Директива Европейского Парламента и Совета Европейского Союза 2022/2557 от 14.12.2022 об устойчивости критически важных организаций, а также об отмене Директивы 2008/114/EC Совета ЕС

Директива Европейского Парламента и Совета Европейского Союза 2022/2557 от 14 декабря 2022 г.
об устойчивости критически важных организаций, а также об отмене Директивы 2008/114/EC Совета ЕС*(1)

(Действие Директивы распространяется на Европейское экономическое пространство)

Европейский Парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 114 данного Договора,

Руководствуясь предложением Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

Руководствуясь заключением Европейского комитета по экономическим и социальным вопросам*(2),

После консультаций с Комитетом регионов*(3),

Действуя в соответствии с обычной законодательной процедурой*(4),

Принимая во внимание следующие обстоятельства:

(1) Критически важные организации как поставщики основных услуг играют незаменимую роль в поддержании жизненно необходимых социальных функций или экономической деятельности на внутреннем рынке во все более взаимозависимой экономике Союза. Следовательно, необходимо установление рамок правовой базы с целью усиления устойчивости критически важных организаций на внутреннем рынке путем установления гармонизированных минимальных правил и организации содействия их выполнению с помощью последовательной и целенаправленной поддержки и надзорных мер.

(2) Директива 2008/114/ЕС*(5) Совета ЕС предусматривает процедуру установления европейских критических инфраструктур в энергетическом и транспортном секторах, нарушение или уничтожение которых оказало бы существенное трансграничное воздействие как минимум на два государства-члена ЕС. Указанная Директива фокусируется исключительно на защите таких инфраструктур. Однако оценка Директивы 2008/114/ЕС, проведенная в 2019 г., выявила, что в связи с все более взаимосвязанным и трансграничным характером операций с использованием критических инфраструктур защитные меры, касающиеся только отдельных активов, недостаточны для предотвращения нарушений. Следовательно, необходимо сместить подход в направлении гарантий того, что риски тщательно просчитываются, что роль и обязанности критических инфраструктур в качестве поставщиков услуг, имеющих большое значение для функционирования внутреннего рынка, лучше определены и более последовательны, а также что принимаются правила Союза для усиления устойчивости критически важных организаций. Критически важные организации должны быть в состоянии расширять свои возможности, чтобы предотвращать, смягчать, противостоять воздействию, нейтрализовывать и улаживать инциденты, которые могут нарушить предоставление основных услуг.

(3) В то время как ряд мер на уровне Союза, таких как Европейская программа по защите критических инфраструктур, а также на национальном уровне направлен на поддержание защиты критических инфраструктур на территории Союза, необходимо приложить дополнительные усилия для более полного оснащения организаций, обслуживающих данные инфраструктуры, в целях устранения рисков для их оперативной деятельности, которые могут привести к нарушению предоставления основных услуг. Также необходимо сделать больше, чтобы лучше подготовить такие организации, поскольку имеются динамичный ландшафт угроз, включающий смешанные и террористические угрозы, и возрастающая взаимозависимость между инфраструктурой и отраслями. Более того, возрастает физический риск, связанный с природными катастрофами и изменением климата, который увеличивает частоту и масштаб экстремальных погодных явлений и влечет долгосрочные изменения средних параметров климатических условий, которые могут сократить мощность, эффективность и жизненный цикл определенных видов инфраструктур при отсутствии мер климатической адаптации. Также внутренний рынок характеризуется фрагментарностью в отношении идентификации критически важных организаций, поскольку соответствующие отрасли и категории организаций не всегда признаются критически важными во всех государствах-членах ЕС. Настоящая Директива должна, таким образом, достичь высокого уровня гармонизации с точки зрения отраслей и категорий организаций, подпадающих под ее действие.

(4) В то время как определенные отрасли экономики, такие как энергетический и транспортный сектора, уже регулируются специальными отраслевыми законодательными актами Союза, такие законодательные акты содержат положения, которые касаются только отдельных аспектов устойчивости организаций, действующих в данных отраслях. Чтобы всесторонне рассмотреть устойчивость данных организаций, которые являются критически важными для надлежащего функционирования внутреннего рынка, настоящая Директива создает общую основу, которая рассматривает устойчивость критически важных организаций в отношении всех опасностей природного или техногенного характера, случайных или преднамеренных.

