser lettes

—  It-beredskabsenheden skal have tilstrækkeligt personale til at sikre disponibilitet døgnet rundt

—  It-beredskabsenheden råder over en infrastruktur, hvis driftskontinuitet er sikret. Med dette mål for øje etableres der redundante systemer og backup-arbejdsområder til it-beredskabsenheden for at sikre en permanent adgang til kommunikationsmidlerne.

2)  It-beredskabsenhedens opgaver

a)  It-beredskabsenhedens opgaver omfatter som minimum:

—  detektering og overvågning af hændelser på nationalt plan [Ændring 130]

—  tidlig varsling, advarsler, meddelelser og formidling af information til berørte parter om risici og hændelser

—  håndtering af hændelser

—  dynamiske risiko- og hændelsesanalyser og situationsrapporter

—  bred offentlig oplysning om risiciene i forbindelse med onlineaktiviteter

—  aktiv deltagelse i samarbejdsnetværk for it-beredskabsenheder på EU-plan og internationalt plan [Ændring 131]

—  tilrettelæggelse af NIS-kampagner

b)  It-beredskabsenheden skal etablere et samarbejde med den private sektor.

c)  For at lette samarbejdet fremmer it-beredskabsenheden vedtagelse og anvendelse af fælles eller standardiseret praksis for:

—  procedurer for håndtering af hændelser og risici

—  systemer til klassificering af hændelser, risici og oplysninger

—  taksonomier for måleenheder

—  formater for informationsudveksling risici, hændelser og navngivningskonventioner for systemer.

BILAG II

Liste over markedsaktører

Jf. artikel 3, stk. 8, litra a):

1.  E-handelsplatforme

2.  Internetbetalingsportaler

3.  Sociale netværk

4.  Søgemaskiner

5.  Cloud computing-tjenester

6.  Applikationsforhandlere

Jf. artikel 3, stk. 8, litra b): [Ændring 132]

1.  Energi

a)  elektricitet

—  el- og gasleverandører leverandører

—  operatører af el- og/eller gasdistributionssystemer distributionssystemer og detailhandlere, der levere leverer til endelige forbrugere

—  operatører af naturgastransmissionssystemer, operatører af naturgaslagre og LNG-operatører

—  operatører af el-transmissionssystemer

b)  olie

—  olierørledninger og olielagre

—  operatører af olieproduktion, raffinaderier og behandlingsanlæg, olielagre og olietransmission

c)  gas

—  operatører på el- og gasmarkedet leverandører

—  operatører af distributionssystemer og detailhandlere, der leverer til endelige forbrugere

—  operatører af naturgastransmissionssystemer, operatører af lagersystemer og flydende naturgas-systemoperatører

—  operatører af olie- og gasproduktion, naturgasproduktion, raffinaderier og, behandlingsanlæg, naturgaslagerfaciliteter og naturgastransmission

—  operatører på gasmarkedet [Ændring 133]

2.  Transport

—  luftfartsselskaber (gods og passagerer)

—  søtransport (virksomheder som udfører passagertransport og/eller godstransport i højsøfarvand eller kystnært farvand)

—  jernbaner (infrastrukturforvaltere, integrerede selskaber og jernbanetransportvirksomheder)

—  lufthavne

—  havne

—  trafikledelses- og kontroloperatører

—  logistiske hjælpetjenester (a) opbevaring og oplagring, b) lasthåndtering og c) andre hjælpetjenester i forbindelse med transport)

a)  vejtransport

i)  trafikledelses- og kontroloperatører

ii)  logistiske hjælpetjenester:

–  opbevaring og oplagring

–  lasthåndtering og

–  andre hjælpetjenester i forbindelse med transport

b)  transport med jernbane

i)  jernbaner (infrastrukturforvaltere, integrerede selskaber og jernbanetransportvirksomheder)

ii)  trafikledelses- og kontroloperatører

iii)  logistiske hjælpetjenester:

–  opbevaring og oplagring

–  lasthåndtering og

–  andre hjælpetjenester i forbindelse med transport

c)  lufttransport

i)  luftfartsselskaber (gods og passagerer)

ii)  lufthavne

iii)  trafikledelses- og kontroloperatører

iv)  logistiske hjælpetjenester:

–  opbevaring

–  lasthåndtering og

–  andre hjælpetjenester i forbindelse med transport

d)  søtransport

i)  søtransportvirksomheder (virksomheder, som udfører passagertransport ad indre vandveje i højsøfarvand eller kystnært farvand, og virksomheder, som udfører godstransport ad indre vandveje i højsøfarvand eller kystnært farvand) [Ændring 134]

3.  Bankvæsen: kreditinstitutioner i henhold til artikel 4, stk. 1, i Europa-Parlamentets og Rådets direktiv 2006/48/EF(20).

4.  Finansmarkedsinfrastrukturer: børser regulerede markeder, multilaterale handelsfaciliteter, organiserede handelsfaciliteter og centrale modpartsclearingcentraler. [Ændring 135]

5.  Sundhedssektoren: sundhedstjenestemiljøer (herunder hospitaler og private klinikker) og andre organisationer, der leverer sundhedstjenester.

5a.  Vandproduktion og -forsyning [Ændring 136]

5b.  Fødevareforsyningskæden [Ændring 137]

5c.  Internetudvekslingspunkter [Ændring 138]

(1)EUT C 271 af 19.9.2013, s. 133.
(2) Europa-Parlamentets holdning af 13.3.2014.
(3)Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) (EFT L 108 af 24.4.2002, s. 33).
(4) Rådets afgørelse 2011/292/EU af 31. marts 2011 om reglerne for sikkerhedsbeskyttelse af Unionens klassificerede informationer (EUT L 141 af 27.5.2011, s. 17).
(5) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).
(6) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EUT L 8 af 12.1.2001, s. 1).
(7)Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
(8)Europa-Parlamentets og Rådets direktiv 98/34/EF af 22. juni 1998 om en informationsprocedure med hensyn til tekniske standarder og forskrifter samt forskrifter for informationssamfundets tjenester (EFT L 204 af 21.7.1998, s. 37).
(9)SEK(2012) 72 endelig.
(10)Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).
(11)Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
(12)Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).
(13) EUT C 32 af 4.2.2014, s. 19.
(14)Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den (EUT L 345 af 23.12.2008, s. 75).
(15) Rådets afgørelse 2009/371/RIA af 6. april 2009 om oprettelse af Den Europæiske Politienhed (Europol) (EUT L 121 af 15.5.2009, s. 37).
(16) Kommissionens forordning (EU) nr. 611/2013 af 24. juni 2013 om de foranstaltninger, der skal anvendes ved underretningen om brud på persondatasikkerheden, jf. Europa-Parlamentets og Rådets direktiv 2002/58/EF vedrørende databeskyttelse inden for elektronisk kommunikation (EUT L 173 af 26.6.2013, s. 2).
(17) Europa-Parlamentets og Rådets direktiv 2004/39/EF af 21. april 2004 om markeder for finansielle instrumenter (EUT L 45 af 16.2.2005, s. 18).
(18)Kommissionens anbefaling nr. 2003/361/EF af 6. maj 2003 vedrørende definition af mikro-, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).
(19)SEC(2012) 72 final
(20) Europa-Parlamentets og Rådets direktiv 2006/48/EF af 14. juni 2006 om adgang til at optage og udøve virksomhed som kreditinstitut (EUT L 177 af 30.6.2006, s. 1).

Juridisk meddelelse - Databeskyttelsespolitik