Rezoluţia legislativă a Parlamentului European din 13 martie 2014 referitoare la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD))
(Procedura legislativă ordinară: prima lectură)
Parlamentul European,
– având în vedere propunerea Comisiei înaintată Parlamentului și Consiliului (COM(2013)0048),
– având în vedere articolul 294 alineatul (2) și articolul 114 din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7‑0035/2013),
– având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,
– având în vedere avizul motivat, prezentat de către Parlamentul Suediei în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,
– având în vedere avizul Comitetului Economic și Social European din 22 mai 2013(1),
– având în vedere rezoluția sa din 12 septembrie 2013 referitoare la o strategie în materie de securitate cibernetică a Uniunii Europene: Un spațiu cibernetic deschis, protejat și sigur(2),
– având în vedere articolul 55 din Regulamentul său de procedură,
– având în vedere raportul Comisiei pentru piața internă și protecția consumatorilor și avizele Comisiei pentru industrie, cercetare și energie, al Comisiei pentru libertăți civile, justiție și afaceri interne și al Comisiei pentru afaceri externe (A7-0103/2014),
1. adoptă poziția în primă lectură prezentată în continuare;
2. solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;
3. încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.
Poziția Parlamentului European adoptată în primă lectură la 13 martie 2014 în vederea adoptării Directivei 2014/…/UE a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 114,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naționale,
având în vedere avizul Comitetului Economic și Social European(1),
hotărând în conformitate cu procedura legislativă ordinară(2),
întrucât:
(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru libertatea și securitatea generală ale cetățenilor Uniunii, precum și pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne. [AM 1]
(2) Amploarea, frecvența și impactul incidentelor de securitate provocate deliberat sau întâmplătoare este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Aceste sisteme pot să devină, de asemenea, o țintă ușoară pentru acțiunile dăunătoare deliberate menite să afecteze sau să întrerupă funcționarea sistemelor. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și a investitorilor și să provoace pagube majore economiei Uniunii, și, în cele din urmă, să pericliteze bunăstarea cetățenilor Uniunii și capacitatea statelor membre de a se proteja și de a garanta securitatea infrastructurilor critice. [AM 2]
(3) Ca instrumente de comunicare fără frontiere, sistemele de informare digitale și, în principal, internetul au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor și persoanelor. Din cauza naturii lor transnaționale, o perturbare majoră a acestor sisteme survenită într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. Prin urmare, reziliența și stabilitatea rețelelor și a sistemelor informatice este esențială pentru buna funcționare a pieței interne.
(3a) Întrucât cauzele cele mai frecvente ale defectării sistemelor continuă să fie neintenționate, de exemplu, cauze naturale sau erori umane, infrastructura ar trebui să fie rezistentă atât în fața perturbărilor intenționate, cât și a celor neintenționate, iar operatorii infrastructurilor critice ar trebui să proiecteze sisteme axate pe rezistență. [AM 3]
(4) TrebuieAr trebui stabilit un mecanism de cooperare la nivelul Uniunii, care să permită schimbul de informații, precum și prevenirea, detectarea și răspunsul coordonate în ceea ce privește securitatea rețelelor și a informației (network and information security – NIS). Pentru ca acest mecanism să fie eficace și să includă toate statele membre, este esențial ca acestea să dispună de capacitățile minime necesare și de o strategie care să asigure un nivel ridicat de NIS pe teritoriul lor. Administrațiile publice și operatorii infrastructurilor criticeCel puțin anumiți operatori de pe piață de informație trebuiear trebui să fie supuși, de asemenea, unor cerințe minime de securitate, pentru a promova o cultură a gestionării riscurilor și a asigura raportarea celor mai grave incidente. Societățile cotate la bursă ar trebui să fie încurajate să anunțe incidentele în rapoartele lor financiare, în mod voluntar. Cadrul juridic ar trebui să se întemeieze pe nevoia de a garanta viața privată și integritatea cetățenilor. Rețeaua de alertă privind infrastructurile critice (CIWIN) ar trebui extinsă la operatorii de pe piață care intră sub incidența prezentei directive. [AM 4]
(4a) Administrațiile publice, dată fiind vocația lor publică, ar trebui să exercite toată diligența în gestionarea și protejarea propriilor rețele și sisteme de informații, iar prezenta directivă ar trebui să se concentreze asupra infrastructurii critice esențială pentru menținerea activităților economice și sociale vitale, în domeniul energetic, al transporturilor, bancar, al piețelor financiare și al sănătății. Dezvoltatorii de programe informatice și producătorii de echipamente informatice nu ar trebui excluși din domeniul de aplicare a prezentei directive. [AM 5]
(4b) Cooperarea și coordonarea dintre autoritățile competente ale Uniunii și Înaltul Reprezentant/Vicepreședintele, cu responsabilitate pentru politica externă și de securitate comună și politica de securitate și apărare comună, precum și cu coordonatorul UE în materie de combatere a terorismului ar trebui să fie garantate în cazurile în care incidentele care au un impact semnificativ sunt percepute ca fiind de natură externă și teroristă. [AM 6]
(5) Pentru a putea acoperi toate incidentele și riscurile relevante, prezenta directivă trebuie să se aplice tuturor rețelelor și sistemelor informatice. Obligațiile impuse administrațiilor publice și operatorilor de piață nu trebuie să se aplice însă întreprinderilor care furnizează rețele de comunicații publice sau servicii de comunicații electronice accesibile publicului în sensul Directivei 2002/21/CE a Parlamentului European și a Consiliului(3), care sunt supuse cerințelor specifice de securitate și integritate stabilite la articolul 13a din directiva respectivă, și nici furnizorilor de servicii de asigurare a încrederii.
(6) Capacitățile existente nu sunt suficiente pentru a asigura un nivel ridicat de securitate a rețelelor și a informației în Uniune. Statele membre au niveluri de pregătire foarte diferite care conduc la existența în Uniune a unor abordări fragmentate. Acest lucru determină un nivel inegal de protecție a consumatorilor și a întreprinderilor și subminează nivelul general de securitate a rețelelor și a informației în Uniune. La rândul său, lipsa unor cerințe minime comune pentru administrațiile publice și operatorii de piață face imposibilă instituirea unui mecanism global eficace de cooperare la nivelul Uniunii. Universitățile și centrele de cercetare au un rol decisiv în stimularea cercetării, dezvoltării și inovării în aceste domenii și ar trebui să beneficieze de o finanțare adecvată.[AM 7]
(7) Prin urmare, pentru a răspunde cu eficacitate la provocările din domeniul securității rețelelor și a sistemelor informatice este necesară o abordare globală la nivelul Uniunii, care să includă crearea capacităților comune minime și cerințele de planificare, dezvoltarea unor competențe suficiente în materie de securitate cibernetică, schimbul de informații și coordonarea acțiunilor, precum și cerințele minime comune de securitate pentru toți operatorii de piață în cauză și pentru administrațiile publice. Ar trebui aplicate standarde comune minime în conformitate cu recomandările corespunzătoare ale grupurilor de coordonare a securității cibernetice (CSGC). [AM 8]
(8) Dispozițiile prezentei directive nu trebuie să aducă atingere posibilității de care dispune fiecare stat membru de a lua măsurile necesare pentru a asigura protecția intereselor sale de securitate esențiale, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor. În conformitate cu articolul 346 din Tratatul privind funcționarea Uniunii Europene (TFUE), niciun stat membru nu are obligația de a furniza informații a căror divulgare o consideră contrară intereselor esențiale ale siguranței sale. Niciun stat membru nu este obligat să divulge informații clasificate ale UE, astfel cum sunt definite în Decizia Consiliului 2011/292/UE(4), informații care fac obiectul unor acorduri de nedivulgare sau al unor acorduri de nedivulgare informale, cum ar fi Traffic Light Protocol. [AM 9]
(9) Pentru a atinge și menține un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice, fiecare stat membru trebuie să aibă o strategie națională de securitate a rețelelor și a informației, care să definească obiectivele strategice și acțiunile concrete de politică ce trebuie puse în aplicare. Pentru a atinge niveluri ale capacității de răspuns care să permită o cooperare eficace și eficientă la nivel național și al Uniunii în caz de incidente, trebuie elaborate la nivel național planuri de cooperare în domeniul securității rețelelor și informației, care să respecte cerințele esențiale, asigurând respectarea și protecția vieții private și a datelor cu caracter personal,pe baza cerințelor minime prevăzute în prezenta directivă. Prin urmare, fiecare stat membru ar trebui să aibă obligația de a îndeplini standarde comune privind formatul și caracterul interschimbabil al datelor care urmează să fie partajate și evaluate. Statele membre ar trebui să poată solicita asistență din partea Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) pentru elaborarea strategiilor lor în domeniul securității rețelelor și informației, pe baza unui proiect de strategie minimă comună în domeniul securității rețelelor și a informației. [AM 10]
(10) Pentru a asigura aplicarea eficace a dispozițiilor adoptate în temeiul prezentei directive, trebuie înființat sau identificat în fiecare stat membru un organism responsabil cu coordonarea problemelor de securitate a rețelelor și a informației, care să constituie punctul focal al cooperării transfrontaliere la nivelul Uniunii. Aceste organisme trebuie să dispună de resurse tehnice, financiare și umane adecvate, pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive.
