Ευρετήριο 
 Προηγούμενο 
 Επόμενο 
 Πλήρες κείμενο 
Διαδικασία : 2013/0027(COD)
Διαδρομή στην ολομέλεια
Διαδρομή του εγγράφου : A7-0103/2014

Κείμενα που κατατέθηκαν :

A7-0103/2014

Συζήτηση :

PV 12/03/2014 - 15
CRE 12/03/2014 - 15

Ψηφοφορία :

PV 13/03/2014 - 14.8
Αιτιολογήσεις ψήφου

Κείμενα που εγκρίθηκαν :

P7_TA(2014)0244

Κείμενα που εγκρίθηκαν
PDF 611kWORD 306k
Πέμπτη 13 Μαρτίου 2014 - Στρασβούργο
Εξασφάλιση κοινού υψηλού επιπέδου ασφάλειας δικτύων και πληροφοριών σε ολόκληρη την Ένωση ***I
P7_TA(2014)0244A7-0103/2014
Ψήφισμα
 Ενοποιημένο κείμενο

Νομοθετικό ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 13ης Μαρτίου 2014 σχετικά με την πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου που αφορά μέτρα για την εξασφάλιση κοινού υψηλού επιπέδου ασφάλειας δικτύων και πληροφοριών σε ολόκληρη την Ένωση (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD))

(Συνήθης νομοθετική διαδικασία: πρώτη ανάγνωση)

Το Ευρωπαϊκό Κοινοβούλιο,

–  έχοντας υπόψη την πρόταση της Επιτροπής προς το Κοινοβούλιο και το Συμβούλιο (COM(2013)0048),

–  έχοντας υπόψη το άρθρο 294 παράγραφος 2 και το άρθρο 114 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, σύμφωνα με τα οποία του υποβλήθηκε η πρόταση από την Επιτροπή (C7‑0035/2013),

–  έχοντας υπόψη το άρθρο 294 παράγραφος 3 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης,

–  έχοντας υπόψη την αιτιολογημένη γνώμη που υποβλήθηκε από το Κοινοβούλιο του Βασιλείου της Σουηδίας, στο πλαίσιο του πρωτοκόλλου αριθ. 2 σχετικά με την εφαρμογή των αρχών της επικουρικότητας και της αναλογικότητας, με την οποία υποστηρίζεται ότι το σχέδιο νομοθετικής πράξης δεν συνάδει προς την αρχή της επικουρικότητας,

–  έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής, της 22ας Μαΐου 2013(1),

–  έχοντας υπόψη το ψήφισμά του της 12ης Σεπτεμβρίου 2013, σχετικά με μια στρατηγική για την ασφάλεια στον κυβερνοχώρο της Ευρωπαϊκής Ένωσης: Για έναν ανοικτό, ασφαλή και προστατευμένο κυβερνοχώρο(2),

–  έχοντας υπόψη το άρθρο 55 του Κανονισμού του,

–  έχοντας υπόψη την έκθεση της Επιτροπής Εσωτερικής Αγοράς και Προστασίας των Καταναλωτών και τις γνωμοδοτήσεις της Επιτροπής Βιομηχανίας, Έρευνας και Ενέργειας, της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων και της Επιτροπής Εξωτερικών Υποθέσεων (A7-0103/2014),

1.  εγκρίνει τη θέση του σε πρώτη ανάγνωση όπως παρατίθεται κατωτέρω·

2.  ζητεί από την Επιτροπή να του υποβάλει εκ νέου την πρόταση, αν προτίθεται να της επιφέρει σημαντικές τροποποιήσεις ή να την αντικαταστήσει με νέο κείμενο·

3.  αναθέτει στον Πρόεδρό του να διαβιβάσει τη θέση του Κοινοβουλίου στο Συμβούλιο, στην Επιτροπή και στα εθνικά κοινοβούλια.

(1) ΕΕ C 271 της 19.9.2013, σ. 133.
(2) Κείμενα που εγκρίθηκαν P7_TA(2013)0376.


Θέση του Ευρωπαϊκού Κοινοβουλίου που καθορίσθηκε σε πρώτη ανάγνωση στις 13 Μαρτίου 2014 εν όψει της έγκρισης οδηγίας 2014/.../ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για την εξασφάλιση κοινού υψηλού επιπέδου ασφάλειας δικτύων και πληροφοριών σε ολόκληρη την Ένωση
P7_TC1-COD(2013)0027

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 114,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής(1),

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία(2),

Εκτιμώντας τα ακόλουθα:

(1)  Τα συστήματα και οι υπηρεσίες δικτύων και πληροφοριών διαδραματίζουν ζωτικό ρόλο στην κοινωνία. Η αξιοπιστία και η ασφάλειά τους είναι ουσιαστικής σημασίας για την ελευθερία και τη συνολική ασφάλεια των πολιτών της Ένωσης, καθώς και για τις οικονομικές δραστηριότητες και την κοινωνική ευημερία, και ιδίως για τη λειτουργία της εσωτερικής αγοράς. [Τροπολογία 1]

(2)  Το μέγεθος, και η συχνότητα σκόπιμων ή τυχαίων και ο αντίκτυπος συμβάντων ασφάλειας αυξάνεται και συνιστά μείζονα απειλή για τη λειτουργία των δικτύων και των συστημάτων πληροφοριών. Τα συστήματα αυτά μπορούν επίσης να αποτελέσουν εύκολο στόχο σκόπιμων επιζήμιων ενεργειών που έχουν σκοπό να προκαλέσουν βλάβες στα συστήματα ή να διακόψουν τη λειτουργία τους. Τέτοια συμβάντα μπορούν να παρεμποδίσουν την άσκηση οικονομικών δραστηριοτήτων, να προκαλέσουν σημαντικές οικονομικές ζημίες, να υπονομεύσουν την εμπιστοσύνη των χρηστών και των επενδυτών, και να προκαλέσουν σημαντική ζημία στην οικονομία της Ένωσης και, τελικά, να απειλήσουν την ευημερία των πολιτών της Ένωσης και την ικανότητα των κρατών μελών της να προστατεύονται και να προστατεύουν την ασφάλεια κρίσιμων υποδομών. [Τροπολογία 2]

(3)  Ως μέσο επικοινωνίας χωρίς σύνορα, τα ψηφιακά συστήματα πληροφοριών, και κυρίως το διαδίκτυο, διαδραματίζουν ουσιαστικό ρόλο στη διευκόλυνση της διασυνοριακής κυκλοφορίας εμπορευμάτων, υπηρεσιών και προσώπων. Λόγω του διακρατικού χαρακτήρα, ενδεχόμενη σημαντική διαταραχή των συστημάτων αυτών σε ένα κράτος μέλος μπορεί επίσης να επηρεάσει και άλλα κράτη μέλη και την Ένωση στο σύνολό της. Η ανθεκτικότητα και η σταθερότητα των συστημάτων δικτύων και πληροφοριών είναι επομένως ουσιώδης για την ομαλή λειτουργία της εσωτερικής αγοράς.

(3α)  Δεδομένου ότι οι κοινές αιτίες συστημικής αστοχίας παραμένουν ακούσιες, όπως φυσικοί παράγοντες ή ανθρώπινο λάθος, οι υποδομές θα πρέπει να είναι ανθεκτικές τόσο σε σκόπιμες όσο και σε ακούσιες διαταραχές, και οι φορείς εκμετάλλευσης κρίσιμης υποδομής θα πρέπει να σχεδιάζουν τα συστήματα με γνώμονα την ανθεκτικότητα. [Τροπολογία 3]

(4)  Ένας μηχανισμός συνεργασίας θα πρέπει να δημιουργηθεί σε επίπεδο Ένωσης ώστε να καταστεί δυνατή η ανταλλαγή πληροφοριών και η συντονισμένη πρόληψη, ανίχνευση και αντιμετώπιση όσον αφορά την ασφάλεια δικτύων και πληροφοριών («NIS»). Για να είναι αποτελεσματικός και χωρίς αποκλεισμούς ο εν λόγω μηχανισμός, είναι σημαντικό όλα τα κράτη μέλη να διαθέτουν ένα ελάχιστο επίπεδο ικανοτήτων καθώς και μια στρατηγική που θα εξασφαλίζει υψηλό επίπεδο ασφάλειας δικτύων και πληροφοριών στην επικράτειά τους. Θα πρέπει επίσης να ισχύουν ελάχιστες απαιτήσεις ασφάλειας και για τη δημόσια διοίκηση και τους τουλάχιστον για ορισμένους φορείς εκμετάλλευσης των υποδομών πληροφοριών ζωτικής σημασίας για την προαγωγή πνεύματος διαχείρισης κινδύνων και για να διασφαλιστεί η αναφορά των σοβαρότερων συμβάντων. Οι επιχειρήσεις που είναι εισηγμένες σε χρηματιστήρια θα πρέπει να παροτρυνθούν να δημοσιεύουν τα περιστατικά στις οικονομικές εκθέσεις τους, σε εθελοντική βάση. Το νομικό πλαίσιο θα πρέπει να βασίζεται στην ανάγκη για προστασία της ιδιωτικής ζωής και της ακεραιότητας των πολιτών. Το δίκτυο προειδοποίησης σχετικά με τις υποδομές ζωτικής σημασίας (CIWIN) θα πρέπει να επεκταθεί στους φορείς εκμετάλλευσης που καλύπτει η παρούσα οδηγία. [Τροπολογία 4]

(4α)  Ενώ οι δημόσιες διοικήσεις, λόγω της δημόσιας αποστολής τους, θα πρέπει να εφαρμόζουν διαδικασίες δέουσας επιμέλειας κατά τη διαχείριση και την προστασία των δικών τους συστημάτων δικτύων και πληροφοριών, η παρούσα οδηγία θα πρέπει να εστιάζεται σε υποδομές ζωτικής σημασίας που είναι απαραίτητες για τη διατήρηση καίριων οικονομικών και κοινωνικών δραστηριοτήτων στους τομείς της ενέργειας, των μεταφορών, της τραπεζικής, των υποδομών χρηματοπιστωτικών αγορών και της υγείας. Οι προγραμματιστές λογισμικού και οι κατασκευαστές υλικού θα πρέπει να αποκλείονται από το πεδίο εφαρμογής της παρούσας οδηγίας. [Τροπολογία 5]

(4β)  Θα πρέπει να διασφαλίζονται η συνεργασία και ο συντονισμός μεταξύ των σχετικών ενωσιακών αρχών με την Ύπατη Εκπρόσωπο/Αντιπρόεδρο αρμόδια για την κοινή εξωτερική πολιτική και πολιτική ασφάλεια και την κοινή πολιτική ασφάλειας και άμυνας, καθώς και με τον Συντονιστή Αντιτρομοκρατικής Δράσης της ΕΕ, σε όλες τις περιπτώσεις που γίνονται ενδεχομένως αντιληπτοί κίνδυνοι εξωτερικής και τρομοκρατικής φύσης. [Τροπολογία 6]

(5)  Για να καλυφθούν όλα τα σχετικά συμβάντα και οι σχετικοί κίνδυνοι, η παρούσα οδηγία θα πρέπει να ισχύσει για όλα τα συστήματα δικτύων και πληροφοριών. Οι υποχρεώσεις των δημόσιων διοικήσεων και των φορέων της αγοράς δεν θα πρέπει, ωστόσο, να ισχύσουν για τις επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών κατά την έννοια της οδηγίας 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(3), οι οποίες υπόκεινται στις ειδικές απαιτήσεις ακεραιότητας και ασφάλειας που ορίζονται στο άρθρο 13α της εν λόγω οδηγίας ούτε θα πρέπει να ισχύσουν για παρόχους υπηρεσιών εμπιστοσύνης.

(6)  Οι υφιστάμενες ικανότητες δεν επαρκούν για να εξασφαλιστεί ένα υψηλό επίπεδο ασφάλειας δικτύων και πληροφοριών (ΑΔΠ) εντός της Ένωσης. Τα κράτη μέλη έχουν πολύ διαφορετικά επίπεδα ετοιμότητας, με αποτέλεσμα κατακερματισμένες προσεγγίσεις σε ολόκληρη την Ένωση. Αυτό οδηγεί σε άνισο επίπεδο προστασίας καταναλωτών και επιχειρήσεων, ενώ υπονομεύει το συνολικό επίπεδο ΑΔΠ εντός της Ένωσης. Η απουσία κοινών ελάχιστων απαιτήσεων για τη δημόσια διοίκηση και τους φορείς της αγοράς, καθιστά εξάλλου αδύνατο να συσταθεί ένας σφαιρικός και αποτελεσματικός μηχανισμός για συνεργασία σε επίπεδο Ένωσης. Τα πανεπιστήμια και τα ερευνητικά κέντρα διαδραματίζουν καθοριστικό ρόλο στην προαγωγή της έρευνας, της ανάπτυξης και της καινοτομίας στους συγκεκριμένους τομείς, και θα πρέπει να τους διατίθεται επαρκής χρηματοδότηση. [Τροπολογία 7]

(7)  Η αποτελεσματική απόκριση στα προβλήματα ασφάλειας των συστημάτων δικτύων και πληροφοριών απαιτεί, συνεπώς, σφαιρική προσέγγιση σε επίπεδο Ένωσης που να καλύπτει κοινές ελάχιστες απαιτήσεις δημιουργίας ικανοτήτων και σχεδιασμού, ανάπτυξης επαρκών δεξιοτήτων κυβερνοασφάλειας, ανταλλαγής πληροφοριών και συντονισμού ενεργειών, καθώς και κοινές ελάχιστες απαιτήσεις ασφάλειας για όλους τους ενδιαφερόμενους φορείς της αγοράς και για τη δημόσια διοίκηση. Θα πρέπει να εφαρμοστούν ελάχιστα κοινά πρότυπα με βάση κατάλληλες συστάσεις των ομάδων συντονισμού για την ασφάλεια στον κυβερνοχώρο (CSGC). [Τροπολογία 8]

(8)  Οι διατάξεις της παρούσας οδηγίας δεν θα πρέπει να θίγουν τη δυνατότητα κάθε κράτους μέλους να λαμβάνει τα αναγκαία μέτρα για την προστασία των ουσιαστικών συμφερόντων του στον τομέα της ασφάλειας και για την εξασφάλιση της δημόσιας τάξης και ασφάλειας, καθώς και να διευκολύνει τη διερεύνηση, εξιχνίαση και δίωξη ποινικών αδικημάτων. Σύμφωνα με το άρθρο 346 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), κανένα κράτος μέλος δεν πρέπει να υποχρεώνεται να παρέχει πληροφορίες, τη διάδοση των οποίων θεωρεί αντίθετη προς τα ουσιώδη συμφέροντα ασφάλειάς του. Κανένα κράτος μέλος δεν υποχρεούται να αποκαλύπτει διαβαθμισμένες πληροφορίες της ΕΕ όπως ορίζονται στην απόφαση 2011/292/ΕΕ του Συμβουλίου(4), πληροφορίες που περιέχονται σε συμφωνίες εμπιστευτικότητας ή ανεπίσημες συμφωνίες εμπιστευτικότητας, όπως το πρωτόκολλο για την ανταλλαγή πληροφοριών «Traffic Light Protocol». [Τροπολογία 9]

(9)  Για την επίτευξη και τη διατήρηση κοινού υψηλού επιπέδου ασφάλειας των δικτύων και των συστημάτων πληροφοριών, κάθε κράτος μέλος θα πρέπει να διαθέτει εθνική στρατηγική ΑΔΠ που να καθορίζει τους στρατηγικούς στόχους και τις συγκεκριμένες δράσεις πολιτικής που πρέπει να εφαρμοστούν. Πρέπει να εκπονηθούν σε εθνικό επίπεδο σχέδια συνεργασίας ΑΔΠ που να συμμορφώνονται με τις βασικές απαιτήσεις, με βάση τις ελάχιστες απαιτήσεις που καθορίζονται στην παρούσα οδηγία, προκειμένου να επιτευχθούν επίπεδα ικανότητας απόκρισης που να επιτρέπουν αποτελεσματική και αποδοτική συνεργασία σε εθνικό και σε ενωσιακό επίπεδο σε περίπτωση συμβάντων, τα οποία να σέβονται και να προστατεύουν την ιδιωτικότητα και τα προσωπικά δεδομένα. Κάθε κράτος μέλος θα πρέπει, ως εκ τούτου, να υποχρεούται να πληροί κοινά πρότυπα όσον αφορά το μορφότυπο των δεδομένων και την ανταλλαξιμότητα των δεδομένων που θα πρέπει να ανταλλάσσονται και να αξιολογούνται. Τα κράτη μέλη θα πρέπει να μπορούν να ζητούν τη συνδρομή του ενωσιακού Οργανισμού Ασφάλειας Δικτύων και Πληροφοριών («ENISA») για την ανάπτυξη των εθνικών τους στρατηγικών ΑΔΠ, βάσει ενός ελάχιστου κοινού προτύπου στρατηγικής ΑΔΠ. [Τροπολογία 10]

(10)  Για να καταστεί δυνατή η αποτελεσματική υλοποίηση των διατάξεων που θεσπίζονται δυνάμει της παρούσας οδηγίας, θα πρέπει να συσταθεί ή να οριστεί σε κάθε κράτος μέλος ένας φορέας υπεύθυνος για τον συντονισμό θεμάτων ΑΔΠ και για να ενεργεί ως εστιακό σημείο για διασυνοριακή συνεργασία σε επίπεδο Ένωσης . Στους εν λόγω φορείς θα πρέπει να δοθούν επαρκείς τεχνικοί, οικονομικοί και ανθρώπινοι πόροι ώστε να εξασφαλιστεί ότι θα μπορούν να εκτελούν αποτελεσματικά και αποδοτικά τα καθήκοντα που τους έχουν ανατεθεί επιτυγχάνοντας, συνεπώς, τους στόχους της παρούσας οδηγίας.

