Az Európai Parlament 2014. március 13-i jogalkotási állásfoglalása a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekről szóló európai parlamenti és tanácsi irányelvre irányuló javaslatról (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD))
(Rendes jogalkotási eljárás: első olvasat)
Az Európai Parlament,
– tekintettel a Bizottság Európai Parlamenthez és Tanácshoz intézett javaslatára (COM(2013)0048),
– tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (2) bekezdésére és 114. cikkére, amelyek alapján a Bizottság javaslatát benyújtotta a Parlamenthez (C7‑0035/2013),
– tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (3) bekezdésére,
– tekintettel a svéd parlament által a szubszidiaritás és az arányosság elvének alkalmazásáról szóló (2.) Jegyzőkönyv alapján benyújtott, indokolt véleményre, amely szerint a jogalkotási aktus tervezete nem egyeztethető össze a szubszidiaritás elvével,
– tekintettel a Gazdasági és Szociális Bizottság 2013. május 22-i véleményére(1),
– tekintettel „Az Európai Unió kiberbiztonsági stratégiájáról: nyílt, megbízható és biztonságos kibertér” című, 2013. szeptember 12-i állásfoglalására(2),
– tekintettel eljárási szabályzata 55. cikkére,
– tekintettel a Belső Piaci és Fogyasztóvédelmi Bizottság jelentésére, valamint az Ipari, Kutatási és Energiaügyi Bizottság, az Állampolgári Jogi, Bel- és Igazságügyi Bizottság és a Külügyi Bizottság véleményére (A7-0103/2014),
1. elfogadja első olvasatban az alábbi álláspontot;
2. felkéri a Bizottságot, hogy utalja az ügyet újból a Parlamenthez, ha javaslatát lényegesen módosítani kívánja, vagy helyébe másik szöveget szándékozik léptetni;
3. utasítja elnökét, hogy továbbítsa a Parlament álláspontját a Tanácsnak és a Bizottságnak, valamint a nemzeti parlamenteknek.
Az Európai Parlament álláspontja, amely első olvasatban 2014. március 13-án került elfogadásra a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekről szóló 2014/...//EU európai parlamenti és tanácsi irányelv elfogadására tekintettel
(1) A hálózati és információs rendszerek és szolgáltatások nélkülözhetetlen szerepet játszanak társadalmunkban. Megbízhatóságuk és biztonságuk elengedhetetlen az Unió polgárainak szabadságához és általános biztonságához, valamint a gazdasági tevékenységek és a szociális jólét, és különösen a belső piac működése szempontjából. [Mód. 1]
(2) A szándékos vagy véletlen biztonsági események nagyságrendje, gyakorisága és gyakoriságakihatása növekszik, és ezek az események jelentős veszélyt jelentenek a hálózatok és az információs rendszerek működésére. E rendszerek emellett könnyen a működésük károsítására vagy megszakítására irányuló szándékos és ártalmas cselekvések könnyű célpontjaivá válhatnak. Az ilyen események akadályozhatják a gazdasági tevékenységek folytatását, jelentős pénzügyi veszteségeket okozhatnak, aláássák a felhasználói és befektetői bizalmat, és jelentős károkat okozhatnak az Unió gazdaságának, továbbá végső soron veszélyeztetik az uniós polgárok jólétét és az uniós tagállamok azon képességét, hogy megvédjék magukat és biztosítsák a kritikus infrastruktúrák biztonságát. [Mód. 2]
(3) Határokon átnyúló kommunikációs eszközök lévén a digitális információs rendszerek és elsősorban az internet alapvető szerepet játszanak az áruk, a szolgáltatások és a személyek határokon átnyúló szabad mozgásának elősegítésében. Transznacionális jellegük miatt az egyik tagállam rendszereinek jelentős zavara a többi tagállamban és az EU egészében is zavart okozhat. Ezért a hálózati és információs rendszerek ellenálló képessége és stabilitása alapvető fontosságú a belső piac zavartalan működése szempontjából.
(3a) Mivel a rendszerhibák gyakoribb okai – például a természetes okok vagy az emberi hiba – továbbra is szándékolatlanok, az infrastruktúrának ellenállónak kell lennie mind a szándékos, mind pedig a nem szándékos zavarokkal szemben, a kritikus infrastruktúrák üzemeltetőinek pedig olyan rendszereket kell kialakítaniuk, amelyekben központi szerepet kap az ellenálló képesség. [Mód. 3]
(4) Indokolt uniós szintű együttműködési mechanizmust létrehozni, amely lehetővé teszi az információcserét és a hálózat- és információbiztonsággal kapcsolatos összehangolt megelőzést, észlelést és reagálást. E mechanizmus eredményességének és inkluzív jellegének biztosítása érdekében alapvető fontosságú, hogy minden tagállam rendelkezzék minimális képességekkel és a saját területükön a hálózat- és információbiztonság magas szintjét biztosító stratégiával. A kockázatkezelés kultúrájának elősegítése és a legsúlyosabb események bejelentése érdekében minimális biztonsági előírásokat indokolt alkalmazni a közigazgatási szervek és a kritikuslegalább bizonyos, az informatikai infrastruktúrákat üzemeltető gazdasági szereplők esetében. A tőzsdén jegyzett vállalatokat arra kell ösztönözni, hogy az incidenseket önkéntes alapon tegyék közzé a pénzügyi jelentéseikben. A jogi keretnek a polgárok magánéletének és integritásának megóvásán kell alapulnia. A létfontosságú infrastruktúrák figyelmeztető információs hálózatát (CIWIN) ki kell terjeszteni az ezen irányelv által érintett piaci szereplőkre. [Mód. 4]
(4a) Míg a közigazgatási szerveknek – tekintettel arra, hogy közfeladatot látnak el – megfelelő körültekintéssel kell eljárniuk saját hálózataik és információs rendszereik kezelése és védelme során, ezen irányelvnek az energiaszolgáltatás, a közlekedés, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák és az egészségügy területén folytatott alapvető fontosságú gazdasági és társadalmi tevékenységek számára létfontosságú kritikus infrastruktúrára kell összpontosítania. A szoftverfejlesztőket és hardvergyártókat ki kell zárni ezen irányelv hatálya alól. [Mód. 5]
(4b) Minden olyan esetben garantálni kell az érintett európai hatóságok és a közös kül- és biztonságpolitikáért és a közös biztonság- és védelempolitikáért felelős főképviselő/alelnök, valamint a terrorizmus elleni küzdelem uniós koordinátora közötti együttműködést és koordinációt, amikor jelentős hatású incidenseket úgy értelmeznek, hogy azokat kívülről, terrorcselekmény elkövetésének céljával hajtották végre. [Mód. 6]
(5) Annak érdekében, hogy a szabályozás valamennyi lényeges eseményre és kockázatra kiterjedjen, ezt az irányelvet valamennyi hálózati és információs rendszerre indokolt alkalmazni. A közigazgatásokra és a piaci szereplőkre vonatkozó kötelezettségeket azonban nem indokolt alkalmazni a 2002/21/EK európai parlamenti és tanácsi irányelv(3) szerinti nyilvános hírközlési hálózatokat üzemeltető és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó vállalkozásokra – ezekre az említett irányelv 13a. cikkében meghatározott biztonsági és integritási követelmények vonatkoznak –, sem pedig a bizalmi szolgáltatások nyújtóira.
(6) A meglévő képességek nem elegendőek ahhoz, hogy a magas szintű hálózat- és információbiztonságot garantáljanak az Unió területén. A tagállamok nagyon különböző felkészültséggel rendelkeznek, ami sokféle megközelítés alkalmazásához vezet az Unióban. Így nem biztosított a fogyasztók és a vállalkozások egységes védelme, ami aláássa a hálózat- és információbiztonság általános színvonalát az Unión belül. A közigazgatási szervekre és a piaci szereplőkre vonatkozó közös minimumkövetelmények hiánya miatt nem lehetséges uniós szinten átfogó és hatékony együttműködési mechanizmust létrehozni. Az egyetemeknek és kutatóközpontoknak döntő szerepe van a szóban forgó területekre irányuló kutatás, fejlesztés és innováció ösztönzésében, és biztosítani kell megfelelő finanszírozásukat. [Mód. 7]
(7) A hálózati és információs rendszerek biztonsági kihívásainak hatékony kezelése ezért uniós szinten globális megközelítést kíván, amely kiterjed a kapacitásépítésre és a tervezésre vonatkozó közös minimumkövetelményekre, a kiberbiztonsággal kapcsolatos megfelelő készségek fejlesztésére, az információcserére és a tevékenységek összehangolására, valamint az összes érintett piaci szereplőre és a közigazgatásra vonatkozóa közös biztonsági minimumkövetelményekre. A közös minimumszabványokat a kiberbiztonsági koordinációs csoportok (CSCG-k) megfelelő ajánlásaival összhangban kell alkalmazni. [Mód. 8]
(8) Az irányelv rendelkezései nem érinthetik a tagállamok azon jogát, hogy megtegyék az alapvető biztonsági érdekeik védelméhez, a közrend és a közbiztonság védelméhez, valamint a bűncselekmények kivizsgálásához, felderítéséhez és büntetőeljárások lefolytatásához szükséges intézkedéseket. Az Európai Unió működéséről szóló szerződés (EUMSZ) 346. cikke értelmében egyetlen tagállam sem köteles olyan információt szolgáltatni, amelynek közlését ellentétesnek tartja alapvető biztonsági érdekeivel. Egyetlen tagállam sem köteles közölni a 2011/292/EU tanácsi határozatban(4) meghatározott EU-minősített adatokat, valamint titoktartási megállapodás vagy informális titoktartási megállapodás, például „jelzőlámpa protokoll” (TLP) tárgyát képező információkat. [Mód. 9]
(9) A hálózati és információs rendszerek közös magas biztonsági szintjének elérése és fenntartása érdekében minden tagállamban létre kell hozni egy nemzeti hálózat- és információbiztonsági stratégiát, amely meghatározza a stratégiai célokat és a végrehajtandó konkrét szakpolitikai intézkedéseket. Nemzeti szinten a hálózat- és információbiztonságra vonatkozó, az alapvető követelményeknek megfelelő együttműködési terveket szükséges kidolgozni – az ezen irányelvben meghatározott minimumkövetelmények alapján – annak érdekében, hogy a biztonsági események bekövetkeztekor nemzeti és uniós szinten megfelelő reagálási kapacitás álljon rendelkezésre az eredményes és hatékony, a magánéletet és a személyes adatokat tiszteletben tartó és azok védelmét biztosító együttműködéshez. Ezért minden tagállam köteles betartani az adatformátumra és a megosztandó és értékelendő adatok kicserélhetőségére vonatkozó közös szabványokat. Lehetővé kell tenni a tagállamok számára, hogy a közös minimumkövetelményeket tartalmazó hálózat- és információbiztonsági stratégiatervezeten alapuló nemzeti hálózat- és információbiztonsági stratégiáik kidolgozásához segítséget kérhessenek az Európai Hálózat- és Információbiztonsági Ügynökségtől (ENISA). [Mód. 10]
(10) Az ezen irányelv értelmében elfogadott rendelkezések eredményes végrehajtása érdekében valamennyi tagállamban indokolt létrehozni egy olyan szervet, amelynek feladata a hálózat- és információbiztonsággal kapcsolatos kérdések koordinálása, és amely kapcsolattartóként működik a határokon átnyúló, uniós szintű együttműködés számára. Ezen szervek számára célszerű biztosítani a megfelelő műszaki, pénzügyi és emberi erőforrásokat annak érdekében, hogy feladataikat eredményesen és hatékonyan láthassák el, ezzel segítve az irányelv céljainak elérését.