(10a) Având în vedere diferențele dintre structurile naționale de guvernanță și pentru a menține mecanismele sectoriale deja existente sau organismele de supraveghere și de reglementare ale Uniunii și a evita suprapunerile, statele membre ar trebui să dispună de competența de a desemna mai multe autorități naționale competente responsabile cu îndeplinirea atribuțiilor legate de securitatea rețelelor și a sistemelor informatice ale operatorilor de piață vizați de prezenta directivă. Cu toate acestea, pentru a asigura o bună cooperare și comunicare transfrontalieră, este necesar ca fiecare stat membru să desemneze un singur punct unic de contact responsabil pentru cooperarea transfrontalieră la nivelul Uniunii, fără a aduce atingere mecanismelor de reglementare sectoriale. În cazul în care structura sa constituțională sau alte prevederi o impun, un stat membru ar trebui să fie în măsură să desemneze o singură autoritate care să îndeplinească atribuțiile autorității competente și ale punctului unic de contact. Autoritățile competente și punctele unice de contact ar trebui să fie organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor, al aplicării legii sau al apărării și nici să fie legate organizațional în vreun fel de organismele active în aceste domenii. [AM 11]
(11) Toate statele membre trebuieși operatorii de piațăar trebui să fie echipați în mod adecvat, din punctul de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse în orice moment rețelele și sistemele informatice. Sistemele de securitate ale administrațiilor publice ar trebui să fie sigure și să fie supuse unui control și unei examinări democratice. Echipamentele și capacitățile necesare în mod normal ar trebui să respecte standardele tehnice convenite de comun acord, precum și procedurile standard de operare (PSO). Prin urmare, în toate statele membre ar trebui înființate echipe de intervenție în caz de urgență informatică (CERT) funcționale și care să respecte cerințele esențiale, pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. Aceste CERT ar trebui să aibă capacitatea de a interacționa pe baza unor standarde tehnice comune și a unor proceduri standard de operare (PSO). Având în vedere caracteristicile diferite ale CERT existente, care corespund unor nevoi tematice diferite și unor actori diferiți, statele membre ar trebui să garanteze că fiecare dintre sectoarele menționate în lista cu operatorii de piață prevăzută de prezenta directivă beneficiază de servicii din partea cel puțin unei CERT. În ceea ce privește cooperarea transfrontalieră dintre CERT, statele membre ar trebui să garanteze faptul că CERT dispun de mijloace suficiente pentru a participa la rețelele de cooperare de la nivelul Uniunii și cel internațional deja existente. [AM 12]
(12) Pe baza progreselor semnificative obținute în cadrul Forumului european al statelor membre (FESM) în încurajarea dezbaterilor și a schimburilor de bune practici, inclusiv a elaborării principiilor de cooperare în caz de criză informatică europeană, statele membre și Comisia trebuie să formeze o rețea prin intermediul căreia să comunice permanent și care să susțină cooperarea lor. Acest mecanism de cooperare sigur și eficace trebuie, incluzând participarea operatorilor de piață, atunci când este cazul, ar trebui să permită schimbul de informații, detectarea și răspunsul structurate și coordonate la nivelul Uniunii. [AM 13]
(13) Este necesar ca Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) să asiste statele membre și Comisia, oferind experiența sa, asigurând consiliere și facilitând schimbul de bune practici. În special la aplicarea prezentei directive, Comisia trebuieși statele membre ar trebui să consulte ENISA. Pentru a asigura o informare eficace și în timp util a statelor membre și a Comisiei, în rețeaua de cooperare trebuie să poată fi transmise alerte rapide cu privire la incidente și riscuri. În vederea dezvoltării capacităților și a cunoștințelor statelor membre, rețeaua de cooperare trebuie să funcționeze, de asemenea, ca un instrument pentru schimbul de bune practici, asistând membrii săi la crearea capacităților și coordonând organizarea evaluărilor inter pares și a exercițiilor de NIS. [AM 14]
(13a) Dacă se consideră indicat, statele membre ar trebui să poată utiliza sau adapta structurile organizatorice sau strategiile existente atunci când aplică dispozițiile prezentei directive. [AM 15]
(14) Trebuie creată o infrastructură de schimb de informații securizată, care să permită schimbul de informații sensibile și confidențiale în rețeaua de cooperare. Structurile existente în cadrul Uniunii ar trebui utilizate pe deplin în acest scop. Fără a aduce atingere obligației de a notifica rețelei de cooperare incidentele și riscurile care ating o dimensiune europeană, accesul la informațiile confidențiale provenind de la alte state membre trebuiear trebui acordat numai statelor membre care demonstrează că procedurile și resursele lor tehnice, financiare și umane, precum și infrastructura lor de comunicații le garantează o participare în rețea eficace, eficientă și sigură, prin utilizarea unor metode transparente. [AM 16]
(15) Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. Operatorii de piață trebuie încurajați să-și creeze propriile mecanisme de cooperare informală pentru asigurarea securității rețelelor și a informației. Aceștia ar trebui, de asemenea, să coopereze cu sectorul public și să facă schimb reciproc de informații și de bune practici, caracterul reciproc aplicându-se inclusiv schimbuluide informații relevante, de sprijin operațional și de informații analizate din punct de vedere strategic, în caz de incidentincidente. Pentru a încuraja în mod eficace schimbul de informații și de bune practici, este esențial să se asigure că operatorii de piață care participă la astfel de schimburi nu sunt dezavantajați ca urmare a cooperării lor. Sunt necesare garanții adecvate pentru a se asigura că o astfel de cooperare nu va expune operatorii în cauză la un risc de conformitate mai mare sau la noi obligații în temeiul legislației privind concurența, proprietatea intelectuală, protecția datelor sau criminalitatea informatică, printre altele, nici nu îi va expune la riscuri operaționale sau de securitate mai mari. [AM 17]
(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, autoritățile competente trebuie Uniune, punctele unice de contact ar trebui să creeze un site webinternet comun, la nivelul Uniunii, pe care să publice informații neconfidențiale despre incidente, riscuri și modalități de atenuare a acestora și unde să ofere, atunci când este necesar, consiliere cu privire la măsurile adecvate de întreținere. Informațiile de pe site-ul internet ar trebui să fie accesibile indiferent de dispozitivul utilizat. Toate datele cu caracter personal publicate pe acest site internet ar trebui să se limiteze doar la ceea ce este necesar și să fie cât mai anonime posibil. [AM 18]
(17) Dacă informațiile sunt considerate confidențiale în conformitate cu normele Uniunii și cele naționale privind secretul comercial, această confidențialitate trebuie asigurată atunci când se efectuează activitățile și se îndeplinesc obiectivele stabilite de prezenta directivă.
(18) În special pe baza experiențelor naționale în materie de gestionare a crizelor și în cooperare cu ENISA, Comisia și statele membre elaborează un plan al Uniunii de cooperare în domeniul securității rețelelor și a informației, care definește mecanismele de cooperare, bunele practici și modelele de funcționare pentru prevenirea, depistarea, raportarea și contracararea riscurilor și a incidentelor. La administrarea avertismentelor rapide în cadrul rețelei de cooperare, trebuie să se țină seama în mod corespunzător de acest plan. [AM 19]
(19) Transmiterea în rețea a unei alerte rapide trebuie impusă numai dacă amploarea și gravitatea incidentului sau a riscului în cauză ating sau pot atinge un nivel la care este necesară o informare sau o coordonare a răspunsului la nivelul Uniunii. Prin urmare, alertele rapide trebuie să se limiteze la incidentele sau la riscurile reale sau potențiale care se extind rapid, depășesc capacitatea națională de răspuns sau afectează mai multe state membre. Pentru a permite o evaluare corectă, toate informațiile relevante pentru evaluarea riscului sau a incidentului trebuie comunicate rețelei de cooperare. [AM 20]
(20) După primirea și evaluarea unei alerte rapide, autoritățile competente trebuiepunctele unice de contact ar trebui să convină asupra unui răspuns coordonat, în conformitate cu planul Uniunii de cooperare în domeniul securității rețelelor și a informației. Autoritățile competentePunctele unice de contact, ENISA și Comisia trebuiear trebui informate cu privire la măsurile adoptate la nivel național ca urmare a răspunsului coordonat. [AM 21]
(21) Având în vedere dimensiunea mondială a problemelor de securitate a rețelelor și a informației, este nevoie de o cooperare internațională mai strânsă pentru a îmbunătăți standardele de securitate și schimbul de informații și pentru a promova o abordare internațională comună a acestor probleme. Orice cadru pentru o astfel de cooperare internațională ar trebui să facă obiectul Directivei 95/46/CE a Parlamentului European și a Consiliului(5) și ale Regulamentului (CE) nr. 45/2001 al Parlamentului European și al Consiliului(6). [AM 22]
(22) Responsabilitatea asigurării securității rețelelor și a informației revine în mare măsură operatorilor de piață. TrebuieAr trebui promovată și dezvoltată prin intermediul unor cerințe adecvate de reglementare și al practicilor voluntare din sector o cultură a gestionării riscurilor, a cooperării strânse și a încrederii, care să implice evaluarea riscurilor și aplicarea unor măsuri de securitate adecvate riscurilor întâmpinate și incidentelor, provocate în mod deliberat sau întâmplător. Pentru ca rețeaua de cooperare să funcționeze în mod eficace, este esențială, de asemenea, stabilirea unor condiții uniforme și de încredere care să asigure o cooperare eficace între toate statele membre. [AM 23]
(23) În conformitate cu Directiva 2002/21/CE, întreprinderile furnizoare de rețele de comunicații publice sau de servicii de comunicații electronice accesibile publicului trebuie să ia măsurile adecvate pentru a garanta integritatea și securitatea acestora și trebuie să introducă cerințe de notificare a încălcării securității și a pierderii integrității. În conformitate cu Directiva 2002/58/CE a Parlamentului European și a Consiliului(7), furnizorul unor servicii de comunicații electronice accesibile publicului trebuie să ia măsurile tehnice și organizatorice adecvate pentru a garanta securitatea acestora.
