(Riadny legislatívny postup: prvé čítanie)

Európsky parlament,

–  so zreteľom na návrh Komisie pre Európsky parlament a Radu (COM(2013)0048),

–  so zreteľom na článok 294 ods. 2 a článok 114 Zmluvy o fungovaní Európskej únie, v súlade s ktorými Komisia predložila návrh Európskemu parlamentu (C7-0035/2013),

–  so zreteľom na článok 294 ods. 3 Zmluvy o fungovaní Európskej únie,

–  so zreteľom na odôvodnené stanovisko predložené na základe Protokolu č. 2 o uplatňovaní zásad subsidiarity a proporcionality švédskym parlamentom, ktorý tvrdí, že návrh legislatívneho aktu nie je v súlade so zásadou subsidiarity,

–  so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru z 22. mája 2013(1),

–  so zreteľom na svoje uznesenie z 12. septembra 2013 s názvom Stratégia kybernetickej bezpečnosti Európskej únie: Otvorený, bezpečný a chránený kybernetický priestor(2),

–  so zreteľom na článok 55 rokovacieho poriadku,

–  so zreteľom na správu Výboru pre vnútorný trh a ochranu spotrebiteľa a stanoviská Výboru pre priemysel, výskum a energetiku, Výboru pre občianske slobody, spravodlivosť a vnútorné veci a Výboru pre zahraničné veci (A7-0103/2014),

1.  prijíma nasledujúcu pozíciu v prvom čítaní;

2.  žiada Komisiu, aby mu vec znovu predložila, ak má v úmysle podstatne zmeniť svoj návrh alebo ho nahradiť iným textom;

3.  poveruje svojho predsedu, aby postúpil túto pozíciu Rade, Komisii a národným parlamentom.

(1) Ú. v. EÚ C 271, 19.9.2013, s. 133. (2) Prijaté texty, P7_TA(2013)0376.

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 114,

so zreteľom na návrh Európskej komisie,

po predložení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru(1),

konajúc v súlade s riadnym legislatívnym postupom(2),

keďže:

(1)  Siete a informačné systémy a služby hrajú v spoločnosti základnú úlohu. Ich spoľahlivosť a bezpečnosť sú nevyhnutné pre slobodu a celkovú bezpečnosť občanov Únie, ako aj pre ekonomické činnosti a sociálne zabezpečenie a najmä pre fungovanie vnútorného trhu. [PN 1]

(2)  Rozsah a, frekvencia úmyselných alebo náhodných a vplyv bezpečnostných incidentov sa zvyšuje a predstavuje významnú hrozbu pre fungovanie sietí a informačných systémov. Tieto systémy sa taktiež môžu stať obeťami úmyselných škodlivých krokov, ktorých cieľom je poškodiť alebo prerušiť fungovanie týchto systémov. Takéto incidenty môžu zabraňovať napredovaniu ekonomických činností, spôsobovať značné finančné straty, narúšať dôveru používateľa a investora a spôsobovať značné škody v hospodárstve Únie a v konečnom dôsledku ohrozovať dobré životné podmienky občanov Únie a schopnosť členských štátov Únie chrániť sa a zaisťovať bezpečnosť kľúčovej infraštruktúry. [PN 2]

(3)  Digitálne informačné systémy, a najmä internet, ako komunikačné nástroje bez hraníc hrajú významnú úlohu pri uľahčení pohybu tovaru, služieb a osôb cez hranice. Z dôvodu tohto nadnárodného charakteru môže vážne narušenie týchto systémov v jednom členskom štáte ovplyvniť aj ďalšie členské štáty a Úniu ako celok. Preto je na riadne fungovanie vnútorného trhu nevyhnutná odolnosť a stabilita sietí a informačných systémov.

(3a)  Keďže k bežným poruchám systémov, keď ide napríklad o prirodzené príčiny alebo ľudskú chybu, naďalej dochádza z neúmyselných dôvodov, infraštruktúra by mala byť odolná voči úmyselným i neúmyselným narušeniam a prevádzkovatelia kritickej infraštruktúry by mali navrhovať také systémy, ktoré by boli odolné. [PN 3]

(4)  Na úrovni Únie by sa mal vytvoriť mechanizmus spolupráce, ktorý by umožnil výmenu informácií a koordinovanú činnosť, pokiaľ ide o prevenciu, zisťovanie a reakciu v súvislosti s bezpečnosťou sietí a informácií. Aby bol takýto mechanizmus účinný a týkal sa viacerých strán, členské štáty musia mať minimálne spôsobilosti a stratégiu, ktoré by na ich území zabezpečili vysokú úroveň bezpečnosti sietí a informácií. Minimálne bezpečnostné požiadavky by sa mali tiež uplatňovať aj aspoň na verejnú správu a istých trhových prevádzkovateľov kritickej informačnej infraštruktúry s cieľom podporovať kultúru riadenia rizika a zabezpečovať oznamovanie najzávažnejších incidentov. Spoločnosti kótované na burzách cenných papierov by sa mali povzbudzovať k tomu, aby incidenty dobrovoľne zverejňovali vo svojich finančných správach. Právny rámec by mal vychádzať z potreby chrániť súkromie a integritu občanov. Varovná informačná sieť kritickej infraštruktúry (CIWIN) by sa mala rozšíriť aj na trhových prevádzkovateľov, na ktorých sa vzťahuje táto smernica. [PN 4]

(4a)  Zatiaľ čo orgány verejnej správy by mali vzhľadom na svoju verejnú funkciu vykonávať náležitú starostlivosť pri riadení rizík a ochrane svojich vlastných sieťových a informačných systémov, účelom tejto smernice by mala byť kritická infraštruktúra nevyhnutná pre údržbu kľúčových hospodárskych a spoločenských činností v oblasti energetiky, dopravy, bankovníctva alebo infraštruktúr finančného trhu a v oblasti zdravotníctva. Z rozsahu pôsobnosti tejto smernice by mali byť vylúčení tvorcovia softvéru a výrobcovia hardvéru. [PN 5]

(4b)  V prípadoch, keď možno incidenty, ktoré majú významný vplyv, považovať za incidenty vonkajšej a teroristickej povahy, by sa mala zabezpečiť spolupráca a koordinácia medzi príslušnými orgánmi Únie, vysokou predstaviteľkou/podpredsedníčkou Komisie so zodpovednosťou za spoločnú zahraničnú a bezpečnostnú politiku a spoločnú bezpečnostnú a obrannú politiku a koordinátorom EÚ pre boj proti terorizmu. [PN 6]

(5)  S cieľom pokryť všetky príslušné incidenty a riziká by sa mala táto smernica uplatňovať na všetky siete a informačné systémy. Povinnosti, ktoré má verejná správa a účastníci trhu, by sa však nemali uplatňovať na podniky poskytujúce verejné komunikačné siete alebo verejne dostupné elektronické komunikačné služby v zmysle smernice Európskeho parlamentu a Rady 2002/21/ES(3), na ktoré sa vzťahujú osobitné požiadavky, pokiaľ ide o bezpečnosť a integritu, ktoré sú stanovené v článku 13a uvedenej smernice, a nemali by sa uplatňovať ani na poskytovateľov dôveryhodných služieb.

(6)  Existujúce spôsobilosti nie sú postačujúce na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii. V členských štátoch je rôzna úroveň pripravenosti, čo vedie k roztriešteným prístupom v Únii. Toto má za následok rozdielnu úroveň ochrany spotrebiteľov a podnikov a narúša celkovú úroveň bezpečnosti sietí a informácií v rámci Únie. Nedostatok spoločných minimálnych požiadaviek na verejnú správu a účastníkov trhu na druhej strane znemožňuje, aby sa na úrovni Únie vytvoril spoločný a účinný mechanizmus spolupráce. Univerzity a výskumné centrá zohrávajú rozhodujúcu úlohu v podnecovaní výskumu, vývoja a inovácií a mali by im byť poskytnuté primerané finančné prostriedky. [PN 7]

(7)  Účinné reagovanie na výzvy, pokiaľ ide o bezpečnosť sietí a informačných systémov, si preto vyžaduje spoločný prístup na úrovni Únie, ktorý by pokryl spoločné požiadavky na budovanie minimálnych kapacít a plánovanie, rozvoj dostatočných zručností v oblasti kybernetickej bezpečnosti, výmenu informácií a koordináciu činností, a spoločné minimálne bezpečnostné požiadavky pre všetkých zainteresovaných účastníkov trhu a verejnú správu. Minimálne spoločné normy by sa mali uplatňovať v súlade s príslušnými odporúčaniami koordinačných skupín pre kybernetickú bezpečnosť (CSGC). [PN 8]

(8)  Ustanovenia tejto smernice by sa mali uplatňovať bez toho, aby bola dotknutá možnosť členských štátov prijať potrebné opatrenia na zabezpečenie ochrany svojich základných bezpečnostných záujmov, chrániť verejný poriadok a verejnú bezpečnosť a povoliť vyšetrovanie a odhaľovanie trestných činov, ako aj prenasledovanie ich páchateľov. V súlade s článkom 346 Zmluvy o fungovaní Európskej únie (ZFEÚ) žiaden členský štát nie je povinný poskytovať informácie, ktorých sprístupnenie odporuje podľa jeho názoru základným záujmom jeho bezpečnosti. Žiadny členský štát nie je povinný sprístupniť utajované skutočnosti EÚ v zmysle vymedzenia v rozhodnutí Rady 2011/292/EÚ(4), informácie podliehajúce dohodám o zachovaní mlčanlivosti alebo neformálnym dohodám o zachovaní mlčanlivosti, ako je štandard TLP. [PN 9]

(9)  S cieľom dosiahnuť a udržiavať spoločnú vysokú úroveň bezpečnosti sietí a informačných systémov by mal mať každý členský štát vnútroštátnu stratégiu pre bezpečnosť sietí a informácií, v ktorej by boli vymedzené strategické ciele a konkrétne opatrenia, ktoré sa majú v rámci tejto politiky vykonať. Na vnútroštátnej úrovni je treba na základe minimálnych požiadaviek uvedených v tejto smernici vytvoriť plány spolupráce v oblasti bezpečnosti sietí a informácií, ktoré by boli v súlade so základnými požiadavkami, s cieľom dosiahnuť úroveň možností reakcie, ktoré v prípade incidentov umožnia účinnú a efektívnu spoluprácu ako na vnútroštátnej úrovni, tak aj na úrovni Únie, a to pri rešpektovaní a ochrane súkromia a osobných údajov. Každý členský štát by preto mal byť povinný dodržiavať spoločné normy v oblasti formátu dát a spoločne využívať a posudzovať možnosti vzájomnej výmeny dát. Pri príprave vnútroštátnych stratégií pre bezpečnosť sietí a informácií vychádzajúcich zo spoločných minimálnych vzorov stratégie pre bezpečnosť sietí a informácií by členské štáty mali mať možnosť požiadať o pomoc Európsku agentúru pre bezpečnosť sietí a informácií (ENISA). [PN 10]

(10)  S cieľom umožniť účinné vykonávanie ustanovení prijatých podľa tejto smernice by sa mal v každom členskom štáte zriadiť alebo určiť orgán, ktorý bude zodpovedný za koordináciu otázok v oblasti bezpečnosti sietí a informácií a ktorý bude pôsobiť ako ústredný bod pre cezhraničnú spoluprácu na úrovni Únie. Tieto orgány by mali dostať primerané technické, finančné a ľudské zdroje, aby mohli efektívnym a účinným spôsobom vykonávať úlohy, ktoré im budú pridelené, a tak dosahovať ciele tejto smernice.