(10a) Tekintettel a nemzeti kormányzási struktúrák közötti eltérésekre, valamint a meglévő ágazati intézkedések vagy az uniós felügyeleti és szabályozó szervek megőrzése és az átfedések elkerülése érdekében a tagállamoknak lehetőséget kell kapniuk arra, hogy az ezen irányelv hatálya alá tartozó piaci szereplők hálózatainak és információs rendszereinek biztonságával összefüggő feladatok ellátására egynél több tagállami illetékes hatóságot jelöljenek ki. Azonban a zökkenőmentes határokon átnyúló együttműködés és kommunikáció biztosítása érdekében szükség van arra, hogy minden egyes tagállam az ágazati szabályozási intézkedések sérelme nélkül csak egyetlen nemzeti egyablakos ügyintézési pontot jelöljön ki, amely uniós szinten a határokon átnyúló együttműködésért felel. Amennyiben a tagállamok alkotmányos berendezkedése vagy egyéb intézkedései szükségessé teszik, lehetővé kell tenni számukra, hogy az illetékes hatóság és az egyablakos ügyintézési pont feladatainak ellátására egyetlen hatóságot jelöljenek ki. Az illetékes hatóságok és az egyedüli összekötők demokratikus ellenőrzés alatt álló civil szervezetek, amelyek semmilyen feladatot nem láthatnak el a hírszerzés, a bűnüldözés vagy a védelem területén, valamint szervezetileg semmilyen formában nem kötődhetnek az e téren tevékenykedő szervezetekhez. [Mód. 11]
(11) Fontos, hogy valamennyi tagállam rendelkezzékés piaci szereplő mindenkor rendelkezzen a hálózati és információs rendszereket érintő események és kockázatok megelőzéséhez, észleléséhez, kezeléséhez és mérsékléséhez szükséges, megfelelő műszaki és szervezeti képességekkel. A közigazgatási szervek biztonsági rendszereinek biztonságosnak kell lenniük, és demokratikus ellenőrzés tárgyát kell képezniük. A közösen előírt berendezéseknek és képességeknek meg kell felelniük a közösen elfogadott műszaki szabványoknak és a szabványos műveleti eljárásoknak. Ezért minden tagállamban létre kell hozni jól működő és az alapvető követelményeknek megfelelő, számítógépes vészhelyzeteket elhárító csoportokat (ún. CERT-eket), amelyek biztosítják a biztonsági események és kockázatok esetén mozgósítható hatékony és együttműködni képes kapacitásokat és az eredményes, uniós szintű együttműködést. Lehetővé kell tenni, hogy a CERT-ek a közös műszaki szabványok és a szabványos műveleti eljárások alapján kölcsönösen együttműködjenek. Tekintettel a különböző igényeket és szereplőket kiszolgáló, meglévő CERT-ek eltérő jellemzőire, a tagállamoknak biztosítaniuk kell, hogy a piaci szereplők ezen irányelvben foglalt jegyzékében említett ágazatok mindegyikében legalább egy CERT nyújtson szolgáltatásokat. A CERT-ek közötti határokon átnyúló együttműködést illetően a tagállamoknak gondoskodniuk kell arról, hogy a CERT-ek rendelkezzenek a már működő nemzetközi és uniós együttműködési hálózatokban való részvételhez szükséges megfelelő eszközökkel. [Mód. 12]
(12) A tagállamok európai fórumán (EFMS) belül a bevált szakpolitikai gyakorlatokról szóló viták és eszmecserék, valamint az európai számítógépes válságkezelési együttműködés elveinek kidolgozása terén elért jelentős haladásra építve a tagállamoknak és a Bizottságnak hálózatot kell alkotniuk egymással, így biztosítva a folyamatos párbeszédet és az együttműködés fenntartását. Ez a biztonságos és hatékony együttműködési mechanizmus, így – adott esetben – a piaci szereplők részvétele, várhatóan lehetővé teszi az uniós szintű strukturált és összehangolt információcserét, észlelést és reagálást. [Mód. 13]
(13) Az Európai Hálózat- és Információbiztonsági Ügynökségnek (ENISA)ENISA-nak szakértő véleményével és tanácsaival, valamint a bevált gyakorlatok cseréjének elősegítésével indokoltkell segítenie a tagállamokat és a Bizottságot. A Bizottságnak és a tagállamoknak különösen ezen irányelv alkalmazása kapcsán célszerű kikérniekikérniük az ENISA véleményét. A tagállamok és a Bizottság hatékony és kellő időben történő tájékoztatása érdekében az együttműködési hálózatban korai előrejelzést kell adni az eseményekről és a kockázatokról. A kapacitásépítés és az ismeretek gyarapítása érdekében az együttműködési hálózatnak eszközként kell szolgálnia a bevált gyakorlatok cseréje, a hálózatban részt vevő tagállamokban zajló kapacitásépítés segítése, valamint a szakértői értékelések és a hálózat- és információbiztonsági gyakorlatok szervezése számára is. [Mód. 14]
(13a) Adott esetben lehetővé kell tenni a tagállamok számára, hogy ezen irányelv rendelkezéseinek alkalmazása során használhassák a meglévő szervezeti struktúrákat vagy stratégiákat, illetve azokat a rendelkezésekhez igazíthassák. [Mód. 15]
(14) Az érzékeny és bizalmas információknak az együttműködési hálózaton belüli biztonságos cseréje céljából biztonságos infrastruktúrát indokolt létrehozni. Erre a célra teljes mértékben ki kell használni az Unióban meglévő struktúrákat. A tagállamok azon kötelezettségének sérelme nélkül, mely szerint az együttműködési hálózaton keresztül be kell jelenteniük az uniós hatású eseményeket és kockázatokat, más tagállam számára csak akkor szükséges hozzáférést biztosítani bizalmas információkhoz, ha az igazoltan rendelkezik a hálózatban való eredményes, hatékony és biztonságos részvételhez szükséges műszaki, pénzügyi és emberi erőforrásokkal, eljárásokkal és eljárásokkal kommunikációs infrastruktúrákkal, valamint kommunikációs infrastruktúrákkal átlátható módszereket használ. [Mód. 16]
(15) Mivel a hálózati és információs rendszerek üzemeltetése a legtöbb esetben magánkézben van, a magán- és az állami szektor közötti együttműködés rendkívül fontos. A piaci szereplőket ösztönözni kell, hogy továbbra is tartsák fenn a hálózat- és információbiztonságra irányuló saját informális együttműködési mechanizmusaikat. Emellett fontos, hogy együttműködjenek az állami szektorral, és az események bekövetkeztekor kapott operatív támogatás fejében osszák megkölcsönösen megosszák információikat és legjobb gyakorlataikat, ideértve a lényeges információk kölcsönös cseréjét, a kölcsönös operatív támogatást és a stratégiailag elemzett információkat is. Az információk és a legjobb gyakorlatok megosztásának hathatós ösztönzése érdekében elengedhetetlen annak biztosítása, hogy az e cserékben részt vevő piaci szereplők együttműködésük következtében ne szenvedjenek hátrányt. Megfelelő biztosítékokra van szükség annak biztosítása érdekében, hogy az együttműködés ne tegye ki e szereplőket nagyobb megfelelési kockázatnak vagy új felelősségeknek, többek között a versenyre, a szellemi tulajdonra, az adatvédelemre vagy a számítástechnikai bűnözésre vonatkozó jogszabályokkal összefüggésben, továbbá ne tegye ki őket nagyobb működési vagy biztonsági kockázatoknak. [Mód. 17]
(16) Az átláthatóság, valamint az uniós polgárok és a piaci szereplők megfelelő tájékoztatásáratájékoztatása érdekében az illetékes hatóságoknakegyedüli összekötőknek indokolt olyan közös, egész Unióra vonatkozó weboldalt létrehozni, amelyen elérhetőkelérhetővé tehetők az eseményekkel, a kockázatokkal és a kockázatokkalkockázatok mérséklésének módjaival kapcsolatos nem bizalmas információk, valamint a megfelelő karbantartási intézkedésekkel kapcsolatos tanácsok. A weboldalon közzétett információnak a használt készüléktől függetlenül elérhetőnek kell lennie. A weboldalon közzétett személyes adatoknak kizárólag a szükséges adatokra kell korlátozódniuk, és a lehető legnagyobb mértékben névtelennek kell lenniük. [Mód. 18]
(17) Az üzleti titokra vonatkozó uniós és nemzeti szabályok értelmében bizalmasnak minősített információk esetében az ezen irányelvben előírt tevékenységek végrehajtása és célkitűzések megvalósítása során fontos biztosítani a szóban forgó adatok bizalmas kezelését.
(18) Különösen a nemzeti válságkezelési tapasztalatokra alapozva – az ENISA-val együttműködésben – a Bizottságnak és a tagállamoknak ki kell alakítaniuk egy olyan uniós hálózat- és információbiztonsági együttműködési tervet, amely meghatározza a kockázatok és az események megelőzésére, észlelésére, bejelentésére és kezelésére irányuló együttműködési mechanizmusokat, bevált gyakorlatokat és működési modelleket. E tervet megfelelően figyelembe kell venni az együttműködési hálózatban tett korai előrejelzések alkalmával. [Mód. 19]
(19) A hálózaton belüli korai előrejelzési értesítés csak akkor előírás, ha az esemény vagy kockázat mértéke és súlyossága uniós szintű tájékoztatást vagy reagálást tesz vagy tehet szükségessé. Ennélfogva a korai előrejelzést célszerű az olyan esetekre korlátozni, amelyekben a tényleges vagy potenciálisaz események vagy kockázatok jelentősége gyorsan nő, meghaladják a nemzeti reagálási kapacitást, vagy egynél több tagállamot érintenek. A megfelelő értékelhetőség érdekében indokolt a kockázat vagy az esemény értékelése szempontjából lényeges valamennyi információt a hálózat résztvevőinek tudomására hozni. [Mód. 20]
(20) A korai előrejelzés kézhezvételét és értékelését követően az illetékes hatóságoknakegyedüli összekötőknek meg kell állapodniuk az összehangolt válaszintézkedés módjában, az uniós hálózat- és információbiztonsági együttműködési tervben foglaltaknak megfelelően. Az illetékes hatóságokategyedüli összekötőket, az ENISÁ-t és a Bizottságot tájékoztatni kell az összehangolt válaszintézkedés céljából nemzeti szinten elfogadott intézkedésekről. [Mód. 21]
(21) A hálózat- és információbiztonság területén felmerülő problémák globális jellegére való tekintettel szorosabb nemzetközi együttműködésre van szükség a biztonsági előírások és az információcsere továbbfejlesztése, valamint a hálózat- és információbiztonságot érintő közös globális megközelítésmód előmozdítása érdekében. Az ilyen nemzetközi együttműködés bárminemű keretrendszerére a 95/46/EK európai parlamenti és tanácsi irányelvet(5) és a 45/2001/EK európai parlamenti és tanácsi rendeletet(6) kell alkalmazni. [Mód. 22]
(22) A hálózat- és információbiztonság biztosítása nagymértékben a közigazgatások és a piaci szereplők felelőssége. A kockázatértékelést és a felmerülő kockázatoksúlyosságánakkockázatoknak és váratlan – mind szándékos, mind véletlenszerű – eseményeknek megfelelő biztonsági intézkedések végrehajtását is magában foglaló, kockázatkezelésikockázatkezelésre, szoros együttműködésre és bizalomra épülő kultúrát megfelelő követelmények szabályozás útján történőmeghatározásávalszabályozási előírásokon és önkéntes ágazati gyakorlatokon keresztül célszerű ösztönözni és fejleszteni. Az együttműködési hálózat eredményes működése és ezen keresztül a tagállamok hatékony együttműködése szempontjából továbbá igen fontos az egyenlő és megbízható versenyfeltételek megteremtése. [Mód. 23]
(23) A 2002/21/EK irányelv előírja, hogy a nyilvános elektronikus hírközlési hálózatokat üzemeltető és a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó vállalkozások hozzanak megfelelő intézkedéseket integritásuk és biztonságának védelme érdekében, a biztonság sérülésének és az integritás megszűnésének esetére pedig bejelentési kötelezettséget ír elő. A 2002/58/EK európai parlamenti és tanácsi irányelv(7) előírja a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtói számára, hogy szolgáltatásaik biztonságának biztosítása érdekében tegyenek megfelelő műszaki és szervezeti intézkedéseket.