(10α)  Με δεδομένες τις διαφορές των εθνικών δομών διακυβέρνησης και για τη διασφάλιση των υφιστάμενων τομεακών ρυθμίσεων ή των εποπτικών και ρυθμιστικών φορέων της Ένωσης, καθώς και προς αποφυγή αλληλεπικαλύψεων, τα κράτη μέλη θα πρέπει να είναι σε θέση να ορίζουν περισσότερες από μία αρμόδιες εθνικές αρχές για την εκτέλεση των καθηκόντων που συνδέονται με την ασφάλεια των συστημάτων δικτύων και πληροφοριών των φορέων της αγοράς δυνάμει της παρούσας οδηγίας. Ωστόσο, προκειμένου να διασφαλιστεί η ομαλή διασυνοριακή συνεργασία και επικοινωνία, είναι ανάγκη κάθε κράτος μέλος να ορίζει, με την επιφύλαξη των επιμέρους τομεακών κανονιστικών ρυθμίσεων, μία μόνο εθνική ενιαίο κέντρο εξυπηρέτησης που θα είναι αρμόδια για τη διασυνοριακή συνεργασία σε επίπεδο ΕΕ. Εφόσον απαιτείται από τη συνταγματική τους δομή ή άλλες ρυθμίσεις, τα κράτη μέλη θα πρέπει να είναι σε θέση να ορίσουν μία μόνον αρχή για την εκτέλεση των καθηκόντων της αρμόδιας αρχής και του ενιαίου κέντρου εξυπηρέτησης. Οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης θα πρέπει να είναι πολιτικοί φορείς υποκείμενοι σε πλήρη δημοκρατική εποπτεία, και θα πρέπει να μην επιτελούν καθήκοντα στους τομείς της συλλογής πληροφοριών, της επιβολής του νόμου ή της άμυνας, ούτε να συνδέονται οργανωτικά με οποιονδήποτε τρόπο με φορείς που δραστηριοποιούνται στους τομείς αυτούς. [Τροπολογία 11]

(11)  Όλα τα κράτη μέλη και οι φορείς της αγοράς θα πρέπει να διαθέτουν τον κατάλληλο εξοπλισμό, τόσο σε τεχνικές όσο και σε οργανωτικές ικανότητες, για την πρόληψη, τον εντοπισμό, την αντιμετώπιση και τον μετριασμό των συμβάντων και κινδύνων σε συστήματα δικτύων και πληροφοριών ανά πάσα στιγμή. Τα συστήματα ασφάλειας των δημόσιων διοικήσεων θα πρέπει να είναι ασφαλή και να υπόκεινται σε δημοκρατικό έλεγχο. Ο εξοπλισμός και οι ικανότητες που απαιτούνται συνήθως θα πρέπει να συμμορφώνονται με κοινώς συμφωνημένα τεχνικά πρότυπα, καθώς και με πρότυπες επιχειρησιακές διαδικασίες (SPO). Κατά συνέπεια, θα πρέπει να ιδρυθούν σε όλα τα κράτη μέλη εύρυθμα λειτουργούσες ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT) που να συμμορφώνονται με τις βασικές απαιτήσεις, ώστε να διασφαλίζονται αποτελεσματικές και συμβατές ικανότητες για την αντιμετώπιση συμβάντων και κινδύνων και να εξασφαλίζεται αποτελεσματική συνεργασία σε ενωσιακό επίπεδο. Οι εν λόγω CERT θα πρέπει να μπορούν να αλληλεπιδρούν βάσει κοινών τεχνικών προτύπων και πρότυπων επιχειρησιακών διαδικασιών. Δεδομένων των διαφορετικών χαρακτηριστικών των υφιστάμενων CERT, οι οποίες ανταποκρίνονται σε διαφορετικές ανάγκες και φορείς, τα κράτη μέλη θα πρέπει να εγγυώνται την παροχή υπηρεσιών από τουλάχιστον μία CERT σε κάθε τομέα που περιλαμβάνεται στην κατάσταση φορέων της αγοράς η οποία καθορίζεται στην παρούσα οδηγία. Όσον αφορά τη διασυνοριακή συνεργασία των CERT, τα κράτη μέλη θα πρέπει να μεριμνούν ώστε οι CERT να διαθέτουν επαρκή μέσα για να συμμετέχουν στα αντίστοιχα διεθνή και ενωσιακά δίκτυα συνεργασίας που ήδη υπάρχουν. [Τροπολογία 12]

(12)  Αξιοποιώντας τη σημαντική πρόοδο που έχει σημειωθεί στο πλαίσιο του ευρωπαϊκού φόρουμ των κρατών μελών (EFMS) στην προώθηση συζητήσεων και ανταλλαγών όσον αφορά ορθές πολιτικές πρακτικές, συμπεριλαμβανομένης της επεξεργασίας αρχών για την ευρωπαϊκή συνεργασία για την αντιμετώπιση της κρίσης στον κυβερνοχώρο, τα κράτη μέλη και η Επιτροπή θα πρέπει να συγκροτήσουν δίκτυο μόνιμης επικοινωνίας και υποστήριξης της συνεργασίας μεταξύ τους. Αυτός ο ασφαλής και αποτελεσματικός μηχανισμός συνεργασίας, με τη συμμετοχή και των φορέων της αγοράς, όπου είναι σκόπιμο, θα πρέπει να καταστήσει δυνατή τη δομημένη και συντονισμένη ανταλλαγή πληροφοριών, καθώς και τον εντοπισμό και την απόκριση σε ενωσιακό επίπεδο. [Τροπολογία 13]

(13)  Ο Ευρωπαϊκός Οργανισμός Ασφάλειας Δικτύων και Πληροφοριών (ENISA) θα πρέπει να συνδράμει τα κράτη μέλη και την Επιτροπή, παρέχοντας την εμπειρογνωμοσύνη και τις συμβουλές του, καθώς και διευκολύνοντας την ανταλλαγή βέλτιστης πρακτικής. Ειδικότερα, κατά την εφαρμογή της παρούσας οδηγίας, η Επιτροπή και τα κράτη μέλη θα πρέπει να συμβουλευτεί συμβουλευτούν τον ENISA. Προκειμένου να διασφαλίζεται αποτελεσματική και έγκαιρη ενημέρωση των κρατών μελών και της Επιτροπής, θα πρέπει να κοινοποιούνται εντός του δικτύου συνεργασίας έγκαιρες προειδοποιήσεις για συμβάντα και κινδύνους. Για την ανάπτυξη ικανοτήτων και γνώσεων μεταξύ των κρατών μελών, θα πρέπει το δίκτυο συνεργασίας να χρησιμεύει επίσης ως μέσο για την ανταλλαγή ορθής πρακτικής, να επικουρεί τα μέλη του όσον αφορά την ανάπτυξη ικανοτήτων, να κατευθύνει τη διοργάνωση αξιολογήσεων από ομοτίμους και ασκήσεωνε σχετικά με την ασφάλεια δικτύων και πληροφοριών. [Τροπολογία 14]

(13α)  Όπου είναι σκόπιμο, τα κράτη μέλη θα πρέπει να μπορούν να χρησιμοποιούν ή να προσαρμόζουν τις υφιστάμενες οργανωτικές δομές ή στρατηγικές κατά την εφαρμογή των διατάξεων της παρούσας οδηγίας. [Τροπολογία 15]

(14)  Θα πρέπει να τεθεί σε εφαρμογή μια υποδομή για ασφαλή ανταλλαγή πληροφοριών προκειμένου να καταστεί δυνατή η ανταλλαγή ευαίσθητων και εμπιστευτικών πληροφοριών εντός του δικτύου συνεργασίας. Για τον σκοπό αυτό θα πρέπει να αξιοποιηθούν πλήρως οι δομές που υπάρχουν στο εσωτερικό της Ένωσης. Με την επιφύλαξη της υποχρέωσής τους για κοινοποίηση στο δίκτυο συνεργασίας συμβάντων και κινδύνων ενωσιακής διάστασης, η πρόσβαση σε πληροφορίες εμπιστευτικού χαρακτήρα από άλλα κράτη μέλη θα πρέπει να χορηγείται στα κράτη μέλη μόνον εφόσον έχει καταδειχθεί ότι οι τεχνικοί, οικονομικοί και ανθρώπινοι πόροι και οι διαδικασίες τους, καθώς και η επικοινωνιακή υποδομή τους, εγγυώνται την αποτελεσματική, αποδοτική και ασφαλή συμμετοχή τους στο δίκτυο με τη χρήση διαφανών μεθόδων. [Τροπολογία 16]

(15)  Δεδομένου ότι τα περισσότερα συστήματα δικτύων και πληροφοριών είναι ιδιωτικά, η συνεργασία μεταξύ του ιδιωτικού και του δημόσιου τομέα έχει ουσιώδη σημασία. Οι παράγοντες της αγοράς θα πρέπει να παροτρύνονται να διατηρούν τους δικούς τους άτυπους μηχανισμούς συνεργασίας για την εξασφάλιση της ασφάλειας δικτύων και πληροφοριών. Θα πρέπει επίσης να συνεργάζονται με τον δημόσιο τομέα και να ανταλλάσσουν μοιράζονται σε βάση αμοιβαιότητας πληροφορίες και βέλτιστη πρακτική έναντι συμπεριλαμβανομένης της αμοιβαίας ανταλλαγής σχετικών πληροφοριών και επιχειρησιακής στήριξης και πληροφοριών που έχουν υποστεί στρατηγική ανάλυση σε περίπτωση συμβάντων. Προκειμένου να ενθαρρυνθεί αποτελεσματικά η ανταλλαγή πληροφοριών και βέλτιστης πρακτικής, είναι ουσιαστικό να εξασφαλιστεί ότι οι φορείς της αγοράς οι οποίοι συμμετέχουν σε τέτοιες ανταλλαγές δεν θα βρεθούν σε μειονεκτική θέση λόγω της συνεργασίας τους. Απαιτούνται επαρκείς εγγυήσεις για να εξασφαλιστεί ότι η συνεργασία αυτή δεν θα εκθέσει τους εν λόγω φορείς εκμετάλλευσης σε υψηλότερο κίνδυνο όσον αφορά τη συμμόρφωση ή σε νέες ευθύνες στο πλαίσιο, μεταξύ άλλων, της νομοθεσίας στους τομείς του ανταγωνισμού, της πνευματικής ιδιοκτησίας, της νομοθεσίας περί προστασίας δεδομένων ή του κυβερνοεγκλήματος, ή σε αυξημένους επιχειρησιακούς κινδύνους ή κινδύνους ασφάλειας. [Τροπολογία 17]

(16)  Προκειμένου να διασφαλιστεί η διαφάνεια και η καλή ενημέρωση των πολιτών της Ένωσης και των φορέων της αγοράς, θα πρέπει οι αρμόδιες αρχές τα ενιαία κέντρα εξυπηρέτησης να συγκροτήσουν κοινό ιστότοπο σε ενωσιακή κλίμακα για τη δημοσίευση μη εμπιστευτικών πληροφοριών σχετικά με συμβάντα και, κινδύνους και τρόπους μετριασμού των κινδύνων, και, όπου απαιτείται, για την παροχή συμβουλών σχετικά με κατάλληλα μέτρα διατήρησης. Οι πληροφορίες στον ιστότοπο θα πρέπει να είναι προσβάσιμες ανεξάρτητα από τη χρησιμοποιούμενη συσκευή. Τυχόν δεδομένα προσωπικού χαρακτήρα που θα δημοσιεύονται στον εν λόγω ιστότοπο θα πρέπει να περιορίζονται στα απολύτως αναγκαία και θα πρέπει να παρέχονται σε όσο το δυνατόν πιο ανώνυμη μορφή. [Τροπολογία 18]

(17)  Εάν οι πληροφορίες θεωρούνται εμπιστευτικές σύμφωνα με τους ενωσιακούς και εθνικούς κανόνες περί επιχειρηματικού απορρήτου, πρέπει η εμπιστευτικότητα αυτή να εξασφαλίζεται κατά την άσκηση των δραστηριοτήτων και την εκπλήρωση των στόχων της παρούσας οδηγίας.

(18)  Ιδίως με βάση τις εθνικές εμπειρίες διαχείρισης κρίσεων και σε συνεργασία με τον ENISA, η Επιτροπή και τα κράτη μέλη θα πρέπει να εκπονήσουν ενωσιακό σχέδιο συνεργασίας για την ΑΔΠ όπου θα καθορίζονται μηχανισμοί συνεργασίας για, βέλτιστες πρακτικές και πρότυπα λειτουργίας για την πρόληψη, τον εντοπισμό, την αναφορά και την αντιμετώπιση κινδύνων και συμβάντων. Το εν λόγω σχέδιο θα πρέπει να λαμβάνεται δεόντως υπόψη για τον χειρισμό έγκαιρων προειδοποιήσεων εντός του δικτύου συνεργασίας. [Τροπολογία 19]

(19)  Κοινοποίηση έγκαιρης προειδοποίησης στο πλαίσιο του δικτύου θα πρέπει να απαιτείται μόνον όταν η κλίμακα και η σοβαρότητα του σχετικού συμβάντος ή κινδύνου είναι ή μπορούν να καταστούν τόσο σημαντικές ώστε να είναι απαραίτητες πληροφορίες ή συντονισμός της απόκρισης σε ενωσιακό επίπεδο. Οι έγκαιρες προειδοποιήσεις θα πρέπει, επομένως, να περιορίζονται σε πραγματικά ή δυνητικά συμβάντα ή σε κινδύνους που αναπτύσσονται ταχέως, υπερβαίνουν τις εθνικές ικανότητες απόκρισης ή πλήττουν περισσότερα του ενός κράτη μέλη. Για να καταστεί δυνατή η ορθή αξιολόγηση, θα πρέπει όλες οι σχετικές πληροφορίες για την αξιολόγηση του κινδύνου ή του συμβάντος να κοινοποιούνται στο δίκτυο συνεργασίας. [Τροπολογία 20]

(20)  Με την παραλαβή μιας έγκαιρης προειδοποίησης και την αξιολόγησή της, θα πρέπει οι αρμόδιες αρχές τα ενιαία κέντρα εξυπηρέτησης να συμφωνήσουν σχετικά με συντονισμένη απόκριση, σύμφωνα με το ενωσιακό σχέδιο συνεργασίας για την ΑΔΠ. Οι αρμόδιες αρχές Τα ενιαία κέντρα εξυπηρέτησης, ο ENISA και η Επιτροπή θα πρέπει να ενημερώνονται σχετικά με τα μέτρα που λαμβάνονται σε εθνικό επίπεδο ως αποτέλεσμα της συντονισμένης απόκρισης. [Τροπολογία 21]

(21)  Δεδομένου του παγκόσμιου χαρακτήρα των προβλημάτων ΑΔΠ, υπάρχει ανάγκη στενότερης διεθνούς συνεργασίας για τη βελτίωση των προτύπων ασφάλειας και της ανταλλαγής πληροφοριών, καθώς και για την προώθηση κοινής σφαιρικής προσέγγισης των θεμάτων ασφάλειας δικτύων και πληροφοριών. Κάθε πλαίσιο που χρησιμοποιείται για τέτοιου είδους διεθνή συνεργασία θα πρέπει να υπόκειται στην οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(5) και στον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(6). [Τροπολογία 22]

(22)  Αρμοδιότητες για την εξασφάλιση ΑΔΠ υπέχουν σε μεγάλο βαθμό η δημόσια διοίκηση και οι φορείς της αγοράς. Με κατάλληλες κανονιστικές απαιτήσεις και εθελοντικές κλαδικές πρακτικές θα πρέπει να προωθηθεί και να αναπτυχθεί πνεύμα διαχείρισης κινδύνων, στενή συνεργασία, και κλίμα εμπιστοσύνης, περιλαμβάνοντας εκτίμηση των κινδύνων και εφαρμογή ενδεδειγμένων μέτρων ασφάλειας για τους κινδύνους που αντιμετωπίζουν οι επιχειρήσεις ενδεδειγμένων για τους κινδύνους και τα περιστατικά, εκούσια και μη. Η εξασφάλιση ίσων όρων αξιόπιστου ανταγωνισμού με ίσους όρους είναι επίσης απαραίτητη για την αποτελεσματική λειτουργία του δικτύου συνεργασίας ώστε να εξασφαλίζεται αποτελεσματική συνεργασία από όλα τα κράτη μέλη. [Τροπολογία 23]

(23)  Στην οδηγία 2002/21/ΕΚ ορίζεται ότι οι επιχειρήσεις παροχής δημοσίων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών λαμβάνουν τα κατάλληλα μέτρα για τη διασφάλιση της ακεραιότητας και ασφάλειάς τους, ενώ εισάγονται απαιτήσεις κοινοποίησης παραβιάσεων της ασφάλειας και απώλειας της ακεραιότητας. Στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(7) απαιτείται από τον πάροχο διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών να λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διαφυλάσσεται η ασφάλεια των υπηρεσιών του.