(24) Aceste obligații trebuiear trebuiextinse dincolo de sectorul comunicațiilor electronice laoperatorii de infrastructură ce utilizează intens tehnologia informației și comunicațiilor și sunt esențiali pentru funcționarea sectoarelor vitale ale economiei sau societății, cum ar fi energia electrică și gazele naturale, transporturile, instituțiile de credit, infrastructurile piețelor financiare și sănătatea. Perturbarea acestor rețele și sisteme informatice ar afecta piața internă. Deși obligațiile prevăzute în prezenta directivă nu ar trebui extinse dincolo de sectorul comunicațiilor electronice la principalii furnizori de servicii ale societății informaționale, definite în Directiva 98/34/CE a Parlamentului European și a Consiliului(8), pe care se bazează serviciile din aval ale societății informaționale sau activitățile online, cum ar fi platformele de comerț electronic, serviciile de procesare a plăților online, rețelele de socializare, motoarele de căutare, serviciile de cloud computing în general sau vânzarea de aplicații, aceștia ar putea informa în mod voluntar autoritățile competente sau punctele unice de contact cu privire la incidentele legate de securitatea rețelelor despre care consideră că este necesar să fie comunicate. Autoritatea competentă sau punctul unic de contact ar trebui să prezinte, dacă acest lucru este posibil, operatorilor de piață care au comunicat incidentul informații analizate din punct de vedere strategic care vor contribui la eliminarea amenințării la adresa securității. Perturbarea acestor servicii suport ale societății informaționale împiedică furnizarea altor servicii ale societății informaționale care se bazează pe primele ca elemente‑cheie. Dezvoltatorii de programe informatice și producătorii de echipamente informatice nu sunt furnizori de servicii ale societății informaționale și, prin urmare, se exclud. Aceste obligații trebuie extinse, de asemenea, la administrațiile publice și la operatorii de infrastructură critică, ce utilizează intens tehnologia informației și comunicațiilor și sunt esențiali pentru funcționarea sectoarelor vitale ale economiei sau societății, cum ar fi energia electrică și gazele naturale, transporturile, instituțiile de credit, bursele și sănătatea. Perturbarea acestor rețele și sisteme informatice ar afecta piața internă. [AM 24]
(24a) Deși furnizorii de echipamente și programe informatice nu sunt operatori de piață comparabili cu cei care intră sub incidența prezentei directive, produsele lor facilitează securitatea rețelelor și a sistemelor informatice. Prin urmare, aceștia au un rol important în a le permite operatorilor de piață să asigure securitatea rețelelor și a sistemelor lor informatice. Dat fiind faptul că produsele din domeniul echipamentelor și programelor informatice fac deja obiectul normelor existente în materie de răspundere pentru produsele cu defect, statele membre ar trebui să garanteze aplicarea normelor respective. [AM 25]
(25) Măsurile tehnice și organizatorice impuse administrațiilor publice și operatorilor de piață nu trebuie să implice proiectarea, dezvoltarea sau fabricarea într-un anumit mod a unui anumit produs comercial al tehnologiei informației și comunicațiilor. [AM 26]
(26) Administrațiile publice și Operatorii de piață trebuie să asigure securitatea rețelelor și a sistemelor aflate sub controlul lor. Acestea sunt în principal rețele și sisteme private, gestionarea securității lor fiind fie efectuată de către personalul IT intern, fie externalizată. Obligațiile în materie de securitate și notificare trebuie să se aplice operatorilor de piață relevanți și administrațiilor publice, indiferent dacă aceștia asigură ei înșiși întreținerea propriilor rețele și sisteme informatice sau externalizează această activitate. [AM 27]
(27) Pentru a evita impunerea unei sarcini financiare și administrative disproporționate asupra micilor operatori și a utilizatorilor, cerințele trebuie să fie proporționale cu riscurile la care este expusă rețeaua sau sistemul informatic în cauză, ținând seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri. Aceste cerințe nu trebuie să se aplice microîntreprinderilor.
(28) Autoritățile competente trebuieși punctele unice de contactar trebui să acorde atenția cuvenită menținerii unor canale informale și sigure pentru schimbul de informații dintre operatorii de pe piață și dintre sectorul public și cel privat. Autoritățile competente și punctele unice de contact ar trebui să informeze producătorii și furnizorii de servicii ale căror produse și servicii TIC sunt afectate cu privire la incidentele care au un impact semnificativ și care le-au fost notificate. Anunțarea publică a incidentelor raportate autorităților competente trebuieși punctelor unice de contactar trebui să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau în domeniul reputației pe care le pot suferi administrațiile publice și operatorii de piață care raportează incidentele. Atunci când sunt puse în aplicare obligațiile de notificare, autoritățile competente trebuieși punctele unice de contactar trebui să acorde o atenție deosebită necesității de a păstra stricta confidențialitate a informațiilor despre vulnerabilitățile unui produs, înainte de aparițiaaplicarea unor soluții de securitate adecvate. Ca principiu general, punctele unice de contact nu ar trebui să comunice datele cu caracter personal ale persoanelor implicate în incidente. Punctele unice de contact ar trebui să comunice astfel de date doar în cazurile imperioase și proporțional cu obiectivul urmărit. [AM 28]
(29) Autoritățile competente trebuie să dispună de mijloacele necesare pentru a-și îndeplini sarcinile, inclusiv de împuternicirea de a solicita operatorilor de piață și administrațiilor publice suficiente informații pentru a putea evalua nivelul de securitate al rețelelor și al sistemelor informatice, pentru a putea măsura numărul, scara și sfera incidentelor, precum și date credibile și cuprinzătoare privind incidentele reale care au avut impact asupra funcționării rețelelor și a sistemelor informatice. [AM 29]
(30) În multe cazuri, incidentele sunt rezultatul activităților infracționale. Caracterul penal al incidentelor poate fi presupus, chiar dacă dovezile care îl atestă nu sunt suficient de clare de la început. În acest context, cooperarea adecvată dintre autoritățile competente, punctele unice de contact și autoritățile de aplicare a legii trebuie, precum și cooperarea cu EC3 (Centrul Europol de combatere a criminalității informatice) și cu ENISA ar trebui să facă parte din răspunsul global eficace dat amenințării pe care o reprezintă incidentele de securitate. Pentru promovarea unui mediu sigur, securizat și mai rezilient este nevoie, în special, de raportarea în mod sistematic către autoritățile de aplicare a legii a incidentelor cu presupus caracter penal grav. Caracterul penal grav al incidentelor trebuie evaluat în lumina legislației Uniunii privind criminalitatea informatică. [AM 30]
(31) În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. Statele membre și operatorii de piață ar trebui să asigure protecția datelor cu caracter personal stocate, prelucrate sau transmise împotriva distrugerii accidentale sau ilegale, a pierderii sau modificării accidentale și a stocării, accesării, divulgării sau diseminării neautorizate sau ilegale; și asigură punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal. În acest context, autoritățile competente, punctele unice de contact și autoritățile de protecție a datelor trebuiear trebui să coopereze și să facă schimb de informații cu privire la toate aspectele relevante , inclusiv, atunci când este cazul, cu operatorii de piață pentru abordarea cazurilor de încălcare a securității datelor cu caracter personal în urma unor incidente, în conformitate cu normele aplicabile privind protecția datelor. Statele membre trebuie să pună în aplicare Obligația de a notifica incidentele de securitate ar trebui îndeplinită într-un mod care reduce la minimum sarcina administrativă în cazurile în care incidentul de securitate este și o încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date(9). Colaborând cu autoritățile competente și cu autoritățile de protecție a datelor, ce trebuie notificată în conformitate cu legislațiaUniunii privind protecția datelor. ENISA poate contribui la ar trebui să contribuie prin elaborarea unor mecanisme și formulare de schimb de informații, care să evite necesitatea de a utiliza două formulare de notificare. Formularulși a unui formular unic de notificare faciliteazăcare să faciliteze raportarea incidentelor care compromit datele cu caracter personal, reducând astfel sarcina administrativă impusă întreprinderilor și administrațiilor publice. [AM 31]
(32) Standardizarea cerințelor de securitate este un proces impulsionat de piață, de natură voluntară, care ar trebui să permită participanților pe piață să recurgă la mijloace alternative pentru a obține rezultate cel puțin similare. Pentru a asigura o aplicare convergentă a standardelor de securitate, statele membre trebuiear trebui să încurajeze respectarea standardelor indicate cu caracter interoperabil sau conformitatea cu acestea, în vederea garantării unui nivel ridicat de securitate la nivelul Uniunii. În acest scop, este necesar să se ia în considerare aplicarea unor standarde internaționale deschise privind securitatea rețelelor și a informațiilor sau proiectarea unor astfel de instrumente. Un alt pas înainte necesar ar putea fi necesară elaborarea unor standarde armonizate în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului(10). În special, ETSI, CEN și CENELEC ar trebui să fie abilitate să sugereze standarde de securitate deschise ale Uniunii eficace și eficiente, în care să fie evitate pe cât posibil preferințele tehnologice și care ar trebui să fie concepute astfel încât să fie ușor de gestionat de către participanții mici și mijlocii de pe piață. Standardele internaționale din domeniul securității cibernetice ar trebui verificate cu atenție pentru a se asigura că nu au fost compromise și că oferă niveluri adecvate de securitate, garantându-se astfel că obiectivul propus vizând respectarea standardelor de securitate sporește nivelul general de securitate cibernetică al Uniunii și nu acționează în mod contrar. [AM 32]
(33) Comisia trebuiear trebui să revizuiască periodic prezenta directivă, consultându-se cu toate părțile interesate, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției tehnologiei sau a condițiilor sociale, politice, tehnologice sau de piață. [AM 33]
(34) Pentru a permite buna funcționare a rețelei de cooperare, Comisiei trebuiear trebui să i se delege competența de a adopta acte în conformitate cu articolul 290 din TFUE referitoare la definirea criteriilor pe care trebuie să le îndeplinească un stat membru pentru a fi autorizat să participe la sistemul securizatsetul comun de standarde în materie de securitate și de interconectare pentru infrastructura securizată de schimb de informații, specificarea mai detaliată a evenimentelor care declanșează alerta rapidă și definirea circumstanțelor în care operatorii de piață și administrațiile publice au obligația de a notifica incidentele. [AM 34]
(35) Este deosebit de important ca, în cursul activităților sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și redactează acte delegate, Comisia trebuie să asigure transmiterea simultană, în timp util și în mod adecvat a documentelor relevante către Parlamentul European și Consiliu.