(24) Az említett kötelezettségeket indokolt kiterjeszteni az elektronikus hírközlési ágazaton túlra, az olyan infrastruktúrákat üzemeltető gazdasági szereplőkre is, amelyek nagymértékben függnek az információs és kommunikációs technológiáktól, és kulcsszerepet játszanak az olyan létfontosságú gazdasági és társadalmi feladatok ellátásában, mint a villamosenergia- és gázszolgáltatás, a közlekedés, a hitelintézetek üzemeltetése, a pénzügyi piaci infrastruktúrák és az egészségügy. E hálózati és információs rendszerek zavara befolyásolná a belső piac működését. Míg az ezen irányelvben megállapított kötelezettségeket nem indokolt kiterjeszteni a műszaki szabványok és szabályok terén történő információszolgáltatási eljárás és a 98/34/EK európai parlamenti és tanácsi irányelv irányelvben(8)alapján indokolt kiterjeszteni az elektronikus hírközlési ágazaton túlra, az olyan alapvetőmeghatározott, információs társadalmi szolgáltatások kulcsfontosságú nyújtóira, amelyek olyan felhasználói szintű információs társadalmi szolgáltatások és online tevékenységek alapját képezik, mint például az e-kereskedelmi platformok, az internetes fizetési átjárók, a közösségi hálózatok, a keresőprogramok, a számításifelhő-szolgáltatások általánosságban és az alkalmazásboltok Ezen információs társadalmi támogató szolgáltatások zavara fennakadást okoz az alapvetően rájuk épülő többi információs társadalmi szolgáltatás nyújtásában. A szoftver- és hardvergyártók nem nyújtanak információs társadalmi szolgáltatást, ezért nem tartoznak ezen irányelv hatálya alá. Az említett kötelezettségeket indokolt kiterjeszteni a közigazgatásokra és a kritikus infrastruktúrákat üzemeltető gazdasági szereplőkre is, amelyek nagymértékben függnek az információs és kommunikációs technológiáktól, és elengedhetetlenül fontos szerepet játszanak az olyan létfontosságú gazdasági és társadalmi feladatok ellátásában, mint a villamosenergia- és gázszolgáltatás, a közlekedés, a hitelintézetek üzemeltetése, a tőzsdei szolgáltatások és az egészségügy. E hálózati és információs rendszerek zavara befolyásolná a belső piac működését, a fent említett szolgáltatók önkéntes alapon tájékoztathatják az illetékes hatóságot vagy az egyedüli összekötőt azokról a hálózatbiztonságot veszélyeztető eseményekről, amelyeket erre érdemesnek tartanak. Az illetékes hatóság vagy az egyedüli összekötő – amennyiben ez lehetséges – a biztonsági fenyegetés elhárítását elősegítő, stratégiai szempontból elemzett adatokat bocsát az eseményt bejelentő piaci szereplők rendelkezésére.. [Mód. 24]
(24a) Míg a hardver és szoftverszolgáltatók nem hasonlíthatók az ezen irányelv hatálya alá tartozó piaci szereplőkhöz, termékeik elősegítik a hálózati és információs rendszerek biztonságának biztosítását. Ennélfogva jelentős szerepet játszanak annak biztosításában, hogy a piaci szereplők biztonságossá tehessék hálózati és információs infrastruktúráikat. Mivel a hardver és szoftver termékekre már most is a termékfelelősségre vonatkozó hatályos szabályok vonatkoznak, a tagállamoknak gondoskodniuk kell e szabályok érvényesítéséről. [Mód. 25]
(25) A közigazgatási szervekre és a piaci szereplőkre vonatkozó műszaki és szervezeti intézkedések nem követelhetik meg, hogy egy adott kereskedelmi információ vagy kommunikációs technológia tervezése, kialakítása vagy előállítása egy meghatározott módon történjék. [Mód. 26]
(26) A közigazgatások és a piaci szereplők számára indokolt előírni, hogy biztosítsák az ellenőrzésük alatt álló hálózatok és rendszerek biztonságát. Ezek elsősorban olyan, magánkézben lévő hálózatok és rendszerek, amelyek kezelését saját informatikus munkatársak végzik, illetve amelyek biztonsági karbantartását kiszervezték. A biztonsági és jelentéstételi kötelezettségeket a releváns piaci szereplőkre és a közigazgatásokra indokolt alkalmazni függetlenül attól, hogy azok saját maguk végzik hálózati és információs rendszereik karbantartását vagy kiszervezésben végeztetik el. [Mód. 27]
(27) Annak elkerülése érdekében, hogy a kisebb szolgáltatókat és felhasználókat aránytalanul nagy pénzügyi és közigazgatási terhek sújtsák, a követelményeknek arányosaknak kell lenniük az érintett hálózati vagy információs rendszer által megállapított kockázattal, figyelembe véve az ilyen intézkedések technikai értelemben vett naprakészségét. E követelmények a mikrovállalkozásokra nem alkalmazhatók.
(28) Az illetékes hatóságoknak és az egyedüli összekötőknek célszerű kellő figyelmet fordítaniuk a piaci szereplők közötti, valamint a köz- és a magánszektor közötti nem hivatalos és bizalmi információmegosztási csatornák megőrzésére.Az illetékes hatóságoknak és az egyedüli összekötőknek tájékoztatniuk kell az érintett IKT termékek gyártóit, illetve az ilyen szolgáltatásokat nyújtókat azokról a jelentős hatást gyakorló eseményekről, amelyeket számukra jelentettek. Az illetékes hatóságoknál és az egyedüli összekötőknél bejelentett események nyilvánosságra hozatala tekintetében alaposan mérlegelni kell a nyilvánosság fenyegetésekről való tájékoztatásából származó előnyt, illetve az érintett közigazgatási szervek és a bejelentést tevő piaci szereplők lehetséges tekintélyvesztését és az általuk elszenvedettáltal esetlegesen elszenvedett reputációs és kereskedelmi kárt. A bejelentési kötelezettségek végrehajtása során az illetékes hatóságoknak és egyedüli összekötőknek célszerű különös figyelmet fordítaniuk arra, hogy a megfelelő biztonsági korrekciós intézkedések nyilvánosságra hozataláigalkalmazásáig a termékek gyenge pontjai szigorúan titokban maradjanak. Az egyedüli összekötőknek főszabályként nem szabad nyilvánosságra hozniuk az eseményekben érintett magánszemélyek személyes adatait. Az egyedüli összekötők kizárólag akkor hozhatnak nyilvánosságra személyes adatokat, ha ezen adatok közzététele a meghatározott cél eléréséhez szükséges és azzal arányban áll. [Mód. 28]
(29) Az illetékes hatóságoknak rendelkezniük kell a feladataik teljesítéséhez szükséges eszközökkel, beleértve azt a hatáskört is, hogy a hálózati és információs rendszerek biztonsági szintjének értékeléséhez és az események számának, mértékének és hatókörének felméréséhez szükséges megfelelő mennyiségű információt a piaci szereplőktől és a közigazgatásoktól megszerezzék, valamint hogy hozzájussanak a hálózati és információs rendszerek működését befolyásoló tényleges eseményekkel kapcsolatos valamennyi megbízható adathoz. [Mód. 29]
(30) Az események hátterében sok esetben bűncselekmények állnak. Az események bűncselekmény jellege akkor is feltételezhető, ha erre vonatkozóan nem áll rendelkezésére kezdettől fogva egyértelmű bizonyíték. EbbenEzzel az összefüggésben fontos, hogy az illetékes hatóságok, az egyedüli összekötők és a bűnüldöző hatóságok közötti megfelelő együttműködés, valamint az Europol Számítástechnikai Bűnözés Elleni Központjával és az ENISA-val folytatott együttműködés a biztonsági fenyegetésekre való hatékony és átfogó reagálás részét képezze az illetékes hatóságok és a bűnüldöző hatóságok közötti megfelelő együttműködésnek. A biztonságos, védett és ellenállóbb környezet előmozdítására való törekvés jegyében különösen kívánatos a vélhetően súlyos bűncselekménynek minősülő események bűnüldöző hatóságoknál való módszeres bejelentése. Azt, hogy egy esemény súlyos bűncselekménynek minősül-e, a számítástechnikai bűnözésről szóló uniós jogszabályok alapján kell értékelni. [Mód. 30]
(31) A biztonsági események kapcsán sok esetben személyes adatok kerülnek veszélybe. A tagállamoknak és a piaci szereplőknek védeniük kell a tárolt, feldolgozott vagy továbbított személyes adatokat a véletlen vagy jogellenes megsemmisüléssel, a véletlen elvesztéssel vagy megváltoztatással, valamint a jogosulatlan vagy jogellenes tárolással, hozzáféréssel, nyilvánosságra hozatallal vagy terjesztéssel szemben, továbbá gondoskodniuk kell a személyes adatok feldolgozására vonatkozó adatbiztonsági politika végrehajtásáról. Ebben az összefüggésben az illetékes hatóságoknak, az egyedüli összekötőknek és az adatvédelmi hatóságoknak együtt kell működniük és információt kell cserélniük a többek közt – adott esetben – a piaci szereplőkkel a személyes adatok ilyen eseményekből eredő megsértése elleni intézkedések valamennyi releváns vonatkozása kapcsán. fellépés érdekében, az alkalmazandó adatvédelmi szabályokkal összhangban. A tagállamok a biztonsági események bejelentésére vonatkozó kötelezettségetkötelezettségnek oly módon hajtják végre, kell eleget tenni, hogy minimálisra csökkentikcsökkenjenek az adminisztratív terheket terhek, amennyiben a biztonsági esemény a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendelet(9) alapján a személyes adatok megsértésével jár egyúttal olyan személyesadat-sértésnek minősül, amelyet az uniós adatvédelmi jogszabály értelmében be kell jelenteni. Az ENISA az illetékes hatóságokkal és az adatvédelmi hatóságokkal való kapcsolattartás révén segítséget nyújthat az információcsere-mechanizmusok és a bejelentési formanyomtatványok kialakításában, kiküszöbölve ezzel a kétféle nyomtatvány használatának szükségességét. Az egységes bejelentési formanyomtatvány használatakialakítása révén, amely gördülékenyebbé tenné a személyes adatok biztonságát veszélyeztető események bejelentését, ami által a vállalkozások és a közigazgatások adminisztratív terhei is csökkennének. [Mód. 31]
(32) A biztonsági követelmények szabványosítása önkéntes jellegű, piacvezérelt folyamat, amelynek lehetővé kell tennie a piaci szereplők számára, hogy legalább hasonló eredmények elérése érdekében alternatív eszközöket alkalmazzanak. Az uniós szinten magas fokú biztonság eléréseA biztonsági szabványok egymáshoz közelítő alkalmazásának biztosítása érdekében a tagállamoknak ösztönözniük kell a biztonsági szabványok egymáshoz közelítő alkalmazását és a meghatározott interoperábilis szabványoknak való megfelelést, ezáltal uniós szinten szavatolva a magas fokú biztonságot. E célból meg kell fontolni hálózat- és információbiztonsági nyílt nemzetközi szabványok alkalmazását, vagy ilyen eszközök megtervezését. További előrelépésként harmonizált szabványok kidolgozására lehet szükség, amit az 1025/2012/EU európai parlamenti és tanácsi rendeletnek(10) megfelelően kell végezni. Nevezetesen, meg kell bízni az ETSI-t, a CEN-t és a CENELEC-et, hogy tegyenek javaslatot olyan eredményes és hatékony nyílt uniós biztonsági szabványokra, amelyek lehetőség szerint nem foglalnak magukban technológiai preferenciákat, és amelyek könnyen kezelhetők a kis- és közepes méretű piaci szereplők számára. A kiberbiztonságra vonatkozó nemzetközi szabványokat alaposan meg kell vizsgálni, hogy meg lehessen győződni arról, hogy nem gyengültek meg és megfelelő biztonsági szintet nyújtanak, ezáltal biztosítva, hogy a kiberbiztonsági szabványoknak való kötelező megfelelés az Unió általános kiberbiztonsági szintjének növekedését eredményezi, nem pedig az ellenkező hatást váltja ki. [Mód. 32]
(33) A Bizottságnak indokolt ezen irányelv rendelkezéseit – valamennyi érdekelt féllel egyeztetve – időszakonként felülvizsgálni felül kell vizsgálnia, különösen annak megvizsgálásamegállapítása céljából, hogy a változó társadalmi, politikai, technológiai és piaci feltételek fényében szükség van-e az irányelv módosítására. [Mód. 33]
(34) Az együttműködési hálózat megfelelő működésének lehetővé tétele érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkével összhangban jogi aktusokat fogadjon el a következők meghatározása céljából: a tagállamok által teljesítendő kritériumok a biztonságos információmegosztási rendszerben való részvételhez;infrastruktúrára vonatkozó összekapcsolási és biztonsági szabványok közös készlete és a korai előrejelzést kiváltó események pontosítása; valamint azon körülmények, amelyek fennállása esetén a piaci szereplők és a hatóságok kötelesek egy adott eseményt bejelenteni tekintetében. [Mód. 34]
(35) Különösen fontos, hogy a Bizottság előkészítő munkája során – többek között szakértői szinten – megfelelő konzultációkat folytasson. A felhatalmazáson alapuló jogi aktusok előkészítése és kidolgozása során a Bizottságnak gondoskodnia kell arról, hogy a releváns dokumentumok az Európai Parlamenthez és a Tanácshoz egyidejűleg, megfelelő időben és módon eljussanak.