(5) Растущая взаимозависимость между инфраструктурой и отраслями является результатом все более трансграничной и взаимозависимой сети предоставления услуг с использованием ключевых инфраструктур на территории Союза в энергетическом, транспортном, банковском секторе, секторе питьевой воды, водоотведения, секторе производства, переработки и дистрибуции пищевых продуктов, секторе здравоохранения, космическом секторе, в секторах инфраструктуры финансового рынка и цифровой инфраструктуры, а также в определенных аспектах сектора государственного управления. Космический сектор подпадает под действие настоящей Директивы в отношении оказания определенных услуг, зависящих от наземной инфраструктуры, которая находится во владении, управлении или использовании государств-членов ЕС либо частных лиц; следовательно, инфраструктура, которая находится во владении, управлении или использовании Союза либо от его имени в качестве составной части его космической программы, не подпадает под действие настоящей Директивы.

Ввиду особенностей энергетической отрасли и, в частности методов производства и передачи электроэнергии (в отношении электроснабжения), очевидно, что при наличии целесообразности процесс производства электроэнергии может частично включать передачу электроэнергии атомными электростанциями, за исключением специальных атомных элементов, подпадающих под действие договоров и законодательства Союза, в том числе соответствующих законодательных актов Союза, касающихся атомной энергии. Процесс идентификации критически важных организаций в пищевом секторе должен надлежащим образом отражать характер внутреннего рынка в указанном секторе, а также многочисленные правила Союза, касающиеся общих принципов и требований продовольственного законодательства и безопасности пищевых продуктов. Таким образом, чтобы обеспечить пропорциональный подход и надлежащим образом отражать роль и значимость данных организаций на национальном уровне, критически важные организации должны идентифицироваться среди предприятий пищевого сектора, коммерческих или некоммерческих, государственных или частных, которые занимаются исключительно логистикой и оптовой торговлей, а также крупномасштабным промышленным производством и переработкой, занимающих значительную долю рынка, что отмечается на национальном уровне. Данные взаимозависимости означают, что любое нарушение оказания основных услуг, даже которое первоначально ограничивается одной организацией или одним сектором, может вызвать более широкий каскадный эффект, потенциально приводящий к далеко идущим и долгосрочным негативным последствиям для предоставления услуг на внутреннем рынке. Крупные кризисы, такие как пандемия COVID-19, показали уязвимость нашего все более взаимозависимого общества перед лицом маловероятных рисков с высокой степенью воздействия.

(6) Организациям, участвующим в оказании основных услуг, все чаще предъявляются противоречивые требования в соответствии с национальным законодательством. Тот факт, что некоторые государства-члены ЕС имеют менее строгие требования безопасности к таким организациям, ведет не только к разным уровням устойчивости, но вызывает риски негативного воздействия на поддержание жизненно важных социальных функций или на экономическую активность на территории Союза, а также препятствует надлежащему функционированию внутреннего рынка. Инвесторы и компании могут доверять критически важным организациям, которые устойчивы, и полагаться на них; надежность и доверие являются краеугольными камнями эффективно функционирующего внутреннего рынка. Схожие виды организаций считаются критически важными в некоторых государствах-членах ЕС, но не признаются таковыми в других, а также те организации, которые идентифицируются как критически важные, подпадают под действие различных требований в разных государствах-членах ЕС. Это приводит к дополнительной и ненужной административной нагрузке для компаний, ведущих трансграничную деятельность, в частности для компаний, действующих в государствах-членах ЕС с более строгими требованиями. Рамки Союза должны создавать равные условия для критически важных организаций на территории Союза.

(7) Необходимо установить гармонизированные минимальные правила, чтобы гарантировать предоставление основных услуг на внутреннем рынке, усилить устойчивость критически важных организаций и улучшить трансграничное сотрудничество между компетентными органами. Важно, чтобы указанные правила соответствовали требованиям завтрашнего дня с точки зрения их разработки и имплементации, в то же время позволяя необходимую гибкость. Также крайне необходимо расширять возможности критически важных организаций по оказанию основных услуг перед лицом разнообразных рисков.

(8) Для достижения высокого уровня устойчивости государства-члены ЕС должны идентифицировать критически важные организации, которые подлежат специальным требованиям и надзору, а также будут обеспечены особой поддержкой и руководством в свете всех релевантных рисков.