(36) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentei directive, Comisiei trebuiear trebui să i se confere competențe de executare în ceea ce privește cooperarea dintre autoritățile competentepunctele unice de contact și Comisie în cadrul rețelei de cooperare, accesul la infrastructura securizată de schimb de informații,fără a aduce atingere mecanismelor de cooperare existente la nivel național, planul Uniunii de cooperare în domeniul securității rețelelor și a informației, formularele și procedurile aplicabile pentru informarea publicului cu privire la incidente și standardele și/sau specificațiile tehnice relevante pentru securitatea rețelelor și a informațieinotificarea incidentelor care au un impact semnificativ. Aceste competențe trebuie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului(11). [AM 35]
(37) În ceea ce privește aplicarea prezentei directive, Comisia ar trebui să colaboreze, după caz, cu comitetele sectoriale relevante și cu organismele relevante instituite la nivelul UEUniunii în special în domeniile guvernării electronice, energiei, transporturilor și, sănătății și apărării. [AM 36]
(38) Informațiile considerate confidențiale de către o autoritate competentă sau un punct unic de contact în conformitate cu normele Uniunii și cele naționale privind secretul comercial trebuiear trebui să facă obiectul schimbului de informații cu Comisia și cu agențiile relevante ale acesteia, cu punctele unice de contact și/sau cu alte autorități naționale competente, numai dacă acest schimb este strict necesar pentru aplicarea prezentei directive. Schimbul de informații trebuiear trebui să se limiteze la informațiile relevante și să fieceea ce este relevant, necesarși proporțional cu scopul urmărit și să respecte criterii de confidențialitate și securitate prestabilite, în conformitate cu Decizia 2011/292/UE, informații care fac obiectul unor acorduri de nedivulgare și al unor acorduri de nedivulgare informale, cum ar fi Traffic Light Protocol. [AM 37]
(39) Schimbul de informații cu privire la riscuri și incidente desfășurat în cadrul rețelei de cooperare și îndeplinirea cerințelor de notificare a incidentelor către autoritățile naționale competente sau punctele unice de contact pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă și, prin urmare, este legitimă în temeiul articolului 7 din Directiva 95/46/CE. Aceasta nu constituie, din perspectiva obiectivelor legitime respective, o intervenție disproporționată și intolerabilă care să afecteze substanța însăși a dreptului la protecția datelor cu caracter personal garantat prin articolul 8 din Carta drepturilor fundamentale a Uniunii Europene. În aplicarea prezentei directive, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului(12) se aplică, după caz. Atunci când datele sunt prelucrate de instituțiile și organele Uniunii în scopul punerii în aplicare a prezentei directive, o astfel de prelucrare trebuie să respecte Regulamentul (CE) nr. 45/2001. [AM 38]
(40) Deoarece obiectivele prezentei directive, și anume asigurarea unui nivel ridicat de securitate a rețelelor și a informației în Uniune, nu pot fi realizate în măsură suficientă de către statele membre în mod individual dar, având în vedere efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate adopta măsuri în conformitate cu principiul subsidiarității stabilit la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității prevăzut la același articol, prezenta directivă nu depășește ceea ce este necesar pentru atingerea obiectivelor respective.
(41) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Prezenta directivă trebuie pusă în aplicare în conformitate cu aceste drepturi și principii.
(41a) În conformitate cu Declarația politică comună a statelor membre și a Comisiei privind documentele explicative din 28 septembrie 2011, statele membre s-au angajat să însoțească, în cazurile justificate, notificarea măsurilor lor de transpunere cu unul sau mai multe documente care să explice relația dintre componentele unei directive și părțile corespunzătoare din instrumentele naționale de transpunere. În cazul prezentei directive, legislatorul consideră că transmiterea unor astfel de documente este justificată. [AM 39]
(41b) Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 și a emis un aviz la 14 iunie 2013(13),
ADOPTĂ PREZENTA DIRECTIVĂ:
CAPITOLUL I
DISPOZIȚII GENERALE
Articolul 1
Obiect și domeniu de aplicare
(1) Prezenta directivă stabilește măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației (network and information security - NIS) în Uniune.
(2) În acest scop, prezenta directivă:
(a) stabilește obligații pentru toate statele membre în ceea ce privește prevenirea și administrarea riscurilor și a incidentelor care afectează rețelele și sistemele informatice, precum și răspunsul la acestea;
(b) creează un mecanism de cooperare între statele membre pentru a asigura o aplicare uniformă a prezentei directive în Uniune și, dacă este necesar, o administrare și un răspuns coordonate, eficiente și efective în caz de riscuri și incidente care afectează rețelele și sistemele informatice, cu participarea părților interesate vizate; [AM 40]
(c) stabilește cerințele de securitate pentru operatorii de piață și administrațiile publice. [AM 41]
(3) Cerințele de securitate prevăzute la articolul 14 din prezenta directivă nu se aplică întreprinderilor care furnizează rețele de comunicații publice sau servicii de comunicații electronice accesibile publicului în sensul Directivei 2002/21/CE și care trebuie să respecte cerințele specifice de securitate și integritate prevăzute la articolele 13a și 13b din directiva respectivă și nici furnizorilor de servicii de asigurare a încrederii.
(4) Prezenta directivă nu aduce atingere legislației Uniunii privind criminalitatea informatică și nici Directivei 2008/114/CE a Consiliului(14).
(5) De asemenea, prezenta directivă nu aduce atingere Directivei 95/46/CE și nici Directivei 2002/58/CE sau Regulamentului (CE) nr. 45/2001. Orice utilizare a datelor cu caracter personal se limitează la ceea ce este strict necesar în sensul prezentei directive, iar aceste date sunt cât mai anonime posibil, dacă nu complet anonime. [AM 42]
(6) Schimbul de informații în cadrul rețelei de cooperare prevăzut la capitol III și notificarea incidentelor de securitate a rețelelor și a informației prevăzută la articolul 14 pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare, care este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă, trebuie autorizată de statul membru în temeiul articolului 7 din Directiva 95/46/CE și al Directivei 2002/58/CE, astfel cum au fost transpuse în legislația națională.
Articolul 1a
Protejarea și prelucrarea datelor cu caracter personal
(1) Orice prelucrare a datelor cu caracter personal în statele membre în temeiul prezentei directive are loc în conformitate cu Directiva 95/46/CE și Directiva 2002/58/CE.
(2) Orice prelucrare a datelor cu caracter personal efectuată de Comisie și ENISA în temeiul prezentei directive are loc în conformitate cu Regulamentul (CE) nr. 45/2001.
(3) Orice prelucrare a datelor cu caracter personal efectuată de Centrul european de combatere a criminalității informatice în cadrul Europol în sensul obiectivelor prezentei directive are lor în conformitate cu Decizia 2009/371/JAI a Consiliului(15).
(4) Prelucrarea datelor cu caracter personal se face cu onestitate și cu respectarea legilor, fiind limitată în mod strict la datele minime necesare pentru scopul în care sunt prelucrate. Ele sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal.
(5) Notificările incidentelor menționate la articolul 14 din prezenta directivă nu aduc atingere dispozițiilor și obligațiilor aferente notificărilor privind încălcarea regimului datelor cu caracter personal stabilite la articolul 4 din Directiva 2002/58/CE și în Regulamentul (UE) nr. 611/2013 al Comisiei(16). [AM 43]
Articolul 2
Armonizarea minimă
Statele membre nu sunt împiedicate să adopte sau să mențină dispoziții care asigură un nivel de securitate mai ridicat și nu aduc atingere obligațiilor lor prevăzute de legislația Uniunii.
Articolul 3
Definiții
În sensul prezentei directive, se aplică următoarele definiții:
1. „rețea și sistem informatic” înseamnă:
(a) o rețea de comunicații electronice în sensul Directivei 2002/21/CE și
(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată a datelor electronicedigitale, precum și [AM 44]
(c) datele electronicedigitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la literele (a) și (b) în vederea funcționării, utilizării, protejării și întreținerii lor. [AM 45]
2. „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora; „securitatea” include dispozitive tehnice, soluții și proceduri de funcționare corespunzătoare care asigură cerințele de securitate prevăzute în prezenta directivă; [AM 46]
3. „risc” înseamnă orice circumstanță sau eveniment ce poate fi identificat în mod rezonabil care are un efect negativ potențial asupra securității; [AM 47]
4. „incident” înseamnă orice circumstanță sau eveniment care are un efect negativ real asupra securității; [AM 48]
5. „serviciu al societății informaționale” înseamnă un serviciu în sensul articolului 1 punctul 2 din Directiva 98/34/CE; [AM 49]
6. „plan de cooperare în domeniul securității rețelelor și a informației” înseamnă un plan care stabilește un cadru pentru rolurile organizaționale, responsabilitățile și procedurile de menținere sau de restabilire a funcționării rețelelor și sistemelor informatice în cazul în care acestea sunt afectate de un risc sau de un incident;
7. „administrarea incidentului” înseamnă toate procedurile utilizate pentru detectare, prevenire, analiză, limitare și răspuns în cazul unui incident; [AM 50]
8. „operator de piață” înseamnă:
(a) un furnizor de servicii ale societății informaționale care permit furnizarea altor servicii ale societății informaționale; o listă neexhaustivă a acestor furnizori este prevăzută în anexa II; [AM 51]
(b) un operator al unei infrastructuri critice care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, burselor piețelor financiare, IXP (Internet Exchange points), lanțurilor de aprovizionare alimentară și sănătății, activități a căror denaturare sau distrugere ar avea un impact important într-un stat membru; o listă neexhaustivă a acestor operatori este prevăzută în anexa II, în măsura în care rețeaua și sistemele informatice vizate sunt legate de serviciile esențiale; [AM 52]
8a. „incident cu impact semnificativ” înseamnă un incident care afectează securitatea și continuitatea unei rețele informatice sau ale unui sistem informatic care duce la o perturbare majoră a activităților economice și societale vitale; [AM 53]
9. „standard” înseamnă un standard menționat în Regulamentul (UE) nr. 1025/2012;
10. „specificație” înseamnă o specificație menționată în Regulamentul (UE) nr. 1025/2012;
11. „furnizor de servicii de asigurare a încrederii” înseamnă o persoană fizică sau juridică ce furnizează orice serviciu electronic constând în crearea, verificarea, validarea, administrarea și păstrarea semnăturilor electronice, a sigiliilor electronice, a mărcilor temporale electronice, a documentelor electronice, a serviciilor de distribuție electronică, a autentificării unui site web și a certificatelor electronice, inclusiv a certificatelor pentru semnături electronice și sigilii electronice;
11a. „piață reglementată” înseamnă o piață reglementată în sensul definiției de la articolul 4 punctul 14 din Directiva 2004/39/CE a Parlamentului European și a Consiliului(17); [AM 54]
11b. „sistem multilateral de tranzacționare (MTF)” înseamnă un sistem multilateral de tranzacționare, astfel cum este definit la articolul 4 punctul 15 din Directiva 2004/39/CE; [AM 55]
11c. „sistem organizat de tranzacționare” înseamnă un sistem sau un mecanism multilateral care nu este o piață reglementată, un sistem multilateral de tranzacționare sau o contraparte centrală, exploatat de o societate de investiții sau de un operator de piață, în cadrul căruia pot interacționa multiple interese ale unor părți terțe în ceea ce privește vânzarea și cumpărarea de obligațiuni, produse financiare structurate, certificate de emisii sau instrumente derivate, într-un mod care conduce la încheierea de contracte în conformitate cu titlul II din Directiva 2004/39/CE; [AM 56]
CAPITOLUL II
CADRELE NAȚIONALE DE SECURITATE A REȚELELOR ȘI A INFORMAȚIILOR
Articolul 4
Principiu
Statele membre asigură un nivel ridicat de securitate a rețelelor și a sistemelor informatice pe teritoriul lor în conformitate cu prezenta directivă.