(10a)  Vzhľadom na rozdiely medzi vnútroštátnymi štruktúrami riadenia a s cieľom chrániť už existujúce odvetvové dohody alebo dozorné a regulačné orgány Únie a zamedziť zdvojeniu by členské štáty mali mať možnosť ustanoviť viac než jeden vnútroštátny príslušný orgán zodpovedný za vykonávanie úloh súvisiacich so sieťovou a informačnou bezpečnosťou účastníkov trhu v rámci tejto smernice. V záujme zabezpečenia hladkej cezhraničnej spolupráce a komunikácie je však potrebné, aby každý členský štát bez toho, aby boli dotknuté odvetvové regulačné dohody, ustanovil iba jedno národné jednotné kontaktné miesto zodpovedné za cezhraničnú spoluprácu na úrovni Únie. Ak sa to vyžaduje na základe ústavy alebo iných úprav, členský štát by mal mať možnosť ustanoviť iba jeden orgán, ktorý bude vykonávať úlohy príslušného orgánu a jednotného kontaktného miesta. Príslušné orgány a jednotné kontaktné miesta by mali byť civilnými orgánmi podliehajúcimi plnému demokratickému dohľadu a nemali by plniť žiadne úlohy v oblasti spravodajstva, presadzovania práva či obrany, ani by nemali byť z organizačného hľadiska žiadnym spôsobom prepojené s orgánmi pôsobiacimi v týchto oblastiach. [PN 11]

(11)  Všetky členské štáty a účastníci trhu by mali mať primerané vybavenie, pokiaľ ide o technické a organizačné kapacity, aby mohlikedykoľvek predchádzať incidentom a rizikám v oblasti sietí a informačných systémov, odhaľovať ich, reagovať na ne a zmierňovať ich. Bezpečnostné systémy orgánov verejnej správy musia byť bezpečné a mali by podliehať demokratickej kontrole a overovaniu. Bežne požadované vybavenie a kapacity by mali spĺňať bežne dohodnuté technické normy aj štandardné postupy prevádzky. Preto by sa mali vo všetkých členských štátoch založiť dobre fungujúce tímy reakcie na núdzové počítačové situácie (CERT), ktoré budú dodržiavať základné požiadavky, aby sa zaručili účinné a zlučiteľné kapacity na riešenie incidentov a rizík a aby sa na úrovni Únie zabezpečila efektívna spolupráca. Tieto tímy CERT by mali mať možnosť interakcie na základe spoločných technických noriem a štandardných postupov prevádzky. Vzhľadom na rozličné charakteristiky existujúcich tímov reakcie na núdzové počítačové situácie, ktoré reagujú na potreby rozličných subjektov a aktérov, by členské štáty mali zaručiť, aby každému z odvetví uvedenému v zozname účastníkov trhu ustanovenom v tejto smernici poskytoval služby aspoň jeden tím CERT. Pokiaľ ide o cezhraničnú spoluprácu tímov CERT, členské štáty by mali zabezpečiť, aby tímy CERT mali dostatočné prostriedky na účasť v už vytvorených existujúcich medzinárodných a európskych sieťach spolupráce. [PN 12]

(12)  Na základe značného pokroku, ktorý sa dosiahol v rámci Európskeho fóra členských štátov (ďalej len „EFMS“) pri podpore diskusií o osvedčených postupoch a ich výmen, vrátane vytvorenia zásad pre spoluprácu v európskej kybernetickej kríze, členské štáty a Komisia by mali vytvoriť sieť, ktorá by im umožnila stálu komunikáciu a podporila ich vzájomnú spoluprácu. Tento bezpečný a účinný mechanizmus spolupráce, do ktorého budú prípadne zapojení aj účastníci trhu, by mal umožniť štruktúrovanú a koordinovanú výmenu informácií, ako aj zisťovanie a reakciu na úrovni Únie. [PN 13]

(13)  Európska agentúra pre bezpečnosť sietí a informácií (ďalej len „ENISA“) by mala pomáhať členským štátom a Komisii tým, že poskytne svoje odborné znalosti a poradenstvo a bude uľahčovať výmenu osvedčených postupov. Predovšetkým pri uplatňovaní tejto smernice by sa Komisia mala a členské štáty mali radiť s agentúrou ENISA. V záujme zabezpečenia účinného a včasného informovania členských štátov a Komisie by malo v rámci siete spolupráce prebiehať včasné varovanie pred incidentmi a rizikami. S cieľom budovať kapacity a šíriť vedomosti medzi členskými štátmi by sieť spolupráce mala slúžiť aj ako nástroj na výmenu osvedčených postupov a pritom pomáhať svojim členom pri budovaní kapacít, riadiť organizovanie partnerských hodnotení a cvičení v oblasti bezpečnosti sietí a informácií. [PN 14]

(13a)  Ak je to vhodné, členské štáty by mali mať pri uplatňovaní ustanovení tejto smernice možnosť využiť alebo upraviť existujúce organizačné štruktúry alebo stratégie. [PN 15]

(14)  Mal by sa zaviesť bezpečný systém výmeny informácií, aby sa v rámci siete spolupráce umožnila výmena citlivých a dôverných informácií. Na tento účel by sa mali v plnej miere využiť štruktúry existujúce v rámci Únie. Bez toho, aby bola dotknutá povinnosť členských štátov oznamovať sieti spolupráce incidenty a riziká, ktoré sa týkajú celej Únie, prístup k dôverným informáciám z iných členských štátov by sa mal udeľovať členským štátom iba po preukázaní, že ich technické, finančné a ľudské zdroje a procesy, ako aj ich komunikačná infraštruktúra, zaručujú ich účinnú, efektívnu a bezpečnú účasť v sieti s využitím transparentných metód. [PN 16]

(15)  Keďže väčšinu sietí a informačných systémov prevádzkujú súkromní operátori, je nevyhnutná spolupráca medzi verejným a súkromným sektorom. Účastníci trhu by mali byť povzbudzovaní, aby sa s cieľom zabezpečiť bezpečnosť sietí a informácií snažili aj o vytvorenie svojich vlastných neformálnych mechanizmov spolupráce. Mali by spolupracovať aj s verejným sektorom a vymieňať si navzájom informácie a osvedčené postupy výmenou za prevádzkovú podporu, vrátane vzájomnej výmeny relevantných informácií a prevádzkovej podpory a strategicky analyzovaných informácií v prípade incidentov. V záujme účinnej podpory výmeny informácií a najlepších postupov má zásadný význam zaistiť, aby účastníci trhu, ktorí sa na týchto výmenách podieľajú, neboli z dôvodu svojej spolupráce znevýhodnení. Sú potrebné primerané ochranné prvky na zaistenie toho, aby takáto spolupráca nevystavila tieto subjekty vyššiemu riziku v súvislosti s dodržiavaním predpisov ani novým povinnostiam vyplývajúcim okrem iného z právnej úpravy v oblasti hospodárskej súťaže, duševného vlastníctva, ochrany údajov alebo počítačovej trestnej činnosti, a aby ich nevystavila ani zvýšenému prevádzkovému alebo bezpečnostnému riziku. [PN 17]

(16)  S cieľom zabezpečiť transparentnosť a riadne informovať občanov Únie a účastníkov trhu, príslušné orgány jednotné kontaktné miesta by mali zriadiť spoločnú internetovú stránku v rámci celej Únie, na ktorej by uverejňovali informácie o incidentoch a, rizikách, ktoré nemajú dôverný charakter a spôsoboch zmierňovania rizík a na ktorej by sa prípadne poskytovalo poradenstvo v oblasti vhodných údržbových opatrení. Informácie na internetovej stránke by mali byť dostupné nezávisle od použitého zariadenia. Všetky osobné údaje uverejňované na tejto internetovej stránke by sa mali obmedzovať na nevyhnutné minimum a mali by byť čo najanonymnejšie. [PN 18]

(17)  Ak sa informácie považujú v súlade s pravidlami Únie a vnútroštátnymi pravidlami o obchodnom tajomstve za dôverné, pri výkone činností a plnení cieľov stanovených v tejto smernici je dôvernosť týchto informácií zaručená.

(18)  Najmä na základe vnútroštátnych skúseností v oblasti krízového riadenia a v spolupráci s agentúrou ENISA, Komisia a členské štáty by mali vypracovať plán spolupráce, pokiaľ ide o bezpečnosť sietí a informácií v Únii, v ktorom by boli vymedzené mechanizmy spolupráce v rámci, najlepšie postupy a operačné vzorce v rámci prevencie rizík a incidentov, ich odhaľovania, podávania správ o nich a boja proti rizikám a incidentom nim. Tento plán by mal byť náležite zohľadnený v súvislosti so zasielaním včasného varovania v rámci siete spolupráce. [PN 19]

(19)  Zasielanie včasného varovania v rámci siete by sa malo vyžadovať len v prípade, ak rozsah a závažnosť predmetného incidentu alebo rizika sú alebo by sa mohli stať tak významné, že je potrebné informovanie alebo koordinácia reakcie na úrovni Únie. Včasné varovanie by malo byť preto obmedzené na skutočné alebo potenciálne incidenty alebo riziká, ktoré sa rýchlo rozširujú, presahujú možnosti reakcie na vnútroštátnej úrovni alebo ovplyvňujú viac než jeden členský štát. S cieľom umožniť riadne hodnotenie by sa všetky informácie, ktoré sú relevantné pre posúdenie rizika alebo incidentu, mali oznamovať sieti spolupráce. [PN 20]

(20)  Po prijatí včasného varovania a jeho posúdení by sa príslušné orgány jednotné kontaktné miesta mali v rámci plánu spolupráce, pokiaľ ide o bezpečnosť sietí a informácií v Únii, dohodnúť na koordinovanej reakcii. Príslušné orgány Jednotné kontaktné miesta, ENISA, a Komisia, by mali byť informované o opatreniach prijatých na vnútroštátnej úrovni v dôsledku koordinovanej reakcie. [PN 21]

(21)  Vzhľadom na globálny charakter problémov bezpečnosti sietí a informácií je potrebná užšia medzinárodná spolupráca s cieľom zlepšiť bezpečnostné normy a výmenu informácií a presadzovať spoločný globálny prístup k otázke bezpečnosti sietí a informácií. Každý rámec takejto medzinárodnej spolupráce by mal podliehať smernici Európskeho parlamentu a Rady 95/46/ES(5) a nariadeniu Európskeho parlamentu a Rady (ES) č. 45/2001(6). [PN 22]

(22)  Zodpovednosť za zabezpečenie bezpečnosti sietí a informácií spočíva vo veľkej miere na verejnej správe a účastníkoch trhu. Kultúra riadenia rizika, úzkej spolupráce a dôvery vrátane hodnotenia rizika a vykonávania bezpečnostných opatrení, ktoré sú primerané rizikám a incidentom, či už úmyselným alebo náhodným, by sa mala podporovať a rozvíjať prostredníctvom vhodných právnych požiadaviek a dobrovoľných priemyselných postupov. Vytvorenie dôveryhodných rovnakých podmienok pre všetkých je tiež nevyhnutné na účinné fungovanie siete spolupráce v záujme zabezpečenia účinnej spolupráce všetkých členských štátov. [PN 23]

(23)  V smernici 2002/21/ES sa vyžaduje, aby podniky poskytujúce verejné elektronické komunikačné siete alebo verejne dostupné elektronické komunikačné služby prijali primerané opatrenia na ochranu svojej integrity a bezpečnosti, a zavádzajú sa v nej požiadavky na oznamovanie v prípade narušenia bezpečnosti a straty integrity. V smernici Európskeho parlamentu a Rady 2002/58/ES(7) sa vyžaduje od poskytovateľov verejne dostupných elektronických komunikačných služieb, aby v záujme zabezpečenia bezpečnosti svojich služieb prijali primerané technické a organizačné opatrenia.