(24)  Οι εν λόγω υποχρεώσεις θα πρέπει να επεκταθούν πέρα από τον τομέα των ηλεκτρονικών επικοινωνιών στους φορείς εκμετάλλευσης υποδομών οι οποίες στηρίζονται σε μεγάλο βαθμό σε τεχνολογίες της πληροφορίας και των επικοινωνιών και είναι απαραίτητες για τη διατήρηση ζωτικών οικονομικών ή κοινωνικών λειτουργιών όπως η ηλεκτρική ενέργεια και το φυσικό αέριο, οι μεταφορές, τα πιστωτικά ιδρύματα, οι υποδομές χρηματοπιστωτικών αγορών και η υγεία. Ενδεχόμενη διαταραχή των εν λόγω συστημάτων δικτύων και πληροφοριών θα πλήξει την εσωτερική αγορά. Μολονότι οι υποχρεώσεις που καθορίζονται στην παρούσα οδηγία δεν θα πρέπει να επεκταθούν πέρα από τον τομέα των ηλεκτρονικών επικοινωνιών σε βασικούς παρόχους υπηρεσιών της κοινωνίας της πληροφορίας, όπως ορίζεται στην οδηγία 98/34/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(8), που ενισχύουν κατάντη υπηρεσίες της κοινωνίας της πληροφορίας ή επιγραμμικές δραστηριότητες όπως οι πλατφόρμες ηλ-εμπορίου, πύλες πληρωμών μέσω διαδικτύου, κοινωνικά δίκτυα, μηχανές αναζήτησης, υπηρεσίες υπολογιστικού νέφους, γενικά ή καταστήματα ηλεκτρονικών εφαρμογών μπορούν, σε εθελοντική βάση, να ενημερώνουν την αρμόδια αρχή ή το ενιαίο κέντρο εξυπηρέτησης για τα συμβάντα ασφάλειας των δικτύων που κρίνουν σκόπιμο. Η αρμόδια αρχή ή το ενιαίο κέντρο εξυπηρέτησης θα πρέπει να παρουσιάζουν, ει δυνατόν, στους φορείς της αγοράς που ενημερώθηκαν για το συμβάν πληροφορίες που έχουν αναλυθεί στρατηγικά και οι οποίες θα βοηθήσουν στην αντιμετώπιση της απειλής για την ασφάλεια. Ενδεχόμενη διαταραχή αυτών των υπηρεσιών γενικής εφαρμογής της κοινωνίας της πληροφορίας αποκλείει την παροχή άλλων υπηρεσιών της κοινωνίας της πληροφορίας που βασίζονται σε αυτές ως παραμέτρων βασικής σημασίας. Οι σχεδιαστές λογισμικού και κατασκευαστές υλισμικού δεν είναι πάροχοι υπηρεσιών της κοινωνίας της πληροφορίας και, ως εκ τούτου, εξαιρούνται. Οι υποχρεώσεις αυτές πρέπει επίσης να επεκταθούν στη δημόσια διοίκηση και στους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας, που στηρίζονται σε μεγάλο βαθμό στις τεχνολογίες της πληροφορίας και των επικοινωνιών και που είναι απαραίτητες για τη διατήρηση ζωτικών οικονομικών ή κοινωνικών λειτουργιών όπως η ηλεκτρική ενέργεια και το φυσικό αέριο, οι μεταφορές, τα πιστωτικά ιδρύματα, το χρηματιστήριο και η υγεία. Ενδεχόμενη διαταραχή των εν λόγω συστημάτων δικτύων και πληροφοριών θα πλήξει την εσωτερική αγορά. [Τροπολογία 24]

(24α)  Μολονότι οι πάροχοι υλικού και λογισμικού δεν είναι φορείς της αγοράς συγκρίσιμοι με εκείνους που καλύπτει η παρούσα οδηγία, τα προϊόντα τους διευκολύνουν την ασφάλεια των συστημάτων δικτύων και πληροφοριών. Συνεπώς, διαδραματίζουν σημαντικό ρόλο όσον αφορά την ικανότητα των φορέων της αγοράς να καθιστούν ασφαλή την υποδομή δικτύων και πληροφοριών τους. Δεδομένου ότι τα προϊόντα υλικού και λογισμικού υπόκεινται ήδη σε ισχύοντες κανόνες σχετικά με την ευθύνη για προϊόντα, τα κράτη μέλη θα πρέπει να εξασφαλίζουν την επιβολή των κανόνων αυτών. [Τροπολογία 25]

(25)  Τα τεχνικά και οργανωτικά μέτρα που έχουν επιβληθεί στη δημόσια διοίκηση και στους φορείς της αγοράς δεν θα πρέπει να συνεπάγονται ότι συγκεκριμένα εμπορικά προϊόντα τεχνολογίας πληροφοριών και επικοινωνιών θα σχεδιάζονται, θα αναπτύσσονται ή θα παράγονται με συγκεκριμένο τρόπο. [Τροπολογία 26]

(26)  Η δημόσια διοίκηση και Οι φορείς της αγοράς θα πρέπει να εγγυώνται την ασφάλεια των δικτύων και συστημάτων που υπάγονται στον έλεγχό τους. Κατά κύριο λόγο θα πρόκειται για ιδιωτικά δίκτυα και συστήματα τα οποία είτε τελούν υπό τη διαχείριση του εσωτερικού τους προσωπικού μηχανογράφησης είτε η ασφάλεια των οποίων έχει ανατεθεί σε εξωτερικούς συνεργάτες. Οι υποχρεώσεις κοινοποίησης και ασφάλειας θα πρέπει να ισχύουν για τους αρμόδιους φορείς της αγοράς και για τη δημόσια διοίκηση, ανεξάρτητα από το αν εκτελούν τη συντήρηση των δικτύων και των συστημάτων πληροφοριών τους στο εσωτερικό ή αν την αναθέτουν σε τρίτους. [Τροπολογία 27]

(27)  Προκειμένου να μην επιβληθεί δυσανάλογο οικονομικό και διοικητικό βάρος στις μικρές επιχειρήσεις και στους χρήστες, οι απαιτήσεις θα πρέπει να είναι ανάλογες προς τον κίνδυνο που συνιστά το σχετικό δίκτυο ή το σύστημα πληροφοριών, λαμβάνοντας υπόψη το επίπεδο της τεχνολογίας των μέτρων αυτών. Οι απαιτήσεις αυτές δεν θα πρέπει να εφαρμόζονται σε πολύ μικρές επιχειρήσεις.

(28)  Οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης θα πρέπει να δώσουν τη δέουσα προσοχή στη διατήρηση άτυπων και αξιόπιστων δικτύων ανταλλαγής πληροφοριών μεταξύ των διαφόρων φορέων της αγοράς και μεταξύ του δημόσιου και του ιδιωτικού τομέα. Οι αρμόδιες αρχές και τα ενιαία σημεία εξυπηρέτησης θα πρέπει να ενημερώνουν τους κατασκευαστές και τους παρόχους υπηρεσιών των σχετικών προϊόντων και υπηρεσιών ΤΠΕ σχετικά με συμβάντα που τους αναφέρονται, τα οποία έχουν σημαντικό αντίκτυπο. Κατά τη δημοσίευση των συμβάντων που κοινοποιούνται στις αρμόδιες αρχές και στα ενιαία κέντρα εξυπηρέτησης θα πρέπει να αντισταθμίζονται δεόντως το συμφέρον του κοινού για ενημέρωση σχετικά με απειλές αφενός με τους πιθανούς κινδύνους για την υπόληψη και εμπορικές ζημίες για τη δημόσια διοίκηση και τους φορείς της αγοράς που κοινοποιούν συμβάντα αφετέρου. Κατά την εφαρμογή των υποχρεώσεων κοινοποίησης, οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης θα πρέπει να λάβουν ιδιαιτέρως υπόψη την ανάγκη να διατηρηθεί ο αυστηρά εμπιστευτικός χαρακτήρας των πληροφοριών ως προς τα τρωτά σημεία των προϊόντων πριν από την έκδοση ανάπτυξη των αντίστοιχων διορθωτικών ρυθμίσεων ασφάλειας. Γενικά, τα ενιαία κέντρα εξυπηρέτησης δεν θα πρέπει να αποκαλύπτουν τα προσωπικά δεδομένα των προσώπων που εμπλέκονται στα συμβάντα. Τα ενιαία κέντρα εξυπηρέτησης θα πρέπει να αποκαλύπτουν δεδομένα προσωπικού χαρακτήρα μόνο σε περιπτώσεις κατά τις οποίες η κοινοποίηση των δεδομένων αυτών είναι απαραίτητη και ανάλογη με τον επιδιωκόμενο στόχο. [Τροπολογία 28]

(29)  Οι αρμόδιες αρχές θα πρέπει να διαθέτουν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, συμπεριλαμβανομένων και εξουσιών επαρκούς πληροφόρησης από τους φορείς της αγοράς και τη δημόσια διοίκηση ώστε να αξιολογήσουν το επίπεδο ασφάλειας των συστημάτων δικτύων και πληροφοριών, να μετρήσουν τον αριθμό, την κλίμακα και την έκταση των συμβάντων, καθώς και αξιόπιστων και περιεκτικών δεδομένων σχετικά με τα πραγματικά συμβάντα που είχαν αντίκτυπο στην λειτουργία των συστημάτων δικτύων και πληροφοριών. [Τροπολογία 29]

(30)  Συχνά, τα συμβάντα ανάγονται σε αξιόποινες δραστηριότητες. Υπόνοιες ως προς τον ποινικό χαρακτήρα των συμβάντων μπορεί να υπάρχουν ακόμη και αν τα αποδεικτικά στοιχεία για την τεκμηρίωσή του μπορεί να μην είναι εξαρχής αρκετά σαφή. Στο πλαίσιο αυτό, η κατάλληλη συνεργασία μεταξύ των αρμοδίων αρχών, των ενιαίων κέντρων εξυπηρέτησης και των αρχών επιβολής του νόμου, καθώς και η συνεργασία με το EC3 (Κέντρο για τα εγκλήματα στον κυβερνοχώρο ) και τον ENISA θα πρέπει να συνιστά μέρος μιας αποτελεσματικής και ολοκληρωμένης απόκρισης σε απειλές συμβάντων που θέτουν σε κίνδυνο την ασφάλεια. Ειδικότερα, η προαγωγή ασφαλούς, προστατευμένου και ανθεκτικότερου περιβάλλοντος απαιτεί συστηματική αναφορά στις αρχές επιβολής του νόμου των ύποπτων συμβάντων σοβαρού ποινικού χαρακτήρα. Ο σοβαρός ποινικός χαρακτήρας των συμβάντων θα πρέπει να αξιολογείται υπό το πρίσμα της ενωσιακής νομοθεσίας για το ηλεκτρονικό έγκλημα. [Τροπολογία 30]

(31)  Ως αποτέλεσμα συμβάντων, σε πολλές περιπτώσεις διακυβεύονται δεδομένα προσωπικού χαρακτήρα. Τα κράτη μέλη και οι φορείς της αγοράς θα πρέπει να προστατεύουν τα αποθηκευμένα, επεξεργασμένα ή διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση και από μη εγκεκριμένη ή παράνομη αποθήκευση, πρόσβαση, αποκάλυψη ή διάδοση και να διασφαλίζουν την εφαρμογή πολιτικής ασφάλειας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό, οι αρμόδιες αρχές, τα ενιαία κέντρα εξυπηρέτησης και οι αρχές προστασίας δεδομένων θα πρέπει να συνεργάζονται και να ανταλλάσσουν πληροφορίες σε όλα τα συναφή θέματα, μεταξύ άλλων, όπου είναι σκόπιμο, με τους φορείς της αγοράς, για την αντιμετώπιση των παραβιάσεων σε προσωπικά δεδομένα που οφείλονται σε συμβάντα. Τα κράτη μέλη θέτουν σε εφαρμογή την, σύμφωνα με τους ισχύοντες κανόνες για την προστασία των δεδομένων. Η υποχρέωση κοινοποίησης συμβάντων ασφάλειας θα πρέπει να καλύπτεται κατά τρόπο που να ελαχιστοποιεί τον διοικητικό φόρτο σε περίπτωση που το συμβάν ασφάλειας είναι επίσης παραβίαση προσωπικών δεδομένων, σύμφωνα με τον κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(9). Σε συνεννόηση με τις αρμόδιες αρχές και τις αρχές προστασίας δεδομένων, για την οποία απαιτείται κοινοποίηση σύμφωνα με την ενωσιακή νομοθεσία περί προστασίας των δεδομένων. Ο ENISA θα μπορούσε πρέπει να βοηθήσει με την ανάπτυξη μηχανισμών και προτύπων ανταλλαγής πληροφοριών, αποφεύγοντας την ανάγκη ύπαρξης δύο προτύπων και ενός ενιαίου προτύπου κοινοποίησης. Το ενιαίο αυτό πρότυπο κοινοποίησης που θα διευκόλυνε την αναφορά των συμβάντων όπου διακυβεύονται παραβιάσεις προσωπικών δεδομένων, συμβάλλοντας έτσι σε ελάφρυνση του διοικητικού φόρτου για τις επιχειρήσεις και τη δημόσια διοίκηση. [Τροπολογία 31]

(32)  Η τυποποίηση των απαιτήσεων ασφάλειας είναι εθελοντικού χαρακτήρα διαδικασία καθοδηγούμενη από την αγορά που θα πρέπει να επιτρέπει στους φορείς της αγοράς να χρησιμοποιούν εναλλακτικά μέσα για την επίτευξη τουλάχιστον παρόμοιων αποτελεσμάτων. Προκειμένου να εξασφαλιστεί συγκλίνουσα εφαρμογή των προτύπων ασφάλειας, τα κράτη μέλη θα πρέπει να ενθαρρύνουν τη συμμόρφωση με καθορισμένα διαλειτουργικά πρότυπα, ώστε να κατοχυρωθεί υψηλό επίπεδο ασφάλειας σε ενωσιακό επίπεδο. Για το σκοπό αυτό, πρέπει να εξεταστεί η εφαρμογή ανοιχτών διεθνών προτύπων σχετικά με την ασφάλεια δικτύων και πληροφοριών ή ο σχεδιασμός τέτοιων μέσων. Άλλο ένα αναγκαίο βήμα προόδου μπορεί να είναι αναγκαία η κατάρτιση εναρμονισμένων προτύπων, που θα πρέπει να γίνει σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(10). Ειδικότερα, θα πρέπει να ανατεθεί στο ETSI, στην CEN και CENELEC να προτείνουν αποτελεσματικά και αποδοτικά ανοιχτά ενωσιακά πρότυπα ασφάλειας, όπου οι τεχνολογικές προτιμήσεις αποφεύγονται όσο το δυνατόν περισσότερο, τα οποία θα πρέπει να καταστούν εύκολα διαχειρίσιμα από μικρούς και μεσαίους φορείς της αγοράς. Τα διεθνή πρότυπα σχετικά με την ασφάλεια στον κυβερνοχώρο θα πρέπει να ελέγχονται προσεκτικά προκειμένου να εξασφαλιστεί ότι δεν καθίστανται αναποτελεσματικά και ότι παρέχουν επαρκή επίπεδα ασφάλειας, και συνεπώς να εξασφαλίζεται ότι η επιβαλλόμενη συμμόρφωση με τα πρότυπα ασφάλειας στον κυβερνοχώρο βελτιώνει το συνολικό επίπεδο ασφάλειας στον κυβερνοχώρο της Ένωσης και όχι το αντίθετο. [Τροπολογία 32]

(33)  Η Επιτροπή θα πρέπει να αναθεωρεί περιοδικά την παρούσα οδηγία, σε διαβούλευση με όλους τους ενδιαφερομένους, ιδίως προκειμένου να καθορίζεται η ανάγκη τροποποίησης υπό το πρίσμα των μεταβαλλόμενων συνθηκών στην κοινωνία, την πολιτική, στην τεχνολογία ή τις αγορές. [Τροπολογία 33]

(34)  Προκειμένου να καταστεί δυνατή η εύρυθμη λειτουργία του δικτύου συνεργασίας, η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 ΣΛΕΕ θα πρέπει να ανατεθεί στην Επιτροπή όσον αφορά τον καθορισμό των κριτηρίων που πρέπει να πληροί ένα κράτος μέλος ώστε να του επιτραπεί να συμμετάσχει στο ασφαλές σύστημα ανταλλαγής πληροφοριών, μια κοινή δέσμη προτύπων διασύνδεσης και ασφάλειας για την ασφάλεια της υποδομής ανταλλαγής πληροφοριών και την περαιτέρω εξειδίκευση των συμβάντων ενεργοποίησης της έγκαιρης προειδοποίησης, καθώς και όσον αφορά τον καθορισμό των περιστάσεων υπό τις οποίες οι φορείς της αγοράς και η δημόσια διοίκηση υποχρεούνται να κοινοποιούν τα συμβάντα. [Τροπολογία 34]

(35)  Έχει ιδιαίτερη σημασία η Επιτροπή να προβαίνει σε κατάλληλες διαβουλεύσεις κατά τη διάρκεια του προπαρασκευαστικού έργου της, μεταξύ άλλων, σε επίπεδο εμπειρογνωμόνων. Η Επιτροπή, όταν ετοιμάζει και συντάσσει κατ’ εξουσιοδότηση πράξεις, θα πρέπει να εξασφαλίζει την ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(36)  Προκειμένου να διασφαλιστούν ομοιόμορφοι όροι για την εφαρμογή της παρούσας οδηγίας, θα πρέπει να ανατεθούν εκτελεστικές εξουσίες στην Επιτροπή όσον αφορά τη συνεργασία μεταξύ των αρμόδιων αρχών ενιαίων κέντρων εξυπηρέτησης και της Επιτροπής εντός του δικτύου συνεργασίας, την πρόσβαση στην υποδομή ασφαλούς ανταλλαγής πληροφοριώνχωρίς να θίγονται οι υφιστάμενοι μηχανισμοί συνεργασίας σε εθνικό επίπεδο, το ενωσιακό σχέδιο συνεργασίας για την ΑΔΠ, και τους μορφότυπους και τις διαδικασίες που ισχύουν για την ενημέρωση του κοινού σχετικά με συμβάντα, καθώς και τα πρότυπα ή/και τις τεχνικές προδιαγραφές σχετικά με την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ) κοινοποίηση συμβάντων με σημαντικό αντίκτυπο. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(11). [Τροπολογία 35]