Articolul 5
Strategia națională privind securitatea rețelelor și a informației și planul național de cooperare în domeniul securității rețelelor și a informației
(1) Fiecare stat membru adoptă o strategie națională privind securitatea rețelelor și a informației care definește obiectivele strategice și măsurile concrete de politică și de reglementare necesare pentru a atinge și menține un nivel ridicat de securitate a rețelelor și a informației. Strategia națională privind NIS se referă, în special, la următoarele aspecte:
(a) definirea obiectivelor și a priorităților, pe baza unei analize actualizate a riscurilor și a incidentelor;
(b) un cadru de guvernanță pentru realizarea obiectivelor și a priorităților, inclusiv o definire clară a rolurilor și a responsabilităților organismelor guvernamentale și ale altor actori relevanți;
(c) identificarea măsurilor generale referitoare la gradul de pregătire, răspuns și redresare, inclusiv a mecanismelor de cooperare dintre sectorul public și cel privat;
(d) indicarea programelor de instruire, sensibilizare și formare;
(e) planurile de cercetare și dezvoltare și o descriere a modului în care aceste planuri reflectă prioritățile identificate;
(ea) statele membre pot solicita asistența ENISA în elaborarea propriilor strategii NIS sau planuri naționale de cooperare în domeniul NIS, pe baza unei minime strategii comune în domeniul NIS. [AM 57]
(2) Strategia națională privind NIS include un plan național de cooperare în domeniul NIS care cuprinde cel puțin următoarele:
(a) un plan de evaluareun cadru de gestionare a riscurilor, pentru a identifica riscurile și a evalua impactulstabili metodologia privind identificarea, clasificarea, evaluarea și tratarea riscurilor, evaluarea impactului unor incidente potențiale, opțiunile de prevenire și control, și în vederea definirii criteriilor pentru selectarea eventualelor contramăsuri; [AM 58]
(b) definirea rolurilor și a responsabilităților diferițilordiferitelor autorități și ale altor actori implicați în punerea în aplicare a planuluicadrului; [AM 59]
(c) definirea procedurilor de cooperare și de comunicare care asigură prevenirea, detectarea, răspunsul, repararea și redresarea, modulate în funcție de nivelul de alertă;
(d) o foaie de parcurs pentru exercițiile și formarea în domeniul NIS, destinate consolidării, validării și testării planului. Învățămintele desprinse trebuie documentate și integrate în actualizările planului.
(3) Strategia națională privind NIS și planul național de cooperare în domeniul NIS sunt comunicate Comisiei în termen de o lunătrei luni de la adoptarea lor. [AM 60]
Articolul 6
Autoritatea națională competentăAutoritățile naționale și punctele unice de contact competente în domeniul securității rețelelor și a sistemelor informatice [AM 61]
(1) Fiecare stat membru desemnează o autoritate națională competentăuna sau mai multe autorități naționale civile competente în domeniul securității rețelelor și a sistemelor informatice (denumită „autoritatea competentăcompetentă/autoritățile competente”). [AM 62]
(2) Autoritățile competente monitorizează aplicarea prezentei directive la nivel național și contribuie la aplicarea uniformă a acesteia în întreaga Uniune.
(2a) În cazul în care un stat membru desemnează una sau mai multe autorități competente, acesta desemnează o autoritate națională civilă, de exemplu o autoritate competentă, drept punct unic de contact național în domeniul securității rețelelor și al sistemelor informatice („punctul unic de contact”). În cazul desemnării unei singure autorități competente, aceasta servește, de asemenea, ca punct unic de contact. [AM 63]
(2b) Autoritățile competente și punctul unic de contact ale aceluiași stat membru cooperează îndeaproape cu privire la obligațiile ce le revin în temeiul prezentei directive. [AM 64]
(2c) Punctul unic de contact asigură cooperarea la nivel transfrontalier cu celelalte puncte de contact naționale. [AM 65]
(3) Statele membre se asigură că autoritățile competente și punctele unice de contact dispun de resursele tehnice, financiare și umane adecvate pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive. Statele membre asigură cooperarea eficace, eficientă și sigură a autorităților competente punctelor unice de contact prin intermediul rețelei menționate la articolul 8. [AM 66]
(4) Statele membre se asigură că autoritățile competente și punctele unice de contact, după caz, conform alineatului (2) de la prezentul articol, primesc de la administrațiile publice și de la operatorii de piață notificările incidentelor, astfel cum prevede articolul 14 alineatul (2), și că le sunt conferite competențele de punere în aplicare și de executare menționate la articolul 15. [AM 67]
(4a) În cazul în care legislația Uniunii prevede un organism de supraveghere sau de reglementare sectorială al Uniunii, printre altele pentru securitatea rețelelor și a sistemelor informatice, acest organism primește notificările incidentelor în conformitate cu articolul 14 alineatul (2) din partea operatorilor de piață implicați în acest sector și i se acordă competențele de punere în aplicare și de executare menționate la articolul 15. Acest organism al Uniunii cooperează strâns cu autoritățile competente și cu punctul unic de contact din statul membru gazdă în ceea ce privește aceste obligații. Punctul unic de contact din statul membru gazdă reprezintă organismul Uniunii în ceea ce privește obligațiile prevăzute la capitolul III. [AM 68]
(5) Autoritățile competente și punctele unice de contact se consultă și cooperează, după caz, cu autoritățile naționale de aplicare a legii și cu autoritățile de protecție a datelor competente. [AM 69]
(6) Fiecare stat membru notifică fără întârziere Comisiei autoritatea competentă desemnatăautoritățile competente desemnate și punctul unic de contact și sarcinile salelor, precum și orice modificări ulterioare ale acestora. Fiecare stat membru comunică publicului autoritatea competentă desemnatăautoritățile competente desemnate. [AM 70]
Articolul 7
Echipa de intervenție în caz de urgență informatică
(1) Fiecare stat membru înființează o Echipă de intervenție în caz de urgență informatică (denumită în, pentru fiecare dintre domeniile stabiliteîn anexa II, cel puțin un Centru de răspuns la incidente de securitate cibernetică („CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființată în cadrul autorității competente. [AM 71]
(2) Statele membre se asigură că CERT dispun de resursele tehnice, financiare și umane adecvate pentru a-și îndeplini în mod eficace sarcinile stabilite în anexa I punctul (2).
(3) Statele membre se asigură că CERT au la dispoziție o infrastructură securizată și rezilientă de comunicare și informare la nivel național, care este compatibilă și interoperabilă cu sistemul securizat de schimb de informații menționat la articolul 9.
(4) Statele membre comunică Comisiei resursele și mandatul CERT, precum și procedura acestora de administrare a incidentelor.
(5) Centrele CERT acționează sub supravegherea autorității competente sau a punctului unic de contact, care reexaminează cu regularitate caracterul adecvat al resurselor și al mandatului mandatelor lor, precum și eficacitatea procedurii de administrare a incidentelor. [AM 72]
(5a) Statele membre se asigură că centrele CERT au la dispoziție resurse umane și financiare adecvate pentru a participa activ la rețele de cooperare internaționale și, mai ales, la cele de la nivelul Uniunii. [AM 73]
(5b) Centrele CERT au capacitatea și sunt încurajate să inițieze și să participe la exerciții comune cu alte centre CERT, cu centrele CERT din toate statele membre și cu instituții adecvate din state terțe, precum și cu centrele CERT ale instituțiilor multinaționale și internaționale, precum Organizația Tratatului Atlanticului de Nord (NATO) și Organizația Națiunilor Unite (ONU). [AM 74]
(5c) Statele membre pot solicita asistență din partea Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) sau a altor state membre pentru dezvoltarea de centre CERT naționale. [AM 75]
CAPITOLUL III
COOPERAREA DINTRE AUTORITĂȚILE COMPETENTE
Articolul 8
Rețeaua de cooperare
(1) Autoritățile competentePunctele unice de contact și Comisia și ENISA formează o rețea („rețeaua de cooperare”) pentru a coopera în domeniul combaterii riscurilor și incidentelor care afectează rețelele și sistemele informatice. [AM 76]
(2) Prin intermediul rețelei de cooperare, Comisia și autoritățile competentepunctele unice de contact se află în contact permanent. La cerere, Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) asistă rețeaua de cooperare, oferind experiență și consiliere. Acolo unde este necesar, operatorii de piață și furnizorii de soluții de securitate cibernetică pot fi, de asemenea, invitați să participe la activitățile rețelei de cooperare menționate la alineatul (3) literele (g) și (i).
Atunci când este cazul, rețeaua de cooperare cooperează cu autoritățile de protecție a datelor cu caracter personal.