(24)  Tieto povinnosti by sa mali rozšíriť nad rámec sektora elektronických komunikácií k hlavným poskytovateľom na prevádzkovateľov infraštruktúry, ktorá vo veľkej miere závisí od informačných a komunikačných technológií a je nevyhnutná na udržanie dôležitých ekonomických alebo spoločenských funkcií, ako je elektrická energia a plyn, doprava, úverové inštitúcie, infraštruktúry finančného trhu a zdravotníctvo. Narušenie týchto sietí a informačných systémov by mohlo mať vplyv na vnútorný trh. Aj keď sa povinnosti uvedené v tejto smernici netýkajú hlavných poskytovateľov služieb informačnej spoločnosti, ako sú vymedzené v smernici Európskeho parlamentu a Rady 98/34/ES(8), ktoré podporujú nadväzujúce služby informačnej spoločnosti alebo činnosti online, ako napríklad platformy elektronického obchodu, internetové platobné portály, sociálne siete, vyhľadávače, služby cloud computing vo všeobecnosti, alebo obchody s aplikáciami, títo poskytovatelia by mohli dobrovoľne informovať príslušný orgán alebo jednotné kontaktné miesto o tých incidentoch sieťovej bezpečnosti, ktoré uznajú za vhodné. Príslušný orgán alebo jednotné kontaktné miesto by podľa možnosti mal predložiť účastníkom trhu, ktorí informovali o incidente, strategicky analyzované informácie, ktoré pomôžu prekonať bezpečnostnú hrozbu. Narušenie týchto služieb informačnej spoločnosti zabraňuje tomu, aby sa mohli poskytovať iné služby informačnej spoločnosti, ktoré sú na nich ako hlavných vstupoch závislé. Tvorcovia softvéru a výrobcovia hardvéru nie sú poskytovateľmi služieb informačnej spoločnosti, a preto sú vylúčení. Tieto povinnosti by sa mali rozšíriť aj na verejné správy a prevádzkovateľov kritickej infraštruktúry, ktorá vo veľkej miere závisí od informačných a komunikačných technológií a je nevyhnutná na udržanie dôležitých ekonomických alebo spoločenských funkcií, ako je elektrická energia a plyn, doprava, úverové inštitúcie, burzy cenných papierov a zdravotníctvo. Narušenie týchto sietí a informačných systémov by mohlo mať vplyv na vnútorný trh. [PN 24]

(24a)  Hoci poskytovatelia softvéru a hardvéru nie sú účastníkmi trhu porovnateľnými s účastníkmi trhu v zmysle tejto smernice, ich produkty uľahčujú bezpečnosť sieťových a informačných systémov. Majú preto dôležitú úlohu, pretože umožňujú účastníkom trhu zabezpečiť svoje sieťové a informačné infraštruktúry. Keďže hardvérové a softvérové produkty už podliehajú existujúcim pravidlám týkajúcim sa zodpovednosti za produkty, členské štáty by mali zabezpečiť, že sa tieto pravidlá budú presadzovať. [PN 25]

(25)  Technické a organizačné opatrenia uložené účastníkom verejná správa a trhu, by nemali vyžadovať, aby bol konkrétny produkt komerčnej informačnej a komunikačnej technológie navrhnutý, vyvinutý alebo vyrobený konkrétnym spôsobom. [PN 26]

(26)  Verejné správy a Účastníci trhu by mali zabezpečiť bezpečnosť sietí a systémov, ktoré sú pod ich správou. To by mali byť predovšetkým súkromné siete a systémy, ktoré spravujú buď ich interní pracovníci IT alebo externí dodávatelia. Povinnosti zabezpečenia a povinnosti informovať by sa mali týkať príslušných účastníkov trhu a verejných správ bez ohľadu na to, či vykonávajú údržbu svojich sietí a informačných systémov interne alebo prostredníctvom externého dodávateľa. [PN 27]

(27)  S cieľom vyhnúť sa neprimeranému finančnému a administratívnemu zaťaženiu malých hospodárskych subjektov a používateľov by mali byť požiadavky primerané riziku, ktoré predstavuje sieť alebo konkrétny informačný systém, berúc do úvahy najnovší vývin v oblasti. Tieto opatrenia by sa nemali týkať mikropodnikov.

(28)  Príslušné orgány a jednotné kontaktné miesta by mali venovať náležitú pozornosť zachovaniu neformálnych a dôveryhodných kanálov na výmenu informácií medzi účastníkmi trhu a verejným a súkromným sektorom. Príslušné orgány a jednotné kontaktné miesta by mali informovať výrobcov a poskytovateľov služieb postihnutých produktov a služieb v oblasti IKT o incidentoch, ktoré majú významný vplyv a ktoré im boli oznámené. Pri uverejňovaní incidentov oznámených príslušným orgánom a jednotným kontaktným miestam by sa mala v primeranej miere udržiavať rovnováha medzi záujmom verejnosti mať informácie o hrozbách a možnými rizikami poškodenia obchodu a dobrej povesti verejných správ a účastníkov trhu, ktorí incidenty oznámia. Pri vykonávaní povinnosti oznamovania by príslušné orgány a jednotné kontaktné miesta mali venovať osobitnú pozornosť potrebe, aby sa pred zavedením nasadením príslušných bezpečnostných opatrení zachovali informácie o zraniteľných miestach výrobku v prísnej tajnosti. Jednotné kontaktné miesta by vo všeobecnosti nemali zverejňovať osobné údaje jednotlivcov zapojených do incidentov. Mali by osobné údaje uverejňovať iba vtedy, ak je ich uverejnenie potrebné a primerané vzhľadom na sledovaný cieľ. [PN 28]

(29)  Príslušné orgány by mali mať prostriedky nevyhnutné na plnenie svojich úloh vrátane právomocí získavať potrebné informácie od účastníkov trhu a verejnej správy, aby mohli posúdiť úroveň bezpečnosti sietí a informačných systémov, zistiť počet, rozsah a rozmer incidentov, ako aj spoľahlivé a komplexné údaje o konkrétnych incidentoch, ktoré majú vplyv na fungovanie sietí a informačných systémov. [PN 29]

(30)  V mnohých prípadoch je príčinou incidentu trestná činnosť. Trestný charakter incidentov možno predpokladať aj v prípade, ak od začiatku nie sú k dispozícii dostatočne jasné dôkazy. V tejto súvislosti by mala vhodná spolupráca medzi príslušnými orgánmijednotnými kontaktnými miestami a orgánmi presadzovania práva, ako aj spolupráca s EC3 (Centrum Europolu pre kybernetickú trestnú činnosť) a ENISA, tvoriť súčasť účinnej a komplexnej reakcie na hrozby bezpečnostných incidentov. Najmä podpora chráneného, bezpečného a odolnejšieho prostredia si vyžaduje systematické oznamovanie incidentov, v prípade ktorých existuje podozrenie na závažnú trestnú činnosť, orgánom presadzovania práva. Incidenty, ktoré majú charakter závažnej trestnej činnosti, by sa mali posudzovať v kontexte právnych predpisov Únie o kybernetickej kriminalite. [PN 30]

(31)  V dôsledku incidentov sú v mnohých prípadoch ohrozené osobné údaje. Členské štáty a účastníci trhu by mali chrániť uchovávané, spracúvané a prenášané osobné údaje pred náhodným alebo protiprávnym zničením, náhodnou stratou alebo zmenou a pred nepovoleným alebo protiprávnym uchovávaním, prístupom k nim alebo ich sprístupnením alebo šírením a mali by zaistiť uplatňovanie bezpečnostnej politiky v oblasti spracúvania osobných údajov. V tejto súvislosti by mali príslušné orgány, jednotné kontaktné miesta a orgány na ochranu údajov navzájom spolupracovať a vymieňať si informácie o všetkých súvisiacich veciach v prípade potreby aj s účastníkmi trhu, s cieľom riešiť prípady nepovoleného prístupu k osobným údajom následkom incidentov. Členské štáty zavedú v súlade s uplatniteľnými pravidlami na ochranu údajov. Povinnosť oznamovať bezpečnostné incidenty by sa mala vykonávať spôsobom, ktorý minimalizuje administratívne zaťaženie v prípade, ak bezpečnostný incident predstavuje zároveň aj porušenie ochrany osobných údajov v súlade s nariadením Európskeho parlamentu a Rady o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov a o voľnom pohybe takýchto údajov(9). Európska, ktoré sa musí oznamovať v súlade s právnymi predpismi Únie v oblasti ochrany údajov. pre bezpečnosť sietí a informácií (ENISA) by v spolupráci s príslušnými orgánmi a orgánmi na ochranu údajov mohla mala pomôcť tým, že vytvorí mechanizmy na výmenu informácií a vypracuje vzorové formuláre, a tak nebude potrebné používať na oznamovanie dva formuláre. Takýto jednotný vzorový dokument, ktoré by uľahčil uľahčili oznamovanie incidentov, ktorými sa porušuje ochrana osobných údajov, a tým by sa zmiernilo administratívne zaťaženie podnikov a verejnej správy. [PN 31]

(32)  Normalizácia bezpečnostných požiadaviek je proces riadený trhom, ktorý by mal umožniť účastníkom trhu použiť alternatívne prostriedky, ktorými dosiahnu aspoň podobné výsledky. V záujme zabezpečenia zosúladeného uplatňovania bezpečnostných noriem by členské štáty mali podporovať plnenie špecifických interoperabilných noriem alebo súlad s nimi, aby sa na úrovni Únie zabezpečil vysoký stupeň bezpečnosti. Na tento účel je nutné zvážiť uplatňovanie otvorených medzinárodných noriem v oblasti bezpečnosti sietí a informácií alebo prípravu takýchto nástrojov. Ďalším krokom by mohlo byť bude možno potrebné navrhnúť harmonizované normy, čo by sa malo uskutočniť v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 1025/2012(10). Navrhnutím účinných a efektívnych otvorených bezpečnostných noriem pre Úniu, ktoré by sa čo najviac vyhýbali technologickým preferenciám a ktoré by mali byť ľahko zvládnuteľné malými a strednými účastníkmi trhu, by sa mali poveriť predovšetkým ETSI, CEN a CENELEC. Medzinárodné normy, ktoré sa týkajú kybernetickej bezpečnosti, by sa mali starostlivo kontrolovať, aby sa zaistilo, že neboli ohrozené a že poskytujú dostatočnú úroveň ochrany, čím sa zabezpečí, aby povinné dodržiavanie noriem v oblasti kybernetickej bezpečnosti celkovú úroveň kybernetickej bezpečnosti Únie zvyšovalo a nie znižovalo. [PN 32]

(33)  Komisia by mala robiť po konzultáciách so všetkými zainteresovanými subjektmi vykonávať pravidelné preskúmanie tejto smernice, najmä s ohľadom na stanovenie potreby zmeny na základe meniacich sa spoločenských, politických, technologických a trhových podmienok. [PN 33]

(34)  S cieľom umožniť riadne fungovanie siete spolupráce by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ, pokiaľ ide o vymedzenie kritérií, ktoré musia byť splnené, aby mohol byť členský štát oprávnený zúčastniť sa na bezpečnom systéme výmeny informácií, spoločný súbor noriem prepojenia a bezpečnosti pre bezpečnú infraštruktúru výmeny informácií a ďalšiu špecifikáciu udalostí, na podnet ktorých sa zasiela včasné varovanie, ako aj vymedzenie podmienok, za ktorých sa od účastníkov trhu a verejnej správy vyžaduje, aby oznamovali incidenty. [PN 34]

(35)  Je osobitne dôležité, aby Komisia počas svojich prípravných prác uskutočňovala príslušné konzultácie, a to aj na úrovni expertov. Pri príprave a vypracúvaní delegovaných aktov by Komisia mala zabezpečiť, aby sa príslušné dokumenty súčasne, vo vhodnom čase a vhodným spôsobom postúpili Európskemu parlamentu a Rade.