(37)  Κατά την εφαρμογή της παρούσας οδηγίας, η Επιτροπή θα πρέπει να πραγματοποιεί τις κατάλληλες επαφές με τις σχετικές τομεακές επιτροπές και φορείς σε επίπεδο ΕΕ, ιδίως στους τομείς ηλεκτρονικής διακυβέρνησης, της ενέργειας, των μεταφορών και, της υγείας και της άμυνας. [Τροπολογία 36]

(38)  Πληροφορίες που κρίνονται εμπιστευτικές από μια αρμόδια αρχή ή ένα ενιαίο κέντρο εξυπηρέτησης, σύμφωνα με τους ενωσιακούς και εθνικούς κανόνες περί επιχειρηματικού απορρήτου, θα πρέπει να ανταλλάσσονται με την Επιτροπή, τους αρμόδιους οργανισμούς της, άλλα ενιαία σημεία εξυπηρέτησης και/ή άλλες εθνικές αρμόδιες αρχές μόνον εφόσον η ανταλλαγή αυτή είναι απολύτως αναγκαία για την εφαρμογή της παρούσας οδηγίας. Οι κοινοποιούμενες πληροφορίες θα πρέπει να περιορίζονται σε ό,τι είναι συναφές, αναγκαίο και αναλογικό προς τους σκοπούς της εν λόγω κοινοποίησης, και θα πρέπει να ανταποκρίνονται στα προκαθορισμένα κριτήρια εμπιστευτικότητας και ασφάλειας, σύμφωνα με την απόφαση 2011/292/ΕΕ, πληροφορίες που περιέχονται σε συμφωνίες εμπιστευτικότητας ή ανεπίσημες συμφωνίες εμπιστευτικότητας, όπως το πρωτόκολλο για την ανταλλαγή πληροφοριών «Traffic Light Protocol». [Τροπολογία 37]

(39)  Για την ανταλλαγή πληροφοριών σχετικά με κινδύνους και συμβάντα εντός του δικτύου συνεργασίας και για τη συμμόρφωση με τις απαιτήσεις για την κοινοποίηση συμβάντων στις εθνικές αρμόδιες αρχές ή τα ενιαία κέντρα εξυπηρέτησης ενδέχεται να απαιτηθεί επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η εν λόγω επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι αναγκαία για την επίτευξη των στόχων δημοσίου συμφέροντος που επιδιώκονται με την παρούσα οδηγία και, κατά συνέπεια, είναι δικαιολογημένη σύμφωνα με το άρθρο 7 της οδηγίας 95/46/ΕΚ. Δεν αποτελεί - σε σχέση με τους εν λόγω θεμιτούς σκοπούς - υπέρμετρη και απαράδεκτη παρέμβαση που θίγει αυτή καθεαυτήν την ουσία του δικαιώματος για προστασία των προσωπικών δεδομένων που διασφαλίζεται με το άρθρο 8 του Χάρτη των θεμελιωδών δικαιωμάτων. Κατά την εφαρμογή της παρούσας οδηγίας, ο κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(12) θα πρέπει να εφαρμόζεται ανάλογα με την περίπτωση. Όταν τα δεδομένα υποβάλλονται σε επεξεργασία από τα όργανα και τους οργανισμούς της Ένωσης, η επεξεργασία αυτή προς τον σκοπό εφαρμογής της παρούσας οδηγίας θα πρέπει να συμμορφώνεται με τον κανονισμό (ΕΚ) αριθ. 45/2001. [Τροπολογία 38]

(40)  Δεδομένου ότι ο στόχος της παρούσας οδηγίας, ήτοι η διασφάλιση υψηλού επιπέδου ΑΔΠ στην Ένωση, δεν μπορεί να επιτευχθεί επαρκώς αποκλειστικά από τα κράτη μέλη, μπορεί όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση δύναται να λάβει μέτρα σύμφωνα με την αρχή της επικουρικότητας, η οποία διατυπώνεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας, όπως διατυπώνεται στο ίδιο άρθρο, η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη του στόχου αυτού.

(41)  Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται από τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, και ιδίως το δικαίωμα στο σεβασμό της ιδιωτικής ζωής και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία του επιχειρείν, το δικαίωμα ιδιοκτησίας, το δικαίωμα αποτελεσματικής ένδικης προστασίας ενώπιον δικαστηρίου και το δικαίωμα ακρόασης. Η οδηγία πρέπει να εφαρμόζεται σύμφωνα με τα εν λόγω δικαιώματα και αρχές.

(41α)  Σύμφωνα με την κοινή πολιτική δήλωση των κρατών μελών και της Επιτροπής, της 28ης Σεπτεμβρίου 2011, σχετικά με τα επεξηγηματικά έγγραφα, τα κράτη μέλη έχουν αναλάβει την υποχρέωση να συνοδεύουν, σε αιτιολογημένες περιπτώσεις, την κοινοποίηση των μέτρων μεταφοράς στο εθνικό δίκαιο με ένα ή περισσότερα έγγραφα που επεξηγούν τη σχέση ανάμεσα στα συστατικά στοιχεία μιας οδηγίας και στα αντίστοιχα μέρη των νομικών πράξεων μεταφοράς στο εθνικό δίκαιο. Όσον αφορά την παρούσα οδηγία, ο νομοθέτης κρίνει ότι είναι αιτιολογημένη η διαβίβαση των εγγράφων αυτών. [Τροπολογία 39]

(41β)  Ζητήθηκε, σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος γνωμοδότησε στις 14 Ιουνίου 2013(13),

ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:

ΚΕΦΑΛΑΙΟ I

ΓΕNΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο και πεδίο εφαρμογής

1.  Η παρούσα οδηγία θεσπίζει μέτρα για τη διασφάλιση κοινού υψηλού επιπέδου ασφάλειας δικτύων και πληροφοριών («NIS») εντός της Ένωσης.

2.  Για τον σκοπό αυτό, η οδηγία:

α)  καθορίζει υποχρεώσεις για όλα τα κράτη μέλη όσον αφορά την πρόληψη, τον χειρισμό και την απόκριση σε κινδύνους και συμβάντα που επηρεάζουν τα συστήματα δικτύων και πληροφοριών ·

β)  δημιουργεί ένα μηχανισμό συνεργασίας μεταξύ των κρατών μελών, προκειμένου να διασφαλιστεί ενιαία εφαρμογή της παρούσας οδηγίας εντός της Ένωσης και, εφόσον απαιτηθεί, συντονισμένος και, αποτελεσματικός και ουσιαστικός χειρισμός και απόκριση σε κινδύνους και συμβάντα που επηρεάζουν τα συστήματα δικτύων και πληροφοριών, με τη συμμετοχή των ενδιαφερόμενων· [Τροπολογία 40]

γ)  θεσπίζει απαιτήσεις ασφάλειας για τους φορείς της αγοράς και για τη δημόσια διοίκηση. [Τροπολογία 41]

3.  Οι απαιτήσεις ασφάλειας που προβλέπονται στο άρθρο 14 της παρούσας οδηγίας δεν εφαρμόζονται στις επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών, κατά την έννοια της οδηγίας 2002/21/ΕΚ, οι οποίες πληρούν τις ειδικές απαιτήσεις ασφάλειας και ακεραιότητας που καθορίζονται στα άρθρα 13α και 13β της εν λόγω οδηγίας, ούτε σε παρόχους υπηρεσιών εμπιστοσύνης.

4.  Η παρούσα οδηγία δεν θίγει τη νομοθεσία της Ένωσης για το ηλεκτρονικό έγκλημα και την οδηγία 2008/114/EΚ του Συμβουλίου(14).

5.  Η παρούσα οδηγία δεν θίγει επίσης την οδηγία 95/46/ΕΚ, την οδηγία 2002/58/ΕΚ και τον κανονισμό (ΕΚ) αριθ. 45/2001. Κάθε χρήση των δεδομένων προσωπικού χαρακτήρα περιορίζεται στο απολύτως αναγκαίο για τους σκοπούς της παρούσας οδηγίας, τα δε δεδομένα αυτά πρέπει να είναι σε όσο το δυνατόν μεγαλύτερο βαθμό, αν όχι εντελώς, ανώνυμα. [Τροπολογία 42]

6.  Για την ανταλλαγή πληροφοριών εντός του δικτύου συνεργασίας σύμφωνα με το κεφάλαιο ΙΙΙ, καθώς και οι ανακοινώσεις συμβάντων ΑΔΠ βάσει του άρθρου 14, ενδέχεται να απαιτηθεί επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η εν λόγω επεξεργασία, απαραίτητη για την επίτευξη των στόχων δημοσίου συμφέροντος που επιδιώκονται με την παρούσα οδηγία, εγκρίνεται από το κράτος μέλος κατ’εφαρμογή του άρθρου 7 της οδηγίας 95/46/ΕΚ και της οδηγίας 2002/58/ΕΚ, όπως έχουν μεταφερθεί στην εθνική νομοθεσία.

Άρθρο 1α

Προστασία και επεξεργασία δεδομένων προσωπικού χαρακτήρα

1.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη δυνάμει της παρούσας οδηγίας πραγματοποιείται σύμφωνα με την οδηγία 95/46/ΕΚ και την οδηγία 2002/58/ΕΚ.

2.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Επιτροπή και τον ENISA δυνάμει της παρούσας οδηγίας πραγματοποιείται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 45/2001.

3.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα, στους κόλπους της Ευρωπόλ, για τους σκοπούς της παρούσας οδηγίας πραγματοποιείται σύμφωνα με την απόφαση 2009/371/ΔΕΥ του Συμβουλίου(15).

4.  Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι θεμιτή και νόμιμη και αυστηρά περιορισμένη στα ελάχιστα δεδομένα που χρειάζονται για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Τα δεδομένα τηρούνται σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται, για χρονικό διάστημα που δεν υπερβαίνει το διάστημα που είναι αναγκαίο για την επίτευξη του σκοπού για τον οποίο τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία.

5.  Οι κοινοποιήσεις συμβάντων που αναφέρονται στο άρθρο 14 της παρούσας οδηγίας δεν θίγουν τις διατάξεις και τις υποχρεώσεις που αφορούν τις κοινοποιήσεις παραβιάσεων δεδομένων προσωπικού χαρακτήρα οι οποίες ορίζονται στο άρθρο 4 της οδηγίας 2002/58/ΕΚ και στον κανονισμό (ΕΕ) αριθ. 611/2013 της Επιτροπής(16). [Τροπολογία 43]

Άρθρο 2

Ελάχιστη εναρμόνιση

Τα κράτη μέλη δεν εμποδίζονται να θεσπίζουν ή να διατηρούν διατάξεις με τις οποίες εξασφαλίζεται υψηλότερο επίπεδο ασφάλειας, με την επιφύλαξη των υποχρεώσεων που υπέχουν βάσει του ενωσιακού δικαίου.

Άρθρο 3

Ορισμοί

Για τον σκοπό της παρούσας οδηγίας, ισχύουν οι ακόλουθοι ορισμοί:

1)  «σύστημα δικτύων και πληροφοριών»:

α)  δίκτυο ηλεκτρονικών επικοινωνιών κατά την έννοια της οδηγίας 2002/21/ΕΚ, και

β)  κάθε συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών συσκευών, μία ή περισσότερες από τις οποίες, σύμφωνα με πρόγραμμα λογισμικού, εκτελούν αυτόματη επεξεργασία ηλεκτρονικών ψηφιακών δεδομένων, καθώς και [Τροπολογία 44]

γ)  ηλεκτρονικά ψηφιακά δεδομένα αποθηκευμένα, επεξεργασμένα, ανακτημένα ή μεταδιδόμενα μέσω των στοιχείων του στοιχείου α) και β) παραπάνω για τους σκοπούς της λειτουργία, χρήσης, προστασίας και συντήρησής τους. [Τροπολογία 45]

2)  «ασφάλεια»: η ικανότητα ενός συστήματος δικτύων και πληροφοριών να ανθίσταται, με δεδομένο επίπεδο εμπιστοσύνης, σε ατυχήματα ή κακόβουλες ενέργειες που θέτουν σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή μεταδιδόμενων δεδομένων ή και τις συναφείς υπηρεσίες που προσφέρονται ή είναι προσβάσιμες μέσω του εν λόγω συστήματος δικτύων και πληροφοριών· η «ασφάλεια» περιλαμβάνει κατάλληλα τεχνικά μέσα, λύσεις και επιχειρησιακές διαδικασίες που διασφαλίζουν τις απαιτήσεις ασφάλειας οι οποίες ορίζονται στην παρούσα οδηγία· [Τροπολογία 46]

3)  «κίνδυνος»: κάθε περίσταση ή συμβάν που είναι δυνατόν εύλογο να διαπιστωθεί και μπορεί να έχει δυσμενή επίπτωση στην ασφάλεια · [Τροπολογία 47]

4)  «συμβάν»: οποιαδήποτε οποιοδήποτε περίσταση ή γεγονός με συγκεκριμένη δυσμενή επίδραση στην ασφάλεια · [Τροπολογία 48]

5)  «υπηρεσία της κοινωνίας της πληροφορίας»: υπηρεσία κατά την έννοια του σημείου 2 του άρθρου 1 της οδηγίας 98/34/ΕΚ · [Τροπολογία 49]

6)  «σχέδιο συνεργασίας για την ασφάλεια δικτύων και πληροφοριών (NIS)»: σχέδιο στο οποίο καθορίζεται το πλαίσιο των οργανωτικών ρόλων, αρμοδιοτήτων και διαδικασιών για τη διατήρηση ή την αποκατάσταση της λειτουργίας δικτύων και συστημάτων πληροφοριών, σε περίπτωση κινδύνου ή συμβάντος που τα επηρεάζουν

7)  «χειρισμός συμβάντων»: το σύνολο των διαδικασιών που υποστηρίζουν τη διαπίστωση, την πρόληψη, την ανάλυση, τη συγκράτηση και την απόκριση σε συμβάν· [Τροπολογία 50]

8)  «φορέας της αγοράς»:

α)  φορέας παροχής υπηρεσιών της κοινωνίας της πληροφορίας που καθιστά εφικτή την παροχή άλλων υπηρεσιών της κοινωνίας της πληροφορίας, μη εξαντλητικός κατάλογος των οποίων παρατίθεται στο παράρτημα II · [Τροπολογία 51]

β)  φορέας εκμετάλλευσης υποδομών ζωτικής σημασίας, απαραίτητων για τη διατήρηση ζωτικών οικονομικών και κοινωνικών δραστηριοτήτων στα πεδία της ενέργειας, των μεταφορών, των τραπεζών, των χρηματιστηρίων των υποδομών χρηματοπιστωτικών αγορών, των διαδικτυακών σημείων ανταλλαγής, της αλυσίδας εφοδιασμού με τρόφιμα και της υγείας, η διακοπή ή καταστροφή των οποίων θα είχε σημαντικό αντίκτυπο σε κάποιο κράτος μέλος λόγω της αδυναμίας διατήρησης των εν λόγω λειτουργιών, μη εξαντλητικός κατάλογος των οποίων παρατίθεται στο παράρτημα II, στον βαθμό που τα αντίστοιχα συστήματα δικτύων και πληροφοριών σχετίζονται με τις βασικές υπηρεσίες του. [Τροπολογία 52]

8α)  «συμβάν με σημαντικό αντίκτυπο»: συμβάν που επηρεάζει την ασφάλεια και τη συνέχεια ενός δικτύου ή συστήματος πληροφοριών, το οποίο οδηγεί σε σημαντική διαταραχή των ζωτικών οικονομικών ή κοινωνιακών λειτουργιών· [Τροπολογία 53]

9)  «πρότυπο»: το πρότυπο που προβλέπεται στον κανονισμό (ΕΕ) αριθ. 1025/2012 ·

10)  «προδιαγραφή»: η προδιαγραφή που προβλέπεται στον κανονισμό (ΕΕ) αριθ. 1025/2012 ·

11)  «πάροχος υπηρεσιών εμπιστοσύνης»: φυσικό ή νομικό πρόσωπο που παρέχει κάθε ηλεκτρονική υπηρεσία που συνίσταται στη δημιουργία, επαλήθευση, επικύρωση, διαχείριση και διαφύλαξη ηλεκτρονικών υπογραφών, ηλεκτρονικών σφραγίδων, ηλεκτρονικών χρονοσημάνσεων, ηλεκτρονικών εγγράφων, υπηρεσιών ηλεκτρονικής παράδοσης, του ελέγχου γνησιότητας ιστοτόπων και ηλεκτρονικών πιστοποιητικών, συμπεριλαμβανομένων των πιστοποιητικών για ηλεκτρονικές υπογραφές και ηλεκτρονικές σφραγίδες·

11α)  «ρυθμιζόμενη αγορά»: ρυθμιζόμενη αγορά κατά την έννοια του άρθρου 4 σημείο 14 της οδηγίας 2004/39/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(17)· [Τροπολογία 54]

11β)  «πολυμερής μηχανισμός διαπραγμάτευσης (ΠΜΔ)»: ο πολυμερής μηχανισμός διαπραγμάτευσης όπως ορίζεται στο άρθρο 4 σημείο 15 της οδηγίας 2004/39/ΕΚ· [Τροπολογία 55]

11γ)  «μηχανισμός οργανωμένης διαπραγμάτευσης»: κάθε πολυμερές σύστημα ή μηχανισμός, άλλος από ρυθμιζόμενη αγορά, πολυμερή μηχανισμό διαπραγμάτευσης ή κεντρικό αντισυμβαλλόμενο, που τον εκμεταλλεύεται επιχείρηση επενδύσεων ή διαχειριστής αγοράς, όπου μπορούν να αλληλεπιδρούν στο εσωτερικό του συστήματος διάφορα συμφέροντα τρίτων για αγορά και πώληση ομολογιών, δομημένων χρηματοοικονομικών προϊόντων, δικαιωμάτων εκπομπής ή παραγώγων, με τρόπο που καταλήγει στη σύναψη σύμβασης σύμφωνα με τις διατάξεις του Τίτλου II της οδηγίας 2004/39/ΕΚ· [Τροπολογία 56]

ΚΕΦΑΛΑΙΟ II

ΕΘΝΙΚΑ ΠΛΑΙΣΙΑ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ

Άρθρο 4

Αρχή

Τα κράτη μέλη διασφαλίζουν υψηλό επίπεδο ασφάλειας των συστημάτων δικτύων και πληροφοριών στην επικράτειά τους σύμφωνα με την παρούσα οδηγία.