(36) Az ezen irányelv végrehajtására vonatkozó feltételek egységességének biztosítása érdekében a következők tekintetében célszerű a Bizottságot végrehajtási jogkörrel felruházni: az illetékes hatóságok egyedüli összekötők és a Bizottság között az együttműködési hálózat keretében folyó együttműködés, a meglévő nemzeti szintű együttműködési mechanizmusok sérelme nélkül; az információmegosztási infrastruktúrához való hozzáférés; az uniós hálózat- és információbiztonsági együttműködési terv, valamint a nyilvánosság jelentős hatású biztonsági eseményekről való tájékoztatásáraértesítésére szolgáló formátumok és eljárások;valamint a hálózat- és információbiztonság szempontjából releváns szabványok és/vagy műszaki előírások. Ezeket a hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek(11) megfelelően kell gyakorolni. [Mód. 35]
(37) Ezen irányelv alkalmazása során a Bizottság megfelelő kapcsolatot tart fenn az érintett ágazati bizottságokkal és a különösen az e-kormányzat, az energia, a közlekedés, az egészségügy és a védelem területén uniós szinten létrehozott érintett szervekkel. [Mód. 36]
(38) Az illetékes hatóság vagy az egyedüli összekötő által az üzleti titokra vonatkozó uniós és nemzeti szabályok értelmében bizalmasnak minősített információkat csak abban az esetben kell a Bizottság, megfelelő ügynökségei, az egyedüli összekötők és/vagy a többi illetékes nemzeti hatóság tudomására hozni, ha az adatszolgáltatás ezen irányelv alkalmazása szempontjából feltétlenül szükséges. A rendelkezésre bocsátott adatokat az ilyen adatszolgáltatás célja szempontjából lényeges, szükséges és azzal arányos adatokra kell korlátozni, és mindeközben be kell tartani a bizalmas és biztonságos adatkezelésre vonatkozó, előzetesen meghatározott követelményeket a 2011/292/EU határozattal, valamint a titoktartási megállapodásokkal vagy informális titoktartási megállapodásokkal, például „jelzőlámpa protokollal” (TLP) összhangban. [Mód. 37]
(39) A kockázatokkal és az eseményekkel kapcsolatos információknak az együttműködési hálózaton keresztül történő megosztása, valamint az események illetékes nemzeti hatóságoknál vagy egyedüli összekötőknél történő bejelentésére vonatkozó követelményeknek való megfelelés személyes adatok feldolgozását teheti szükségessé. A személyes adatok ilyen feldolgozása szükséges ezen irányelv közérdekű céljainak eléréséhez, ezért a 95/46/EK irányelv 7. cikke alapján indokolt. A szóban forgó indokolt célkitűzésekre való tekintettel az ilyen adatfeldolgozás nem jelent aránytalan és megengedhetetlen beavatkozást, amely sértené a személyes adatok védelmére vonatkozó, az Európai Unió Alapjogi Chartájának 8. cikke által biztosított jog lényegét. Ezen irányelv alkalmazásakor az 1049/2001/EK európai parlamenti és tanácsi rendeletet(12) kell értelemszerűen alkalmazni. Az adatok uniós intézmények és szervek általi, ezen irányelv végrehajtása céljából történő feldolgozásakor meg kell felelni a 45/2001/EK rendeletben foglaltaknak. [Mód. 38]
(40) Mivel ezen rendelet célját, nevezetesen a hálózat- és információbiztonság magas uniós szintjének biztosítását a tagállamok egyedül nem tudják kielégítően megvalósítani, és ezért az intézkedés hatása miatt az uniós szinten jobban megvalósítható, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően az irányelv nem lépi túl az e cél eléréséhez szükséges mértéket.
(41) Ez az irányelv tiszteletben tartja az alapvető jogokat, és figyelembe veszi az Európai Unió Alapjogi Chartájában elismert elveket, nevezetesen a magánélet és a magáncélú kommunikáció tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a vállalkozás szabadságát, a tulajdonhoz való jogot, a bíróság előtti hatékony jogorvoslathoz való jogot és a meghallgatáshoz való jogot. Ezen irányelvet az említett jogokkal és elvekkel összhangban kell végrehajtani.
(41a) A tagállamoknak és a Bizottságnak a magyarázó dokumentumokról szóló, 2011. szeptember 28-i együttes politikai nyilatkozatával összhangban a tagállamok vállalták, hogy az átültető intézkedéseikről szóló értesítéshez indokolt esetben mellékelnek egy vagy több olyan dokumentumot, amely megmagyarázza az irányelv elemei és az azt átültető nemzeti jogi eszköz megfelelő részei közötti kapcsolatot. Ezen irányelv tekintetében a jogalkotó úgy ítéli meg, hogy ilyen dokumentumok átadása indokolt. [Mód. 39]
(41b) Az európai adatvédelmi biztossal egyeztetésre került sor a 45/2001/EK rendelet 28. cikkének (2) bekezdésével összhangban, és az európai adatvédelmi biztos 2013. június 14-én kinyilvánította véleményét(13),
ELFOGADTA EZT AZ IRÁNYELVET:
1. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Tárgy és hatály
(1) Ez az irányelv olyan intézkedéseket állapít meg, amelyek biztosítják a hálózat- és információbiztonság közös magas szintjét az Unión belül.
(2) Ennek érdekében az irányelv:
a) valamennyi tagállamra vonatkozó kötelezettségeket ír elő a hálózati és információs rendszereket érintő kockázatok és biztonsági események megelőzése, kezelése és az azokra való reagálás vonatkozásában;
b) az érintett érdekelt felek részvételével a tagállamok közötti együttműködést szolgáló mechanizmust hoz létre az irányelv Unió-szerte egységes alkalmazásának biztosítása, és amennyiben szükséges, a hálózati és információs rendszereket érintő kockázatok és biztonsági események összehangolt és hatékony és eredményes kezelése és az azokra való reagálás biztosítása érdekében; [Mód. 40]
c) a piaci szereplőkre és a közigazgatásokra vonatkozóan biztonsági követelményeket állapít meg. [Mód. 41]
(3) Az ezen irányelv 14. cikkében előírt biztonsági követelmények nem alkalmazandók sem a 2002/21/EK irányelv szerinti nyilvános hírközlési hálózatokat üzemeltető és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó vállalkozásokra – ezekre az említett irányelv 13a. és 13b. cikkében meghatározott biztonsági és integritási követelmények vonatkoznak –, sem pedig a bizalmi szolgáltatások nyújtóira.
(4) Ez az irányelv nem sérti sem a számítástechnikai bűnözésre vonatkozó uniós jogszabályok, sem pedig a 2008/114/EK tanácsi irányelv(14) rendelkezéseit.
(5) Ez az irányelv továbbá nem sérti sem a 95/46/EK irányelv, sem a 2002/58/EK irányelv, sem pedig a 45/2001/EK rendelet rendelkezéseit. A személyes adatok bármilyen felhasználásának szigorúan az ezen irányelv céljához szükséges mértékre kell korlátozódnia, és a lehetséges mértékig – ha nem is teljes mértékben – anonimnek kell lennie. [Mód. 42]
(6) Az együttműködési hálózaton keresztül a III. fejezetnek megfelelően történő információmegosztás, valamint a hálózat- és információbiztonsági eseményeknek a 14. cikk alapján történő bejelentése személyes adatok feldolgozását teheti szükségessé. Az ezen irányelv közérdekű céljainak eléréséhez szükséges ilyen adatfeldolgozást a tagállamok a 95/46/EK irányelv 7. cikkét és a 2002/58/EK irányelvet a nemzeti jogukba átültető rendelkezések alapján engedélyezik.
1a. cikk
A személyes adatok feldolgozása és védelme
(1) A személyes adatok ezen irányelv szerinti feldolgozását a tagállamokban a 95/46/EK irányelvvel és a 2002/58/EK irányelvvel összhangban kell végezni.
(2) A személyes adatok Bizottság és ENISA által történő, e rendelet szerinti feldolgozását a 45/2001/EK rendelettel összhangban kell végezni.
(3) A személyes adatoknak az Europol szervezetén belül működő Számítástechnikai Bűnözés Elleni Európai Központ által az ezen irányelv alkalmazása céljából történő feldolgozását a 2009/371/IB tanácsi határozat(15) alapján kell végezni.
(4) A személyes adatok feldolgozásának tisztességesnek és jogszerűnek kell lennie, és azt szigorúan a feldolgozás céljához minimálisan szükséges adatokra kell korlátozni. Ezen adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatfeldolgozás céljainak eléréséhez szükséges ideig teszi lehetővé.
(5) Az ezen irányelv 14. cikke szerinti eseménybejelentések nem érintik a 2002/58/EK irányelv 4. cikke és a 611/2013/EU bizottsági rendelet(16) szerinti, a személyes adatok megsértésével kapcsolatos bejelentésekre vonatkozó rendelkezéseket és kötelezettségeket. [Mód. 43]
2. cikk
Minimális harmonizáció
A tagállamok – az uniós jog szerinti kötelezettségeik sérelme nélkül – nem akadályozhatók meg abban, hogy magasabb biztonság szintet biztosító rendelkezéseket fogadjanak el vagy tartsanak fenn.
3. cikk
Fogalommeghatározások
Ezen irányelv alkalmazásában:
1. „hálózati és információs rendszer”:
a) a 2002/21/EK irányelv szerinti elektronikus hírközlő hálózat; valamint
b) bármely olyan eszköz, illetve egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált számítógépes adatfeldolgozást végez feldolgozását végzi; illetve [Mód. 44]
c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és fenntartásuk céljából tárolt, feldolgozott, visszakeresett vagy továbbított számítógépesdigitális adatok. [Mód. 45]
2. „biztonság”: valamely hálózati és információs rendszer képessége – a titkosság meghatározott szintjén – a szóban forgó hálózati és információs rendszerekben tárolt vagy továbbított adatok és az általuk nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát veszélyeztető véletlen eseményekkel, illetve rosszindulatú tevékenységgel szembeni ellenállásra; a „biztonság” magában foglalja az ezen irányelvben kifejtett biztonsági követelmények teljesítését biztosító megfelelő technikai eszközöket, megoldásokat és műveleti eljárásokat; [Mód. 46]
3. „kockázat”: a biztonságra kedvezőtlen hatást gyakorolni képes, ésszerűen azonosítható körülmény vagy esemény; [Mód. 47]
4. „biztonsági esemény”: a biztonságra ténylegesen kedvezőtlen hatást gyakorló körülmény vagy esemény; [Mód. 48]
5. „információs társadalmi szolgáltatás”: a 98/34/EK irányelv 1. cikkének 2. pontja szerinti szolgáltatás,; [Mód. 49]
6. „hálózat- és információbiztonsági együttműködési terv”: olyan terv, amely meghatározza a hálózatok vagy információs rendszerek működésének fenntartására vagy helyreállítására vonatkozó szervezeti feladatkörök, hatáskörök és eljárások kereteit arra az esetre, ha az említett hálózatokat vagy információs rendszereket érintő kockázat vagy esemény áll fenn;
7. „biztonsági események kezelése”: a biztonsági események észlelését, megelőzését, elemzését, megfékezését és a rájuk való reagálást támogató eljárások; [Mód. 50]
8. „piaci szereplő”:
a) más, a II. mellékletben nem kimerítő jelleggel felsorolt információs társadalmi szolgáltatások nyújtását lehetővé tevő információs társadalmi szolgáltatást nyújtó szolgáltató; [Mód. 51]
b) az energiaszolgáltatás, a közlekedés, a banki szolgáltatások, a tőzsdei szolgáltatásokpénzügyi piaci infrastruktúrák, az internetcsatlakozási pontok, az élelmiszer-ellátási lánc és az egészségügy szempontjából alapvető fontosságú – a II. mellékletben nem kimerítő jelleggel felsorolt – gazdasági és társadalmi tevékenységek fenntartásához nélkülözhetetlen kritikus infrastruktúra üzemeltetője, amely infrastruktúra zavara vagy megsemmisülése e feladatok ellátásának hiánya miatt jelentős hatást fejtene ki valamely tagállamban, amennyiben az érintett hálózati és információs rendszerek annak alapvető szolgáltatásaihoz kapcsolódnak. [Mód. 52]
8a. „jelentős hatást gyakorló biztonsági esemény”: valamely információs hálózat vagy rendszer biztonságát és folytonosságát érintő esemény, amely alapvető gazdasági vagy társadalmi funkciók jelentős zavarát idézi elő; [Mód. 53]
9. „szabvány”: az 1025/2012/EK rendelet szerinti szabvány;
10. „előírás”: az 1025/2012/EK rendelet szerinti előírás;
11. „bizalmi szolgáltatások nyújtója”: elektronikus aláírásoknak, elektronikus bélyegzőknek, elektronikus időbélyegzőknek, elektronikus dokumentumoknak, elektronikus kézbesítési szolgáltatásoknak, weboldal-hitelesítésnek és elektronikus tanúsítványoknak, ezen belül elektronikus aláírások és elektronikus bélyegzők tanúsítványainak létrehozására, ellenőrzésére, hitelesítésére, kezelésére és megőrzésére irányuló elektronikus szolgáltatást nyújtó természetes vagy jogi személy;
11a. „szabályozott piac”: a 2004/39/EK európai parlamenti és tanácsi irányelv(17) 4. cikkének 14. pontjában meghatározott szabályozott piac; [Mód. 54]
11b. „multilaterális kereskedési rendszer (MTF)”: a 2004/39/EK irányelv 4. cikkének 15. pontjában meghatározott multilaterális kereskedési rendszer; [Mód. 55]
11c. „szervezett kereskedési rendszer (OTF)”: befektetési vállalkozás vagy piacműködtető által működtetett multilaterális rendszer vagy létesítmény, amely nem szabályozott piac vagy MTF vagy központi szerződő fél, amelyben több harmadik fél kötvényekre, strukturált pénzügyi termékekre, kibocsátási egységekre vagy származtatott termékekre irányuló vételi és eladási szándéka hozható össze a rendszeren belül oly módon, hogy az szerződést eredményez a 2004/39/EK irányelv II. címével összhangban. [Mód. 56]
II. FEJEZET
NEMZETI HÁLÓZAT- ÉS INFORMÁCIÓBIZTONSÁGI KERETEK
4. cikk
Alapelv
A tagállamok ezen irányelvvel összhangban saját területükön biztosítják a hálózati és információs rendszerek magas szintű biztonságát.