(36)  S cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice by sa mali na Komisiu preniesť vykonávacie právomoci, pokiaľ ide o spoluprácu medzi príslušnými orgánmi jednotnými kontaktnými miestami a Komisiou v rámci siete spolupráce, prístupu k bezpečnému systému výmeny informácií, bez toho, aby boli dotknuté existujúce mechanizmy spolupráce na vnútroštátnej úrovni, a čo sa týka plánu spolupráce, pokiaľ ide o bezpečnosť sietí a informácií na úrovni Únie, formátov a postupov, ktoré možno využiť na informovanie verejnosti o incidentoch, a noriem a/alebo technických špecifikácií, ktoré sú relevantné pre bezpečnosť sietí a informácií oznamovanie incidentov, ktoré majú významný vplyv. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011(11). [PN 35]

(37)  Pri uplatňovaní tejto smernice by Komisia mala podľa potreby spolupracovať s príslušnými výbormi v danom sektore a príslušnými orgánmi založenými na úrovni Únie, najmä v oblastiach elektronickej verejnej správy (e-government), energetiky, dopravy a, zdravotníctva a obrany. [PN 36]

(38)  Informácie, ktoré príslušný orgán alebo jednotné kontaktné miesto považuje za dôverné podľa predpisov Únie a vnútroštátnych predpisov o obchodnom tajomstve, by mali sa mali vymieňať s Komisiou a, jej príslušnými agentúrami, jednotnými kontaktnými miestami a/alebo s inými príslušnými vnútroštátnymi orgánmi len v prípade, ak je takáto výmena nevyhnutná v záujme uplatňovania ustanovení tejto smernice. Informácie, ktoré sú predmetom výmeny, by sa mali obmedziť na informácie relevantné, potrebné a primerané účelu takejto výmeny a mali by rešpektovať vopred vymedzené kritériá týkajúce sa dôvernosti a bezpečnosti v súlade s rozhodnutím 2011/292/EÚ, informácie podliehajúce dohodám o zachovaní mlčanlivosti alebo neformálnym dohodám o zachovaní mlčanlivosti, ako je štandard TLP. [PN 37]

(39)  Pri výmene informácii o rizikách a incidentoch v rámci siete spolupráce a dodržiavaní požiadaviek oznamovať incidenty vnútroštátnym príslušným orgánom alebo jednotným kontaktným miestam sa môže vyžadovať spracovanie osobných údajov. Takéto spracovanie osobných údajov je potrebné v záujme plnenia cieľov verejného záujmu, ktoré sú sledované v tejto smernici, a tým je v súlade s článkom 7 smernice 95/46/ES legitímne. Nepredstavuje v súvislosti s týmito legitímnymi cieľmi neprimeraný a neúnosný zásah, ktorý by narušil samotnú podstatu práva na ochranu osobných údajov, ktoré je zaručené v článku 8 Charty základných práv Európskej únie. Pri uplatňovaní tejto smernice by sa malo primerane uplatňovať nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001(12). V prípade spracúvania údajov inštitúciami a orgánmi Únie, takéto spracúvanie by na účely uplatňovania tejto smernice malo byť v súlade s nariadením (ES) č. 45/2001. [PN 38]

(40)  Keďže ciel tejto smernice, a to zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii, nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodov rozsahu a účinku tohto nariadenia ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku táto smernica neprekračuje rámec nutný na dosiahnutie tohto cieľa.

(41)  V tejto smernici sú dodržané základné práva a zásady uznané najmä Chartou základných práv Európskej únie, predovšetkým právo na rešpektovanie súkromného života a komunikácie, ochrana osobných údajov, sloboda podnikania, právo vlastniť majetok, právo na účinný opravný prostriedok pred súdom a právo na vypočutie. Táto smernica sa musí vykonávať v súlade s týmito právami a zásadami.

(41a)  V súlade so spoločným politickým vyhlásením členských štátov a Komisie z 28. septembra 2011 o vysvetľujúcich dokumentoch sa členské štáty zaviazali, že v odôvodnených prípadoch k svojim oznámeniam o transpozičných opatreniach pripoja jeden alebo viacero dokumentov vysvetľujúcich vzťah medzi prvkami smernice a zodpovedajúcimi časťami vnútroštátnych transpozičných nástrojov. Pokiaľ ide o túto smernicu, zákonodarca považuje prenos takýchto dokumentov za opodstatnený. [PN 39]

(41b)  Európsky dozorný úradník pre ochranu údajov bol konzultovaný v súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001 a vydal stanovisko 14. júna 2013(13),

PRIJALI TÚTO SMERNICU:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet a rozsah pôsobnosti

1.  V tejto smernici sa stanovujú opatrenia na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii.

2.  Na tento účel sa v tejto smernici:

a)  stanovujú pre všetky členské štáty povinnosti, ktoré sa týkajú prevencie rizík a incidentov, ktoré majú vplyv na siete a informačné systémy, ich riešenia a reakcie na ne;

b)  zavádza mechanizmus spolupráce medzi členskými štátmi s cieľom zabezpečiť jednotné uplatňovanie tejto smernice v rámci Únie a v prípade potreby koordinovanú a efektívnu a reakciu na riziká a incidenty koordinované, efektívne a účinné riešenie rizík a incidentov, ktoré postihli siete a informačné systémy, a reakciu na ne, a to so zapojením príslušných zainteresovaných strán; [PN 40]

c)  stanovujú bezpečnostné požiadavky pre účastníkov trhu a verejné správy. [PN 41]

3.  Bezpečnostné požiadavky stanovené v článku 14 tejto smernice sa nevzťahujú na podniky, ktoré poskytujú verejné komunikačné siete alebo verejne dostupné elektronické komunikačné služby v zmysle smernice 2002/21/ES, ktoré sa riadia osobitnými požiadavkami, pokiaľ ide o bezpečnosť a integritu podľa článkov 13a a 13b uvedenej smernice, ani na poskytovateľov dôveryhodných služieb.

4.  Táto smernica sa nedotýka právnych predpisov Únie o kybernetickej kriminalite ani smernice Rady 2008/114/ES(14).

5.  Táto smernica sa nedotýka ani smernice 95/46/ES, ani smernice 2002/58/ES, ani nariadenia (ES) č. 45/2001. Každé použitie osobných údajov sa obmedzuje na nevyhnutné minimum na účely tejto smernice, pričom tieto údaje budú čo najanonymnejšie, alebo dokonca úplne anonymné. [PN 42]

6.  Výmena informácií v rámci siete spolupráce podľa kapitoly III a oznamovanie incidentov v oblasti bezpečnosti sietí a informácií v zmysle článku 14 si môže vyžadovať spracovanie osobných údajov. Členský štát povoľuje takéto spracovanie údajov, ktoré je potrebné v záujme plnenia cieľov verejného záujmu sledovaných v tejto smernici, podľa článku 7 smernice 95/46/EHS a smernice 2002/58/ES, v zmysle ich uplatnenia vo vnútroštátnom práve.

Článok 1a

Ochrana a spracovanie osobných údajov

1.  Akékoľvek spracovanie osobných údajov v členských štátoch v zmysle tejto smernice sa uskutoční v súlade so smernicou 95/46/ES a so smernicou 2002/58/ES.

2.  Akékoľvek spracovanie osobných údajov Komisiou a ENISA v zmysle tejto smernice sa uskutoční v súlade s nariadením (ES) č. 45/2001.

3.  Akékoľvek spracovanie osobných údajov Európskym centrom boja proti kybernetickej kriminalite v rámci Europolu na účely tejto smernice sa uskutoční v súlade s rozhodnutím Rady 2009/371/SVV(15).

4.  Spracovanie osobných údajov je korektné a striktne sa obmedzuje na minimum údajov potrebných na účely, na ktoré sa spracúvajú. Uchovávajú sa vo forme, ktorá umožňuje identifikáciu dotknutých osôb len počas časového obdobia, ktoré je nevyhnutné na účely, na ktoré sa osobné údaje spracúvajú.

5.  Oznamovanie incidentov uvedené v článku 14 tejto smernice sa nedotýka ustanovení a povinností týkajúcich sa oznamovania porušení ochrany osobných údajov uvedené v článku 4 smernice 2002/58/ES a v nariadení Komisie (EÚ) č. 611/2013(16). [PN 43]

Článok 2

Minimálna harmonizácia

Členským štátom sa nebude brániť v prijímaní alebo zachovaní ustanovení, ktoré zabezpečujú vyššiu úroveň bezpečnosti, bez toho, aby boli dotknuté ich povinnosti v súlade s právom Únie.

Článok 3

Vymedzenie pojmov

Na účely tejto smernice sa uplatňuje toto vymedzenie pojmov:

1.  „siete a informačné systémy“ sú:

a)  elektronická komunikačná sieť v zmysle smernice 2002/21/ES, a

b)  každé zariadenie alebo skupina vzájomne prepojených alebo súvisiacich zariadení, z ktorých jedno alebo viaceré vykonávajú na základe programu automatické spracúvanie počítačových digitálnych údajov, ako aj [PN 44]

c)  počítačové digitálne údaje, ktoré sú uložené, spracúvané, opätovne získavané alebo prenášané prostredníctvom prvkov uvedených v písm. a) a b) na účely ich spracovávania, používania, ochrany a udržiavania, [PN 45]

2.  „bezpečnosť“ je schopnosť siete alebo informačného systému odolávať na určitom stupni spoľahlivosti náhodným udalostiam alebo zlomyseľnému konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenášaných údajov alebo súvisiacich služieb poskytovaných prostredníctvom tejto siete a informačného systému alebo prístupných prostredníctvom tejto siete a informačného systému; „bezpečnosť“ zahŕňa vhodné technické nástroje, riešenia a operačné postupy, ktoré zaisťujú bezpečnostné požiadavky uvedené v tejto smernici; [PN 46]

3.  „riziko“ je každá primerane rozpoznateľná okolnosť alebo udalosť, ktorá má prípadný nepriaznivý vplyv na bezpečnosť; [PN 47]

4.  „incident“ je každá okolnosť alebo udalosť, ktorá má konkrétny nepriaznivý vplyv na bezpečnosť; [PN 48]

5.  „služby informačnej spoločnosti“ znamenajú služby v zmysle článku 1 ods. 2 smernice 98/34/ES; [PN 49]

6.  „plán spolupráce v oblasti bezpečnosti sietí a informácií“ je plán, ktorým sa vytvára rámec pre organizačné úlohy, zodpovednosť a postupy na zachovanie alebo obnovu prevádzky sietí a informačných systémov v prípade rizika alebo incidentu, ktoré majú vplyv na tieto siete a informácie;

7.  „riešenie incidentov“ sú všetky postupy na podporu zisťovania, prevencie, analýzy, monitorovania a reakcie na incident; [PN 50]

8.  „účastník trhu“ je:

a)  poskytovateľ služieb informačnej spoločnosti, ktoré umožňujú poskytovanie ďalších služieb informačnej spoločnosti, ktorých neúplný zoznam je uvedený v prílohe II, [PN 51]

b)  prevádzkovateľ kritickej infraštruktúry, ktorá má zásadný význam z hľadiska zachovania dôležitých ekonomických a spoločenských činností v oblasti energetiky, dopravy, bankovníctva, burzy cenných papierov, infraštruktúr finančného trhu, výmenných internetových uzlov, potravinového dodávateľského reťazca a zdravotníctva a ktorej narušenie alebo zničenie by malo v členskom štáte značné dôsledky z dôvodu nezachovania týchto funkcií, ktorých neúplný zoznam je uvedený v prílohe II, pokiaľ dotknuté sieťové a informačné systémy súvisia s jeho hlavnými službami; [PN 52]

8a.  „incident s významným vplyvom“ je incident s vplyvom na bezpečnosť a kontinuitu informačnej siete alebo systému, ktorý vedie k významnému narušeniu životne dôležitých hospodárskych alebo spoločenských funkcií; [PN 53]

9.  „norma“ je norma, ako je uvedená v nariadení (EÚ) č. 1025/2012;

10.  „špecifikácia“ je špecifikácia, ako je uvedená v nariadení (EÚ) č. 1025/2012;

11.  „poskytovateľ dôveryhodných služieb“ je každá fyzická alebo právnická osoba, ktorá poskytuje elektronické služby, a to vytváranie, potvrdzovanie, overovanie, spracovávanie a uchovávanie elektronických podpisov, elektronických pečatí, elektronických časových pečiatok, elektronických dokumentov; elektronické doručovacie služby, autentifikáciu webových lokalít a elektronických certifikátov vrátane certifikátov elektronických podpisov a elektronických pečatí.

11a.  „regulovaný trh“ je regulovaný trh, ako je vymedzený v článku 4 bode 14 smernice Európskeho parlamentu a Rady 2004/39/ES(17); [PN 54]

11b.  „mnohostranný obchodný systém“ je mnohostranný obchodný systém, ako je vymedzený v článku 4 bode 15 smernice 2004/39/ES; [PN 55]

11c.  „organizovaný obchodný systém“ je mnohostranný systém, ktorý nie je regulovaným trhom, mnohostranným obchodným systémom ani centrálnou protistranou, ktorý je prevádzkovaný investičnou spoločnosťou alebo účastníkom trhu a v rámci ktorého môžu záujmy viacerých tretích strán kupovať a predávať dlhopisy, štruktúrované finančné produkty, emisné kvóty alebo deriváty navzájom pôsobiť v systéme spôsobom, ktorého výsledkom je zmluva v súlade s hlavou II smernice 2004/39/ES. [PN 56]

KAPITOLA II

VNÚTROŠTÁTNE RÁMCE PRE BEZPEČNOSŤ SIETÍ A INFORMÁCIÍ

Článok 4

Princíp

Členské štáty zabezpečujú v súlade s touto smernicou na svojom území vysoký stupeň bezpečnosti sietí a informačných systémov.