(9) С учетом важности кибербезопасности для устойчивости критически важных организаций и в целях обеспечения последовательности, необходим согласованный подход, по возможности, между настоящей Директивой и Директивой (ЕС) 2022/2555 Европейского Парламента и Совета ЕС*(6). В свете более частого возникновения и особых характеристик киберрисков Директива (ЕС) 2022/2555 возлагает комплексные требования на широкую группу предприятий, чтобы гарантировать их кибербезопасность. Учитывая, что кибербезопасность достаточно подробно рассматривается в Директиве 2022/2555, вопросы, охватываемые этой Директивой, должны быть исключены из сферы применения настоящей Директивы без ущерба для особого режима организаций сектора цифровой инфраструктуры.

(10) В тех случаях, когда положения отраслевых законодательных актов Союза требуют, чтобы критически важные организации приняли меры к повышению устойчивости, и когда такие требования признаются государствами-членами ЕС как минимум эквивалентными релевантным обязательствам, установленным в настоящей Директиве, соответствующие положения настоящей Директивы не применяются во избежание дублирования и ненужной нагрузки. В таком случае должны применяться соответствующие положения данных законодательных актов Союза. В том случае, когда соответствующие положения настоящей Директивы не применяются, положения о надзоре и принудительном применении, установленные настоящей Директивой, также не подлежат применению.

(11) Настоящая Директива не затрагивает компетенцию государств-членов ЕС и их органов с точки зрения административной автономии или их ответственности за обеспечение национальной безопасности и обороны или их полномочий по охране основных функций государства, в частности, касающихся государственной безопасности, территориальной целостности и поддержания права и правопорядка. Исключения государственных административных организаций из сферы применения настоящей Директивы применяются к организациям, чья деятельность ведется преимущественно в сфере национальной безопасности, государственной безопасности, обороны или охраны правопорядка, в том числе расследования, выявления и судебного преследования уголовных преступлений. Однако государственные административные учреждения, чья деятельность лишь незначительно связана с данными сферами, должны подпадать под действие настоящей Директивы. Для целей настоящей Директивы учреждения, обладающие регулирующими полномочиями, не считаются ведущими деятельность в сфере охраны правопорядка и, следовательно, не исключаются из сферы применения настоящей Директивы по этим основаниям. Государственные административные учреждения, которые созданы совместно с третьей страной в соответствии с международным соглашением, исключаются из сферы применения настоящей Директивы. Настоящая Директива не применяется к консульским и дипломатическим миссиям государств-членов ЕС в третьих странах.

Некоторые критически важные организации ведут деятельность в сфере национальной безопасности, государственной безопасности, обороны или охраны правопорядка, в том числе расследования, выявления и судебного преследования уголовных преступлений, или предоставляют услуги исключительно государственным административным учреждениям, которые ведут деятельность преимущественно в этих сферах. В свете своей ответственности за обеспечение национальной безопасности и обороны государства-члены ЕС должны иметь возможность принимать решения о том, что обязательства критически важных организаций, установленные в настоящей Директиве, не применяются в целом или в части к таким критически важным организациям, если услуги, которые они предоставляют, или деятельность, которую они ведут, преимущественно связаны со сферами национальной безопасности, государственной безопасности, обороны или охраны правопорядка, в том числе расследования, выявления и судебного преследования уголовных преступлений. Критически важные организации, услуги или деятельность которых лишь незначительно связана с указанными сферами, подпадают под действие настоящей Директивы. Ни от одного государства-члена ЕС не должно требоваться предоставление информации, раскрытие которой противоречит жизненно важным интересам национальной безопасности. Правила Союза или национальные правила о защите секретной информации и соглашения о неразглашении имеют большое значение.

(12) Во избежание угрозы национальной безопасности или безопасности и коммерческим интересам критически важных организаций доступ, обмен и обращение с секретной информацией должны осуществляться разумно и с особым вниманием к используемым каналам передачи и мощностям хранения.

(13) Для обеспечения комплексного подхода к устойчивости критически важных организаций каждое государство-член ЕС должно иметь стратегию по повышению устойчивости критически важных организаций ("стратегия"). Стратегия устанавливает стратегические объекты и политические меры для имплементации. В интересах согласованности и эффективности стратегия должна разрабатываться таким образом, чтобы обеспечить плавную интеграцию действующей политики, и, если это возможно, на основе существующих национальных и отраслевых стратегий, планов или подобных документов. Для достижения комплексного подхода государства-члены ЕС должны гарантировать, что их стратегии обеспечивают политические рамки для улучшения координации между компетентными органами, назначенными в соответствии с настоящей Директивой, и между компетентными органами, назначенными согласно Директиве (ЕС) 2022/2555, в контексте обмена информацией по рискам кибербезопасности, цифровых угроз и цифровых инцидентов, и нецифровых рисков, угроз и инцидентов, а также в контексте выполнения задач по надзору. При введении в действие стратегий государства-члены ЕС должны надлежащим образом учитывать смешанный характер угроз для критически важных организаций.