5. cikk
A nemzeti hálózat- és információbiztonsági stratégia és a nemzeti hálózat- és információbiztonsági együttműködési terv
(1) Valamennyi tagállam nemzeti hálózat- és információbiztonsági stratégiát fogad el, amelyben meghatározza a stratégiai célokat, valamint a magas szintű hálózat- és információbiztonság eléréséhez és fenntartásához szükséges konkrét szakpolitikai és szabályozási intézkedéseket. A nemzeti hálózat- és információbiztonsági stratégia különösen a következő témákkal foglalkozik:
a) a stratégia célkitűzéseinek és prioritásainak meghatározása a kockázatok és az események naprakész elemzése alapján;
b) a stratégia célkitűzéseinek és prioritásainak elérését szolgáló irányítási keretrendszer, ideértve a kormányzati szervek és egyéb érintett szereplők szerepkörének és feladatainak egyértelmű meghatározását is;
c) a felkészültségre, a reagálásra és a helyreállításra vonatkozó általános intézkedések meghatározása, ideértve az állami szféra és a magánszféra közötti együttműködést szolgáló mechanizmusokat is;
d) oktatási, tudatosságnövelő és képzési programok létrehozása;
e) kutatási és fejlesztési tervek, valamint annak leírása, hogy ezek a tervek hogyan szolgálják a meghatározott prioritásokat;
ea) A tagállamok a közös minimumkövetelményeket tartalmazó hálózat- és információbiztonsági stratégián alapuló nemzeti hálózat- és információbiztonsági stratégiáik kidolgozásához segítséget kérhetnek az ENISÁ-tól. [Mód. 57]
(2) A nemzeti hálózat- és információbiztonsági stratégia tartalmazza a nemzeti hálózat- és információbiztonsági együttműködési tervet, amely megfelel legalább az alábbi követelményeknek:
a) a veszélyek azonosításárakockázatok feltárására, rangsorolására, értékelésére és kezelésére, a potenciális események hatásainak és a megelőzési és ellenőrzési alternatíváknak az események potenciális hatásainak felméréséreértékelésére, valamint a lehetséges ellenintézkedések kiválasztási kritériumainak meghatározására irányuló kockázatértékelési terv kockázatkezelési keret; [Mód. 58]
b) a tervkeret végrehajtásában érintett különböző hatóságok és más szereplők szerepkörének és feladatainak meghatározása; [Mód. 59]
c) a megelőzést, az észlelést, a reagálást és a helyreállítást szolgáló együttműködési és kommunikációs folyamatok meghatározása és az aktuális riasztási szinttel összhangban történő kiigazítása;
d) a hálózat- és információbiztonsági gyakorlatokra és képzésre vonatkozó ütemterv a terv megerősítése, validálása és tesztelése céljából. A levont tanulságokat dokumentálni kell, és a frissítések alkalmával be kell építeni a tervbe.
(3) A nemzeti hálózat- és információbiztonsági stratégiát és a nemzeti hálózat- és információbiztonsági együttműködési tervet azok elfogadásától számított egyhárom hónapon belül meg kell küldeni a Bizottságnak. [Mód. 60]
6. cikk
A hálózati és információs rendszerek biztonságáért felelős nemzeti illetékes hatósághatóságok és egyedüli összekötők [Mód. 61]
(1) Minden tagállam kijelöl egy vagy több, a hálózati és információs rendszerek biztonságáért felelős nemzeti illetékes polgári hatóságot (illetékes hatóság(ok)). [Mód. 62]
(2) Az illetékes hatóságok nemzeti szinten nyomon követik ezen irányelv alkalmazását, és hozzájárulnak alkalmazásának az egész Unióban való következetességéhez.
(2a) Amennyiben valamely tagállam egynél több illetékes hatóságot jelöl ki, egyetlen nemzeti polgári hatóságot – például egy illetékes hatóságot – kell kijelölnie a hálózati és információs rendszerek biztonságával foglalkozó, nemzeti egyedüli összekötőként (egyedüli összekötő). Amennyiben valamely tagállam csak egy illetékes hatóságot jelöl ki, ez az illetékes hatóságnak egyúttal az egyedüli összekötőnek is kell lennie. [Mód. 63]
(2b) Az egyes tagállamok illetékes hatóságai és az egyedüli összekötő az ezen irányelvben meghatározott kötelezettségek tekintetében szorosan együttműködnek egymással. [Mód. 64]
(2c) Az egyedüli összekötő biztosítja a többi egyedüli összekötővel való, határokon átnyúló együttműködést. [Mód. 65]
(3) A tagállamok biztosítják, hogy az illetékes hatóságok és az egyedüli összekötők a rájuk bízott feladatok eredményes és hatékony ellátásához és ezáltal aaz irányelv célkitűzéseinek teljesítéséhez elegendő műszaki, pénzügyi és emberi erőforrással rendelkezzenek. A tagállamok a 8. cikkben említett hálózat segítségével biztosítják az illetékes hatóságokegyedüli összekötők eredményes, hatékony és biztonságos együttműködését. [Mód. 66]
(4) A tagállamok gondoskodnak arról, hogy az illetékes hatóságok és az egyedüli összekötők adott esetben e cikk (2a) bekezdésével összhangban a 14. cikk (2) bekezdésének megfelelően bejelentést kapjanak a közigazgatásoktól és a piaci szereplőktől a biztonsági eseményekről, és rendelkezzenek a 15. cikkben említett végrehajtási és jogalkalmazói jogkörrel. [Mód. 67]
(4a) Amennyiben uniós jogszabály ágazatspecifikus uniós felügyeleti vagy szabályozó szervet ír elő, többek között a hálózati és információs rendszerek biztonságával kapcsolatban, akkor ez a szerv kapja meg a 14. cikk (2) bekezdése szerinti bejelentést az ágazatban érintett piaci szereplőtől, valamint a 15. cikkben említett végrehajtási és jogalkalmazói jogköröket. Ez az uniós szerv e kötelezettségek tekintetében szorosan együttműködik a fogadó tagállam illetékes hatóságaival és egyedüli összekötőivel. A fogadó tagállam egyedüli összekötője képviseli az uniós szervet a III. fejezetben meghatározott kötelezettségek tekintetében. [Mód. 68]
(5) Az illetékes hatóságok és egyedüli összekötők – szükség szerint – konzultálnak és együttműködnek az érintett nemzeti bűnüldöző hatóságokkal és a nemzeti adatvédelmi hatóságokkal. [Mód. 69]
(6) Minden tagállam késedelem nélkül tájékoztatja a Bizottságot az illetékes hatósághatóságok és az egyedüli összekötő kijelöléséről, feladatairól és bármilyen későbbi változásról. Valamennyi tagállam nyilvánosságra hozza a kijelölt illetékes hatósághatóságok nevét. [Mód. 70]
7. cikk
A hálózatbiztonsági vészhelyzeteket elhárító csoport
(1) Valamennyi tagállam felállítAz egyes tagállamok a II. mellékletben felsorolt ágazatok mindegyikére vonatkozóan felállítanak legalább egy hálózatbiztonsági vészhelyzeteket elhárító csoportot (CERT), melynek feladata a biztonsági eseményeknek és kockázatoknak egy jól meghatározott – az I. melléklet 1. pontjában szereplő követelményeknek megfelelő eljárás alapján történő kezelése. A CERT-et az illetékes hatóságon belül is létre lehet hozni. [Mód. 71]
(2) A tagállamok biztosítják, hogy a CERT-ek rendelkezzenek az I. melléklet 2. pontjában meghatározott feladataik hatékony ellátásához szükséges megfelelő műszaki, pénzügyi és emberi erőforrásokkal.
(3) A tagállamok gondoskodnak arról, hogy a CERT nemzeti szinten olyan, biztonságos és ellenállóképes kommunikációs és információs infrastruktúrát használjon, amely kompatibilis és interoperábilis a 9. cikkben említett biztonságos információmegosztási rendszerrel.
(4) A tagállamok tájékoztatják a Bizottságot a CERT rendelkezésére álló forrásokról és megbízatásáról, valamint a biztonsági események kezelésére szolgáló eljárásról.
(5) A CERTCERT-ek tevékenységét az illetékes hatóság vagy az egyedüli összekötő felügyeli, aminek keretében rendszeresen felülvizsgálja a források megfelelőségét, a CERT megbízatását és a biztonsági események kezelésére szolgáló eljárás hatásosságát. [Mód. 72]
(5a) A tagállamok gondoskodnak arról, hogy a CERT-ek rendelkezzenek a nemzetközi és különösen az uniós együttműködési hálózatokban való aktív részvételhez szükséges megfelelő emberi és pénzügyi erőforrásokkal. [Mód. 73]
(5b) Lehetővé kell tenni és ösztönözni kell, hogy a CERT-ek közös gyakorlatokat kezdeményezzenek, illetve részt vegyenek ilyenekben más CERT-ekkel, valamennyi tagállam CERT-jeivel, az Unión kívüli országok megfelelő intézményeivel, valamint a multinacionális és nemzetközi szervezetek – mint az Észak-atlanti Szerződés Szervezete és az Egyesült Nemzetek Szervezete – CERT-jeivel együtt. [Mód.74]
(5c) A tagállamok nemzeti CERT-jeik létrehozásához segítséget kérhetnek az ENISÁ-tól vagy más tagállamoktól. [Mód. 75]
III. FEJEZET
EGYÜTTMŰKÖDÉS AZ ILLETÉKES HATÓSÁGOK KÖZÖTT
8. cikk
Együttműködési hálózat
(1) Az illetékes hatóságokegyedüli összekötők és a Bizottság és az ENISA hálózatot (együttműködési hálózat) hoznak létre a hálózati és információs rendszereket érintő események és kockázatok leküzdése terén folyó együttműködés céljából. [Mód. 76]
(2) Az együttműködési hálózat állandó kapcsolatot teremt a Bizottság és az illetékes hatóságokegyedüli összekötők között. Az Európai Hálózat- és Információbiztonsági Ügynökség(ENISA) felkérésre szakértő véleményével és tanácsaival segíti az együttműködési hálózatot. Adott esetben a piaci szereplőket és a kiberbiztonsági megoldásokat nyújtó szállítókat is felkérhetik, hogy vegyenek részt az együttműködési hálózatnak a (3) bekezdés g) és i) pontjában említett tevékenységeiben.
Az együttműködési hálózat szükség szerint együttműködik az adatvédelmi hatóságokkal.