Článok 5

Vnútroštátna stratégia pre bezpečnosť sietí a informácií a vnútroštátny plán spolupráce v oblasti bezpečnosti sietí a informácií

1.  Každý členský štát prijme vnútroštátnu stratégiu pre bezpečnosť sietí a informácií, v ktorej budú vymedzené strategické ciele a konkrétne politické a regulačné opatrenia na dosiahnutie a udržanie vysokej úrovne bezpečnosti sietí a informácií. Vnútroštátna stratégia pre bezpečnosť sietí a informácií sa zaoberá najmä týmito otázkami:

a)  vymedzenie cieľov a priorít stratégie založenej na aktuálnej analýze rizík a incidentov;

b)  rámec riadenia na dosiahnutie cieľov a priorít stratégie vrátane jasného vymedzenia úloh a zodpovedností vládnych orgánov a ďalších príslušných subjektov;

c)  identifikácia všeobecných opatrení, pokiaľ ide o pripravenosť, reakciu a obnovu vrátane mechanizmov spolupráce medzi verejným a súkromným sektorom;

d)  predstavenie vzdelávacích programov, programov na zvyšovanie informovanosti a programov v oblasti odbornej prípravy;

e)  výskum a vývoj plánov a opis toho, ako tieto plány odrážajú stanovené priority.

ea)  členské štáty môžu požiadať ENISA o pomoc pri vypracúvaní svojich národných plánov spolupráce v oblasti bezpečnosti sietí a informácií na základe spoločnej minimálnej stratégie pre bezpečnosť sietí a informácií. [PN 57]

2.  Súčasť vnútroštátnej stratégie pre bezpečnosť sietí a informácií tvorí vnútroštátny plán spolupráce v oblasti bezpečnosti sietí a informácií, ktorý spĺňa prinajmenšom tieto požiadavky:

a)  plán na hodnotenie rizika na účely identifikácie rizík a hodnotenia riadenia rizík s cieľom stanoviť metodiku identifikácie, prioritizácie, hodnotenia rizík a zaobchádzania s nimi, posúdenia vplyvu potenciálnych incidentov, možnosti predchádzania a kontroly a zadefinovať kritériá výberu možných protiopatrení; [PN 58]

b)  vymedzenie úloh a zodpovedností jednotlivých orgánov a ďalších subjektov zainteresovaných v realizácii plánu rámca; [PN 59]

c)  vymedzenie procesov spolupráce a komunikácie, ktorými sa zabezpečí prevencia, zisťovanie, reakcia, náprava a obnova a ktoré sú upravené v súlade so stupňom pohotovosti;

d)  harmonogram cvičení a odbornej prípravy v oblasti bezpečnosti sietí a informácií, ktorých cieľom bude vylepšiť, preskúmať a testovať tento plán. Získané skúsenosti budú zaznamenané do aktualizácií plánu.

3.  Vnútroštátna stratégia pre bezpečnosť sietí a informácií a vnútroštátny plán spolupráce v oblasti bezpečnosti sietí a informácií sa oznamujú Komisii do jedného mesiaca troch mesiacov po ich prijatí. [PN 60]

Článok 6

Príslušný vnútroštátny orgán Príslušné vnútroštátne orgány a jednotné kontaktné miesta pre oblasť bezpečnosti sietí a informačných systémov [PN 61]

1.  Každý členský štát určí príslušný vnútroštátny orgán jeden alebo viaceré príslušné civilné vnútroštátne orgány pre oblasť bezpečnosti sietí a informačných systémov (ďalej len „príslušný orgán/orgány“). [PN 62]

2.  Príslušné orgány monitorujú uplatňovanie tejto smernice na vnútroštátnej úrovni a prispievajú k jej jednotnému uplatňovaniu v celej Únii.

2a.  Ak členský štát ustanoví viac než jeden príslušný orgán, ustanoví civilný vnútroštátny orgán, napríklad príslušný orgán, ako jednotné kontaktné miesto pre bezpečnosť sieťových a informačných systémov (ďalej len „jednotné kontaktné miesto“). Ak členský štát ustanoví iba jeden príslušný orgán, tento príslušný orgán bude aj jednotným kontaktným miestom. [PN 63]

2b.  Príslušné orgány a jednotné kontaktné miesto toho istého členského štátu úzko spolupracujú, pokiaľ ide o povinnosti stanovené v tejto smernici. [PN 64]

2c.  Jednotné kontaktné miesto zabezpečuje cezhraničnú spoluprácu s ostatnými jednotnými kontaktnými miestami. [PN 65]

3.  Členské štáty zabezpečia, aby príslušné orgány a jednotné kontaktné miesta mali primerané technické, finančné a ľudské zdroje, aby mohli účinným a efektívnym spôsobom vykonávať úlohy, ktoré im budú pridelené, a tak dosahovať ciele tejto smernice. Členské štáty zabezpečia prostredníctvom siete uvedenej v článku 8 účinnú, efektívnu a bezpečnú spoluprácu príslušných orgánov jednotných kontaktných miest. [PN 66]

4.  Členské štáty zabezpečia, aby príslušné orgány a, v uplatniteľných prípadoch v zmysle odseku 2a tohto článku, jednotné kontaktné miesta dostali od verejných správ a účastníkov trhu oznámenia o incidentoch, ako je uvedené v článku 14 ods. 2, a aby mali právomoci na vykonávanie a presadzovania práva, ako je stanovené v článku 15. [PN 67]

4a.  Ak právo Únie stanovuje dozorný alebo regulačný odvetvový orgán Únie, okrem iného v oblasti bezpečnosti sieťových a informačných systémov, tento orgán dostáva oznámenia o incidentoch podľa článku 14 ods. 2 od príslušných účastníkov trhu v tomto odvetví a má právomoci na vykonávanie a presadzovania práva, ako je stanovené v článku 15. Tento orgán Únie pri plnení stanovených povinností úzko spolupracuje s príslušnými orgánmi a jednotným kontaktným miestom hostiteľského členského štátu. Pokiaľ ide o povinnosti ustanovené v kapitole III, jednotné kontaktné miesto hostiteľského členského štátu predstavuje orgán Únie. [PN 68]

5.  V prípade potreby sa príslušné orgány a jednotné kontaktné miesta radia s príslušnými vnútroštátnymi orgánmi presadzovania práva a orgánmi na ochranu údajov a spolupracujú s nimi. [PN 69]

6.  Každý členský štát bezodkladne oznámi Komisii názov príslušného orgánu príslušných orgánov a jednotného kontaktného miesta, jeho úlohy a každú ďalšiu zmenu vykonanú v súvislosti s jeho ustanovením. Každý členský štát zverejní ustanovenie príslušného orgánu príslušných orgánov. [PN 70]

Článok 7

Tímy reakcie na núdzové počítačové situácie

1.  Každý členský štát zostaví aspoň jeden tím reakcie na núdzové počítačové situácie (ďalej len „CERT“), pre každý zo sektorov uvedených v prílohe II, ktorý bude zodpovedný za riešenie incidentov a rizík podľa presne stanoveného postupu v súlade s požiadavkami stanovenými v bode 1 prílohy I. Tím CERT môže byť vytvorený v rámci príslušného orgánu. [PN 71]

2.  Členské štáty zabezpečia, aby tímy CERT mali primerané technické, finančné a ľudské zdroje na to, aby mohli účinne vykonávať svoje úlohy stanovené v bode 2 prílohy I.

3.  Členské štáty zabezpečia, aby tímy CERT využívali na vnútroštátnej úrovni bezpečnú a odolnú komunikačnú a informačnú infraštruktúru, ktorá je zlučiteľná a interoperabilná s bezpečným systémom výmeny informácií, na ktorý sa odkazuje v článku 9.

4.  Členské štáty informujú Komisiu o zdrojoch a mandáte tímov CERT, ako aj o ich postupe pri riešení incidentov.

5.  Tím Tímy CERT vykonáva vykonávajú svoju činnosť pod dohľadom príslušného orgánu, ktorý alebo jednotného kontaktného miesta, ktoré pravidelne skúma primeranosť jeho ich zdrojov, jeho mandát ich mandáty a účinnosť jeho ich postupu pri riešení problémov. [PN 72]

5a.  Členské štáty zaistia, aby tímy CERT mali primerané ľudské a finančné zdroje na aktívnu účasť v medzinárodných sieťach spolupráce, a najmä v sieťach Únie. [PN 73]

5b.  Tímy CERT môžu iniciovať spoločné kroky s inými tímami CERT, s tímami CERT zo všetkých členských štátov a s príslušnými inštitúciami nečlenských štátov, ako aj s tímami CERT nadnárodných a medzinárodných inštitúcií ako Organizácia Severoatlantickej zmluvy a Organizácia spojených národov, môže sa na týchto spoločných krokoch podieľať a nabáda sa k tomu, aby túto možnosť využíval. [PN 74]

5c.  Členské štáty môžu pri vytváraní svojich vnútroštátnych tímov CERT požiadať o pomoc agentúru ENISA alebo iné členské štáty. [PN 75]

KAPITOLA III

SPOLUPRÁCA MEDZI PRÍSLUŠNÝMI ORGÁNMI

Článok 8

Sieť spolupráce

1.  Príslušné orgány a Jednotné kontaktné miesta a Komisia a ENISA vytvoria sieť (ďalej len „sieť spolupráce“) s cieľom spolupracovať v boji proti rizikám a incidentom, ktoré postihujú siete a informačné systémy. [PN 76]

2.  Sieť spolupráce zabezpečí medzi Komisiou a príslušnými orgánmi jednotnými kontaktnými miestami stálu komunikáciu. Na požiadanie pomáha v sieti spolupráce aj Európska agentúra pre bezpečnosť sietí a informácií (ďalej len „ENISA“) tým, že poskytuje svoje odborné znalosti a poradenstvo. Ak je to vhodné, účastníci trhu a dodávatelia riešení pre kybernetickú bezpečnosť môžu byť takisto pozvaní podieľať sa na činnostiach v rámci siete spolupráce v odseku 3 písmenách g) a i).

Vo vhodných prípadoch sieť spolupráce spolupracuje s orgánmi na ochranu údajov.