Άρθρο 5

Εθνική στρατηγική για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ) και εθνικό σχέδιο συνεργασίας για την ασφάλεια δικτύων και πληροφοριών

1)  Κάθε κράτος μέλος θεσπίζει εθνική στρατηγική ΑΔΠ που καθορίζει τους στρατηγικούς στόχους και συγκεκριμένα μέτρα, πολιτικής και ρυθμιστικά, για να επιτευχθεί και να διατηρηθεί υψηλό επίπεδο ασφάλειας δικτύων και πληροφοριών. Η εθνική στρατηγική για την ασφάλεια δικτύων και πληροφοριών αφορά ιδίως τα ακόλουθα θέματα:

α)  τον ορισμό των στόχων και των προτεραιοτήτων της στρατηγικής, με βάση επικαιροποιημένη ανάλυση κινδύνου και συμβάντων ·

β)  το πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων της στρατηγικής, συμπεριλαμβανομένου σαφούς ορισμού των ρόλων και αρμοδιοτήτων των κυβερνητικών φορέων και των λοιπών σχετικών φορέων ·

γ)  προσδιορισμό των γενικών μέτρων ετοιμότητας, απόκρισης και αποκατάστασης, συμπεριλαμβανομένων των μηχανισμών συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα ·

δ)  ενδεικτική αναφορά στα προγράμματα εκπαίδευσης, ευαισθητοποίησης και κατάρτισης ·

ε)  ερευνητικά και αναπτυξιακά σχέδια και περιγραφή του τρόπου με τον οποίο τα σχέδια αυτά αντανακλούν τις προτεραιότητες που έχουν καθοριστεί;

εα)  τα κράτη μέλη μπορούν να ζητήσουν τη συνδρομή του ENISA για την ανάπτυξη των εθνικών τους στρατηγικών ΑΔΠ και των εθνικών τους σχεδίων συνεργασίας ΑΔΠ, βάσει ενός ελάχιστου κοινού προτύπου στρατηγικής και συνεργασίας ΑΔΠ. [Τροπολογία 57]

2)  Η εθνική στρατηγική για την ασφάλεια δικτύων και πληροφοριών περιλαμβάνει ένα εθνικό σχέδιο συνεργασίας για την ασφάλεια δικτύων και πληροφοριών που συμμορφώνεται τουλάχιστον με τις ακόλουθες απαιτήσεις:

α)  σχέδιο εκτίμησης του κινδύνου για να προσδιοριστούν κίνδυνοι και να εκτιμηθεί ο αντίκτυπος ενδεχόμενων συμβάντων πλαίσιο διαχείρισης κινδύνου για τη θέσπιση μεθοδολογίας όσον αφορά τον εντοπισμό, την ιεράρχηση, την αξιολόγηση και την αντιμετώπιση των κινδύνων, την εκτίμηση του αντίκτυπου ενδεχόμενων συμβάντων, επιλογές πρόληψης και ελέγχου, καθώς και τον ορισμό κριτηρίων για την επιλογή πιθανών αντίμετρων· [Τροπολογία 58]

β)  με τον καθορισμό των ρόλων και αρμοδιοτήτων των διαφόρων αρχών και λοιπών συντελεστών που εμπλέκονται στην υλοποίηση του σχεδίου πλαισίου· [Τροπολογία 59]

γ)  με τον καθορισμό των διαδικασιών συνεργασίας και επικοινωνίας για την εξασφάλιση πρόληψης, ανίχνευσης, απόκρισης, αποκατάστασης και ανάκτησης, προσαρμοσμένων ανάλογα με το επίπεδο συναγερμού ·

δ)  με την πρόβλεψη για χάρτη πορείας για ασκήσεις και κατάρτιση σε ΑΔΠ με σκοπό να ενισχυθεί, να επικυρωθεί και να δοκιμαστεί το σχέδιο. τυχόν διδάγματα πρέπει να τεκμηριώνονται και να εντάσσονται σε επικαιροποιήσεις του σχεδίου.

3)  Η εθνική στρατηγική για την ασφάλεια δικτύων και πληροφοριών και το εθνικό σχέδιο συνεργασίας για την ΑΔΠ κοινοποιούνται στην Επιτροπή εντός ενός μηνός τριών μηνών από την έγκρισή τους. [Τροπολογία 60]

Άρθρο 6

Αρμόδια εθνική αρχή Αρμόδιες εθνικές αρχές και ενιαία κέντρα εξυπηρέτησης για την ασφάλεια των συστημάτων δικτύων και πληροφοριών [Τροπολογία 61]

1.  Κάθε κράτος μέλος ορίζει μια εθνική αρμόδια αρχή μία ή περισσότερες εθνικές μη στρατιωτικές αρμόδιες αρχές σχετικά με την ασφάλεια των συστημάτων δικτύων και πληροφοριών («η αρμόδια αρχή/αρμόδιες αρχές»). [Τροπολογία 62]

2.  Οι αρμόδιες αρχές παρακολουθούν την εφαρμογή της παρούσας οδηγίας σε εθνικό επίπεδο και συμβάλλουν στη συνεκτική εφαρμογή της σε όλη την Ένωση.

2α.  Σε περίπτωση που κάποιο κράτος μέλος ορίσει περισσότερες από μία αρμόδιες αρχές, ορίζει μια εθνική μη στρατιωτική αρχή, για παράδειγμα μια αρμόδια αρχή, ως εθνικό ενιαίο κέντρο εξυπηρέτησης για την ασφάλεια των συστημάτων δικτύων και πληροφοριών («ενιαίο κέντρο εξυπηρέτησης»). Σε περίπτωση που κάποιο κράτος μέλος ορίσει μόνο μία αρμόδια αρχή, η εν λόγω αρμόδια αρχή συνιστά και το ενιαίο κέντρο εξυπηρέτησης. [Τροπολογία 63]

2β.  Οι αρμόδιες αρχές και το ενιαίο κέντρο εξυπηρέτησης του ίδιου κράτους μέλους συνεργάζονται στενά όσον αφορά τις υποχρεώσεις που προβλέπονται στην παρούσα οδηγία. [Τροπολογία 64]

2γ.  Το ενιαίο κέντρο εξυπηρέτησης εξασφαλίζει τη διασυνοριακή συνεργασία με τα άλλα ενιαία κέντρα εξυπηρέτησης. [Τροπολογία 65]

3.  Τα κράτη μέλη διασφαλίζουν ότι οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης διαθέτουν επαρκείς τεχνικούς, οικονομικούς και ανθρώπινους πόρους για να επιτελούν αποτελεσματικά και αποδοτικά τα καθήκοντα που τους έχουν ανατεθεί και, με τον τρόπο αυτό, ότι επιτυγχάνουν τους στόχους της παρούσας οδηγίας. Τα κράτη μέλη μεριμνούν για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία των αρμόδιων αρχών ενιαίων κέντρων εξυπηρέτησης μέσω του δικτύου που αναφέρεται στο άρθρο 8. [Τροπολογία 66]

4.  Τα κράτη μέλη διασφαλίζουν ότι οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης λαμβάνουν, όπου έχει εφαρμογή περίπτωση σύμφωνα με την παράγραφο 2α του παρόντος άρθρου, τις κοινοποιήσεις των συμβάντων από τη δημόσια διοίκηση και τους φορείς της αγοράς όπως ορίζεται από το άρθρο 14 παράγραφος 2 και ότι τους ανατίθενται οι αρμοδιότητες εφαρμογής και επιβολής που αναφέρονται στο άρθρο 15. [Τροπολογία 67]

4α.  Σε περίπτωση που το ενωσιακό δίκαιο προβλέπει ειδικό ανά τομέα εποπτικό ή ρυθμιστικό ενωσιακό φορέα, αρμόδιο μεταξύ άλλων για την ασφάλεια των συστημάτων δικτύων και πληροφοριών, ο φορέας αυτός λαμβάνει τις κοινοποιήσεις των συμβάντων σύμφωνα με το άρθρο 14 παράγραφος 2 από τους οικείους φορείς της αγοράς στον συγκεκριμένο τομέα και του ανατίθενται οι εξουσίες εφαρμογής και επιβολής που αναφέρονται στο άρθρο 15. Ο εν λόγω φορέας της Ένωσης συνεργάζεται στενά με τις αρμόδιες αρχές και το ενιαίο κέντρο εξυπηρέτησης του κράτους μέλους υποδοχής σε σχέση με τις υποχρεώσεις αυτές. Το ενιαίο κέντρο εξυπηρέτησης του κράτους μέλους υποδοχής εκπροσωπεί τον φορέα της Ένωσης σε σχέση με τις υποχρεώσεις που καθορίζονται στο κεφάλαιο III. [Τροπολογία 68]

5.  Οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης πραγματοποιούν διαβουλεύσεις και συνεργάζονται, κατά περίπτωση, με τις σχετικές εθνικές αρχές επιβολής του νόμου και με τις αρχές προστασίας των δεδομένων. [Τροπολογία 69]

6.  Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή, χωρίς καθυστέρηση, τον διορισμό της αρμόδιας αρχής των αρμόδιων αρχών και του ενιαίου κέντρου εξυπηρέτησης και τα καθήκοντά της τους, καθώς και κάθε μεταγενέστερη σχετική τροποποίηση. Κάθε κράτος μέλος δημοσιεύει τον διορισμό της αρμόδιας αρχής των αρμοδίων αρχών. [Τροπολογία 70]

Άρθρο 7

Ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική

1.  Κάθε κράτος μέλος καταρτίζει κατάσταση συγκροτεί τουλάχιστον μία Ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική («CERT») για κάθε φορέα που ορίζεται στο παράρτημα ΙΙ, που είναι υπεύθυνη για τον χειρισμό συμβάντων και κινδύνων σύμφωνα με επακριβώς καθορισμένη διαδικασία, η οποία πρέπει να συμμορφώνεται με τις απαιτήσεις που αναφέρονται στο σημείο 1 του παραρτήματος Ι. Η CERT μπορεί να ιδρυθεί εντός της αρμόδιας αρχής. [Τροπολογία 71]

2.  Τα κράτη μέλη εξασφαλίζουν ότι οι ομάδες CERT διαθέτουν επαρκείς τεχνικούς, οικονομικούς και ανθρώπινους πόρους για την αποτελεσματική εκτέλεση των εργασιών που περιγράφονται στο σημείο 2 του παραρτήματος Ι.

3.  Τα κράτη μέλη εξασφαλίζουν ότι οι ομάδες CERT βασίζονται σε ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο, συμβατή και διαλειτουργική με το ασφαλές σύστημα ανταλλαγής πληροφοριών που αναφέρεται στο άρθρο 9.

4.  Τα κράτη μέλη ενημερώνουν την Επιτροπή σχετικά με τους πόρους και την εντολή, καθώς και με τη διαδικασία αντιμετώπισης συμβάντων των ομάδων CERT.

5.  Η Οι CERT ενεργεί ενεργούν υπό την εποπτεία της αρμόδιας αρχής ή του ενιαίου κέντρου εξυπηρέτησης, η οποία που επανεξετάζει σε τακτά διαστήματα την επάρκεια των πόρων που διαθέτει διαθέτουν, την αποστολή τις αποστολές τους και την αποτελεσματικότητα της διαδικασίας τους χειρισμού για τον χειρισμό συμβάντων. [Τροπολογία 72]

5α.  Τα κράτη μέλη μεριμνούν ώστε οι CERT να διαθέτουν επαρκείς ανθρώπινους και οικονομικούς πόρους για να συμμετέχουν ενεργά στα διεθνή, και ιδίως στα ενωσιακά, δίκτυα συνεργασίας [Τροπολογία 73]

5β.  Οι CERT έχουν τη δυνατότητα και ενθαρρύνονται να διενεργούν και να συμμετέχουν σε κοινές ασκήσεις με άλλες CERT, με όλες τις CERT των κρατών μελών, και με αρμόδια θεσμικά όργανα τρίτων χωρών, καθώς και με CERT πολυεθνικών και διεθνών οργανισμών όπως το NATO και ο ΟΗΕ. [Τροπολογία 74]

5γ.  Τα κράτη μέλη μπορούν να ζητούν τη βοήθεια του ENISA ή άλλων κρατών μελών κατά την ανάπτυξη των εθνικών τους CERT. [Τροπολογία 75]

ΚΕΦΑΛΑΙΟ III

ΣΥΝΕΡΓΑΣΙΑ ΜΕΤΑΞΥ ΑΡΜΟΔΙΩΝ ΑΡΧΩΝ

Άρθρο 8

Δίκτυο συνεργασίας

1.  Οι αρμόδιες αρχές και Τα ενιαία κέντρα εξυπηρέτησης, η Επιτροπή και ο ΕΝΙSA συγκροτούν δίκτυο (εφεξής αποκαλούμενο «δίκτυο συνεργασίας») που συνεργάζεται για την αντιμετώπιση κινδύνων και συμβάντων που επηρεάζουν τα συστήματα δικτύων και πληροφοριών. [Τροπολογία 76]

2.  Στο πλαίσιο του δικτύου συνεργασίας βρίσκονται σε συνεχή επικοινωνία η Επιτροπή με τις αρμόδιες αρχές. Εφόσον ζητηθεί, ο ευρωπαϊκός οργανισμός ασφάλειας δικτύων και πληροφοριών («ENISA») επικουρεί το δίκτυο συνεργασίας παρέχοντας την εμπειρογνωμοσύνη και τις συμβουλές του. Όπου είναι σκόπιμο, οι φορείς της αγοράς και οι πάροχοι λύσεων κυβερνοασφάλειας μπορούν να καλούνται επίσης να συμμετέχουν στις δραστηριότητες του δικτύου συνεργασίας που αναφέρονται στα στοιχεία ζ) και θ) της παραγράφου 3.

Κατά περίπτωση, το δίκτυο συνεργασίας συνεργάζεται με τις αρχές προστασίας δεδομένων.