A Bizottság rendszeresen tájékoztatja az együttműködési hálózatot a biztonsággal kapcsolatos kutatásról és a Horizont 2020 más releváns programjairól.[Mód. 77]
(3) Az együttműködési hálózaton belül az illetékes hatóságok egyedüli összekötők:
a) a 10. cikknek megfelelően korai előrejelzést tesznek közzé a kockázatokról és a biztonsági eseményekről;
b) a 11. cikkel összhangban gondoskodnak az összehangolt válaszintézkedésről;
c) egy közös honlapon rendszeresen közzéteszik a folyamatban lévő korai előrejelzésekre és az összehangolt válaszintézkedésre vonatkozó nem bizalmas információkat;
d) egy tagállam vagy a Bizottság kérésére közös vitára és értékelésre bocsátják az 5. cikkben említett – az irányelv hatálya alá tartozó – adott nemzeti hálózat- és információbiztonsági stratégiát vagy stratégiákat, illetőleg nemzeti hálózat- és információbiztonsági együttműködési tervet vagy terveket;
e) egy tagállam vagy a Bizottság kérésére közös vitára és értékelésre bocsátják a CERT-ek eredményességét, különösen uniós szintű hálózat- és információbiztonsági gyakorlatok végzése kapcsán;
f) a hálózat- és információbiztonság terén minden releváns kérdésben együttműködnek és információtszakértelmet cserélnek az Europol szervezetén belül működő Számítástechnikai Bűnözés Elleni Európai Központtal, illetve más érintett európai szervekkel, különösen az adatvédelem, az energiaszolgáltatás, a közlekedés, a banki szolgáltatások, a tőzsdei szolgáltatásokpénzpiacok és az egészségügy területén;
fa) adott esetben jelentéstétel útján tájékoztatják az EU terrorizmusellenes koordinátorát, és felkérhetik arra, hogy az együttműködési hálózat előkészítő munkálatait és fellépéseit elemzésekkel segítse;
g) információt cserélnek és megosztják a bevált gyakorlatokat más illetékes hatóságokkal és a Bizottsággal, és segítik egymást a hálózat- és információbiztonsági kapacitásépítésben;
h) rendszeres jelleggel szakértői értékeléseket szerveznek a képességek és a felkészültség témájában;
i) uniós szintű hálózat- és információbiztonsági gyakorlatokat szerveznek, és adott esetben részt vesznek nemzetközi hálózat- és információbiztonsági gyakorlatokon is;
ia) begyűjtik, áttekintik és adott esetben megosztják az információkat a piaci szereplőkkel a hálózati és információs rendszerüket érintő kockázatokkal és eseményekkel kapcsolatban;
ib) az ENISA-val együttműködésben a 14. cikk (2) bekezdésében meghatározott paramétereken túl iránymutatásokat dolgoznak ki a biztonsági események bejelentésére vonatkozó ágazatspecifikus kritériumok tekintetében az Unión belüli közös értelmezés, következetes alkalmazás és összehangolt végrehajtás érdekében. [Mód. 78]
(3a) Az együttműködési hálózat a hálózat tevékenységei, illetve az ezen irányelv 14. cikkének (4) bekezdésével összhangban, az utolsó 12 hónapra vonatkozóan benyújtott összegző jelentés alapján évente jelentést tesz közzé. [Mód. 79]
(4) A Bizottság végrehajtási aktusok útján megállapítja az illetékes hatóságok és egyedüli összekötők, a Bizottság és az ENISA közötti, a (2) és (3) bekezdésben említett együttműködés elősegítésének módozatait. Az ilyen E végrehajtási jogi aktusokat a 19. cikk (2) bekezdése szerinti konzultációs (3) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 80]
9. cikk
Biztonságos információmegosztási rendszer
(1) Az érzékeny és bizalmas adatoknak az együttműködési hálózaton belüli cseréjét biztonságos infrastruktúrán keresztül kell lebonyolítani.
(1a) A biztonságos infrastruktúra résztvevőinek be kell tartania többek között a 95/46/EK irányelv és a 45/2001/EK rendelet szerinti megfelelő titoktartási és biztonsági intézkedéseket. [Mód. 81]
(2) A Bizottság felhatalmazást kap arra, hogy a 18 cikk alapján felhatalmazáson alapuló jogi aktusokat fogadjon el a biztonságos információmegosztási rendszerben való részvételre jogosult tagállamok által az alábbiak tekintetében teljesítendő kritériumok meghatározására vonatkozóan:
a) biztonságos és ellenállóképes, az együttműködési hálózat biztonságos infrastruktúrájával kompatibilis és interoperábilis, a 7. cikk (3) bekezdésével összhangban lévő hírközlési és információs infrastruktúra rendelkezésre állása nemzeti szinten, valamint
b) illetékes hatóságuk és CERT-jük megfelelő műszaki, pénzügyi és emberi erőforrásokkal és eljárásokkal való olyan mértékű ellátottsága, amely lehetővé teszi a biztonságos információmegosztási rendszerben a 6. cikk (3) bekezdése, a 7. cikk (2) bekezdése és a 7. cikk (3) bekezdése alapján történő hatékony, eredményes és biztonságos részvételt. [Mód. 82]
(3) A Bizottság – a 18. cikknek megfelelően végrehajtásifelhatalmazáson alapuló jogi aktusok útján – határozatokat fogad el a tagállamoknak az említett biztonságos infrastruktúrához való hozzáféréséről, a (2) és (3) bekezdésben említett kritériumok alapján. E végrehajtási aktusokat a 19. cikk (3) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni elfogadja az összekapcsolási és biztonsági szabványok közös készletét, amelynek az egyedüli összekötőknek meg kell felelniük, mielőtt érzékeny és bizalmas információkat cserélnének ki az együttműködési hálózaton. [Mód. 83]
10. cikk
Korai előrejelzés
(1) Az illetékes hatóságokegyedüli összekötők és a Bizottság az együttműködési hálózat keretében korai előrejelzést adnak azokról a kockázatokról és biztonsági eseményekről, amelyek a következő feltételeknek legalább az egyikét teljesítik:
a) léptékük gyorsan nő vagy gyors növekedésnek indulhat;
b) meghaladjákaz egyedüli összekötő értékeli, hogy egy kockázat vagy meghaladhatjákbiztonsági esemény potenciálisan meghaladja-e a nemzeti reagálási kapacitást;
c) az egyedüli összekötő vagy a Bizottság értékeli, hogy a kockázat vagy biztonsági esemény több tagállamot érintenek vagy érinthetnek érint-e. [Mód. 84]
(2) A korai előrejelzés keretében az illetékes hatóságokegyedüli összekötők és a Bizottság minden olyan, a birtokukban lévő releváns információt indokolatlan késedelem nélkül rendelkezésre bocsátanak, amely a kockázat, illetve az a biztonsági esemény értékeléséhez hasznos lehet. [Mód. 85]
(3) A Bizottság – egy tagállam megkeresésére vagy saját kezdeményezésére – felkérhet egy tagállamot arra, hogy egy adott kockázatról vagy eseményről minden releváns információt rendelkezésre bocsásson. [Mód. 86]
(4) Amennyiben a korai előrejelzés tárgyát képező kockázat, illetve biztonsági esemény gyaníthatóan bűnügyi természetű, az illetékes hatóságok vagy a Bizottság tájékoztatjaés amennyiben az érintett piaci szereplő a 15. cikk (4) bekezdésében említettek szerint gyaníthatóan súlyos büntetőjogi megítélés alá eső eseményeket jelentett be, a tagállam biztosítja, hogy adott esetben tájékoztassák az Europol Számítástechnikai Bűnözés Elleni Európai Központját. [Mód. 87]
(4a) Az együttműködési hálózat tagjai az (1) bekezdésben említett kockázatokkal és biztonsági eseményekkel kapcsolatosan tudomásukra jutott információkat csak a bejelentést tevő egyedüli összekötő előzetes hozzájárulásának kézhezvételét követően hozzák nyilvánosságra.
Emellett az együttműködési hálózaton belüli információmegosztás előtt a bejelentő egyedüli összekötő tájékoztatja szándékáról azt a piaci szereplőt, amelyre az információ vonatkozik, és amennyiben helyénvalónak tartja, anonimmá teszi a szóban forgó információt. [Mód. 88]
(4b) Amennyiben a korai előrejelzés tárgyát képező kockázat, illetve biztonsági esemény gyaníthatóan súlyos, határokon átnyúló műszaki okokra vezethető vissza, az egyedüli összekötők vagy a Bizottság tájékoztatja az ENISÁ-t. [Mód. 89]
(5) A Bizottság felhatalmazást kap arra, hogy a 18. cikk alapján felhatalmazáson alapuló jogi aktusokat fogadjon el abból a célból, hogy pontosítsa a korai előrejelzést igénylő kockázatoknak és eseményeknek az e cikk (1) bekezdésében meghatározott körét.
11. cikk
Összehangolt válaszintézkedés
(1) A 10. cikk szerinti korai előrejelzés nyomán az illetékes hatóságokegyedüli összekötők – a releváns információ értékelését követően – indokolatlan késedelem nélkül megállapodnak a 12. cikk szerinti uniós hálózat- és információbiztonsági együttműködési tervvel összhangban meghozandó összehangolt válaszintézkedésről. [Mód. 90]
(2) Az összehangolt válaszintézkedés eredményeképpen nemzeti szinten tett különböző intézkedésekről tájékoztatni kell az együttműködési hálózatot.
12. cikk
Uniós hálózat- és információbiztonsági együttműködési terv
(1) A Bizottság felhatalmazást kap arra, hogy – végrehajtási aktusok útján – uniós hálózat- és információbiztonsági együttműködési tervet fogadjon el. E végrehajtási aktusokat a 19. cikk (3) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(2) Az uniós hálózat- és információbiztonsági együttműködési tervben rendelkezni kell a következőkről:
a) a 10. cikk alkalmazása céljából:
– a kockázatokra és biztonsági eseményekre vonatkozó kompatibilis és összevethető információknak az illetékes hatóságokegyedüli összekötők általi összegyűjtésére és megosztására irányadó formátum és eljárások meghatározása, [Mód. 91]
– a kockázatoknak és eseményeknek az együttműködési hálózat által végzett értékelésére irányadó eljárások és kritériumok meghatározása;
b) a 11. cikk szerinti összehangolt válaszintézkedések tekintetében követendő eljárások, a feladat- és hatáskörök kijelölésére és az együttműködési eljárások rögzítésére is kiterjedően;
c) a terv megerősítésére, validálására és tesztelésére szolgáló hálózat- és információbiztonsági gyakorlatok és képzések ütemezése;
d) a kapacitásépítésre és a társaktól való tanulásra vonatkozó ismereteknek a tagállamok közötti átadására szolgáló program;
e) tagállamközi tudatosságnövelő és képzési program.
(3) Az uniós hálózat- és információbiztonsági együttműködési tervet az ezen irányelv hatálybalépésétől számított egy éven belül el kell fogadni, a továbbiakban pedig rendszeresen felül kell vizsgálni. Az egyes felülvizsgálatok eredményeiről jelentést kell tenni az Európai Parlamentnek. [Mód. 92]
(3a) Biztosítani kell az Unió hálózat- és információbiztonsági együttműködési terve és az 5. cikkben előírt nemzeti hálózat- és információbiztonsági stratégiák és együttműködési tervek közötti összhangot. [Mód. 93]
13. cikk
Nemzetközi együttműködés
Azon lehetőség sérelme nélkül, hogy az együttműködési hálózat informális nemzetközi együttműködést folytasson, az Unió nemzetközi megállapodásokat köthet harmadik országokkal vagy nemzetközi szervezetekkel az együttműködési hálózat egyes tevékenységeibe való bevonásuk lehetővé tételéről és megszervezéséről. E megállapodásokban figyelemmel kell lenni arra, hogy az együttműködési hálózaton belül továbbított személyes adatoknak megfelelő védelmet kell biztosítani, és meg kell határozni az ilyen személyes adatok védelmét biztosító ellenőrzési eljárást. Az Európai Parlamentet tájékoztatni kell a megállapodásokkal kapcsolatos tárgyalásokról. A személyes adatoknak az Unión kívüli országokban található címzettekhez való bármely továbbítását a 95/46/EK irányelv 25. és 26. cikkével, valamint a 45/2001/EK rendelet 9. cikkével összhangban kell végezni. [Mód. 94]
13a. cikk
A piaci szereplők kritikussági szintje
A tagállamok meghatározhatják a piaci szereplők kritikussági szintjét, figyelembe véve az ágazatok sajátosságait, az ágazati szolgáltatás megfelelő szintjének fenntartása szempontjából a piaci szereplő fontosságát is magában foglaló paramétereket, a piaci szereplő által ellátott felek számát, valamint azt az időszakot, ameddig a piaci szereplő alapszolgáltatásainak megszakadása negatív hatást gyakorol a nélkülözhetetlen gazdasági és társadalmi tevékenységek fenntartására. [Mód. 95]
IV. FEJEZET
A KÖZIGAZGATÁSI SZERVEK ÉS A PIACI SZEREPLŐK HÁLÓZATAINAK ÉS INFORMÁCIÓS RENDSZEREINEK BIZTONSÁGA
14. cikk
Biztonsági követelmények és eseménybejelentés
(1) (1) A tagállamok biztosítják, hogy a közigazgatási szervek és a piaci szereplők megfelelő és arányos műszaki és szervezési intézkedéseket tegyenek a működésük során általuk ellenőrzött és használt hálózatok és információs rendszerek biztonságát fenyegető kockázatok észlelése és hatékony kezelése érdekében. EzenAz említett intézkedéseknek – tekintettel a tudomány és a technika mindenkori állására – a felmerülő kockázatnak megfelelő biztonsági szintet kell garantálniuk biztosítaniuk. Így különösen intézkedéseket kell tenni, hogy a hálózataikat és az információs rendszereiketrendszereik biztonságát érintő események ne, illetve minél kevésbé legyenek hatással az e hálózatok, illetve rendszerek nyújtotta alapszolgáltatásokra, s ezáltal biztosítva legyen az e hálózatokra és információs rendszerekre támaszkodó szolgáltatások folytonossága. [Mód. 96]
(2) A tagállamok biztosítják, hogy a közigazgatási szervek és a piaci szereplők az illetékes hatóságnak vagy az egyedüli összekötőnek indokolatlan késedelem nélkül bejelentsék az általuk nyújtott alapszolgáltatások biztonságárafolytonosságára jelentős hatást gyakorló eseményeket. A bejelentés a bejelentő félre nem ró többletfelelősséget.