Komisia pravidelne informuje sieť spolupráce bezpečnostného výskumu a ďalšie vhodné programy v rámci Horizontu 2020. [PN 77]

3.  V rámci siete spolupráce príslušné orgány jednotné kontaktné miesta:

a)  zasielajú včasné varovanie o rizikách a incidentoch v súlade s článkom 10;

b)  zabezpečujú koordinovanú reakciu v súlade s článkom 11;

c)  pravidelne zverejňujú na spoločnej webovej lokalite informácie, ktoré nemajú dôverný charakter, o aktuálnych včasných varovaniach a koordinovanej reakcii;

d)  na žiadosť jedného členského štátu alebo Komisie vedú spoločnú diskusiu a posudzujú jednu alebo viaceré vnútroštátne stratégie pre bezpečnosť sietí a informácií a vnútroštátne plány spolupráce v oblasti bezpečnosti sietí a informácií uvedené v článku 5, v rozsahu pôsobnosti tejto smernice;

e)  na žiadosť členského štátu alebo Komisie vedú spoločnú diskusiu o účinnosti tímov CERT, a to najmä pri cvičeniach v oblasti bezpečnosti sietí a informácií na úrovni Únie, a posudzujú ju;

f)  spolupracujú a vymieňajú si informácie o všetkých odborné poznatky súvisiacich veciach s Európskym centrom boja proti kybernetickej kriminalite, ktoré je zriadené v rámci Europolu, a s ostatnými príslušnými európskymi orgánmi v oblasti siete a bezpečnosti informácií, najmä čo sa týka ochrany údajov, energetiky, dopravy, bankovníctva, burzy cenných papierov, finančných trhov a zdravotníctva s Európskym centrom boja proti kybernetickej kriminalite, ktoré je zriadené v rámci Europolu, a s ostatnými príslušnými európskymi orgánmi;

fa)  v náležitých prípadoch informujú koordinátora EÚ pre boj proti terorizmu prostredníctvom správ a môžu žiadať o pomoc pri analýze, prípravných prácach a opatreniach v rámci siete spolupráce;

g)  vymieňajú si informácie a osvedčené postupy medzi sebou navzájom a s Komisiou, a navzájom si pomáhajú pri budovaní kapacít v oblasti bezpečnosti sietí a informácií;

h)  organizujú pravidelné partnerské preskúmania schopností a pripravenosti;

i)  organizujú cvičenia v oblasti bezpečnosti sietí a informácií na úrovni Únie a podľa potreby sa zúčastňujú na medzinárodných cvičeniach v tejto oblasti.

ia)  v náležitých prípadoch zapájajú účastníkov trhu, konzultujú s nimi a vymieňajú si s nimi informácie týkajúce sa rizík a incidentov ovplyvňujúcich ich siete a informačný systém;

ib)  na doplnenie parametrov stanovených v článku 14 ods. 2, vyvíjajú v spolupráci s ENISA usmernenia pre kritériá, ktoré sú špecifické pre sektor, za účelom oznámenia významných incidentov, v záujme jednotného výkladu, súvislého uplatňovania a jednotného vykonávania v celej Únii. [PN 78]

3a.  Sieť spolupráce každoročne uverejní správu vychádzajúcu z činností v rámci siete a zo súhrnnej správy predloženej v súlade s článkom 14 ods. 4 tejto smernice na predchádzajúcich 12 mesiacov. [PN 79]

4.  Komisia prostredníctvom vykonávacích aktov stanoví potrebné metódy s cieľom uľahčiť spoluprácu medzi príslušnými orgánmi jednotnými kontaktnými miestami Komisiou a ENISA uvedenou v odsekoch 2 a 3. Tieto vykonávacie akty sa prijmú v súlade s poradným postupom preskúmania uvedeným v článku 19 ods. 2 3. [PN 80]

Článok 9

Bezpečný systém výmeny informácií

1.  Výmena citlivých a dôverných informácií sa v rámci siete spolupráce uskutočňuje prostredníctvom bezpečnej infraštruktúry.

1a.  Účastníci bezpečnej infraštruktúry dodržiavajú vo všetkých fázach spracovania okrem iného vhodné opatrenia na zachovanie dôverného charakteru a bezpečnosti v súlade s smernicou 95/46/ES a nariadením (ES) č. 45/2001. [PN 81]

2.  Komisia je splnomocnená prijímať delegované akty v súlade s článkom 18 týkajúce sa vymedzenia kritérií, ktoré musia byť splnené, aby mohol byť členský štát oprávnený zúčastniť sa na bezpečnom systéme výmeny informácií systému, pokiaľ ide o:

a)  dostupnosť bezpečnej a odolnej komunikačnej a informačnej infraštruktúry na vnútroštátnej úrovni, ktorá je zlučiteľná a interoperabilná s bezpečnou infraštruktúrou siete spolupráce v súlade s článkom 7 ods. 3, a

b)  existenciu primeraných technických, finančných a ľudských zdrojov a postupov pre ich príslušný orgán a tím CERT, ktoré by umožnili účinnú, efektívnu a bezpečnú účasť na bezpečnom systéme výmeny informácií v súlade s článkom 6 ods. 3, článkom 7 ods. 2 a článkom 7 ods. 3. [PN 82]

3.  Komisia prijme prostredníctvom vykonávacích delegovaných aktov v súlade s článkom 18 rozhodnutia o prístupe členských štátov k tejto bezpečnej infraštruktúre, v súlade s kritériami uvedenými v odsekoch 2 a 3. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania podľa článku 19 ods. 3 spoločný súbor noriem prepojenia a bezpečnosti, ktoré jednotné kontaktné miesta majú splniť pred výmenou citlivých a dôverných informácií v rámci siete spolupráce. [PN 83]

Článok 10

Včasné varovanie

1.  Príslušné orgány Jednotné kontaktné miesta alebo Komisia zasielajú v rámci siete spolupráce včasné varovania v súvislosti s tými rizikami a incidentmi, ktoré spĺňajú aspoň jednu z týchto podmienok:

a)  ich rozsah sa rýchlo sa zväčšuje alebo sa môže rýchlo zväčšovať;

b)  presahujú, alebo môžu presiahnuť jednotné kontrolné miesto posúdi, či riziko alebo incident potenciálne presahuje možnosti reakcie na vnútroštátnej úrovni;

c)  ovplyvňujú alebo môžu ovplyvniť jednotné kontrolné miesta posúdia, či riziko alebo incident ovplyvňuje viac ako jeden členský štát. [PN 84]

2.  Prostredníctvom včasného varovania príslušné orgány jednotné kontaktné miesta a Komisia poskytujú bez zbytočného odkladu všetky relevantné informácie, ktoré majú k dispozícii a ktoré môžu byť užitočné pre hodnotenie rizika alebo incidentu. [PN 85]

3.  Na žiadosť členského štátu alebo na základe vlastného podnetu môže Komisia požiadať členský štát, aby poskytol všetky príslušné informácie o konkrétnom riziku alebo incidente. [PN 86]

4.  Ak v prípade rizika alebo incidentu podliehajúceho včasnému varovaniu existuje podozrenie z trestného činu, príslušné orgány alebo Komisia informujú a ak dotknutý účastník trhu podal oznámenie o incidentoch v súvislosti s podozrením z vážneho trestného činu, ako sa uvádza v článku 15 ods. 4, členské štáty zabezpečia, aby Európske centrum boja proti kybernetickej kriminalite, ktoré je zriadené v rámci Europolu bolo v prípade potreby oboznámené. [PN 87]

4a.  Členovia siete spolupráce nezverejnia žiadne získané informácie o rizikách a incidentoch uvedené v odseku 1 bez predchádzajúceho súhlasu od oznamujúceho vnútroštátneho orgánu.

Jednotné kontaktné miesto navyše pred výmenou informácií v rámci siete spolupráce oboznámi účastníka trhu, ktorého sa informácie týkajú, o svojom zámere, a ak to považuje za vhodné, zabezpečí, aby boli príslušné informácie anonymné. [PN 88]

4b.  Ak v prípade rizika alebo incidentu podliehajúceho včasnému varovaniu existuje podozrenie, že má závažnú cezhraničnú technickú povahu, jednotné kontaktné miesta alebo Komisia informujú ENISA. [PN 89]

5.  Komisia je oprávnená prijímať delegované akty v súlade s článkom 18, pokiaľ ide o podrobnejšie určenie rizika a incidentov, v prípade ktorých je potrebné zasielať včasné varovanie uvedené v odseku 1 tohto článku.

Článok 11

Koordinovaná reakcia

1.  Na základe včasného varovania uvedeného v článku 10 sa príslušné orgány jednotné kontaktné miesta po tom, ako zhodnotia príslušné informácie, bez zbytočného odkladu dohodnú na koordinovanej reakcii v súlade s plánom spolupráce v oblasti bezpečnosti sietí a informácií na úrovni Únie, ktorý je uvedený v článku 12. [PN 90]

2.  V rámci siete spolupráce sa v dôsledku koordinovanej reakcie oznamujú rôzne opatrenia prijaté na vnútroštátnej úrovni.

Článok 12

Plán spolupráce v oblasti bezpečnosti sietí a informácií na úrovni Únie

1.  Komisia je oprávnená prostredníctvom vykonávacích aktov prijať plán spolupráce v oblasti bezpečnosti sietí a informácií na úrovni Únie. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 19 ods. 3.

2.  Plán spolupráce v oblasti bezpečnosti sietí a informácií na úrovni Únie zabezpečuje:

a)  na účely článku 10:

–  vymedzenie formátu a postupov na zhromažďovanie a výmenu zlučiteľných a porovnateľných informácií o rizikách a incidentoch príslušnými orgánmi jednotnými kontaktnými miestami, [PN 91]

–  vymedzenie postupov a kritérií na hodnotenie rizika a incidentov prostredníctvom siete spolupráce;

b)  postupy, ktoré sa majú dodržiavať pri koordinovanej reakcii podľa článku 11, vrátane vymedzenia úloh a zodpovedností, ako aj postupov spolupráce;

c)  harmonogram cvičení a odbornej prípravy v oblasti bezpečnosti sietí a informácií, ktorých cieľom bude vylepšiť, preskúmať a testovať tento plán;

d)  program na prenos poznatkov medzi členskými štátmi v súvislosti s budovaním kapacít a partnerským učením;

e)  program na zvyšovanie informovanosti a odbornú prípravu v členských štátoch.

3.  Plán spolupráce v oblasti bezpečnosti sietí a informácií na úrovni Únie sa prijme najneskôr jeden rok po nadobudnutí účinnosti tejto smernice a pravidelne sa reviduje. Výsledky každej revízie sa oznamujú Európskemu parlamentu. [PN 92]

3a.  Zabezpečí sa súlad medzi plánom spolupráce Únie v oblasti bezpečnosti sietí a informácií a vnútroštátnymi stratégiami pre bezpečnosť sietí a informácií, ako sa ustanovuje v článku 5. [PN 93]

Článok 13

Medzinárodná spolupráca

Bez toho, aby bola dotknutá možnosť neformálne spolupracovať na medzinárodnej úrovni v rámci siete spolupráce, Únia môže uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, a tým umožniť ich účasť na niektorých činnostiach siete spolupráce a takúto účasť zorganizovať. V takýchto dohodách sa berie do úvahy potreba zabezpečenia primeranej ochrany osobných údajov, ktoré sú zasielané v rámci siete spolupráce, a ustanovuje sa postup monitorovania, ktorý sa musí dodržiavať, aby sa zaručila ochrana týchto osobných údajov.. Európsky parlament je informovaný o rokovaní o dohodách. Každý prenos osobných údajov príjemcom v krajinách mimo Únie sa vykonáva v súlade s článkami 25 a 26 smernice 95/46/ES a článkom 9 nariadenia (ES) č. 45/2001. [PN 94]

Článok 13a

Úroveň kritickosti trhových prevádzkovateľov

Členské štáty môžu určiť úroveň kritického stavu účastníkov trhu, pričom zohľadnia osobitnosti sektora, parametre vrátane dôležitosti konkrétneho účastníka trhu pre zachovanie dostatočnej úrovne služby v sektore, počet strán, ktoré účastník trhu zásobuje a časové obdobie, po ktorého uplynutí má prerušenie poskytovania základných služieb účastníka trhu negatívny vplyv na udržiavanie základných hospodárskych a spoločenských aktivít. [PN 95]

KAPITOLA IV

BEZPEČNOSŤ SIETÍ A INFORMAČNÝCH SYSTÉMOV VEREJNEJ SPRÁVY A ÚČASTNÍKOV TRHU

Článok 14

Bezpečnostné požiadavky a oznamovanie incidentov

1.  Členské štáty zabezpečia, aby verejná správa a účastníci trhu prijali vhodné a primerané technické a organizačné opatrenia na odhaľovanie a efektívne riadenie rizík spojených s bezpečnosťou sietí a informačných systémov, ktoré riadia a využívajú vo svojej prevádzke. S ohľadom na najnovší technologický vývoj tieto takéto opatrenia zaručujú zaistia takú úroveň bezpečnosti, ktorá zodpovedá miere daného rizika. Opatrenia sa prijímajú najmä s cieľom zabrániť a minimalizovať vplyv incidentov ovplyvňujúcich bezpečnosť ich siete a informačný systém sietí a informačných systémov na základné služby, ktoré poskytujú, a tak zabezpečiť kontinuitu služieb podporovaných týmito sieťami a informačnými systémami. [PN 96]

2.  Členské štáty zabezpečia, aby verejná správa a účastníci trhu bez zbytočného odkladu oznamovali príslušnému orgánu alebo jednotnému kontaktnému miestu incidenty, ktoré majú významný vplyv na bezpečnosť kontinuitu základných služieb, ktoré poskytujú. Oznámením sa oznamujúca strana nevystavuje vyššej zodpovednosti.