Η Επιτροπή ενημερώνει τακτικά το δίκτυο συνεργασίας για προγράμματα έρευνας στον τομέα της ασφάλειας και άλλα σχετικά προγράμματα του Ορίζων 2020. [Τροπολογία 77]

3.  Εντός του δικτύου συνεργασίας οι αρμόδιες αρχές τα ενιαία κέντρα εξυπηρέτησης:

α)  διαβιβάζουν έγκαιρες προειδοποιήσεις σχετικά με κινδύνους και συμβάντα σύμφωνα με το άρθρο 10·

β)  εξασφαλίζουν συντονισμένη απόκριση σύμφωνα με το άρθρο 11·

γ)  δημοσιεύουν σε τακτική βάση σε κοινό ιστότοπο τις μη εμπιστευτικές πληροφορίες σχετικά με τις εν εξελίξει έγκαιρες προειδοποιήσεις και τη συντονισμένη απόκριση·

δ)  εξετάζουν και αξιολογούν από κοινού, κατόπιν αιτήματος ενός κράτους μέλους ή της Επιτροπής, μία ή περισσότερες εθνικές στρατηγικές ΑΔΠ και εθνικά σχέδια συνεργασίας ΑΔΠ που αναφέρονται στο άρθρο 5, εντός του πεδίου εφαρμογής της παρούσας οδηγίας·

ε)  εξετάζουν και αξιολογούν από κοινού, έπειτα από αίτηση κράτους μέλους ή της Επιτροπής, την αποτελεσματικότητα των CERT, ιδίως όταν πραγματοποιούνται ασκήσεις σχετικά με την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ ) σε επίπεδο Ένωσης·

στ)  συνεργάζονται και ανταλλάσσουν πληροφορίες για όλα τα συναφή θέματα με το ευρωπαϊκό κέντρο ηλεκτρονικού εγκλήματος της Ευρωπόλ, καθώς και με άλλους συναφείς ευρωπαϊκούς οργανισμούς εμπειρογνωμοσύνη για θέματα συναφή με την ασφάλεια δικτύων και πληροφοριών, ιδίως στα πεδία της προστασίας των δεδομένων, της ενέργειας, των μεταφορών, των τραπεζών, των χρηματιστηρίων χρηματοπιστωτικών αγορών και της υγείας με το ευρωπαϊκό κέντρο κυβερνοεγκλήματος της Ευρωπόλ, καθώς και με άλλους συναφείς ευρωπαϊκούς οργανισμούς·

στα)  όπου είναι σκόπιμο, ενημερώνουν, με την υποβολή έκθεσης, τον συντονιστή αντιτρομοκρατικής δράσης της ΕΕ, και μπορούν να ζητήσουν βοήθεια για την ανάλυση, το προπαρασκευαστικό έργο και τη δράση του δικτύου συνεργασίας·

ζ)  ανταλλάσσουν πληροφορίες και βέλτιστη πρακτική μεταξύ των ιδίων και της Επιτροπής, και αλληλοβοηθούνται στην ανάπτυξη ικανοτήτων σχετικά με την ασφάλεια δικτύων και πληροφοριών·

η)  διοργανώνουν τακτικές αξιολογήσεις από ομοτίμους σχετικά με τις ικανότητες και την ετοιμότητά τους ·

θ)  διοργανώνουν σε ενωσιακό επίπεδο ασκήσεις σχετικά με την ασφάλεια δικτύων και πληροφοριών και, κατά περίπτωση, συμμετέχουν σε διεθνείς ασκήσεις σχετικά με την ασφάλεια δικτύων και πληροφοριών·

θα)  μεριμνούν, όπου είναι σκόπιμο, για τη συμμετοχή των φορέων της αγοράς, όπως επίσης για τη διαβούλευση και την ανταλλαγή πληροφοριών με αυτούς, σε σχέση με τους κινδύνους και τα συμβάντα που επηρεάζουν τα συστήματα δικτύων και πληροφοριών τους·

θβ)  αναπτύσσουν, σε συνεργασία με τον ENISA, κατευθυντήριες γραμμές σχετικά με ειδικά ανά τομέα κριτήρια για την κοινοποίηση σημαντικών συμβάντων, επιπλέον των παραμέτρων που ορίζονται στο άρθρο 14 παράγραφος 2, για την κοινή ερμηνεία, τη συνεκτική εφαρμογή και την συνεκτική υλοποίηση στο εσωτερικό της Ένωσης. [Τροπολογία 78]

3α.  Το δίκτυο συνεργασίας δημοσιεύει μία φορά κατ’ έτος έκθεση βασισμένη στις δραστηριότητες του δικτύου και στη συνοπτική έκθεση που υποβάλλεται σύμφωνα με το άρθρο 14 παράγραφος 4 της παρούσας οδηγίας για τους 12 προηγούμενους μήνες. [Τροπολογία 79]

4.  Η Επιτροπή θεσπίζει, με εκτελεστικές πράξεις, τις αναγκαίες λεπτομέρειες για τη διευκόλυνση της συνεργασίας μεταξύ αρμόδιων αρχών και των ενιαίων κέντρων εξυπηρέτησης, της Επιτροπής και του ENISA, που αναφέρεται στις παραγράφους 2 και 3. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία διαβούλευσης του άρθρου 19 παράγραφος 2. [Τροπολογία 80]

Άρθρο 9

Ασφαλές σύστημα ανταλλαγής πληροφοριών

1.  Η ανταλλαγή ευαίσθητων και εμπιστευτικών πληροφοριών εντός του δικτύου συνεργασίας εκτελείται μέσω ασφαλούς υποδομής.

1α.  Οι συμμετέχοντες στην ασφαλή υποδομή συμμορφώνονται, μεταξύ άλλων, προς κατάλληλα μέτρα εμπιστευτικότητας και ασφάλειας σύμφωνα με την οδηγία 95/46/ΕΚ και τον κανονισμό (ΕΚ) αριθ. 45/2001 σε όλα τα στάδια της διαδικασίας. [Τροπολογία 81]

2.  Ανατίθεται στην Επιτροπή η έκδοση κατ’εξουσιοδότηση πράξεων σύμφωνα με το άρθρο 18 σχετικά με τον ορισμό των κριτηρίων που πρέπει να πληρούνται από ένα κράτος μέλος ώστε να επιτρέπεται η συμμετοχή του στο ασφαλές σύστημα ανταλλαγής πληροφοριών, όσον αφορά:

α)  τη διαθεσιμότητα ασφαλούς και ανθεκτικής υποδομής επικοινωνιών και πληροφοριών σε εθνικό επίπεδο, συμβατής και διαλειτουργικής με την ασφαλή υποδομή του δικτύου συνεργασίας σύμφωνα με το άρθρο 7, παράγραφος 3, και

β)  την ύπαρξη επαρκών τεχνικών, χρηματοδοτικών και ανθρώπινων πόρων και διαδικασιών ώστε η αρμόδια αρχή τους και η CERT να έχει τη δυνατότητα αποτελεσματικής, αποδοτικής και ασφαλούς συμμετοχής στο ασφαλές σύστημα ανταλλαγής πληροφοριών βάσει του άρθρου 6 παράγραφος 3, του άρθρου 7 παράγραφος 2 και του άρθρου 7 παράγραφος 3. [Τροπολογία 82]

3.  Μέσω εκτελεστικών κατ’ εξουσιοδότηση πράξεων σύμφωνα με το άρθρο 18, η Επιτροπή θεσπίζει αποφάσεις σχετικά με την πρόσβαση των κρατών μελών στην εν λόγω υποδομή, σύμφωνα με τα κριτήρια που αναφέρονται στην παράγραφο 2 και 3. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 19 παράγραφος 3 κοινή σειρά προτύπων όσον αφορά τη διασύνδεση και την ασφάλεια, τα οποία πρέπει να πληρούν τα ενιαία κέντρα εξυπηρέτησης πριν από την ανταλλαγή ευαίσθητων και εμπιστευτικών πληροφοριών σε ολόκληρο το δίκτυο συνεργασίας. [Τροπολογία 83]

Άρθρο 10

Έγκαιρες προειδοποιήσεις

1.  Οι αρμόδιες αρχές Τα ενιαία κέντρα εξυπηρέτησης ή η Επιτροπή παρέχουν έγκαιρες προειδοποιήσεις εντός του δικτύου συνεργασίας σχετικά με εκείνους τους κινδύνους και τα συμβάντα που πληρούν τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)  αυξάνονται ταχέως ή μπορεί να αυξάνονται ταχέως σε κλίμακα ·

β)  υπερβαίνουν ή μπορούν να υπερβούν το ενιαίο κέντρο εξυπηρέτησης εκτιμά ότι ο κίνδυνος ή το συμβάν ενδέχεται να υπερβαίνει την εθνική ικανότητα απόκρισης·

γ)  επηρεάζουν ή ενδέχεται να επηρεάσουν, τα ενιαία κέντρα εξυπηρέτησης ή η Επιτροπή εκτιμούν ότι ο κίνδυνος ή το συμβάν επηρεάζει περισσότερα από ένα κράτη μέλη. [Τροπολογία 84]

2.  Στην έγκαιρη προειδοποίηση, οι αρμόδιες αρχές τα ενιαία κέντρα εξυπηρέτησης και η Επιτροπή γνωστοποιούν αμελλητί κάθε σχετική πληροφορία που έχουν στη διάθεσή τους, που μπορεί να είναι χρήσιμη για την αξιολόγηση του κινδύνου ή του συμβάντος. [Τροπολογία 85]

3.  Έπειτα από αίτηση κράτους μέλους, ή με δική της πρωτοβουλία, η Επιτροπή μπορεί να ζητήσει από το κράτος μέλος να υποβάλει κάθε σχετική πληροφορία σχετικά με συγκεκριμένο κίνδυνο ή συμβάν. [Τροπολογία 86]

4.  Σε περίπτωση που για κίνδυνο ή συμβάν που είναι αντικείμενο έγκαιρης προειδοποίησης υφίσταται υποψία ποινικού χαρακτήρα, οι αρμόδιες αρχές ή η Επιτροπή ενημερώνουν και ο οικείος φορέας της αγοράς έχει αναφέρει συμβάντα για τα οποία υφίσταται υποψία σοβαρού ποινικού χαρακτήρα κατά τα προβλεπόμενα στο άρθρο 15 παράγραφος 4, τα κράτη μέλη εξασφαλίζουν ότι το ευρωπαϊκό κέντρο ηλεκτρονικού εγκλήματος της Ευρωπόλ ενημερώνεται, όπου κρίνεται σκόπιμο. [Τροπολογία 87]

4α.  Τα μέλη του δικτύου συνεργασίας δεν δημοσιοποιούν πληροφορίες που έλαβαν σχετικά με κινδύνους και συμβάντα που αναφέρονται στην παράγραφο 1 χωρίς προηγούμενη έγκριση από το ενιαίο κέντρο εξυπηρέτησης που κοινοποίησε τις πληροφορίες.

Επιπλέον, πριν από την ανταλλαγή πληροφοριών εντός του δικτύου συνεργασίας, το ενιαίο κέντρο εξυπηρέτησης που έκανε την κοινοποίηση ενημερώνει σχετικά με την πρόθεσή του τον φορέα της αγοράς τον οποίο αφορούν οι πληροφορίες, και σε περίπτωση που το θεωρεί απαραίτητο, καθιστά τις σχετικές πληροφορίες ανώνυμες. [Τροπολογία 88]

4β.  Σε περίπτωση που για κίνδυνο ή συμβάν που αποτελεί αντικείμενο έγκαιρης προειδοποίησης υφίσταται υποψία σοβαρού διασυνοριακού τεχνικού χαρακτήρα, τα ενιαία κέντρα εξυπηρέτησης ή η Επιτροπή ενημερώνουν τον ENISA. [Τροπολογία 89]

5.  Παρέχεται στην Επιτροπή η εξουσία έκδοσης κατ’εξουσιοδότηση πράξεων σύμφωνα με το άρθρο 18, το οποίο αφορά τον περαιτέρω προσδιορισμό των κινδύνων και συμβάντων που ενεργοποιούν έκδοση έγκαιρης προειδοποίησης της παραγράφου 1 του παρόντος άρθρου.

Άρθρο 11

Συντονισμένη απόκριση

1.  Έπειτα από έγκαιρη προειδοποίηση του άρθρου 10, οι αρμόδιες αρχές τα ενιαία κέντρα εξυπηρέτησης, αφού αξιολογήσουν τις σχετικές πληροφορίες, συμφωνούν αμελλητί για μια συντονισμένη απόκριση σύμφωνα με το ενωσιακό σχέδιο συνεργασίας για την ΑΔΠ που αναφέρεται στο άρθρο 12. [Τροπολογία 90]

2.  Τα διάφορα μέτρα που θεσπίζονται σε εθνικό επίπεδο ως αποτέλεσμα της συντονισμένης απόκρισης ανακοινώνεται στο δίκτυο συνεργασίας.

Άρθρο 12

Ενωσιακό σχέδιο συνεργασίας για την ασφάλεια δικτύων και πληροφοριών

1.  Η Επιτροπή εξουσιοδοτείται να εγκρίνει, με εκτελεστικές πράξεις, ενωσιακό σχέδιο συνεργασίας για την ΑΔΠ. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 19 παράγραφος 3.

2.  Το ενωσιακό σχέδιο συνεργασίας για την ΑΔΠ προβλέπει:

α)  για τους σκοπούς του άρθρου 10:

–  καθορισμό του μορφότυπου και των διαδικασιών για τη συλλογή και την ανταλλαγή, από τις αρμόδιες αρχές τα ενιαία κέντρα εξυπηρέτησης, συμβατών και συγκρίσιμων πληροφοριών σχετικά με κινδύνους και συμβάντα, [Τροπολογία 91]

–  καθορισμό των διαδικασιών και των κριτηρίων για την αξιολόγηση, από το δίκτυο συνεργασίας, των κινδύνων και συμβάντων·

β)  τις ακολουθητέες διαδικασίες για τις συντονισμένες απαντήσεις βάσει του άρθρου 11, συμπεριλαμβανομένου του προσδιορισμού ρόλων και αρμοδιοτήτων, καθώς και διαδικασιών συνεργασίας·

γ)  χάρτη πορείας για ασκήσεις και κατάρτιση σε ΑΔΠ με σκοπό να ενισχυθεί, επικυρωθεί και δοκιμαστεί το σχέδιο·

δ)  πρόγραμμα για μεταφορά γνώσεων μεταξύ των κρατών μελών όσον αφορά την ανάπτυξη ικανοτήτων και τη μάθηση μέσω ομοτίμων·

ε)  πρόγραμμα ευαισθητοποίησης και κατάρτισης μεταξύ των κρατών μελών.

3.  Το ενωσιακό σχέδιο συνεργασίας για την ΑΔΠ εγκρίνεται το αργότερο ένα έτος ύστερα την έναρξη ισχύος της παρούσας οδηγίας και αναθεωρείται τακτικά. Τα αποτελέσματα κάθε αναθεώρησης υποβάλλονται με έκθεση στο Ευρωπαϊκό Κοινοβούλιο. [Τροπολογία 92]

3α.  Εξασφαλίζεται συνοχή μεταξύ του ενωσιακού σχεδίου συνεργασίας και των εθνικών στρατηγικών και σχεδίων συνεργασίας για την ΑΔΠ, όπως προβλέπεται στο άρθρο 5. [Τροπολογία 93]

Άρθρο 13

Διεθνής συνεργασία

Με την επιφύλαξη της δυνατότητας για το δίκτυο συνεργασίας να έχει άτυπη διεθνή συνεργασία, η Ένωση μπορεί να συνάπτει διεθνείς συμφωνίες με τρίτες χώρες ή διεθνείς οργανισμούς που επιτρέπει και οργανώνει τη συμμετοχή τους σε ορισμένες δραστηριότητες του δικτύου συνεργασίας. Η εν λόγω συμφωνία λαμβάνει υπόψη την ανάγκη να εξασφαλιστεί επαρκής προστασία των δεδομένων προσωπικού χαρακτήρα που κυκλοφορούν στο δίκτυο συνεργασίας και προσδιορίζει τη διαδικασία ελέγχου που πρέπει να ακολουθείται ώστε να εξασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα. Το Ευρωπαϊκό Κοινοβούλιο ενημερώνεται για τη διαπραγμάτευση των συμφωνιών. Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτες οι οποίοι βρίσκονται σε χώρες εκτός Ένωσης διενεργείται σύμφωνα με τα άρθρα 25 και 26 της οδηγίας 95/46/ΕΚ και το άρθρο 9 του κανονισμού (ΕΚ) αριθ. 45/2001. [Τροπολογία 94]

Άρθρο 13α

Επίπεδο ζωτικής σημασίας των φορέων της αγοράς

Τα κράτη μέλη μπορούν να καθορίσουν το επίπεδο ζωτικής σημασίας των φορέων της αγοράς λαμβάνοντας υπόψη τις ιδιαιτερότητες των διαφόρων τομέων, παραμέτρους που περιλαμβάνουν τη σημασία του συγκεκριμένου φορέα της αγοράς για τη διατήρηση επαρκούς επιπέδου της παρεχόμενης υπηρεσίας στον συγκεκριμένο τομέα, τον αριθμό των μερών που εφοδιάζονται μέσω του φορέα της αγοράς, και το χρονικό διάστημα έως ότου η διακοπή παροχής των βασικών υπηρεσιών του φορέα της αγοράς προκαλέσει αρνητικές επιπτώσεις στη διατήρηση ζωτικών οικονομικών και κοινωνιακών δραστηριοτήτων. [Τροπολογία 95]

ΚΕΦΑΛΑΙΟ IV

ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΙΚΤΥΩΝ ΚΑΙ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΗ ΔΗΜΟΣΙΑ ΔΙΟΙΚΗΣΗ ΚΑΙ ΣΤΟΥΣ ΦΟΡΕΙΣ ΤΗΣ ΑΓΟΡΑΣ

Άρθρο 14

Απαιτήσεις ασφάλειας και κοινοποίηση συμβάντων

1.  Τα κράτη μέλη εξασφαλίζουν ότι η δημόσια διοίκηση και οι φορείς της αγοράς λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τον εντοπισμό και την αποτελεσματική διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και των συστημάτων πληροφοριών που ελέγχουν και χρησιμοποιούν στην επιχειρησιακή λειτουργία τους. Λαμβανομένων υπόψη των πλέον πρόσφατων τεχνικών δυνατοτήτων, τα μέτρα αυτά εγγυώνται πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους παρουσιαζόμενους κινδύνους τον υπάρχοντα κίνδυνο. Ιδιαιτέρως, λαμβάνονται μέτρα για την αποτροπή συμβάντων που επηρεάζουν την ασφάλεια των συστημάτων δικτύων και πληροφοριών τους και για την ελαχιστοποίηση του αντικτύπου τους από συμβάντα που επηρεάζουν το οικείο δίκτυο και σύστημα πληροφοριών ως προς τις βασικές υπηρεσίες που παρέχουν, εξασφαλίζοντας επομένως τη συνέχεια της παροχής υπηρεσιών που στηρίζονται σε αυτά τα δίκτυα και τα συστήματα πληροφοριών. [Τροπολογία 96]

2.  Τα κράτη μέλη εξασφαλίζουν ότι οι δημόσιες διοικήσεις και οι φορείς της αγοράς κοινοποιούν αμελλητί στην αρμόδια αρχή ή στο ενιαίο κέντρο εξυπηρέτησης συμβάντα με σημαντικό αντίκτυπο στην ασφάλεια συνέχεια των βασικών υπηρεσιών που παρέχουν. Η κοινοποίηση δεν εκθέτει σε αυξημένη ευθύνη τον κοινοποιούντα.