Comisia informează în mod regulat rețeaua de cooperare cu privire la cercetarea în materie de securitate și la alte programe relevante din cadrul Orizont 2020. [AM 77]
(3) În cadrul rețelei de cooperare, autoritățile competentepunctele unice de contact:
(a) transmit alerte rapide privind riscurile și incidentele în conformitate cu articolul 10;
(b) asigură un răspuns coordonat în conformitate cu articolul 11;
(c) publică cu regularitate pe un site web comun informații neconfidențiale privind alertele rapide și răspunsul coordonat în curs;
(d) la cererea unui stat membru sau a Comisiei, discută și evaluează împreună una sau mai multe strategii naționale privind NIS sau planuri naționale de cooperare în domeniul NIS, menționate la articolul 5, în domeniul de aplicare al prezentei directive;
(e) la cererea unui stat membru sau a Comisiei, discută și evaluează împreună eficacitatea echipelor CERT, în special atunci când au loc la nivelul Uniunii exerciții de NIS;
(f) cooperează și fac schimb de informații cu privire la toate aspectele relevanteexperiență cu Centrul european de combatere a criminalității informatice din cadrul Europol și cu alte organisme europene relevante cu privire la toate aspectele relevante în materie de securitate a rețelelor informatice și a datelor, în special în domeniile protecției datelor, energiei, transporturilor, serviciilor bancare, burselorpiețelor financiare și sănătății;
(fa) după caz, informează printr-un raport coordonatorul UE în materie de combatere a terorismului și poate solicita asistență pentru analiza, activitățile pregătitoare și acțiunile rețelei de cooperare;
(g) fac schimb de informații și bune practici între ele și cu Comisia și își acordă reciproc asistență în ceea ce privește crearea capacităților din domeniul NIS;
(h) organizează cu regularitate evaluări inter pares privind capacitățile și nivelul de pregătire;
(i) organizează exerciții de NIS la nivelul Uniunii și participă, după caz, la exercițiile internaționale de NIS;
(ia) implică, consultă și schimbă informații, după caz, cu operatorii de pe piață cu privire la riscurile și incidentele ce le afectează rețelele și sistemele informatice;
(ib) în cooperare cu ENISA, elaborează orientări privind criterii specifice fiecărui sector pentru notificarea incidentelor semnificative, pe lângă parametrii enunțați la articolul 14 alineatul (2), pentru a asigura interpretarea comună, aplicarea consecventă și armonizarea punerii în aplicare în cadrul Uniunii. [AM 78]
(3a) Rețeaua de cooperare publică anual un raport, detaliind activitățile rețelei și rezumatul raportului prezentat în conformitate cu articolul 14 alineatul (4) din prezenta directivă, pentru cele 12 luni anterioare. [AM 79]
(4) Comisia stabilește, prin acte de punere în aplicare, măsurile necesare pentru a facilita cooperarea dintre autoritățile competente și Comisie punctele unice de contact, Comisie și ENISA menționată la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de consultareexaminare menționată la articolul 19 alineatul (2)(3). [AM 80]
Articolul 9
Sistemul securizat de schimb de informații
(1) Pentru schimbul de informații sensibile și confidențiale desfășurat în rețeaua de cooperare este utilizată o infrastructură securizată.
(1a) Participanții la infrastructura securizată respectă, printre altele, măsurile de securitate și confidențialitate adecvate, în conformitate cu Directiva 95/46/CE și Regulamentul (CE) nr. 45/2001 în toate etapele prelucrării. [AM 81]
(2) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind definirea criteriilor pe care trebuie să le îndeplinească un stat membru pentru a fi autorizat să participe la sistemul securizat de schimb de informații, referitoare la:
(a) disponibilitatea unei infrastructuri securizate și reziliente de comunicare și informare la nivel național, compatibilă și interoperabilă cu infrastructura securizată a rețelei de cooperare în conformitate cu articolul 7 alineatul (3) și
(b) existența unor resurse tehnice, financiare și umane și a unor proceduri adecvate pentru participarea eficace, eficientă și sigură a autorităților competente și a CERT la sistemul securizat de schimb de informații în temeiul articolului 6 alineatul (3), al articolului 7 alineatul (2) și al articolului 7 alineatul (3). [AM 82]
(3) Înainte de a efectua schimburi de informații sensibile și confidențiale în cadrul rețelei de cooperare, Comisia adoptă, prin acte de punere în aplicare, decizii privind accesul statelor membre la această infrastructură securizată, în conformitate cu criteriile menționate la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3)delegate în conformitate cu articolul 18, un set comunde standarde în materie de securitate și de interconectare pe care punctele unice de contact le respectă. [AM 83]
Articolul 10
Alertele rapide
(1) Autoritățile competentePunctele unice de contact sau Comisia transmit alerte rapide în cadrul rețelei de cooperare cu privire la riscurile și incidentele care îndeplinesc cel puțin una dintre următoarele condiții:
(a) cresc rapid sau pot crește rapid în amploare;
(b) depășesc sau pot depășipunctul unic de contact apreciază că riscul sau incidentul poate depăși capacitatea națională de răspuns;
(c) afectează sau pot afectapunctele unice de contact sau Comisia apreciază că riscul sau incidentul afectează mai multe state membre. [AM 84]
(2) În cadrul alertelor rapide, autoritățile competente punctele unice de contact și Comisia comunică oricefără întârzieri nejustificate informațiile relevante aflate în posesia lor și care pot fi utile pentru evaluarea riscului sau a incidentului. [AM 85]
(3) La cererea unui stat membru sau din proprie inițiativă, Comisia poate solicita altui stat membru să furnizeze orice informații relevante cu privire la un risc sau la un incident specific. [AM 86]
(4) Dacă riscul sau incidentul care face obiectul alertei rapide are un presupus caracter penal autoritățile competente sau Comisia informează și dacă operatorul de piață în cauză a raportat incidente cu presupus caracter penal grav, astfel cum se menționează la articolul 15 alineatul (4), statele membre se asigură că Centrul european de combatere a criminalității informatice din cadrul Europol este informat, după caz. [AM 87]
(4a) Membrii rețelei de cooperare nu dezvăluie publicului nicio informație primită cu privire la riscuri și incidentele enunțate la alineatul (1), fără aprobarea prealabilă a punctului unic de contact care a transmis informațiile.
Totodată, înaintea schimburilor de informații în rețeaua de cooperare, punctul unic de contact notificator informează operatorul de piață la care se referă informațiile privind intenția sa și, dacă consideră indicat, dispune ca informația respectivă să devină anonimă. [AM 88]
(4b) Dacă riscul sau incidentul care face obiectul unei alerte rapide are un presupus caracter tehnic transfrontalier grav, punctele unice de contact sau Comisia informează ENISA. [AM 89]
(5) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind specificarea mai detaliată a riscurilor și a incidentelor care declanșează alerta rapidă menționată la alineatul (1) de la prezentul articol.
Articolul 11
Răspunsul coordonat
(1) După transmiterea alertei rapide menționate la articolul 10, autoritățile competentepunctele unice de contact convin, în urma evaluării informațiilor relevante și fără întârzieri nejustificate, asupra unui răspuns coordonat în conformitate cu planul Uniunii de cooperare în domeniul NIS menționat la articolul 12. [AM 90]
(2) Diferitele măsuri adoptate la nivel național ca urmare a răspunsului coordonat se comunică rețelei de cooperare.
Articolul 12
Planul Uniunii de cooperare în domeniul securității rețelelor și a informației
(1) Comisia este împuternicită să adopte, prin acte de punere în aplicare, un plan al Uniunii de cooperare în domeniul securității rețelelor și informației. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).
(2) Planul Uniunii de cooperare în domeniul NIS prevede:
(a) în scopul aplicării articolului 10:
– definirea formatului și a procedurilor pentru colectarea și schimbul de informații compatibile și comparabile cu privire la riscuri și incidente de către autoritățile competentepunctele unice de contact, [AM 91]
– definirea procedurilor și a criteriilor de evaluare a riscurilor și a incidentelor de către rețeaua de cooperare.
(b) procedurile care trebuie urmate pentru a da răspunsul coordonat prevăzut la articolul 11, inclusiv identificarea rolurilor și a responsabilităților și procedurile de cooperare;
(c) o foaie de parcurs pentru exercițiile și formarea în domeniul NIS, destinate consolidării, validării și testării planului.
(d) un program de transfer de cunoștințe între statele membre pentru crearea capacităților și învățarea inter pares;
(e) un program de sensibilizare și de formare între statele membre.
(3) Planul Uniunii de cooperare în domeniul NIS se adoptă în termen de cel mult un an de la intrarea în vigoare a prezentei directive și se revizuiește cu regularitate. Rezultatele fiecărei revizuiri sunt raportate Parlamentului European. [AM 92]
(3a) Planul UE de cooperare în domeniul NIS este conceput astfel încât să fie coerent cu strategiile și planurile naționale de cooperare privind NIS, astfel cum se prevede la articolul 5. [AM 93]
Articolul 13
Cooperarea internațională
Fără a aduce atingere posibilității de care dispune rețeaua de cooperare de a desfășura o cooperare internațională informală, Uniunea poate încheia acorduri internaționale cu țări terțe sau cu organizații internaționale, care permit și organizează participarea acestora la unele activități ale rețelei de cooperare. Astfel de acorduri trebuie să țină seama de necesitatea de a asigura o protecție adecvată a datelor cu caracter personal diseminate în rețeaua de cooperare și specifică procedura de control care trebuie realizată pentru a garanta protecția datelor cu caracter personal. Parlamentul European este informat cu privire la procesul negocierii acestor acorduri.Orice transfer de date personale către destinatari din țări din afara Uniunii are loc în conformitate cu articolele 25 și 26 din Directiva 95/46/CE și articolul 9 din Regulamentul (CE) nr. 45/2001. [AM 94]
Articolul 13a
Nivelul de criticitate al operatorilor de piață
Statele membre pot determina nivelul de criticitate al operatorilor de piață ținând seama de particularitățile sectoarelor, de parametrii precum importanța unui anumit operator de piață pentru menținerea unui nivel suficient al serviciului sectorial, de numărul părților deservite de către operatorul de piață și de perioada de timp până la care întreruperea serviciilor esențiale ale operatorului de piață are un impact negativ asupra menținerii unor activități economice și sociale vitale. [AM 95]
CAPITOLUL IV
SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE ALE ADMINISTRAȚIILOR PUBLICE ȘI ALE OPERATORILOR DE PIAȚĂ
Articolul 14
Cerințe de securitate și notificarea incidentelor
(1) Statele membre se asigură că administrațiile publice și operatorii de piață iau măsurile tehnice și organizatorice adecvate și proporționale pentru a dentifica și gestiona eficient riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de cea mai avansată tehnologieprogresele științifice de la momentul respectiv din domeniu, aceste măsuri trebuie să garanteze un nivel de securitate adecvat riscului existent. Trebuie luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează rețeaua sau sistemulsecuritatea rețelei sau a sistemului informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv. [AM 96]
(2) Statele membre se asigură că administrațiile publice și operatorii de piață notifică, fără întârzieri nejustificate, autorității competente sau punctului unic de contact incidentele care au un impact semnificativ asupra securitățiicontinuității serviciilor esențiale pe care le furnizează. Notificarea nu expune unei răspunderi sporite partea care notifică.