S cieľom určiť závažnosť vplyvu incidentu sa okrem iného zohľadnia tieto parametre: [PN 97]

a)  počet používateľov, v prípade ktorých mal incident vplyv na ich základné služby; [PN 98]

b)  dĺžka trvania incidentu; [PN 99]

c)  geografické rozšírenie, pokiaľ ide o oblasť, na ktorú mal incident vplyv. [PN 100]

Tieto parametre sa ďalej vymedzujú v súlade s článkom 8 ods. 3 písm. ib). [PN 101]

2a.  Účastníci trhu oznamujú incidenty uvedené v odsekoch 1 a 2 príslušnému orgánu alebo jednotnému kontaktnému miestu v členskom štáte, ak mal incident vplyv na základné služby. Ak mal incident vplyv na základné služby vo viac než jednom členskom štáte, jednotné kontaktné miesto, ktoré dostalo oznámenie, upozorní na základe informácií, ktoré poskytol účastník trhu, ďalšie dotknuté kontaktné miesta. Účastník trhu je čo najskôr informovaný o tom, ktoré iné jednotné kontaktné miesta boli o incidente informované, ako aj o akýchkoľvek podniknutých krokoch, výsledkoch alebo informáciách relevantných z hľadiska incidentu. [PN 102]

2b.  V prípade, že oznámenie obsahuje osobné údaje, zverejní sa iba príjemcom v rámci oboznámeného príslušného orgánu alebo jednotného kontaktného miesta, ktorí potrebujú tieto údaje spracovať za účelom výkonu ich úloh v súlade s pravidlami v oblasti ochrany údajov. Zverejnené údaje sa obmedzia na to, čo je potrebné na výkon ich úloh. [PN 103]

2c.  Účastníci trhu, na ktorých sa nevzťahuje príloha II, môžu oznamovať incidenty dobrovoľne, ako sa uvádza v článku 14 ods. 2. [PN 104]

3.  Odseky 1 a 2 sa týkajú všetkých účastníkov trhu, ktorí poskytujú služby v rámci Európskej únie.

4.  Príslušný orgán Po konzultáciách s oboznámeným príslušným orgánom a dotknutým účastníkom trhu môže jednotné kontaktné miesto informovať verejnosť alebo žiadať, aby tak urobila verejná správa a účastníci o jednotlivých incidentoch, ak uzná, že informovanosť verejnosti je potrebná na zamedzenie incidentu alebo riešenie prebiehajúceho incidentu alebo ak sa uvedený účastník trhu, ak usúdi, že zverejnenie incidentu je vo verejnom záujme. Príslušný orgán vystavený incidentu odmietol bezodkladne zaoberať závažnými štrukturálnymi nedostatkami súvisiacimi s týmto incidentom.

Pred akýmkoľvek zverejnením oboznámený príslušný orgán zabezpečí, že príslušný účastník trhu má možnosť sa vyjadriť a že rozhodnutie o zverejnení je v náležitej rovnováhe s verejným záujmom.

Ak sa majú zverejniť informácie o jednotlivých incidentoch, oboznámený príslušný orgán alebo jednotné kontaktné miesto zabezpečia, aby sa tak stalo čo najanonymnejšie.

Príslušný orgán alebo jednotné kontaktné miesto poskytnú, ak je to v rozumnej miere možné, dotknutému účastníkovi trhu informácie, ktoré podporia účinné riešenie oznámeného incidentu.

Jednotné kontaktné miesto raz ročne predkladá sieti spolupráce súhrnnú správu o prijatých oznámeniach vrátane počtu oznámení a o parametroch incidentov uvedených odseku 2 tohto článku, a o krokoch, ktoré urobil v súlade s týmto odsekom. [PN 105]

4a.  Členské štáty povzbudzujú účastníkov trhu k tomu, aby vo svojich finančných správach dobrovoľne zverejňovali incidenty týkajúce sa ich podnikania. [PN 106]

5.  Komisia je splnomocnená prijímať delegované akty v súlade s článkom 18, pokiaľ ide o vymedzenie okolností, za akých sa vyžaduje od verejnej správy a účastníkov trhu, aby oznamovali incidenty. [PN 107]

6.  Na základe delegovaných aktov prijatých podľa odseku 5 môžu príslušné orgány Príslušné orgány alebo jednotné kontaktné miesta môžu prijať usmernenia a v prípade potreby vydať pokyny týkajúce sa okolností, za akých sa vyžaduje od verejnej správy a účastníkov trhu, aby oznamovali incidenty. [PN 108]

7.  Komisia je oprávnená prostredníctvom vykonávacích aktov zaviesť formát a postupy uplatniteľné na účely odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 19 ods. 3.

8.  Odseky 1 a 2 sa nevzťahujú na mikropodniky, ako je vymedzené v odporúčaní Komisie 2003/361/ES(18), pokiaľ mikropodniky nebudú pôsobiť ako pobočka účastníkov trhu v zmysle článku 3 ods. 8 písm. b). [PN 109]

8a.  Členské štáty sa môžu rozhodnúť uplatňovať tento článok alebo článok 15 v prípade verejnej správy mutatis mutandis. [PN 110]

Článok 15

Vykonávanie a presadzovanie

1.  Členské štáty zabezpečia, aby príslušné orgány a jednotné kontaktné miesta mali všetky právomoci potrebné na vyšetrovanie prípadov, ak verejná správa alebo zaistenie toho, aby účastníci trhu nedodržiavajú dodržiavali svoje svoje povinnosti podľa článku 14, a ich dôsledkov na bezpečnosť sietí a informačných systémov. [PN 111]

2.  Členské štáty zabezpečia, aby príslušné orgány a jednotné kontaktné miesta mali právomoc vyžadovať od účastníkov trhu a verejnej správy: [PN 112]

a)  aby poskytovali informácie potrebné na posúdenie bezpečnosti svojich sietí a informačných systémov, vrátane dokumentovaných bezpečnostných politík;

b)  aby sa podrobili bezpečnostnému poskytli dôkazy účinného uplatňovania bezpečnostnej politiky, ako výsledky bezpečnostného auditu, ktorý vykoná kvalifikovaný nezávislý orgán alebo vnútroštátny orgán, a sprístupnili jeho výsledky dôkazy príslušnému orgánu alebo jednotnému kontaktnému miestu. [PN 113]

Pri odosielaní žiadosti príslušné orgány a jednotné kontaktné miesta uvedú účel žiadosti a dostatočne spresnia, aké informácie sa požadujú. [PN 114]

3.  Členské štáty zabezpečia, aby príslušné orgány a jednotné kontaktné miesta mali právomoc vydávať pre účastníkov trhu a verejnú správu záväzné pokyny. [PN 115]

3a.  Na základe výnimky z písmena b) odseku 2 tohto článku, členské štáty môžu rozhodnúť, že príslušné orgány alebo jednotné kontaktné miesta, ak je to vhodné, musia uplatniť iný postup u určitých účastníkov trhu, na základe ich úrovne kritického stavu určeného v súlade s článkom 13a. V prípade, že členské štáty tak rozhodnú:

a)  príslušné orgány alebo jednotné kontaktné miesta, ak je to vhodné, majú právomoc predložiť dostatočne špecifickú žiadosť účastníkom trhu o poskytnutie dôkazu účinného vykonávania bezpečnostnej politiky, ako napríklad výsledky bezpečnostného auditu vykonané kvalifikovaným interným audítorom a o zverejnenie dôkazov príslušnému orgánu alebo jednotnému kontaktnému miestu;

b)  ak je to potrebné, po podaní žiadosti uvedenej v písm. a) účastníkom trhu, príslušný orgán alebo jednotné kontaktné miesto môže požiadať o dodatočný dôkaz alebo vykonanie ďalšieho auditu kvalifikovaným nezávislým orgánom alebo vnútroštátnym orgánom.

3b.  Členské štáty sa môžu rozhodnúť znížiť počet a intenzitu auditov vo vzťahu k dotknutému účastníkovi trhu v prípade, že jeho bezpečnostný audit sústavne vykazuje dodržiavanie kapitoly IV. [PN 116]

4.  Príslušné orgány informujú orgány a jednotné kontaktné miesta informujú dotknutých účastníkov trhu o možnosti oznámenia incidentov v súvislosti s podozrením z vážneho trestného činu orgánom presadzovania práva o podozrení na závažné incidenty trestnej povahy. [PN 117]

5.  Bez toho, aby boli dotknuté pravidlá v oblasti ochrany údajov, príslušné orgány a jednotné kontaktné miesta úzko spolupracujú s orgánmi na ochranu osobných údajov pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov. Jednotné kontaktné miesta a orgány na ochranu údajov zostavia v spolupráci s ENISA mechanizmus na výmenu informácií a jednotný vzor, ktorý sa má používať na oznámenia podľa článku 14 ods. 2 tejto smernice, ako aj podľa iného práva Únie v oblasti ochrany údajov. [PN 118]

6.  Členské štáty zabezpečia, aby povinnosti uložené verejným správam a účastníkom trhu na základe tejto kapitoly mohli byť predmetom súdneho preskúmania. [PN 119]

6a.   V prípade verejnej správy sa môžu členské štáty rozhodnúť uplatňovať článok 14 alebo tento článok mutatis mutandis. [PN 120]

Článok 16

Normalizácia

1.  S cieľom zabezpečiť zosúladené vykonávanie článku 14 ods. 1 členské štáty bez toho, aby predpisovali používanie akejkoľvek konkrétnej technológie, podporujú používanie európskych alebo medzinárodných interoperabilných noriem a/alebo špecifikácií, ktoré sú príslušné pre bezpečnosť sietí a informácií. [PN 121]

2.  Komisia vypracuje prostredníctvom vykonávacích aktov udeľuje mandát príslušnému európskemu normalizačnému orgánu, aby po konzultácii s príslušnými zúčastnenými stranami vypracoval zoznam noriem a/alebo špecifikácií uvedených v odseku 1. Zoznam sa uverejňuje v Úradnom vestníku Európskej únie. [PN 122]

KAPITOLA V

ZÁVEREČNÉ USTANOVENIA

Článok 17

Sankcie

1.  Členské štáty stanovia pravidlá ukladania sankcií za porušenie vnútroštátnych ustanovení prijatých podľa tejto smernice a vykonajú všetky opatrenia potrebné na zabezpečenie ich uplatňovania. Tieto sankcie musia byť účinné, primerané a odradzujúce. Členské štáty oznámia tieto ustanovenia Komisii najneskôr do dátumu transpozície tejto smernice a bezodkladne jej oznámia všetky následné zmeny, ktoré majú na ne vplyv.

1a.  Členské štáty zaistia, aby pokuty uvedené v odseku 1 tohto článku boli udelené, iba ak účastník trhu nesplnil svoje povinnosti stanovené v kapitole IV, a to zámerne alebo ako výsledok hrubej nedbalosti. [PN 123]

2.  Členské štáty zabezpečujú, aby v prípade bezpečnostného incidentu, ktorý zahŕňa osobné údaje, stanovené sankcie zodpovedali sankciám stanoveným v nariadení Európskeho parlamentu a Rady o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov a o voľnom pohybe takýchto údajov(19).

Článok 18

Vykonávanie delegovania právomoci

1.  Komisii sa udeľuje právomoc prijímať delegované akty za podmienok stanovených v tomto článku.

2.  Komisii sa udeľuje právomoc prijímať delegované akty uvedené v článku 9 ods. 3 a v článku 10 ods. 5. Komisia vypracuje správu týkajúcu sa delegovania právomoci najneskôr deväť mesiacov pred uplynutím päťročného obdobia. Delegovanie právomoci sa automaticky predlžuje o rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred koncom každého obdobia.

3.  Delegovanie právomocí právomoci uvedené v článku 9 ods. 3 a v článku 10 ods. 5 a článku 14 ods. 5 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť. [PN 124]

4.  Komisia oznamuje delegovaný akt hneď po prijatí súčasne Európskemu parlamentu a Rade.

5.  Delegovaný akt prijatý podľa článku 9 ods. 3 a v článku 10 ods. 5 a článku 14 ods. 5 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace. [PN 125]

Článok 19

Postup výboru

1.  Komisii pomáha výbor (Výbor pre bezpečnosť sietí a informácií). Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2.  Ak sa odkazuje na tento odsek, uplatňuje sa článok 4 nariadenia (EÚ) č. 182/2011.