Για να προσδιοριστεί η σπουδαιότητα του αντίκτυπου ενός συμβάντος, λαμβάνονται υπόψη, μεταξύ άλλων, οι ακόλουθες παράμετροι: [Τροπολογία 97]

α)  ο αριθμός χρηστών η βασική υπηρεσία των οποίων επηρεάζεται· [Τροπολογία 98]

β)  η διάρκεια του συμβάντος· [Τροπολογία 99]

γ)  η γεωγραφική κατανομή όσον αφορά την περιοχή που επλήγη από το συμβάν. [Τροπολογία 100]

Οι παράμετροι αυτές προσδιορίζονται περαιτέρω σύμφωνα με το στοιχείο θβ) της παραγράφου 3 του άρθρου 8. [Τροπολογία 101]

2α.  Οι φορείς της αγοράς κοινοποιούν τα συμβάντα που αναφέρονται στις παραγράφους 1 και 2 στην αρμόδια αρχή ή στο ενιαίο κέντρο εξυπηρέτησης του κράτους μέλους όπου πλήττεται η βασική υπηρεσία. Εάν πλήττονται οι βασικές υπηρεσίες περισσότερων κρατών μελών, το ενιαίο κέντρο εξυπηρέτησης που έλαβε την κοινοποίηση ειδοποιεί τα άλλα ενδιαφερόμενα ενιαία κέντρα εξυπηρέτησης, βάσει των πληροφοριών που της παρείχε ο φορέας της αγοράς. Ο φορέας της αγοράς ενημερώνεται, το συντομότερο δυνατόν, σχετικά με τα άλλα ενιαία κέντρα εξυπηρέτησης που έχουν ενημερωθεί για το συμβάν, καθώς και για τα ληφθέντα μέτρα, τα αποτελέσματα και οποιεσδήποτε άλλες πληροφορίες αφορούν το συμβάν. [Τροπολογία 102]

2β.  Όταν η κοινοποίηση περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, απευθύνεται μόνο σε αποδέκτες μέσα στην αρμόδια αρχή στην οποία γίνεται η κοινοποίηση ή στο ενιαία κέντρο εξυπηρέτησης που χρειάζεται να επεξεργαστούν τα δεδομένα αυτά στο πλαίσιο της εκτέλεσης του καθηκόντων τους, σύμφωνα με τους κανόνες για την προστασία των δεδομένων. Τα κοινοποιούμενα δεδομένα περιορίζονται σε εκείνα που είναι αναγκαία για την εκτέλεση των καθηκόντων τους. [Τροπολογία 103]

2γ.  Οι φορείς της αγοράς που δεν καλύπτονται από το παράρτημα II μπορούν να αναφέρουν συμβάντα όπως προσδιορίζεται στο άρθρο 14 παράγραφος 2 σε εθελοντική βάση. [Τροπολογία 104]

3.  Οι απαιτήσεις των παραγράφων 1 και 2 ισχύουν για όλους τους φορείς της αγοράς που παρέχουν υπηρεσίες εντός της Ευρωπαϊκής Ένωσης.

4.  Η Μετά από διαβούλευση με την οικεία αρμόδια αρχή στην οποία γίνεται η κοινοποίηση και τον οικείο φορέα της αγοράς, το ενιαίο κέντρο εξυπηρέτησης μπορεί να ενημερώσει το κοινό ή να απαιτήσει από τη δημόσια διοίκηση και τους φορείς της αγοράς να το πράξουν, εφόσον κρίνει ότι η αποκάλυψη του συμβάντος είναι προς το δημόσιο συμφέρον σχετικά με μεμονωμένα συμβάντα, σε περιπτώσεις όπου κρίνει ότι απαιτείται ευαισθητοποίηση του κοινού για την πρόληψη συμβάντων ή την αντιμετώπιση ενός συμβάντος που βρίσκεται σε εξέλιξη ή σε περιπτώσεις κατά τις οποίες ο φορέας της αγοράς έχει αρνηθεί, κατόπιν κάποιου συμβάντος, να αντιμετωπίσει αμελλητί μια σοβαρή δομική τρωτότητα που σχετίζεται με το εν λόγω συμβάν.

Πριν από κάθε δημοσιοποίηση, η αρμόδια αρχή στην οποία έγινε η κοινοποίηση εξασφαλίζει ότι ο οικείος φορέας της αγοράς διαθέτει δυνατότητα ακρόασης και ότι η απόφαση για τη δημοσιοποίηση είναι πλήρως συμβατή με το δημόσιο συμφέρον.

Κατά τη δημοσιοποίηση μεμονωμένων συμβάντων, η αρμόδια αρχή στην οποία γίνεται η κοινοποίηση ή το ενιαίο κέντρο εξυπηρέτησης εξασφαλίζει στο πλαίσιο αυτό τον μεγαλύτερο δυνατό βαθμό ανωνυμίας.

Η αρμόδια αρχή του ενιαίου κέντρου εξυπηρέτησης παρέχει, αν αυτό είναι ευλόγως δυνατό, στον ενδιαφερόμενο φορέα της αγοράς πληροφορίες για την υποστήριξη του αποτελεσματικού χειρισμού του κοινοποιούμενου συμβάντος.

Η εθνική ρυθμιστική αρχή Το ενιαίο κέντρο εξυπηρέτησης υποβάλλει μία φορά ετησίως στο δίκτυο συνεργασίας συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και σε σχέση με τις παραμέτρους του συμβάντος όπως απαριθμούνται στην παράγραφο 2 του παρόντος άρθρου, και την δράση που έχει αναλάβει σύμφωνα με την παρούσα παράγραφο. [Τροπολογία 105]

4α.  Τα κράτη μέλη ενθαρρύνουν τους φορείς της αγοράς να δημοσιοποιούν, σε εθελοντική βάση, στις οικονομικές εκθέσεις τους τα συμβάντα στα οποία εμπλέκονται επιχειρήσεις τους. [Τροπολογία 106]

5.  Η Επιτροπή εξουσιοδοτείται να εγκρίνει κατ’εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 18 για τον ορισμό των περιστάσεων κατά τις οποίες η δημόσια διοίκηση και οι φορείς της αγοράς είναι υποχρεωμένοι να κοινοποιούν συμβάντα. [Τροπολογία 107]

6.  Με την επιφύλαξη τυχόν κατ’εξουσιοδότηση πράξεων που έχουν εγκριθεί σύμφωνα με την παράγραφο 5, Οι αρμόδιες αρχές ή τα ενιαία κέντρα εξυπηρέτησης μπορούν να εκδίδουν κατευθυντήριες γραμμές και, εφόσον είναι αναγκαίο, να δίδουν οδηγίες σχετικά με τις περιστάσεις υπό τις οποίες η δημόσια διοίκηση και οι φορείς της αγοράς είναι υποχρεωμένοι να κοινοποιούν συμβάντα. [Τροπολογία 108]

7.  Η Επιτροπή εξουσιοδοτείται να καθορίζει, μέσω εκτελεστικών πράξεων, τους μορφότυπους και τις διαδικασίες που εφαρμόζονται για τους σκοπούς της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 19 παράγραφος 3.

8.  Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στις πολύ μικρές επιχειρήσεις, όπως ορίζεται στη σύσταση 2003/361/ΕΚ της Επιτροπής(18), εκτός αν η πολύ μικρή επιχείρηση ενεργεί ως θυγατρική φορέα της αγοράς όπως ορίζεται στο άρθρο 3 παράγραφος 8 στοιχείο β). [Τροπολογία 109]

8α.  Τα κράτη μέλη μπορούν να αποφασίσουν να εφαρμόσουν το παρόν άρθρο και το άρθρο 15 στις δημόσιες διοικήσεις, τηρουμένων των αναλογιών. [Τροπολογία 110]

Άρθρο 15

Εφαρμογή και επιβολή

1.  Τα κράτη μέλη μεριμνούν ώστε οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης να διαθέτουν όλες τις απαραίτητες εξουσίες για τη διερεύνηση περιπτώσεων μη συμμόρφωσης, της δημόσιας διοίκησης ή φορέων της αγοράς, να εξασφαλίζουν τη συμμόρφωση με τις υποχρεώσεις που υπέχουν βάσει του άρθρου 14 και των επιπτώσεών τους στην ασφάλεια των δικτύων και των συστημάτων πληροφοριών. [Τροπολογία 111]

2.  Τα κράτη μέλη εξασφαλίζουν ότι οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης έχουν την εξουσία να ζητούν από τους φορείς της αγοράς και τη δημόσια διοίκηση: [Τροπολογία 112]

α)  να παρέχουν πληροφορίες απαραίτητες για την εκτίμηση της ασφάλειας των δικτύων και των υπηρεσιών πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας·

β)  να υποβάλλονται σε έλεγχο να παρέχουν αποδεικτικά στοιχεία της αποτελεσματικής εφαρμογής των πολιτικών ασφάλειας, όπως αποτελέσματα ελέγχου ασφάλειας που διενεργείται από ειδικευμένο ανεξάρτητο φορέα ή εθνική αρχή και να θέτουν τα σχετικά πορίσματα αποδεικτικά στοιχεία στη διάθεση της αρμόδιας αρχής ή του ενιαίου κέντρου εξυπηρέτησης. [Τροπολογία 113]

Κατά την αποστολή του εν λόγω αιτήματος, οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης δηλώνουν τον σκοπό του αιτήματος και προσδιορίζουν επαρκώς τι πληροφορίες ζητούνται. [Τροπολογία 114]

3.  Τα κράτη μέλη εξασφαλίζουν ότι οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης διαθέτουν την εξουσία έκδοσης δεσμευτικών οδηγιών προς τους φορείς της αγοράς και τη δημόσια διοίκηση. [Τροπολογία 115]

3α.  Κατά παρέκκλιση από το στοιχείο β) της παραγράφου 2 του παρόντος άρθρου, τα κράτη μέλη μπορούν να αποφασίσουν ότι οι αρμόδιες αρχές ή τα ενιαία κέντρα εξυπηρέτησης, κατά περίπτωση, θα ακολουθούν διαφορετική διαδικασία για συγκεκριμένους φορείς της αγοράς, βάσει του επιπέδου ζωτικής σημασίας τους, το οποίο καθορίζεται σύμφωνα με το άρθρο 13α. Σε περίπτωση που τα κράτη μέλη αποφασίσουν να το πράξουν:

α)  οι αρμόδιες αρχές ή τα ενιαία κέντρα εξυπηρέτησης, κατά περίπτωση, έχουν την εξουσία να υποβάλουν επαρκώς συγκεκριμένο αίτημα στους φορείς της αγοράς ζητώντας τους να παρουσιάσουν αποδεικτικά στοιχεία αποτελεσματικής εφαρμογής των πολιτικών ασφάλειας, όπως τα αποτελέσματα ελέγχου ασφάλειας που διενεργήθηκε από ειδικευμένο εσωτερικό ελεγκτή, και να τα θέσουν στη διάθεση της αρμόδιας αρχής ή του ενιαίου κέντρου εξυπηρέτησης·

β)  όπου απαιτείται, μετά την υποβολή του αιτήματος που αναφέρεται στο στοιχείο α) από τον φορέα της αγοράς, η αρμόδια αρχή ή το ενιαίο κέντρο εξυπηρέτησης μπορεί να ζητήσει πρόσθετα αποδεικτικά στοιχεία ή τη διεξαγωγή πρόσθετου ελέγχου από ειδικευμένο ανεξάρτητο φορέα ή εθνική αρχή.

3β.  Τα κράτη μέλη μπορούν να αποφασίσουν να μειώσουν τον αριθμό και την ένταση των ελέγχων για έναν φορέα της αγοράς ή μια δημόσια διοίκηση, αν από τον έλεγχο ασφάλειας τους αποδειχτεί η συνεπής συμμόρφωση προς το κεφάλαιο IV. [Τροπολογία 116]

4.  Οι αρμόδιες αρχές κοινοποιούν στις αρχές επιβολής του νόμου συμβάντα και το ενιαίο κέντρο εξυπηρέτησης ενημερώνουν τους οικείους φορείς της αγοράς για το ενδεχόμενο αναφοράς συμβάντων στις αρχές επιβολής του νόμου, όπου υπάρχει υπόνοια σοβαρού ποινικού χαρακτήρα. [Τροπολογία 117]

5.  Με την επιφύλαξη των ισχυόντων κανόνων προστασίας των δεδομένων, κατά την αντιμετώπιση συμβάντων παραβίασης προσωπικών δεδομένων οι αρμόδιες αρχές και τα ενιαία κέντρα εξυπηρέτησης συνεργάζονται στενά με τις αρχές προστασίας των δεδομένων προσωπικού χαρακτήρα. Τα ενιαία κέντρα εξυπηρέτησης και οι αρχές προστασίας των δεδομένων καταρτίζουν, σε συνεργασία με τον ENISA, μηχανισμούς ανταλλαγής πληροφοριών και ένα ενιαίο υπόδειγμα που θα χρησιμοποιείται για τις κοινοποιήσεις τόσο δυνάμει του άρθρου 14 παράγραφος 2 της παρούσας οδηγίας όσο και δυνάμει άλλης νομοθεσίας της Ένωσης για την προστασία των δεδομένων. [Τροπολογία 118]

6.  Τα κράτη μέλη εξασφαλίζουν ότι τυχόν υποχρεώσεις που επιβάλλονται στη δημόσια διοίκηση και τους στους φορείς της αγοράς δυνάμει του παρόντος κεφαλαίου μπορεί να υπόκεινται σε δικαστικό έλεγχο. [Τροπολογία 119]

6α.   Τα κράτη μέλη μπορούν να αποφασίσουν να εφαρμόσουν το άρθρο 14 και το παρόν άρθρο στις δημόσιες διοικήσεις, τηρουμένων των αναλογιών. [Τροπολογία 120]

Άρθρο 16

Τυποποίηση

1.  Για να εξασφαλιστεί συγκλίνουσα εφαρμογή του άρθρου 14 παράγραφος 1, χωρίς να επιβάλλουν τη χρήση συγκεκριμένης τεχνολογίας, τα κράτη μέλη ενθαρρύνουν τη χρήση των ευρωπαϊκών ή διεθνών διαλειτουργικών προτύπων και/ή προδιαγραφών σχετικών με την ασφάλεια δικτύων και πληροφοριών. [Τροπολογία 121]

2.  Η Επιτροπή καταρτίζει, με εκτελεστικές πράξεις αναθέτει σε σχετικό ευρωπαϊκό οργανισμό τυποποίησης, να καταρτίσει, σε διαβούλευση με τους ενδιαφερόμενους, κατάλογο των προτύπων και/ή των προδιαγραφών που αναφέρονται στην παράγραφο 1. Ο κατάλογος δημοσιεύεται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. [Τροπολογία 122]

ΚΕΦΑΛΑΙΟ V

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ.

Άρθρο 17

Κυρώσεις

1.  Τα κράτη μέλη καθορίζουν τους κανόνες για τις επιβλητέες κυρώσεις σε περίπτωση παραβίασης των εθνικών διατάξεων που θεσπίζονται κατ' εφαρμογή της παρούσας οδηγίας και λαμβάνουν όλα τα αναγκαία μέτρα για να εξασφαλίσουν την επιβολή τους. Οι προβλεπόμενες κυρώσεις πρέπει να είναι ουσιαστικές, αναλογικές και αποτρεπτικές. Τα κράτη μέλη κοινοποιούν τις εν λόγω διατάξεις στην Επιτροπή, το αργότερο κατά την ημερομηνία μεταφοράς της παρούσας οδηγίας, κοινοποιούν δε χωρίς καθυστέρηση κάθε επακόλουθη τροποποίηση που τις επηρεάζει.

1α.  Τα κράτη μέλη εξασφαλίζουν ότι οι κυρώσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου ισχύουν μόνο στις περιπτώσεις που ο φορέας της αγοράς δεν πληροί τις υποχρεώσεις του που απορρέουν από το κεφάλαιο IV σκοπίμως ή λόγω σοβαρής αμέλειας. [Τροπολογία 123]

2.  Τα κράτη μέλη εξασφαλίζουν ότι, εφόσον ένα συμβάν ασφάλειας περιλαμβάνει προσωπικά δεδομένα, οι προβλεπόμενες κυρώσεις είναι σύμφωνες με τις κυρώσεις που προβλέπονται από τον κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(19)

Άρθρο 18

Άσκηση της εξουσιοδότησης

1.  Η εξουσία για την έκδοση των κατ’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή με την επιφύλαξη των όρων που ορίζονται στο παρόν άρθρο.

2.  Η εξουσία έκδοσης κατ’εξουσιοδότηση πράξεων που αναφέρεται στο άρθρο 9 παράγραφος 3 και το άρθρο 10 παράγραφος 5 ανατίθεται στην Επιτροπή. Η Επιτροπή συντάσσει έκθεση σχετικά με την εξουσιοδότηση το αργότερο εννέα μήνες πριν από την εκπνοή της πενταετούς περιόδου. Η εξουσιοδότηση παρατείνεται σιωπηρά για χρονικές περιόδους της ίδιας διάρκειας, εκτός εάν το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο αντιτεθούν σε αυτή την παράταση, το αργότερο τρεις μήνες πριν από το τέλος κάθε περιόδου.