Az esemény által kifejtett hatás jelentőségének meghatározásakor többek között az alábbi paramétereket kell figyelembe venni: [Mód. 97]
a) azon felhasználók száma, akik alapvető szolgáltatását a biztonsági esemény érinti; [Mód. 98]
b) a biztonsági esemény időtartama; [Mód. 99]
c) a biztonsági esemény által érintett terület földrajzi kiterjedése. [Mód. 100]
Ezeknek a paramétereknek a további meghatározása a 8. cikk (3) bekezdésének ib) pontjával összhangban történik. [Mód. 101]
(2a) A piaci szereplőknek az (1) és (2) bekezdésben meghatározott biztonsági eseményeket be kell jelenteniük azon tagállam illetékes hatóságának vagy egyedüli összekötőjének, amelyek alapvető szolgáltatását az esemény érinti. Amennyiben több tagállam alapszolgáltatásai érintettek, a bejelentést fogadó egyedüli összekötő a piaci szereplő által benyújtott információk alapján riasztja a többi érintett egyedüli összekötőt. A piaci szereplő a lehető leghamarabb tájékoztatást kap arról, hogy mely további egyedüli összekötőket értesítettek a biztonsági eseményről, milyen intézkedések történtek és azok milyen eredménnyel jártak, továbbá a biztonsági eseményhez kapcsolódó minden további releváns körülményről. [Mód. 102]
(2b) Amennyiben a bejelentés személyes adatokat tartalmaz, a bejelentés kizárólag az értesített illetékes hatóság vagy egyedüli összekötő azon címzettjeivel osztható meg, amelyeknek az adatokat az adatvédelmi szabályoknak megfelelően feladataik ellátásához fel kell dolgozniuk. A közölt adatok körét a feladataik ellátásához szükséges mértékűre kell szűkíteni. [Mód. 103]
(2c) A II. mellékletben nem említett piaci szereplők a 14. cikk (2) bekezdésében meghatározottak szerinti biztonsági eseményeket önkéntes alapon bejelenthetik. [Mód. 104]
(3) Az (1) és (2) bekezdés minden, az Európai Unióban szolgáltatást nyújtó piaci szereplőre alkalmazandó.
(4) AzAmennyiben az egyedüli összekötő úgy állapítja meg, hogy a nyilvánosság tájékoztatása valamely biztonsági esemény megelőzése vagy egy folyamatban lévő biztonsági esemény kezelése céljából szükséges, vagy amennyiben az esemény által érintett piaci szereplő megtagadta az eseménnyel összefüggő, súlyos strukturális sérülékenység indokolatlan késedelem nélküli kezelését, az értesített illetékes hatósághatósággal és az érintett piaci szereplővel való konzultációt követően tájékoztathatja a nyilvánosságot , vagy a közigazgatási szerveket és a piaci szereplőket a nyilvánosság tájékoztatására kötelezheti, amennyiben úgy véli, hogy az esemény nyilvánosságra hozatala közérdeket szolgál az egyes eseményekről.
A nyilvánosságra hozatal előtt az értesített illetékes hatóság biztosítja, hogy az érintett piaci szereplő lehetőséget kapjon arra, hogy meghallgassák, illetve hogy a nyilvánosságra hozatalra vonatkozó döntés kellő egyensúlyban áll a közérdekkel.
Egyedi biztonsági eseményre vonatkozó információ közzététele esetén az értesített illetékes hatóság vagy az egyedüli összekötő gondoskodik arról, hogy az információ a lehető legnagyobb mértékben anonim legyen.
Az illetékes hatóság vagy az egyedüli összekötő – amennyiben ez ésszerűen lehetséges – ellátja a piaci szereplőt a bejelentett biztonsági esemény eredményes kezelését elősegítő információkkal.
Az illetékes nemzeti hatóságegyedüli összekötő a beérkező bejelentésekről – a bejelentések számát és a biztonsági események e cikk (2) bekezdésében felsorolt paramétereit is beleértve – és az e bekezdésnek megfelelően tett intézkedésekről évente egyszer összefoglaló jelentést terjeszt az együttműködési hálózat elé. [Mód. 105]
(4a) A tagállamok arra ösztönzik a piaci szereplőket, hogy az üzleti tevékenységüket érintő biztonsági eseményeket önkéntes alapon tegyék közzé a pénzügyi jelentéseikben. [Mód. 106]
(5) A Bizottság felhatalmazást kap arra, hogy a 18. cikk alapján felhatalmazáson alapuló jogi aktusokat fogadjon el azon körülmények meghatározására, amelyek fennállása esetén a közigazgatási szervek és a piaci szereplők kötelesek az eseményeket bejelenteni. [Mód. 107]
(6) Az illetékes hatóságok – az (5) bekezdés alapján adott esetben elfogadott, felhatalmazáson alapuló jogi aktusokra is figyelemmel –vagy az egyedüli összekötők iránymutatásokat fogadhatnak el és szükség szerint utasításokat adhatnak ki azon körülményeket illetően, amelyek fennállása esetén a közigazgatási szervek és a piaci szereplők kötelesek aza biztonsági eseményeket bejelenteni. [Mód. 108]
(7) A Bizottság felhatalmazást kap arra, hogy – végrehajtási aktusok útján – meghatározza a (2) bekezdés alkalmazásában követendő formátumokat és eljárásokat. E végrehajtási aktusokat a 19. cikk (3) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(8) Az (1) és a (2) bekezdés nem alkalmazandó a 2003/361/EK bizottsági ajánlás(18) szerinti mikrovállalkozásokra, kivéve akkor, ha a mikrovállalkozás a 3. cikk (8) bekezdésének b) pontjában meghatározott piaci szereplő leányvállalataként működik. [Mód. 109]
(8a) A tagállamok dönthetnek úgy, hogy ezt a cikket és a 15. cikket értelemszerűen alkalmazzák a közigazgatásokra is. [Mód. 110]
15. cikk
Végrehajtás és jogalkalmazás
(1) A tagállamok gondoskodnak arról, hogy az illetékes hatóságok mindenés az egyedüli összekötők rendelkezzenek a szükséges hatáskörrel rendelkezzenek arra hatáskörökkel annak biztosítására, hogy kivizsgáljákpiaci szereplők betartsák a 14. cikk szerinti kötelezettségek közigazgatási szervek vagy piaci szereplők általi megszegésének eseteit kötelezettségeiket, valamint azoknak a hálózatok és információs rendszerek biztonságára gyakorolt hatását. [Mód. 111]
(2) A tagállamok gondoskodnak arról, hogy az illetékes hatóságok a piaci szereplőket és közigazgatási szerveketés az egyedüli összekötők arra kötelezhessék, hogy: [Mód. 112]
a) rendelkezésre bocsássák a hálózataik és információs rendszereik biztonsági szintjének megállapításához szükséges adatokat, beleértve a biztonsági politikájukra vonatkozó dokumentumokat is;
b) alávessék magukatigazolják a biztonsági politikák hatékony végrehajtását, például egy képesített független testület vagy nemzeti hatóság biztonsági ellenőrzésének eredményeit, és annak eredményétigazolást bocsássák az az illetékes hatóság vagy az egyedüli összekötő rendelkezésére bocsássák. [Mód. 113]
Az illetékes hatóságok és az egyedüli összekötők erre vonatkozó kérésükben feltüntetik a kérés célját, és kellő pontossággal meghatározzák a kért információkat. [Mód. 114]
(3) A tagállamok gondoskodnak arról, hogy az illetékes hatóságok és az egyedüli összekötők hatáskörrel rendelkezzenek arra, hogy a piaci szereplőket és közigazgatási szerveketszereplők számára kötelező erővel utasítsák utasításokat adhassanak. [Mód. 115]
(3a) E cikk (2) bekezdésének b) pontjától eltérve a tagállamok dönthetnek úgy, hogy az illetékes hatóságoknak vagy adott esetben az egyedüli összekötőknek eltérő eljárásokat kell alkalmazniuk konkrét piaci szereplők tekintetében, e szereplőknek a 13a. cikkel összhangban meghatározott kritikussági szintje alapján. Abban az esetben, amikor a tagállamok így döntenek:
a) az illetékes hatóságok vagy adott esetben az egyedüli összekötők hatáskörrel rendelkeznek arra, hogy kellően konkrét kérést nyújtsanak be a piaci szereplőnek, megkövetelve tőlük, hogy igazolják a biztonsági szabályzatok tényleges végrehajtását, például adják meg a képesített független ellenőr által elvégzett biztonsági ellenőrzés eredményeit, és az igazolást bocsássák az illetékes hatóság vagy az egyedüli összekötő rendelkezésére;
b) szükség esetén, miután a piaci szereplő benyújtotta az a) pontban említett kérelmet, az illetékes hatóság vagy az egyedüli összekötő további igazolás benyújtását vagy egy képesített független testület vagy nemzeti hatóság által elvégzendő további ellenőrzést követelhet meg.
(3b) A tagállamok dönthetnek úgy, hogy csökkentik egy érintett piaci szereplő tekintetében végzett ellenőrzések számát és intenzitását, ha biztonsági ellenőrzése következetesen a IV. fejezetnek való megfelelést mutatja. [Mód. 116]
(4) Az illetékes hatóságok és az egyedüli összekötők tájékoztatják a piaci szereplőket arról a lehetőségről, hogy a gyaníthatóan súlyos büntetőjogi megítélés alá eső biztonsági eseményeket bejelentikbejelenthetik a bűnüldöző hatóságoknak. [Mód. 117]
(5) AzA vonatkozó adatvédelmi szabályok sérelme nélkül, az illetékes hatóságok és az egyedüli összekötők a személyes adatok megsértésével járó biztonsági események kapcsán szorosan együttműködnek a személyesadat-védelmi hatóságokkal. Az egyedüli összekötők és az adatvédelmi hatóságok az ENISA-val folytatott együttműködés keretében információcsere-mechanizmusokat és egy egységes formanyomtatványt dolgoznak ki, amelyek mind az ezen irányelv 14. cikkének (2) bekezdése szerinti, mind pedig az adatvédelemmel kapcsolatos egyéb uniós jogszabályok szerinti bejelentések esetén használandók. [Mód. 118]
(6) A tagállamok biztosítják, hogy a közigazgatási szerveknek és piaci szereplőknek e fejezet szerinti valamennyi kötelezettsége bírósági felülvizsgálat tárgyát képezhesse. [Mód. 119]
(6a) A tagállamok dönthetnek úgy, hogy a 14. cikket és ezt a cikket értelemszerűen alkalmazzák a közigazgatásokra is. [Mód. 120]
16. cikk
Szabványosítás
(1) A 14. cikk (1) bekezdésének egységes szellemben történő végrehajtása érdekében a tagállamok – egy adott technológia alkalmazásának előírása nélkül – ösztönzik a hálózat- és információbiztonsági szempontból releváns interoperábilis európai és nemzetközi szabványok és/vagy előírások alkalmazására ösztönöznek alkalmazását. [Mód. 121]
(2) A Bizottság – végrehajtási aktusok útján – összeállítjamegbíz egy illetékes európai szabványügyi szervet, hogy a megfelelő érdekelt felekkel egyeztetve állítsa össze az (1) bekezdésben említett szabványok és/vagy előírások jegyzékét. Ezt a jegyzéket közzé kell tenni az Európai Unió Hivatalos Lapjában. [Mód. 122]
V. FEJEZET
ZÁRÓ RENDELKEZÉSEK
17. cikk
Szankciók
(1) A tagállamok meghatározzák az ezen irányelv alapján elfogadott nemzeti rendelkezések megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést e szabályok végrehajtásának biztosítása érdekében. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A tagállamok e rendelkezésekről legkésőbb az irányelv átültetésére előírt határidő végéig, minden későbbi módosításukról pedig haladéktalanul értesítik a Bizottságot.
(1a) A tagállamok biztosítják, hogy az e cikk (1) bekezdésében említett szankciókat csak akkor alkalmazzák, ha a piaci szereplő szándékosan vagy súlyos gondatlanságból elmulasztotta teljesíteni a IV. fejezet szerinti kötelezettségeit. [Mód. 123]
(2) A tagállamok biztosítják, hogy a személyes adatot érintő biztonsági esemény esetére előírt szankciók összhangban legyenek a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletben(19) előírt szankciókkal.