(14) Государства-члены ЕС должны сообщать Европейской Комиссии о своих стратегиях и о внесении в них существенных изменений, чтобы Комиссия имела возможность оценить правильность применения настоящей Директивы в том, что касается политических подходов к устойчивости критически важных организаций на национальном уровне. В случае необходимости стратегии могут быть сообщены как секретная информация. Европейская Комиссия составляет сводный отчет по стратегиям, информация о которых передана государствами-членами ЕС, чтобы он служил основой для обмена с целью выявления лучших практик и вопросов, представляющих общий интерес, в рамках Группы по устойчивости критически важных организаций. В связи с конфиденциальным характером обобщенной информации, включенной в сводный отчет по стратегиям, о которых сообщено государствами-членами ЕС, как секретной, так и несекретной, Европейская Комиссия работает со сводным отчетом с соответствующим уровнем осведомленности в целях обеспечения безопасности критически важных организаций, государств-членов ЕС и Европейского Союза. Сводный отчет и стратегии должны быть защищены от незаконных или вредоносных действий и доступны только для авторизованных лиц, чтобы обеспечить выполнение целей настоящей Директивы. Сообщение стратегий и существенных изменений в них также помогает Комиссии в понимании изменений в подходах к устойчивости критически важных организаций и вносит вклад в мониторинг влияния и эффекта от применения настоящей Директивы, которые Европейская Комиссия периодически пересматривает.

(15) Действия государств-членов ЕС по идентификации и содействию в обеспечении устойчивости критически важных организаций должны соответствовать подходу, основанному на анализе рисков, и ориентированному на организации, которые имеют наиболее непосредственное отношение к выполнению жизненно важных социальных функций или экономической деятельности. Чтобы обеспечить такой целенаправленный подход, каждое государство-член ЕС в рамках гармонизированной правовой базы проводит оценку соответствующих природных и антропогенных рисков, в том числе межотраслевого и трансграничного характера, которые могут повлиять на предоставление жизненно важных услуг, включая несчастные случаи, природные катастрофы, чрезвычайные ситуации в сфере здравоохранения, такие как пандемии и смешанные угрозы, и другие антагонистические угрозы, включая террористические преступления, коррупцию и саботаж ("оценка рисков государства-члена ЕС"). При проведении оценки рисков государства-члена ЕС, государства-члены ЕС должны принимать во внимание и другие общие или отраслевые оценки рисков, проводимые в соответствии с иными законодательными актами Союза, а также должны учитывать то, насколько отрасли зависят друг от друга и от отраслей других государств-членов ЕС и третьих стран. Результаты оценок рисков государств-членов ЕС должны использоваться для целей идентификации критически важных организаций и содействовать этим организациям в соблюдении требований устойчивости. Настоящая Директива применяется только к государствам-членам ЕС и критически важным организациям, которые действуют на территории Союза. Тем не менее, опыт и знания, полученные компетентными органами, в частности, в ходе оценки рисков, а также Европейской Комиссией, в частности, в результате различных форм содействия и сотрудничества, могут быть использованы, если это целесообразно и в соответствии с действующими правовыми актами, в интересах третьих стран, в частности, непосредственно граничащими с Европейским Союзом, путем применения в существующем сотрудничестве по устойчивости.

(16) Чтобы гарантировать, что на все соответствующие организации распространяются требования настоящей Директивы по устойчивости и в целях сокращения расхождений в этом отношении, важно установить гармонизированные правила, обеспечивающие последовательную идентификацию критически важных организаций на территории Союза, в то же время позволяя государствам-членам ЕС соответствующим образом отражать роль и важность этих организаций на национальном уровне. При применении критериев, установленных в настоящей Директиве, каждое государство-член ЕС должно идентифицировать организации, которые предоставляют одну или более основных услуг, а также эксплуатируют и имеют критически важную инфраструктуру, расположенную на его территории. Организация считается действующей на территории того государства-члена ЕС, в котором осуществляет деятельность, необходимую для рассматриваемой основной услуги или услуг, и в котором расположена критически важная инфраструктура этой организации, которая используется для предоставления этой услуги или услуг. В случаях, когда ни одна организация не отвечает этим критериям в государстве-члене ЕС, на данное государство-члена ЕС не возлагается обязанность по идентификации критически важной организации в соответствующей отрасли или подотрасли. В интересах эффективности, действенности, последовательности и правовой определенности необходимо установить соответствующие правила касаемо уведомления организаций о том, что они были идентифицированы как критически важные.