Pentru a determina importanța impactului unui incident, se ține cont și de următorii parametrii: [AM 97]
(a) numărul de utilizatori al căror serviciu esențial este afectat; [AM 98]
(b) durata incidentului; [AM 99]
(c) distribuția geografică – zona afectată de incident. [AM 100]
Parametrii respectivi sunt specificați în continuare conform articolului 8 alineatul (3) litera (ib). [AM 101]
(2a) Operatorii de piață notifică incidentele prevăzute la alineatele (1) și (2) autorității competente sau punctului unic de contact din statul membru în care serviciile esențiale sunt afectate. În cazul în care sunt afectate serviciile esențiale din mai multe state membre, punctul unic de contact ce a primit notificarea alertează celelalte puncte de contact implicate, în funcție de informațiile transmise de operatorul de piață. Operatorul de piață este informat, cât mai curând posibil, cu privire la celelalte puncte unice de contact care au fost informate despre incident, precum și cu privire la orice demers întreprins, orice rezultat și la orice alte informații relevante pentru incident. [AM 102]
(2b) În cazurile în care notificările conțin date cu caracter personal, acestea sunt comunicate doar destinatarilor din cadrul autorităților competente notificate sau punctelor unice de contact care trebuie să prelucreze aceste date pentru a-și îndeplini sarcinile în conformitate cu un temei juridic adecvat. Datele comunicate se limitează la ceea ce este necesar pentru îndeplinirea sarcinilor acestor destinatari. [AM 103]
(2c) Operatorii de pe piață care nu fac obiectul anexei II pot raporta în mod voluntar incidentele, astfel cum se prevede la articolul 14 alineatul (2). [AM 104]
(3) Alineatele (1) și (2) se aplică tuturor operatorilor de piață care furnizează servicii în Uniunea Europeană.
(4) După consultarea autorității competenteAutoritatea competentănotificate și a operatorului de piață vizat, punctul unic de contact poate informa publicul, în situația în care estimează că sensibilizarea publicului este necesară pentru a preveni un incident sau pentru a face față unui incident în curs, sau în situația în care operatorul de piață respectiv, în condițiile unui incident, a refuzat să soluționeze o vulnerabilitate structurală legată de respectivul incident fără o întârziere nejustificatăea însăși sau poate solicita acest lucru administrațiilor publice și operatorilor de piață, în cazul în care consideră că divulgarea incidentului servește interesului public.
Înaintea oricărei divulgări publice, autoritatea competentă notificată se asigură că operatorul de piață în cauză are posibilitatea de a fi audiat și că decizia privind divulgarea publică corespunde interesului public.
În cazul în care se fac publice informații privind anumite persoane, autoritatea competentă notificată sau punctul unic de contact se asigură că acest lucru se face cu respectarea anonimatului.
Autoritatea competentă sau punctul unic de contact furnizează, în măsura posibilului, operatorului de pe piață respectiv informații în sprijinul gestionării eficiente a incidentului notificat.
O dată pe an autoritatea competentă, punctul unic de contact transmite rețelei de cooperare un raport de sinteză privind notificările primite, inclusiv numărul notificărilor și referitor la parametrii incidentului astfel cum sunt prevăzuți la alineatul (2) de la prezentul articol și măsurile luate în conformitate cu prezentul alineat. [AM 105]
(4a) Statele membre încurajează operatorii de pe piață să introducă în rapoartele lor financiare, în mod voluntar, incidentele în care sunt implicați. [AM 106]
(5) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind definirea circumstanțelor în care administrațiile publice și operatorii de piață au obligația de a notifica incidentele. [AM 107]
(6) Cu respectarea actelor delegate adoptate în temeiul alineatului (5), Autoritățile competente sau punctele unice de contact pot emite orientări și, dacă este necesar, instrucțiuni privind circumstanțele în care administrațiile publice și operatorii de piață au obligația de a notifica incidentele. [AM 108]
(7) Comisia este împuternicită să stabilească, prin acte de punere în aplicare, formatele și procedurile aplicabile în scopul alineatului (2). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).
(8) Alineatele (1) și (2) nu se aplică microîntreprinderilor definite în Recomandarea 2003/361/CE Comisiei(18), cu excepția cazului în care microîntreprinderea acționează în calitate de filială a unui operator de piață astfel cum se prevede la articolul 3 alineatul (8) litera (b). [AM 109]
(8a) Statele membre pot decide să aplice prezentul articol și articolul 15 administrațiilor publice mutatis mutandis. [AM 110]
Articolul 15
Punere în aplicare și executare
(1) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să investigheze cazurile în care administrațiile publice sau operatorii de piață nu se conformează obligațiilorasigure conformitatea operatorilor de piață cu obligațiile care le revin în temeiul articolului 14, precum și cu efectele acestei neconformări acestora asupra securității rețelelor și a sistemelor informatice. [AM 111]
(2) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să solicite operatorilor de piață și administrațiilor publice: [AM 112]
(a) să furnizeze informațiile necesare pentru evaluarea securității rețelelor și a sistemelor lor informatice, inclusiv documente privind politicile de securitate;
(b) să se supună unui auditfurnizeze dovezi privind aplicarea efectivă a politicilor de securitate, precum rezultatele auditului de securitate efectuat de auditori interni, de un organism calificat independent sau de o autoritate națională, și să le pună la dispoziție rezultatele acestuiatransmită dovezile autorității competente sau punctului unic de contact. [AM 113]
La trimiterea solicitării, autoritățile competente și punctele unice de contact menționează scopul solicitării și dau detalii suficiente cu privire la informațiile necesare. [AM 114]
(3) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să emită instrucțiuni obligatorii pentru operatorii de piață și pentru administrațiile publice. [AM 115]
(3a) Prin derogare de la alineatul (2) litera (b) a prezentului articol, statele membre pot decide ca autoritățile competente sau punctele unice de contact, după caz, să aplice o procedură diferită unor anumiți operatori de piață, pe baza nivelului lor de criticitate stabilit în conformitate cu articolul 13a. În cazul în care statele membre decid astfel:
(a) autoritățile competente sau punctele unice de contact, după caz, sunt abilitate să adreseze operatorilor de piață o cerere suficient de specifică în care solicită acestora să prezinte dovada implementării efective a politicilor de securitate, cum ar fi rezultatele unui audit de securitate efectuat de un auditor intern calificat, și să o pună la dispoziția autorității competente sau a punctului unic de contact;
(b) după caz, după transmiterea de către operatorul de piață a cererii menționate la litera (a), autoritatea competentă sau punctul unic de contact poate solicita dovezi suplimentare sau efectuarea unui audit suplimentar de către un organism independent calificat sau de către autoritatea națională.
(3b) Statele membre pot decide să reducă numărul și intensitatea auditurilor în cazul unui anumit operator de piață, dacă auditul său de securitate indică respectarea cerințelor de la capitolul IV de o manieră coerentă. [AM 116]
(4) Autoritățile competente notifică autorităților de aplicare a legii incidentele și punctele unice de contact informează operatorii de piață în cauză cu privire la posibilitatea raportării incidentelor cu presupus caracter penal grav către autoritățile de aplicare a legii. [AM 117]
(5) Fără a aduce atingere normelor aplicabile privind protecția datelor, autoritățile competente și punctele unice de contact lucrează în strânsă cooperare cu autoritățile de protecție a datelor cu caracter personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal. Punctele unice de contact și autoritățile de protecție a datelor dezvoltă, în cooperare cu ENISA, mecanisme de schimburi de informații și un formular unic de notificare care urmează a fi utilizat în cazul notificărilor prevăzute la articolul 14 alineatul (2) din prezenta directivă, cât și al celor prevăzute de restul legislației Uniunii în domeniul protecției datelor. [AM 118]
(6) Statele membre se asigură că orice obligații impuse administrațiilor publice și operatorilor de piață în temeiul prezentului capitol pot fi supuse unui control jurisdicțional. [AM 119]
(6a) Statele membre pot decide să aplice articolul 14 și prezentul articol administrațiilor publice mutatis mutandis. [AM 120]
Articolul 16
Standardizare
(1) Pentru a asigura aplicarea convergentă a articolului 14 alineatul (1), statele membre încurajează utilizarea standardelorde standarde europene sau internaționale interoperabile și/sau a specificațiilor relevante pentru securitatea rețelelor și a informației, fără a impune utilizarea unei anumite tehnologii. [AM 121]
(2) Comisia stabilește, prin acte de punere în aplicare, împuternicește un organism de standardizare european competent ca, în urma consultării cu părțile interesate relevante, să stabilească o listă a standardelor și/sau a specificațiilor menționate la alineatul (1). Lista se publică în Jurnalul Oficial al Uniunii Europene. [AM 122]
CAPITOLUL V
DISPOZIȚII FINALE
Articolul 17
Sancțiuni
(1) Statele membre stabilesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor naționale adoptate în temeiul prezentei directive și iau toate măsurile necesare pentru a asigura punerea în aplicare a acestora. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive. Statele membre notifică dispozițiile respective Comisiei cel târziu până la data transpunerii prezentei directive și informează Comisia fără întârziere cu privire la orice modificări ulterioare ale acestora.
(1a) Statele membre se asigură că, în cazul în care operatorul de piață nu și-a îndeplinit obligațiile ce îi revin în temeiul capitolului 4 din alte motive decât în mod intenționat sau din neglijență gravă, sancțiunile prevăzute la alineatul (1) al prezentului articol nu se aplică. [AM 123]
(2) Statele membre se asigură că, atunci când un incident de securitate afectează date cu caracter personal, sancțiunile prevăzute sunt coerente cu sancțiunile stabilite de Regulamentul Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date(19).
Articolul 18
Exercitarea delegării de competențe
(1) Competența de a adopta acte delegate este conferită Comisiei în condițiile stabilite de prezentul articol.
(2) Se conferă Comisiei competența de a adopta actele delegate menționate la articolul 9 alineatul (3) și la articolul 10 alineatul (5) și la articolul 14 alineatul (5). Comisia întocmește un raport privind delegarea de competențe cu cel puțin nouă luni înainte de sfârșitul perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de durată identică, cu excepția cazului în care Parlamentul European sau Consiliul se opun unei astfel de prelungiri cu cel puțin trei luni înainte de încheierea fiecărei perioade.