3.  Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

Článok 20

Preskúmanie

Komisia pravidelne skúma funkčnosť tejto smernice, najmä zoznam stanovený v prílohe II, a podáva správu Európskemu parlamentu a Rade. Prvá správa sa predkladá najneskôr tri roky po dátume transpozície, na ktorú sa odkazuje v článku 21. Na uvedený účel môže Komisia požadovať od členských štátov, aby bez zbytočného odkladu poskytli informácie. [PN 126]

Článok 21

Transpozícia

1.  Členské štáty prijmú a uverejnia najneskôr do [jeden a pol roka od dátumu prijatia] zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou. Bezodkladne oznámia Komisii znenie týchto ustanovení.

Tieto ustanovenia sa uplatňujú od [jeden a pol roka od dátumu prijatia].

Členské štáty uvedú priamo v týchto prijatých ustanoveniach alebo pri ich úradnom uverejnení odkaz na túto smernicu. Podrobnosti o odkaze a jeho znenie upravia členské štáty.

2.  Členské štáty oznámia Komisii znenie hlavných ustanovení vnútroštátnych právnych predpisov, ktoré prijmú v oblasti pôsobnosti tejto smernice.

Článok 22

Nadobudnutie účinnosti

Táto smernica nadobúda účinnosť [dvadsiatym] dňom po jej uverejnení v Úradnom vestníku Európskej únie.

Článok 23

Adresáti

Táto smernica je určená členským štátom.

V

Za Európsky parlament Za Radu

predseda predseda

PRÍLOHA I

Požiadavky týkajúce sa Tímu Tímov reakcie na núdzové počítačové situácie (CERT) a jeho úlohy [PN 127]

Požiadavky na tím CERT a jeho úlohy sú primerane a jasne vymedzené a podporované vnútroštátnymi politikami a/alebo právnymi prepismi. Zahŕňajú tieto prvky:

1.  Požiadavky na tím CERT

a)  Tím Tímy CERT zabezpečuje zabezpečujú, aby v jeho komunikačných službách neboli takzvané slabé miesta zlyhania a aby jeho služby boli čo možno najdostupnejšie, a má niekoľko spôsobov, ktorými môže kontaktovať ostatných a ktorými oni môžu kedykoľvek kontaktovať jeho. Okrem toho sú komunikačné kanály jasne vymedzené a zainteresované strany, ako aj spolupracujúci partneri, sú o nich dobre informovaní. [PN 128]

b)  Tím CERT vykonáva a riadi bezpečnostné opatrenia s cieľom zabezpečiť dôvernosť, integritu, dostupnosť a pravosť informácií, ktoré získava a spracováva.

c)  Kancelárie tímu tímov CERT a podporné informačné systémy sú umiestnené na bezpečných miestach so zabezpečenými sieťovými informačnými systémami. [PN 129]

d)  Vytvorí sa systém riadenia kvality služieb s cieľom nadviazať na činnosť tímu CERT a zabezpečiť stály proces zlepšovania. Tento systém bude založený na jasne vymedzenej metrike, ktorá obsahuje stupne formálnych služieb a kľúčové ukazovatele výkonu.

e)  Zabezpečenie kontinuity činnosti:

–  tím CERT má zavedený vhodný systém riadenia a zasielania žiadostí v záujme jednoduchšieho odovzdávania,

–  tím CERT má primeraný počet pracovníkov, aby sa zabezpečila jeho stála dostupnosť,

–  tím CERT využíva infraštruktúru, kontinuita ktorej je zabezpečená. V tejto súvislosti sa pre tím CERT vytvoria záložné systémy a záložný pracovný priestor, aby sa zabezpečil trvalý prístup ku komunikačným prostriedkom.

2.  Úlohy tímu CERT

a)  Úlohy tímu CERT sú prinajmenšom tieto:

–  zisťovanie a monitorovanie incidentov na vnútroštátnej úrovni, [PN 130]

–  zasielanie včasného varovania, vyhlasovanie pohotovosti, oznamovanie a šírenie informácií príslušným zainteresovaným stranám o rizikách a incidentoch,

–  reagovanie na incidenty,

–  zabezpečenie dynamickej analýzy rizika a incidentov a získavanie informácií o situácii,

–  budovanie rozsiahleho verejného povedomia o rizikách spojených s aktivitami vykonávanými online,

–  aktívna účasť v sieťach spolupráce tímov CERT v rámci Únie aj v medzinárodnom meradle, [PN 131]

–  organizovanie kampaní v oblasti bezpečnosti sietí a informácií.

b)  Tím CERT nadviaže spoluprácu so súkromným sektorom.

c)  V záujme uľahčenia spolupráce tím CERT podporuje prijímanie a využívanie spoločných alebo štandardizovaných postupov v oblasti:

–  riešenia incidentov a rizík,

–  klasifikácie incidentov, rizík a informácií,

–  taxonómie na metriku,

–  formátov na výmenu informácií o rizikách, incidentoch, ako aj pravidiel na pomenovanie systémov.

PRÍLOHA II

Zoznam účastníkov trhu

Uvedených v článku 3 ods. 8 písm. a):

1.  platformy elektronického obchodu

2.  internetové platobné portály

3.  sociálne siete

4.  vyhľadávače

5.  služby cloud computing

6.  obchody s aplikáciami

Uvedených v článku 3 ods. 8 písm. b): [PN 132]

1.  energetika

a)  elektrická energia

–  dodávatelia elektrickej energie a plynu

–  prevádzkovatelia distribučnej sústavy elektrickej energie a/alebo plynu a maloobchodní predajcovia pre konečných spotrebiteľov prevádzkovatelia distribučnej sústavy a maloobchodníci predávajúci konečným spotrebiteľom

–  prevádzkovatelia prepravnej siete zemného plynu, prevádzkovatelia skladovacích zariadení a zariadení LNG

–  prevádzkovatelia prenosovej sústavy elektrickej energie

b)  ropa

–  ropovody a zariadenia na skladovanie ropy

–  prevádzkovatelia zariadení na výrobu, rafinovanie a spracovanie ropy, jej skladovanie a prenos

c)  zemný plyn

–  prevádzkovatelia na trhu s elektrickou energiou a zemným plynom

–  dodávatelia

–  prevádzkovatelia distribučnej sústavy a maloobchodníci predávajúci konečným spotrebiteľom

–  prevádzkovatelia prepravnej sústavy zemného plynu, prevádzkovatelia skladovacích zariadení a zariadení skvapalneného zemného plynu

–  prevádzkovatelia zariadení na spracovanie, rafináciu a úpravu ropy a zemného plynu prevádzkovatelia zariadení na výrobu, rafinovanie a spracovanie zemného plynu, zariadení na skladovanie a prenos

–  účastníci trhu so zemným plynom [PN 133]

2.  doprava

–  leteckí dopravcovia (nákladná a osobná letecká doprava),

–  námorní dopravcovia (spoločnosti poskytujúce námornú a pobrežnú osobnú vodnú dopravu a spoločnosti poskytujúce námornú a pobrežnú nákladnú vodnú dopravu),

–  železnice (manažéri infraštruktúry, integrované spoločnosti a prevádzkovatelia železničnej dopravy),

–  letiská

–  prístavy

–  prevádzkovatelia kontroly riadenia dopravy

–  pomocné logistické služby a) uskladňovanie a skladovanie, b) manipulácia s nákladom a c) ďalšie podporné činnosti v doprave);

a)  cestná doprava

i)  prevádzkovatelia kontroly riadenia dopravy,

ii)  pomocné logistické služby:

–  uskladňovanie a skladovanie,

–  manipulácia s nákladom a,

–  ostatné pomocné činnosti v doprave

b)  železničná doprava

i)  železnice (manažéri infraštruktúry, integrované spoločnosti a prevádzkovatelia železničnej dopravy),

ii)  prevádzkovatelia kontroly riadenia dopravy,

iii)  pomocné logistické služby:

–  uskladňovanie a skladovanie,

–  manipulácia s nákladom a,

–  ostatné pomocné činnosti v doprave

c)  letecká doprava

i)  leteckí dopravcovia (nákladná a osobná letecká doprava),

ii)  letiská,

iii)  prevádzkovatelia kontroly riadenia dopravy,

iv)  pomocné logistické služby:

–  skladovanie,

–  manipulácia s nákladom a,

–  ostatné pomocné činnosti v doprave

d)  námorná doprava,

i)  námorní dopravcovia (spoločnosti poskytujúce vnútrozemskú, námornú a pobrežnú osobnú vodnú dopravu a spoločnosti poskytujúce vnútrozemskú, námornú a pobrežnú nákladnú vodnú dopravu) [PN 134]

3.  bankovníctvo: úverové inštitúcie v súlade s článkom 4 bod 1 smernice Európskeho parlamentu a Rady 2006/48/ES(20)

4.  infraštruktúry finančných trhov: burzy cenných papierov, regulované trhy, mnohostranné obchodné systémy, organizované obchodné systémy a klíringové ústavy s centrálnymi protistranami [PN 135]

5.  sektor zdravotníctva: zdravotnícke zariadenia (vrátane nemocníc a súkromných kliník) a iné subjekty poskytujúce zdravotnú starostlivosť

5a.  produkcia a dodávky vody [PN 136]

5b.  potravinový dodávateľský reťazec [PN 137]

5c.  internetové výmenné uzly [PN 138]

(1) Ú. v. EÚ C 271, 19.9.2013, s. 133. (2) Pozícia Európskeho parlamentu z 13. marca 2014. (3) Smernica Európskeho parlamentu a Rady 2002/21/ES zo 7. marca 2002 o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby (rámcová smernica) (Ú. v. ES L 108, 24.4.2002, s. 33). (4) Rozhodnutie Rady 2011/292/EÚ z 31. marca 2011 o bezpečnostných predpisoch na ochranu utajovaných skutočností EÚ (Ú. v. EÚ L 141, 27.5.2011, s. 17). (5) Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31). (6) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1). (7) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37). (8) Smernica Európskeho parlamentu a Rady 98/34/ES z 22. júna 1998 o postupe pri poskytovaní informácií v oblasti technických noriem a predpisov (Ú. v. ES L 204, 21.7.1998, s. 37). (9) SEC(2012) 72 final (10) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1025/2012 z 25. októbra 2012 o európskej normalizácii, ktorým sa menia a dopĺňajú smernice Rady 89/686/EHS a 93/15/EHS a smernice Európskeho parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES a ktorým sa zrušuje rozhodnutie Rady 87/95/EHS a rozhodnutie Európskeho parlamentu a Rady č. 1673/2006/ES (Ú. v. EÚ L 316, 14.11.2012, s. 12). (11) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13). (12) Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43). (13) Ú. v. EÚ C 32, 4.2.2014, s. 19. (14) Smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (Ú. v. EÚ L 345, 23.12.2008, s. 75). (15) Rozhodnutie Rady 2009/371/SVV zo 6. apríla 2009 o zriadení Európskeho policajného úradu (Europol) (Ú. v. EÚ L 121, 15.5.2009, s. 37). (16) Nariadenie Komisie (EÚ) č. 611/2013 z 24. júna 2013 o opatreniach uplatniteľných na oznamovanie prípadov porušenia ochrany osobných údajov na základe smernice Európskeho parlamentu a Rady 2002/58/ES o súkromí a elektronických komunikáciách (Ú. v. EÚ L 173, 26.6.2013, s. 2). (17) Smernica Európskeho parlamentu a Rady 2004/39/ES z 21. apríla 2004 o trhoch s finančnými nástrojmi (Ú. v. EÚ L 45, 16.2.2005, s. 18). (18) Odporúčanie Komisie 2003/361/ES zo 6. mája 2003, ktoré sa týka definície mikro, malých a stredných podnikov (Ú. v. ES L 124, 20.5.2003, s. 36). (19) SEC(2012) 72 v konečnom znení (20) Smernica Európskeho parlamentu a Rady 2006/48/ES zo 14. júna 2006 o začatí a vykonávaní činností úverových inštitúcií (Ú. v. EÚ L 177, 30.6.2006, s. 1).