(17) Государства-члены ЕС должны представлять Европейской Комиссии способом, который соответствует целям настоящей Директивы, перечень основных услуг, количество критических организаций, идентифицированных для каждой отрасли и подотрасли, указанных в Приложении, и для основной услуги или услуг, которые каждая организация предоставляет, а также, если это применимо, пороговые значения. Должна быть обеспечена возможность предоставления пороговых значений как таковых или в агрегированной форме, чтобы информация могла быть усреднена по географической зоне, году, отрасли, подотрасли или другим способом, и могла включать информацию о диапазоне представленных показателей.

(18) Необходимо установить критерии для определения значимости негативного эффекта, оказываемого инцидентом. Эти критерии должны основываться на критериях, установленных в Директиве (ЕС) 2016/1148 Европейского Парламента и Совета ЕС*(7), в целях использования усилий, предпринимаемых государствами-членами ЕС для идентификации операторов основных услуг, как определено в этой Директиве, а также полученного в этой связи опыта. Основные кризисы, такие как пандемия COVID-19, показали важность обеспечения безопасности продовольственной цепи и продемонстрировали, что ее нарушение может иметь негативные экономические и социальные последствия для большого числа отраслей и между странами. Таким образом, государства-члены ЕС должны учитывать, насколько это возможно, воздействие на продовольственную цепь при определении степени зависимости других отраслей и подотраслей от основной услуги, предоставляемой критически важной организацией.

(19) В соответствии с действующим законодательством Союза и национальным законодательством, включая Регламент (ЕС) 2019/452 Европейского Парламента и Совета ЕС*(8), который устанавливает правовые рамки для проверки прямых иностранных инвестиций в Союз, необходимо осознавать потенциальную угрозу, создаваемую иностранным владением критической инфраструктурой на территории Союза, поскольку экономика и свободное перемещение и безопасность граждан Союза зависят от надлежащего функционирования критически важной инфраструктуры.

(20) Директива (ЕС) 2022/2555 требует, чтобы организации, принадлежащие к сектору цифровой инфраструктуры, которые могли бы быть идентифицированы как критически важные организации согласно настоящей Директиве, принимали надлежащие и пропорциональные технические, операционные и организационные меры для управления рисками безопасности сети и информационных систем и уведомляли о серьезных инцидентах и цифровых угрозах. Поскольку угрозы безопасности сети и информационных систем могут иметь различное происхождение, Директива (СЕ) 2022/2555 применяет принцип учета всех опасностей, который включает устойчивость сети и информационных систем, а также физических компонентов и среды этих систем.

При условии, что требования, установленные в Директиве (ЕС) 2022/2555, в этом отношении как минимум эквивалентны соответствующим обязательствам, установленным в настоящей Директиве, обязательства, установленные в Статье 11 и Главах III, IV и VI настоящей Директивы, не должны применяться к организациям, относящимся к сектору цифровой инфраструктуры, во избежание дублирования и ненужной административной нагрузки. Однако учитывая важность услуг, предоставляемых организациями, относящимися к сектору цифровой инфраструктуры, для критически важных организаций, относящихся ко всем остальным отраслям, государства-члены ЕС должны идентифицировать на основе критериев и с применением процедуры, предусмотренной в настоящей Директиве, организации, относящиеся к сектору цифровой инфраструктуры в качестве критически важных организаций. Следовательно, должны применяться стратегии, оценка рисков государств-членов ЕС и меры поддержки, установленные в Главе II настоящей Директивы. Государства-члены ЕС должны иметь возможность принимать или продолжать применение положений национального законодательства для достижения более высокого уровня устойчивости таких критически важных организаций, при условии, что данные положения соответствуют действующему законодательству Союза.