3.  Η εξουσιοδότηση που προβλέπεται στο άρθρο 9 παράγραφος 3 και, στο άρθρο 10 παράγραφος 5 και στο άρθρο 14 παράγραφος 5, μπορεί να ανακληθεί ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Παράγει αποτελέσματα από την επομένη της δημοσίευσης της απόφασης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που καθορίζεται στην απόφαση. Η απόφαση δεν θίγει την εγκυρότητα καμίας από τις ήδη ισχύουσες κατ’ εξουσιοδότηση πράξεις. [Τροπολογία 124]

4.  Μόλις εκδώσει πράξη κατ’ εξουσιοδότηση, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

5.  Η κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει των άρθρων 9 του άρθρου 9 παράγραφος 3 και του άρθρου 10 παράγραφος 5 και 14 παράγραφος 5, τίθεται σε ισχύ μόνον εφόσον δεν έχει διατυπωθεί αντίρρηση από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο εντός δύο μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ή εάν, πριν λήξει αυτή η περίοδος, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλλουν αντιρρήσεις. Η περίοδος αυτή παρατείνεται κατά δύο μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου. [Τροπολογία 125]

Άρθρο 19

Διαδικασία Επιτροπής

1.  Η Ευρωπαϊκή Επιτροπή επικουρείται από επιτροπή (την επιτροπή για την ασφάλεια δικτύων και πληροφοριών). Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2.  Στις περιπτώσεις που γίνεται μνεία της παρούσας παραγράφου, εφαρμόζεται το άρθρο 4 του κανονισμού (ΕΕ) αριθ. 182/2011.

3.  Στις περιπτώσεις που γίνεται μνεία της παρούσας παραγράφου, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

Άρθρο 20

Επανεξέταση

Η Επιτροπή προβαίνει σε περιοδική επανεξέταση της λειτουργίας της παρούσας οδηγίας, ιδιαίτερα όσον αφορά τον κατάλογο που περιλαμβάνεται στο παράρτημα ΙΙ, και υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Η πρώτη έκθεση θα υποβληθεί το αργότερο τρία έτη έπειτα από την ημερομηνία μεταφοράς που αναφέρεται στο άρθρο 21. Για το σκοπό αυτό, η Επιτροπή μπορεί να ζητήσει από τα κράτη μέλη να παράσχουν πληροφορίες χωρίς αδικαιολόγητη καθυστέρηση. [Τροπολογία 126]

Άρθρο 21

Μεταφορά στο εθνικό δίκαιο

1.  Τα κράτη μέλη θεσπίζουν και δημοσιεύουν το αργότερο έως τις [18 μήνες έπειτα από την έκδοση της οδηγίας] τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν προς την παρούσα οδηγία. Ανακοινώνουν αμέσως στην Επιτροπή το κείμενο των εν λόγω μέτρων.

Εφαρμόζουν τα εν λόγω μέτρα από τις [18 μήνες από την έκδοση της οδηγίας].

Οι διατάξεις αυτές, όταν θεσπίζονται από τα κράτη μέλη, αναφέρονται στην παρούσα οδηγία ή συνοδεύονται από παρόμοια αναφορά κατά την επίσημη δημοσίευσή τους. Οι λεπτομερείς διατάξεις για την αναφορά αυτή καθορίζονται από τα κράτη μέλη.

2.  Τα κράτη μέλη ανακοινώνουν στην Επιτροπή το κείμενο των ουσιωδών διατάξεων εσωτερικού δικαίου τις οποίες θεσπίζουν στον τομέα που διέπεται από την παρούσα οδηγία.

Άρθρο 22

Έναρξη ισχύος

Η παρούσα οδηγία αρχίζει να ισχύει την [εικοστή] ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Άρθρο 23

Αποδέκτες

Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.

...,

Για το Ευρωπαϊκό Κοινοβούλιο Για το Συμβούλιο

Ο Πρόεδρος Ο Πρόεδρος

ΠΑΡΑΡΤΗΜΑ I

Απαιτήσεις και καθήκοντα της ομάδας των ομάδων αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT) [Τροπολογία 127]

Οι απαιτήσεις και τα καθήκοντα της CERT είναι επαρκώς και σαφώς καθορισμένα και στηρίζονται από εθνική πολιτική και/ή κανονιστική ρύθμιση. Περιλαμβάνουν τα ακόλουθα στοιχεία:

1)  Απαιτήσεις για τη CERT

α)  Η Οι CERT εξασφαλίζει εξασφαλίζουν ευρεία διαθεσιμότητα των υπηρεσιών επικοινωνιών της αποφεύγοντας μονοσημειακές αστοχίες και προσφέρει προσφέρουν διάφορους τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή. Επιπλέον, οι δίαυλοι επικοινωνίας πρέπει να είναι σαφώς προσδιορισμένοι και ευρύτερα γνωστοί στην κοινότητα και στους εταίρους της συνεργασίας. [Τροπολογία 128]

β)  Η CERT εφαρμόζει και διαχειρίζεται μέτρα ασφάλειας για να διασφαλίσει την εμπιστευτικότητα, την ακεραιότητα, τη διαθεσιμότητα και την αυθεντικότητα των πληροφοριών που λαμβάνει και χειρίζεται.

γ)  Τα γραφεία της των CERT και τα υποστηρικτικά συστήματα πληροφοριών εγκαθίστανται σε ασφαλείς χώρους με ασφαλή συστήματα δικτύων και πληροφοριών. [Τροπολογία 129]

δ)  Συστήνεται σύστημα ποιότητας διαχείρισης υπηρεσιών για την παρακολούθηση των επιδόσεων της CERT και για την εξασφάλιση διαρκούς διαδικασίας βελτίωσης. Βασίζεται σε σαφώς καθορισμένα κριτήρια μέτρησης που περιλαμβάνουν επίσημα επίπεδα παρεχόμενων υπηρεσιών και βασικούς δείκτες επιδόσεων.

ε)  Συνέχεια της επιχειρηματικής δραστηριότητας:

–  Η CERT είναι εφοδιασμένη με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, προκειμένου να διευκολύνεται η παράδοση καθηκόντων,

–  Η CERT είναι επαρκώς στελεχωμένη ώστε να εξασφαλίζεται η διαθεσιμότητα ανά πάσα στιγμή,

–  Η CERT βασίζεται σε υποδομή, η συνέχεια της οποίας είναι διασφαλισμένη . Για το σκοπό αυτό, συστήνονται πλεονάζοντα συστήματα και εφεδρικές περιοχές εργασίας για τη CERT, ώστε να εξασφαλίζεται διαρκής πρόσβαση στους τρόπους επικοινωνίας.

2)  Καθήκοντα της CERT

α)  Στα καθήκοντα της CERT περιλαμβάνουν τουλάχιστον τα εξής:

–  Εντοπισμός και παρακολούθηση συμβάντων σε εθνικό επίπεδο, [Τροπολογία 130]

–  Παροχή έγκαιρης προειδοποίησης, ειδοποιήσεων επαγρύπνησης, ανακοινώσεων και διάδοσης των πληροφοριών σε ενδιαφερόμενους φορείς σχετικά με κινδύνους και συμβάντα,

–  Απόκριση σε συμβάντα,

–  Παροχή δυναμικής ανάλυσης κινδύνου και συμβάντων και επίγνωση της κατάστασης,

–  Ανάπτυξη ευρείας ευαισθητοποίησης του κοινού σχετικά με τους κινδύνους που συνδέονται με δραστηριότητες στο διαδίκτυο,

—  Ενεργός συμμετοχή στα ενωσιακά και διεθνή δίκτυα συνεργασίας των CERT, [Τροπολογία 131]

–  Διοργάνωση εκστρατειών ευαισθητοποίησης για την ασφάλεια δικτύων και πληροφοριών (NIS).

β)  Η CERT εγκαθιδρύει σχέσεις συνεργασίας με τον ιδιωτικό τομέα.

γ)  Προς διευκόλυνση της συνεργασίας, η CERT προωθεί την υιοθέτηση και χρήση κοινών ή τυποποιημένων πρακτικών για:

–  διαδικασίες χειρισμού συμβάντων ή κινδύνου,

–  συστήματα ταξινόμησης συμβάντων, κινδύνου και πληροφοριών,

–  ταξινομήσεις για συστήματα μέτρησης,

–  μορφότυπους ανταλλαγής πληροφοριών σχετικά με κινδύνους, συμβάντα, καθώς και συμβάσεις ονοματοδοσίας συστημάτων.

ΠΑΡΑΡΤΗΜΑ II

Κατάλογος των φορέων εκμετάλλευσης της αγοράς

που αναφέρονται στο άρθρο 3 παράγραφος 8 στοιχείο α)

1.  πλατφόρμες ηλ-εμπορίου

2.  Πύλες πληρωμών μέσω διαδικτύου

3.  Κοινωνικά δίκτυα

4.  Μηχανές έρευνας

5.  Υπηρεσίες υπολογιστικού νέφους

6.  Καταστήματα ηλ-εφαρμογών

που αναφέρονται στο άρθρο 3 παράγραφος 8 στοιχείο β) [Τροπολογία 132]

1.  Ενέργεια

α)  Ηλεκτρική ενέργεια

–  προμηθευτές ηλεκτρικής ενέργειας και φυσικού αερίου

–  φορείς εκμετάλλευσης συστημάτων διανομής ηλεκτρικής ενέργειας και εταιρείες λιανικής πώλησης για τους τελικούς καταναλωτές

–  φορείς εκμετάλλευσης συστημάτων μεταφοράς φυσικού αερίου, διαχειριστές εγκαταστάσεων αποθήκευσης και LNG (ΥΦΑ)

–  φορείς εκμετάλλευσης συστημάτων μεταφοράς ηλεκτρικής ενέργειας

β)  Πετρέλαιο

–  αγωγοί μεταφοράς πετρελαίου και αποθήκευση πετρελαίου

–  φορείς εκμετάλλευσης πετρελαίου στην παραγωγή, τη διύλιση και τις εγκαταστάσεις επεξεργασίας, την αποθήκευση και τη μεταφορά

γ)  Αέριο

–  προμηθευτές

–  φορείς εκμετάλλευσης αγοράς ηλεκτρικής ενέργειας και φυσικού αερίου συστημάτων διανομής και εταιρείες λιανικής πώλησης για τους τελικούς καταναλωτές

–  φορείς εκμετάλλευσης συστημάτων μεταφοράς φυσικού αερίου, διαχειριστές εγκαταστάσεων αποθήκευσης και υγροποιημένου φυσικού αερίου

–  φορείς εκμετάλλευσης πετρελαίου και φυσικού αερίου στην παραγωγή, τη διύλιση και τις εγκαταστάσεις επεξεργασίας, την αποθήκευση και τη μεταφορά

–  φορείς εκμετάλλευσης αγοράς φυσικού αερίου. [Τροπολογία 133]

2.  Μεταφορές

–  αερομεταφορείς (εμπορεύματα και επιβάτες αεροπορικών μεταφορών).

–  θαλάσσιοι μεταφορείς (θαλάσσιες και ακτοπλοϊκές εταιρείες μεταφοράς επιβατών και εταιρείες θαλάσσιων και ακτοπλοϊκών μεταφορών εμπορευμάτων )

–  σιδηρόδρομοι (διαχειριστές υποδομής, καθετοποιημένες εταιρείες και φορείς εκμετάλλευσης σιδηροδρομικών μεταφορών)

–  αερολιμένες

–  λιμένες

–  φορείς εκμετάλλευσης ελέγχου διαχείρισης κυκλοφορίας

–  βοηθητικές υπηρεσίες εφοδιαστικής (α) αποθήκευση και αποθεματοποίηση, β) διακίνηση φορτίων και γ) λοιπές υποστηρικτικές δραστηριότητες στις μεταφορές)

α)  Οδικές μεταφορές

i)  φορείς εκμετάλλευσης ελέγχου διαχείρισης κυκλοφορίας,

ii)   βοηθητικές υπηρεσίες εφοδιαστικής:

–  αποθήκευση και φύλαξη,

–  διακίνηση φορτίων, και

–   λοιπές υποστηρικτικές δραστηριότητες στις μεταφορές

β)  Σιδηροδρομικές μεταφορές

i)  σιδηρόδρομοι (διαχειριστές υποδομής, καθετοποιημένες εταιρείες και φορείς εκμετάλλευσης σιδηροδρομικών μεταφορών)

ii)  φορείς εκμετάλλευσης ελέγχου διαχείρισης κυκλοφορίας

iii)  βοηθητικές υπηρεσίες εφοδιαστικής:

–  αποθήκευση και φύλαξη,

–  διακίνηση φορτίων, και

–  λοιπές υποστηρικτικές δραστηριότητες στις μεταφορές

γ)  Αεροπορικές μεταφορές

i)  αερομεταφορείς (εμπορεύματα και επιβάτες αεροπορικών μεταφορών)

ii)  αερολιμένες

iii)  φορείς εκμετάλλευσης ελέγχου διαχείρισης κυκλοφορίας

iv)  βοηθητικές υπηρεσίες εφοδιαστικής:

–  αποθήκευση και φύλαξη,

–  διακίνηση φορτίων, και

–  λοιπές υποστηρικτικές δραστηριότητες στις μεταφορές

δ)  Θαλάσσιες μεταφορές

i)  θαλάσσιοι μεταφορείς (εσωτερικές πλωτές, θαλάσσιες και ακτοπλοϊκές εταιρείες μεταφοράς επιβατών και εταιρείες εσωτερικών πλωτών, θαλάσσιων και ακτοπλοϊκών μεταφορών εμπορευμάτων) [Τροπολογία 134]

3.  Τράπεζες: πιστωτικά ιδρύματα σύμφωνα με το άρθρο 4 παράγραφος 1 της οδηγίας 2006/48/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου(20).

4.  υποδομές χρηματοπιστωτικών αγορών: χρηματιστήρια ρυθμιζόμενες αγορές, πολυμερείς μηχανισμοί διαπραγμάτευσης, μηχανισμοί οργανωμένης διαπραγμάτευσης και γραφεία συμψηφισμού κεντρικού αντισυμβαλλομένου [Τροπολογία 135]

5.  Τομέας της υγείας: περιβάλλοντα υγειονομικής περίθαλψης (όπως νοσοκομεία και ιδιωτικές κλινικές) και άλλες οντότητες που εμπλέκονται σε διατάξεις υγειονομικής περίθαλψης

5α.  Παραγωγή και παροχή νερού [Τροπολογία 136]

5β.  Αλυσίδα εφοδιασμού με τρόφιμα [Τροπολογία 137]

5γ.  Διαδικτυακά σημεία ανταλλαγής [Τροπολογία 138]

(1)ΕΕ C 271 της 19.9.2013, σ. 133.
(2) Θέση του Ευρωπαϊκού Κοινοβουλίου της 13ης Μαρτίου 2014.
(3)Οδηγία 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών (οδηγία πλαίσιο) (ΕΕ L 108 της 24.04.2002, σ. 33).
(4) Aπόφαση 2011/292/ΕΕ του Συμβουλίου, της 31ης Μαρτίου 2011, σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (EE L 141 της 27.5.2011, σ. 17).
(5) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).
(6) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).
(7)Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.07.2002, σ. 37).
(8)Οδηγία 98/34/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 22ας Ιουνίου 1998, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προτύπων και κανονισμών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 204 της 21.7.1998, σ. 37).
(9)SEC(2012) 72 τελικό
(10)Κανονισμός (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Οκτωβρίου 2012, σχετικά με την ευρωπαϊκή τυποποίηση, που τροποποιεί τις οδηγίες του Συμβουλίου 89/686/ΕΟΚ και 93/15/ΕΟΚ και τις οδηγίες του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 94/9/ΕΚ, 94/25/ΕΚ, 95/16/ΕΚ, 97/23/ΕΚ, 98/34/ΕΚ, 2004/22/ΕΚ, 2007/23/ΕΚ, 2009/23/ΕΚ και 2009/105/ΕΚ και καταργεί την απόφαση 87/95/ΕΟΚ του Συμβουλίου και την απόφαση αριθ. 1673/2006/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 316 της 14.11.2012, σ. 12).
(11)Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).
(12)Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ΕΕ L 145 της 31.05.2001, σ. 43).
(13) ΕΕ C 32 της 4.2.2014, σ. 19.
(14)Οδηγία 2008/114/EΚ του Συμβουλίου, της 8ης Δεκεμβρίου2008, σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας και σχετικά με την αξιολόγηση της ανάγκης για βελτίωση της προστασίας τους (ΕΕ L 345 της 23.12.2008, σ. 75).
(15) Απόφαση 2009/371/ΔΕΥ του Συμβουλίου, της 6ης Απριλίου 2009, για την ίδρυση Ευρωπαϊκής Αστυνομικής Υπηρεσίας (Ευρωπόλ) (ΕΕ L 121 της 15.5.2009, σ. 37).
(16) Κανονισμός (ΕΕ) αριθ. 611/2013 της Επιτροπής, της 24ης Ιουνίου 2013, σχετικά με τα εφαρμοστέα μέτρα για την κοινοποίηση παραβιάσεων προσωπικών δεδομένων βάσει της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (ΕΕ L 173 της 26.6.2013, σ. 2).
(17) Οδηγία 2004/39/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Απριλίου 2004, για τις αγορές χρηματοπιστωτικών μέσων (ΕΕ L 45 της 16.2.2005, σ. 18).
(18)Σύσταση 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (ΕΕ L 124 της 20.05.2003, σ. 36).
(19)SEC(2012) 72 τελικό
(20) Οδηγία 2006/48/EK του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουνίου 2006 , σχετικά με την ανάληψη και την άσκηση δραστηριότητας πιστωτικών ιδρυμάτων (ΕΕ L 177 της 30.6.2006, σ. 1).

Ανακοίνωση νομικού περιεχομένου - Πολιτική απορρήτου