(3) Delegarea de competențe menționată la articolul 9 alineatul (3) și la articolul 10 alineatul (5) și la articolul 14 alineatul (5) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. Prin decizia de revocare ia sfârșit delegarea competențelor specificată în decizia respectivă. Decizia intră în vigoare în ziua următoare publicării sale în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară, pe care o specifică. Decizia nu afectează validitatea actelor delegate care sunt deja în vigoare. [AM 124]
(4) După ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.
(5) Un act delegat adoptat în temeiul articolului 9 alineatul (3) și al articolului 10 alineatul (5) și al articolului 14 alineatul (5) intră în vigoare numai dacăîn cazul în care nici Parlamentul European și nici Consiliul nu formulează obiecțiiau formulat obiecțiuni în termen de două luni de la data la care li s-a notificat actul respectiv sau dacă, înainte de expirarea acestui termen, atâtnotificarea acestuia către Parlamentul European, câtși Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul informeazăau informat Comisia că nu vor prezenta obiecțiiformula obiecțiuni. Termenul respectiv se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului. [AM 125]
Articolul 19
Procedura comitetului
(1) Comisia este asistată de un comitet (Comitetul pentru securitatea rețelelor și a informației). Acesta este un comitet în sensul Regulamentului (UE) nr. 182/2011.
(2) Atunci când se face trimitere la prezentul alineat, se aplică articolul 4 din Regulamentul (UE) nr. 182/2011.
(3) Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.
Articolul 20
Revizuire
Comisia revizuiește periodic funcționarea prezentei directive, îndeosebi lista de la anexa II, și prezintă un raport Parlamentului European și Consiliului. Primul raport se transmite în termen de cel mult trei ani de la data transpunerii menționată la articolul 21. În acest scop, Comisia poate solicita statelor membre să furnizeze informații, fără întârzieri nejustificate. [AM 126]
Articolul 21
Transpunere
(1) Statele membre adoptă și publică, până cel târziu la [un an și jumătate după data adoptării], actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive. Statele membre comunică fără întârziere Comisiei textul acestor acte.
Statele membre aplică actele în cauză începând cu [un an și jumătate după data adoptării].
Atunci când statele membre adoptă actele respective, acestea conțin o trimitere la prezenta directivă sau sunt însoțite de o astfel de trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.
(2) Statele membre comunică Comisiei textul principalelor dispoziții de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.
Articolul 22
Intrare în vigoare
Prezenta directivă intră în vigoare în a [douăzecea] zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Articolul 23
Destinatari
Prezenta directivă se adresează statelor membre.
Adoptată la ...,
Pentru Parlamentul European, Pentru Consiliu
Președintele Președintele
ANEXA I
Obligații și sarcini ale Echipei de intervenție în caz urgență informaticăCentrelor de răspuns la incidente de securitate cibernetică (CERT) [AM 127]
Obligațiile și sarcinile CERT sunt definite în mod adecvat și clar pe baza unei politici naționale și/sau a unei reglementări naționale. Acestea includ următoarele elemente:
(1) Obligații ale CERT
(a) Centrele CERT asigură o disponibilitate înaltă a serviciilor sale lor de comunicații, evitând punctele unice de defecțiune și dispunând de mai multe mijloace pentru a fi contactatăcontactate și pentru a contacta alte entități în orice moment. În plus, canalele de comunicare trebuie să fie clar specificate și bine cunoscute bazei sale de utilizatori și partenerilor de cooperare. [AM 128]
(b) CERT pune în aplicare și gestionează măsuri de securitate pentru a asigura confidențialitatea, integritatea, disponibilitatea și autenticitatea informațiilor pe care le primește și le tratează.
(c) Birourile centrelor CERT și sistemele informatice de suport sunt situate pe amplasamente securizate, cu rețele și sisteme informatice securizate. [AM 129]
(d) Se înființează un sistem de gestionare a calității pentru monitorizarea performanței CERT și asigurarea unui proces permanent de îmbunătățire. Acesta se bazează pe sisteme de măsurare clar definite care includ niveluri formale de serviciu și indicatori principali de performanță.
(e) Continuitatea activităților:
– CERT trebuie să dispună de un sistem adecvat de gestionare și rutare a cererilor, cu scopul de a facilita transferurile,
– CERT trebuie să dispună de efective de personal adecvate, pentru a asigura o disponibilitate permanentă,
– CERT se bazează pe o infrastructură a cărei continuitate este asigurată. În acest scop, se instalează sisteme redundante și un spațiu de lucru de rezervă pentru CERT, care să asigure un acces permanent la mijloace de comunicare.
(2) Sarcinile CERT
(a) Sarcinile CERT includ cel puțin următoarele:
– detectarea și monitorizarea incidentelor la nivel național, [AM 130]
– transmiterea alertelor rapide, a alertelor și a anunțurilor și diseminarea informațiilor privind riscurile și incidentele către părțile interesate relevante,
– răspunsul la incidente,
– furnizarea analizei dinamice de risc și de incident și sensibilizarea situațională,
– sensibilizarea publicului larg cu privire la riscurile asociate activităților online,
– participarea activă la rețelele de cooperare CERT de la nivelul Uniunii și de la nivel internațional; [AM 131]
– organizarea de campanii privind NIS;
(b) CERT stabilește relații de cooperare cu sectorul privat.
(c) Pentru a facilita cooperarea, CERT promovează adoptarea și utilizarea unor practici comune sau standardizate pentru:
– procedurile de administrare a incidentelor și a riscurilor,
– sistemele de clasificare a incidentelor, riscurilor și informațiilor,
– taxonomia sistemelor de măsurare,
– formatele de schimb de informații cu privire la riscuri și incidente și convențiile de denumire a sistemelor.
ANEXA II
Lista operatorilor de piață
menționați la articolul 3 alineatul (8) litera (a):
1. platforme de comerț electronic
2. procesatori de plăți online
3. rețele de socializare
4. motoare de căutare
5. servicii de cloud computing
6. magazine de aplicații online
menționați la articolul 3 alineatul (8) litera (b): [AM 132]
1. Energie
(a) Electricitate
– furnizori de energie electrică și gaz
– operatori de sisteme de distribuție a energiei electrice și/sau a gazelor și comercianți cu amănuntul către consumatorii finali
– operatori de sisteme de transport al gazelor naturale, operatori de depozite și operatori de GNL
– operatori de sisteme de transport al energiei electrice
(b) Petrol
– conducte de transport al petrolului și depozite de petrol
– operatori ai instalațiilor de producție, de rafinare și de tratare a petrolului, de depozitare și de transport
(c) Gaze naturale
– operatori de pe piața energiei electrice și a gazelor naturale
– furnizori
– operatori de sisteme de distribuție și comercianți cu amănuntul către consumatorii finali
– operatori de sisteme de transport al gazelor naturale, operatori de sisteme de depozitare și operatori de sisteme GNL
– operatori ai instalațiilor de producție a petrolului și gazelor naturale și ai instalațiilor, de rafinare și, de tratare,de depozitare și de transport al gazelor naturale
– operatori de pe piața gazelor naturale [AM 133]
2. Transporturi
– transportatori aerieni (transport aerian de marfă și de pasageri)
– transportatori maritimi (societăți de transport maritim și costier de pasageri și societăți de transport maritim și costier de mărfuri)
– căi ferate (gestionari de infrastructură, întreprinderi integrate și operatori de transport feroviar)
– aeroporturi
– porturi
– operatori de control al gestionării traficului
– servicii logistice auxiliare: (a) depozitare și stocare, (b) manipularea mărfurilor și c) alte servicii auxiliare de transport
(a) Transportul rutier
(i) operatori de control al gestionării traficului
(ii) servicii logistice auxiliare:
– antrepozitare și depozitare,
– manipularea mărfurilor și
– alte servicii auxiliare de transport
(b) Transportul feroviar
(i) căi ferate (gestionari de infrastructură, întreprinderi integrate și operatori de transport feroviar)
(ii) operatori de control al gestionării traficului
(iii) servicii logistice auxiliare:
— antrepozitare și depozitare,
— manipularea mărfurilor și
— alte servicii auxiliare de transport
(c) Transportul aerian
(i) transportatori aerieni (transport aerian de marfă și de pasageri)
(ii) aeroporturi
(iii) operatori de control al gestionării traficului
(iv) servicii logistice auxiliare:
— antrepozitare,
— manipularea mărfurilor și
— alte servicii auxiliare de transport
(d) Transporturi maritime
(i) transportatori maritimi (societăți de transport maritim și costier de pasageri și societăți de transport maritim și costier de mărfuri) [AM 134]
3. Bănci: instituții de credit conform articolului 4 punctul 1 din Directiva 2006/48/CE a Parlamentului European și a Consiliului(20).
4. Infrastructuri ale pieței financiare: burse de valori și contrapartidepiețele reglementate, sisteme multilaterale de tranzacționare, sisteme organizate de tranzacționare, contrapărți centrale/case de compensare. [AM 135]
5. Sectorul sănătății: instituții de asistență medicală (inclusiv spitale și clinici private) și alte entități implicate în furnizarea de asistență medicală
Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind un cadru de reglementare comun pentru rețelele și serviciile de comunicații electronice (Directiva‑cadru) (JO L 108, 24.4.2002, p. 33).
Decizia Consiliului 2011/292/UE din 31 martie 2011 privind normele de securitate pentru protecția informațiilor UE clasificate (JO L 141, 27.5.2011, p. 17).
Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).
Regulamentul (CE) nr. 45/2001 al Parlamentului European și al ConsiliuluI din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).
Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).
Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 referitoare la procedura de furnizare de informații în domeniul standardelor, reglementărilor tehnice și al normelor privind serviciile societății informaționale (JO L 204, 21.7.1998, p. 37).
Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).
Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).
Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75).
Regulamentul (UE) nr. 611/2013 al Comisiei din 24 iunie 2013 privind măsurile aplicabile notificării încălcărilor securității datelor cu caracter personal în temeiul Directivei 2002/58/CE a Parlamentului European și a Consiliului privind confidențialitatea și comunicațiile electronice (JO L 173, 26.6.2013, p. 2).
Directiva 2004/39/CE a Parlamentului European și a Consiliului din 21 aprilie 2004 privind piețele instrumentelor financiare (JO L 45, 16.2.2005, p. 18).
Recomandarea 2003/361/CE Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).
Directiva 2006/48/CE a Parlamentului European și a Consiliului din 14 iunie 2006 privind inițierea și exercitarea activității instituțiilor de credit (JO L 177, 30.6.2006, p. 1).