18. cikk
A felhatalmazás gyakorlása
(1) A Bizottság az e cikkben meghatározott feltételekkel felhatalmazást kap felhatalmazáson alapuló jogi aktus elfogadására.
(2) A Bizottság felhatalmazást kap a 9. cikk (3) bekezdésében és a 10. cikk (5) bekezdésében említett, felhatalmazáson alapuló jogi aktusok elfogadására. A Bizottság legkésőbb kilenc hónappal az ötéves időtartam vége előtt jelentést készít a felhatalmazásról. A felhatalmazás hallgatólagosan meghosszabbodik a korábbival megegyező időtartamra, amennyiben az Európai Parlament vagy a Tanács legkésőbb a folyó időszak vége előtt három hónappal nem emel kifogást a meghosszabbítás ellen.
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 9. cikk (3) bekezdésében és a 10. cikk (5) bekezdésében és a 14. cikk (5) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon vagy a határozatban megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét. [Mód. 124]
(4) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.
(5) A 9. cikk (3) bekezdése és a 10. cikk (5) bekezdése és a 14. cikk (5) bekezdése alapján elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha a jogi aktusról szóló értesítéstől számított két hónapos időtartamon belül sem az Európai Parlament, sem a Tanács nem emelt kifogást, vagy akkor, ha az időtartam leteltét megelőzően az Európai Parlament és a Tanács egyaránt arról tájékoztatta a Bizottságot, hogy nem emel kifogást. Ez az időtartam két hónappal meghosszabbodik az Európai Parlament vagy a Tanács kezdeményezésére. [Mód. 125]
19. cikk
Bizottsági eljárás
(1) A Bizottság munkáját egy bizottság (a hálózat- és információbiztonsági bizottság) segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottság.
(2) E bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 4. cikkét kell alkalmazni.
(3) E bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.
20. cikk
Felülvizsgálat
A Bizottság rendszeresen felülvizsgálja ezen irányelv, különösen a II. mellékletben szereplő lista végrehajtását, és jelentést tesz róla az Európai Parlamentnek és a Tanácsnak. Az első jelentést legkésőbb a nemzeti jogba való átültetésre a 21. cikkben előírt határidőtől számított három éven belül be kell nyújtani. A Bizottság felkérheti a tagállamokat, hogy indokolatlan késedelem nélkül bocsássanak rendelkezésre információkat erre a célra. [Mód. 126]
21. cikk
Átültetés a nemzeti jogba
(1) A tagállamok legkésőbb [másfél évvel az elfogadás után]-(jé)ig elfogadják és kihirdetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek. E rendelkezések szövegét haladéktalanul megküldik a Bizottságnak.
Ezeket az intézkedéseket [másfél évvel az elfogadás után]-(jé)től alkalmazzák.
Amikor a tagállamok elfogadják ezeket az intézkedéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.
(2) A tagállamok közlik a Bizottsággal nemzeti joguk azon főbb rendelkezéseinek szövegét, amelyeket az ezen irányelv által szabályozott területen fogadnak el.
22. cikk
Hatálybalépés
Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetését követő [huszadik] napon lép hatályba.
23. cikk
Címzettek
Ennek az irányelvnek a tagállamok a címzettjei.
Kelt ...,
az Európai Parlament részéről a Tanács részéről
az elnök az elnök
I. MELLÉKLET
A hálózatbiztonsági vészhelyzeteket elhárító csoport (CERT)csoportok (CERT-ek) kötelezettségei és feladatai [Mód. 127]
A CERT kötelezettségeit és feladatait a nemzeti szakpolitikának és/vagy szabályozásnak megfelelően és egyértelműen meg kell határoznia és támogatnia kell. E kötelezettségek és feladatok magukban foglalják a következő elemeket:
1. A CERT kötelezettségei
a) A CERTCERT-ek az egyedi hibapontok kiküszöbölése révén biztosítjabiztosítják hírközlési szolgáltatásaiszolgáltatásaik nagyfokú elérhetőségét, továbbá elérhetőségeelérhetőségük és másokkal való kapcsolattartásakapcsolattartásuk céljára folyamatosan több eszközt tarttartanak fenn. Kommunikációs csatornáit egyértelműen meg kell határozni, és azokat felhasználóinak és együttműködési partnereinek jól kell ismerniük. [Mód. 128]
b) A hozzá beérkező és az általa feldolgozott információk bizalmas jellegének, sérthetetlenségének, elérhetőségének és hitelességének biztosítása érdekében a CERT biztonsági intézkedéseket hajt végre és tart fenn.
c) A CERTCERT-ek irodáit és az őket támogató információs rendszereket biztonságos helyszíneken kell elhelyezni, és védett hálózati információs rendszerekkel kell ellátni. [Mód. 129]
d) Szolgáltatási minőségbiztosítási rendszert kell létrehozni a CERT teljesítményének figyelemmel kísérésére és az állandó továbbfejlesztés biztosítására. E rendszernek egyértelműen meghatározott – a hivatalos szolgáltatási szinteket és a kulcsfontosságú teljesítménymutatókat is magukban foglaló – mérőeszközökön kell alapulnia.
e) Az üzletmenet folytonossága:
– a CERT-nek megfelelő rendszerrel kell rendelkeznie a megkeresések kezelésére és továbbítására, az átadás megkönnyítése céljából,
– a CERT-et elegendő személyzettel kell ellátni ahhoz, hogy mindig készenlétben legyen,
– a CERT-nek olyan infrastruktúrára kell támaszkodnia, amelynek folytonossága biztosítva van. Ebből a célból redundáns rendszereket és tartalék munkaterületet kell fenntartani annak érdekében, hogy a CERT a kommunikációs eszközökhöz szünetmentes hozzáférést tudjon biztosítani.
2. A CERT feladatai
a) A CERT feladatai magukban foglalják legalább a következőket:
– biztonsági események észlelése és nyomon követése nemzeti szinten, [Mód. 130]
– a kockázatokkal és eseményekkel kapcsolatos korai előrejelzés, riasztás, bejelentéstétel és információterjesztés a releváns érdekeltek irányában,
– az eseményekkel szembeni válaszintézkedések,
– dinamikus kockázat- és eseményelemzés, valamint helyzetmegfigyelés,
– aktív részvétel a CERT-ek uniós és nemzetközi szintű együttműködési hálózataiban, [Mód. 131]
– az online tevékenységekkel kapcsolatos kockázatokról történő széles körű ismeretterjesztés,
– hálózat- és információbiztonsági kampányok szervezése;
b) A CERT együttműködési kapcsolatokat alakít ki a magánszférával.
c) Az együttműködés megkönnyítése érdekében a CERT közös vagy szabványosított gyakorlatok elfogadását és alkalmazását szorgalmazza az alábbiakra vonatkozóan:
– esemény- és kockázatkezelési eljárások,
– események, kockázatok és információk osztályozására szolgáló rendszerek,
– mérőeszközök rendszertana,
– a kockázatokról és eseményekről történő információcseréhez használatos formátumok, valamint a rendszerek egyezményes megnevezése.
II. MELLÉKLET
A gazdasági szereplők jegyzéke
A 3. cikk (8) bekezdése a) pontjának alkalmazásában:
1. elektronikus kereskedelmi platformok
2. internetes fizetési átjárók
3. közösségi oldalak
4. keresőprogramok
5. számításifelhő-szolgáltatások
6. alkalmazásboltok
A 3. cikk (8) bekezdése b) pontjának alkalmazásában: [Mód. 132]
1. Energia
a) Villamos energia
– villamosenergia- és földgázszolgáltatókszolgáltatók
– villamosenergia- és földgázelosztó rendszerek üzemeltetői,földgáz-elosztórendszerek üzemeltetői és lakossági villamosenergia- és földgázszolgáltatókgázszolgáltatók
– földgázszállítási rendszerüzemeltetők, földgáztároló-üzemeltetők és LNG- létesítményüzemeltetők
– villamosenergia-átviteli rendszerüzemeltetők
b) Olaj
– kőolajvezetékek és kőolajtárolás
– kőolajtermelő, -finomító, illetve -feldolgozó létesítmények, tárolók és vezetékek üzemeltetői
c) Földgáz
– villamosenergia- és földgázpiaci szereplők
– szolgáltatók
– földgáz-elosztórendszerek üzemeltetői és lakossági gázszolgáltatók
– földgázszállítási rendszer-üzemeltetők, földgáztárolórendszer-üzemeltetők és cseppfolyósítottföldgázrendszer-üzemeltetők
– kőolaj- és földgáztermelő, -finomító, illetve -feldolgozó létesítmények, tárolók és vezetékek üzemeltetői
– földgázpiaci szereplők [Mód. 133]
2. Közlekedés
– légi fuvarozók (légi árufuvarozás és személyszállítás)
– tengeri szállítók (tengeri és part menti vízi személyszállítással, illetve tengeri és part menti vízi árufuvarozással foglalkozó vállalkozások)
– vasutak (pályahálózat-üzemeltetők, integrált vállalatok és vasúti közlekedési szolgáltatók)
– repülőterek
– kikötők
– forgalomirányítási üzemeltetők
– járulékos logisztikai szolgáltatások: a) raktározás és tárolás, b) rakománykezelés és c) egyéb szállítástámogató tevékenység)
a) Közúti közlekedés
i. forgalomirányítási üzemeltetők
ii. járulékos logisztikai szolgáltatások:
– raktározás és tárolás,
– rakománykezelés, és
– egyéb szállítástámogató tevékenységek
b) Vasúti közlekedés
i. vasutak (pályahálózat-üzemeltetők, integrált vállalatok és vasúti közlekedési szolgáltatók)
ii. forgalomirányítási üzemeltetők
iii. Járulékos logisztikai szolgáltatások:
– raktározás és tárolás,
– rakománykezelés, és
– egyéb szállítástámogató tevékenységek
c) Légi közlekedés
i. légi fuvarozók (légi árufuvarozás és személyszállítás)
ii. repülőterek
iii. forgalomirányítási üzemeltetők
iv. járulékos logisztikai szolgáltatások:
– raktározás,
– rakománykezelés, és
– egyéb szállítástámogató tevékenységek
d) Tengeri szállítás
i. tengeri szállítók (belvízi, tengeri és part menti vízi személyszállítással, illetve belvízi, tengeri és part menti vízi árufuvarozással foglalkozó vállalkozások) [Mód. 134]
3. Banki szolgáltatások: a 2006/48/EK európai parlamenti és tanácsi irányelv(20) 4. cikkének 1. pontja szerinti hitelintézetek
4. Pénzügyi piaci infrastruktúra: tőzsdékszabályozott piacok, multilaterális kereskedési rendszerek, szervezett kereskedési rendszerek és központi partner elszámolóházak [Mód. 135]
5. Egészségügy: egészségügyi ellátó létesítmények (beleértve a kórházakat és a magánklinikákat is), valamint minden egyéb, az egészségügyi ellátásban részt vevő létesítmény
Az Európai Parlament és a Tanács 2002/21/EK irányelve (2002. március 7.) az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról (keretirányelv) (HL L 108., 2002.4.24., 33. o.).
Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).
Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).
Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).
Az Európai Parlament és a Tanács 98/34/EK irányelve (1998. június 22.) a műszaki szabványok és szabályok terén történő információszolgáltatási eljárás megállapításáról (HL L 204., 1998.7.21., 37. o.).
Az Európai Parlament és a Tanács 1025/2012/EU rendelete (2012. október 25.) az európai szabványosításról, a 89/686/EGK és a 93/15/EGK tanácsi irányelv, a 94/9/EK, a 94/25/EK, a 95/16/EK, a 97/23/EK, a 98/34/EK, a 2004/22/EK, a 2007/23/EK, a 2009/23/EK és a 2009/105/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 87/95/EGK tanácsi határozat és az 1673/2006/EK európai parlamenti és tanácsi határozat hatályon kívül helyezéséről (HL L 316., 2012.11.14., 12. o.).
Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).
Az Európai Parlament és a Tanács 1049/2001/EK rendelete (2001. május 30.) az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről (HL L 145., 2001.5.31., 43. o.).
A Tanács 2008/114/EK határozata (2008. december 8.) az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről (HL L 345., 2008.12.23., 75. o.).
A Bizottság 611/2013/EU rendelete (2013. június 24.) a 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről (HL L 173., 2013.6.26., 2. o.).
Az Európai Parlament és a Tanács 2006/48/EK irányelve (2006. június 14.) a hitelintézetek tevékenységének megkezdéséről és folytatásáról (HL L 177., 2006.6.30., 1. o.).