(21) Законодательство о финансовых услугах Союза устанавливает комплексные требования к финансовым организациям в целях управления всеми рисками, с которыми они сталкиваются, а также в целях обеспечения непрерывности бизнес-процессов. Такое законодательство включает Регламенты (ЕС) 648/2012*(9), (ЕС) 575/2013*(10) и (ЕС) 600/2014*(11) Европейского Парламента и Совета ЕС и Директивы 2013/36/ЕС*(12) и 2014/65/ЕС*(13) Европейского Парламента и Совета ЕС. Данная правовая база дополняется Регламентом (ЕС) 2022/2554 Европейского Парламента и Совета ЕС*(14), который устанавливает требования, применяемые к финансовым организациям для управления рисками информационных и коммуникационных технологий (ICT), в том числе касающиеся защиты физической инфраструктуры ICT. Поскольку таким образом устойчивость этих организаций регулируется комплексно, Статьи 11 и Главы III, IV и VI настоящей Директивы не должны применяться к таким организациям во избежание дублирования и ненужной административной нагрузки.

Однако учитывая важность услуг, предоставляемых организациями финансового сектора критически важным организациям, относящимся ко всем другим отраслям, государства-члены ЕС должны идентифицировать на основе критериев и с применением процедуры, предусмотренной в настоящей Директиве, организации финансового сектора в качестве критически важных организаций. Следовательно, должны применяться стратегии, оценки рисков государств-членов ЕС и меры поддержки, установленные в Главе II настоящей Директивы. Государства-члены ЕС должны иметь возможность принимать или продолжать применение положений национального законодательства для достижения более высокого уровня устойчивости таких критически важных организаций, при условии, что данные положения соответствуют действующему законодательству Союза.

(22) Государства-члены ЕС должны назначить или учредить органы, уполномоченные осуществлять надзор за применением и, при необходимости, обеспечивать применение правил настоящей Директивы, а также должны гарантировать, что эти органы наделены надлежащими полномочиями и ресурсами. В свете различий в национальных структурах управления для защиты существующих отраслевых механизмов или надзорных и регулирующих органов Союза и во избежание дублирования государства-члены ЕС должны иметь возможность назначать или учреждать несколько компетентных органов. В случаях, когда государства-члены ЕС назначают или учреждают несколько компетентных органов, они должны четко определить соответствующие задачи рассматриваемых органов и обеспечить их слаженное и эффективное сотрудничество. Все компетентные органы также должны более широко сотрудничать с другими соответствующими органами на уровне Союза и на национальном уровне.

(23) Чтобы обеспечить трансграничное сотрудничество и связи, а также чтобы обеспечить эффективную имплементацию настоящей Директивы, каждое государство-член ЕС должно без ущерба требованиям отраслевых законодательных актов Союза назначить единый контактный пункт, ответственный за координирование вопросов, связанных с устойчивостью критически важных организаций и трансграничным сотрудничеством на уровне Союза ("единый контактный пункт"), если это применимо - в структуре компетентного органа. Каждый единый контактный пункт должен поддерживать контакты и координировать связь, если это применимо, совместно с компетентными органами государства-члена ЕС, с другими едиными контактными пунктами других государств-членов ЕС и Группой по устойчивости критически важных организаций.

(24) Компетентные органы, назначенные согласно настоящей Директиве, и компетентные органы, назначенные согласно Директиве (ЕС) 2022/2555, должны сотрудничать и обмениваться информацией относительно рисков кибербезопасности, цифровых угроз и цифровых инцидентов и нецифровых рисков, угроз и инцидентов, влияющих на критические организации, а также относительно соответствующих мер, предпринимаемых компетентными органами, назначенными согласно настоящей Директиве, и компетентными органами, назначенными в соответствии с Директивой (ЕС) 2022/2555. Важно, чтобы государства-члены ЕС обеспечивали имплементацию требований, предусмотренных в настоящей Директиве и Директиве (ЕС) 2022/2555, на основе взаимодополняемости и гарантировали, что критически важные организации не подвергаются административной нагрузке свыше необходимого для достижения целей настоящей Директивы и Директивы 2022/2555.

(25) Государства-члены ЕС должны поддерживать критически важные организации, включая те, которые квалифицируются как малые и средние предприятия, в повышении их устойчивости в соответствии с обязательствами государств-членов ЕС, установленными в настоящей Директиве, без ущерба собственной правовой ответственности критически важных организаций по обеспечению соблюдения обязательств, и, таким образом исключая ненужную административную нагрузку. Государства-члены ЕС могут, в частности, разрабатывать материалы по руководству и методологии, оказывать содействие в организации мероприятий по тестированию устойчивости критически важных организаций, а также давать рекомендации и организовывать обучение персонала критически важных организаций. В необходимых случаях и когда это оправдано общественными интересами, государства-члены ЕС могут предоставить финансовые ресурсы и обеспечивают добровольный обмен информацией и лучшими практиками между критически важными организациями, без ущерба применению правил о конкуренции, установленных в Договоре о функционировании Европейского Союза (TFEU).

(26) В целях усиления устойчивости критически важных организаций, идентифицированных государствами-членами ЕС, и сокращения административной нагрузки на такие критически важные организации, компетентные органы должны в соответствующих случаях консультироваться друг с другом, чтобы обеспечить согласованное применение настоящей Директивы. Такие консультации должны проводиться по запросу любого заинтересованного компетентного органа и быть сосредоточены на конвергентном подходе относительно взаимосвязанных критически важных организаций, которые используют критически важную инфраструктуру, физически подключенную между двумя и более государствами-членами ЕС, которые принадлежат к тем же группам или корпоративным структурам, или которые были идентифицированы в одном государстве-члене ЕС, или которые предоставляют основные услуги этому государству-члену ЕС или в других государствах-членах ЕС.

(27) В тех случаях, когда положения национального законодательства или законодательства Союза требуют, чтобы критически важные организации оценивали риски, касающиеся целей настоящей Директивы, и принимали меры для обеспечения собственной устойчивости, такие требования должны быть соответствующим образом учтены для целей надзора за соблюдением настоящей Директивы критически важными организациями.

(28) Критически важные организации должны иметь комплексное понимание соответствующих рисков, которым они подвергаются, и нести обязанности по анализу таких рисков. Для этих целей они должны проводить оценки рисков с учетом конкретных обстоятельств и меняющегося характера таких рисков, но в любом случае, каждые четыре года, чтобы оценить соответствующие риски, которые могут нарушить предоставление основных услуг ("оценка риска критически важной организации"). В случаях, когда критически важные организации уже провели другие оценки рисков или разработали документы в соответствии с обязательствами, установленными в других законодательных актах, касающихся оценки рисков критически важных организаций, они могут использовать такие оценки и документы для соблюдения требований, установленных в настоящей Директиве, касающихся оценки рисков критически важных организаций. Компетентный орган вправе декларировать, что имеющаяся оценка рисков, проведенная критически важной организацией, в которой рассмотрены соответствующие риски и соответствующая степень зависимости, соответствует полностью или в части обязательствам, установленным в настоящей Директиве.

(29) Критически важные организации должны принимать технические и организационные меры, меры безопасности, которые соответствуют и пропорциональны рискам, которым они подвергаются, с тем чтобы предотвращать, смягчать, противостоять воздействию, нейтрализовывать и улаживать инциденты. При принятии критически важными организациями таких мер в соответствии с настоящей Директивой детали и масштаб таких мер должны отражать различные риски, которые критически важная организация идентифицировала в качестве составной части оценки риска критической организации, а также особенности такой организации надлежащим и пропорциональным образом. Чтобы содействовать реализации последовательного подхода Союза, Европейская Комиссия после консультаций с Группой по устойчивости критически важных организаций должна принять не имеющие обязательной силы руководства для дальнейшей конкретизации этих технических и организационных мер и мер безопасности. Государства-члены ЕС гарантируют, что каждая критически важная организация назначает сотрудника по связи или эквивалентного сотрудника в качестве единого контактного пункта для связи с компетентными органами.

(30) В интересах эффективности и подотчетности критические организации должны описывать меры, которые они принимают, с таким уровнем детализации, который в достаточной мере достигает целей эффективности и подотчетности с учетом выявленных рисков, в плане по устойчивости или в другом документе или документах, которые эквивалентны плану по устойчивости, и применяют этот план на практике. В случае если критически важная организация уже приняла технические организационные меры и меры безопасности и разработала документы согласно другим законодательным актам, которые соответствуют мерам по повышению устойчивости согласно настоящей Директиве, то она должна иметь возможность во избежание дублирования применять эти меры и документы для соблюдения требований к мерам по устойчивости в соответствии с настоящей Директивой. Компетентный орган вправе декларировать, что имеющиеся меры по устойчивости, принятые критически важной организацией во исполнение обязанности по принятию технических и организационных мер и мер безопасности в соответствии с настоящей Директивой, соответствуют полностью или в части требованиям настоящей Директивы.

(31) Регламенты (EC) 725/2004*(15) и (EC) 300/2008*(16) Европейского Парламента и Совета ЕС и Директива 2005/65/EC Европейского Парламента и Совета ЕС*(17) устанавливают требования, применяемые к организациям в отраслях воздушного и морского транспорта, чтобы предотвращать инциденты, вызванные незаконными актами, и противодействовать и смягчать последствия таких инцидентов. Поскольку меры, требования о которых содержатся в настоящей Директиве, являются более общими в значении рассматриваемых рисков и видов принимаемых мер, критически важные организации в этих отраслях должны отразить в своем плане по устойчивости или эквивалентных документах меры, принимаемые в соответствии с другими законодательными актами Союза. Критически важные организации также должны учитывать Директиву 2008/96/ЕС Европейского Парламента и Совета ЕС*(18), которая вводит оценку состояния сети дорог для определения рисков несчастных случаев и целевую проверку безопасности дорожного движения для выявления опасных условий, дефектов и проблем, которые увеличивают риск несчастных случаев и травм, основанную на посещениях существующих дорог или дорожных участков. Обеспечение защиты и устойчивости критически важных организаций имеет первостепенное значение для железнодорожного сектора, и при имплементации мер по устойчивости в соответствии с настоящей Директивой критически важным организациям рекомендуется ссылаться на не имеющие обязательной силы руководства и лучшие практики, разработанные в рамках отраслевых направлений работы, таких как Платформа безопасности на железнодорожном транспорте ЕС, установленная Решением Европейской Комиссии 2018/С 232/03*(19).

(32) Риск ненадлежащего использования сотрудниками или их контрагентами, например, прав доступа на предприятии критически важной организации в целях причинения вреда и нанесения убытков вызывает все большую обеспокоенность. Таким образом, государства-члены ЕС должны определить условия, при которых критически важным организациям разрешено в надлежаще обоснованных случаях и с учетом оценок рисков государств-членов ЕС подавать запросы для проверок анкетных данных лиц, входящих в особые категории их персонала. Необходимо гарантировать, что соответствующие органы рассматривают такие запросы в разумный срок и обрабатывают их в соответствии с национальным законодательством и процедурами, соответствующими действующему законодательству Союза, в том числе о защите персональных данных. Чтобы подтвердить личность лица, являющегося объектом проверки анкетных данных, целесообразно, чтобы государства-члены ЕС запрашивали удостоверение личности, такое как паспорт, национальная ID-карта или цифровая форма идентификации, в соответствии с действующим законодательством.

Проверки анкетных данных должны включать проверку информации о судимости рассматриваемого лица. Государства-члены ЕС используют Европейскую информационную систему учета судимостей в соответствии с процедурами, установленными в Рамочном Решении Совета ЕС 2009/315/ПВД*(20), и, когда это уместно и применимо, Регламент (ЕС) 2019/816 Европейского Парламента и Совета ЕС*(21) для получения информации из баз данных судимостей других государств-членов ЕС. Государства-члены ЕС также могут, когда это уместно и применимо, воспользоваться вторым поколением Шенгенской информационной системы (SIS II), установленной Регламентом (ЕС) 2018/1862 Европейского Парламента и Совета ЕС*(22), оперативной и другой доступной информацией, необходимой для определения пригодности рассматриваемого лица занимать должность, в связи с которой критически важная организация запрашивает проверку анкетных данных.

(33) Необходимо создать механизм уведомления об определенных инцидентах, который бы позволил компетентным органам реагировать на инциденты своевременно и надлежаще провести всесторонний обзор влияния, характера, причины и возможных последствий инцидентов, с которыми сталкиваются критически важные организации. Критически важные организации должны незамедлительно сообщать компетентным органам об инцидентах, которые в значительной степени нарушают или потенциально могут в значительной степени нарушить предоставление основных услуг. Кроме случаев, когда в оперативном отношении это невозможно, критически важные организации должны представить первоначальное уведомление не позднее 24 часов с момента, как им стало известно об инциденте. Первоначальное уведомление включает только информацию, строго необходимую для извещения компетентного органа об инциденте, и позволяет критически важной организации при необходимости обратиться за помощью. В таком уведомлении по возможности должна указываться предполагаемая причина инцидента. Государства-члены ЕС гарантируют, что требование о представлении первоначального уведомления не отвлекает ресурсы критически важной организации от действий по улаживанию инцидента, которые являются приоритетными. После первоначального уведомления, если это применимо, не позднее одного месяца после инцидента направляется подробный отчет. Подробный отчет включает в себя первоначальное уведомление и более полный обзор инцидента.

(34) Стандартизация должна по-прежнему оставаться процессом, управляемым свободным рынком. Однако все еще могут возникать ситуации, в которых целесообразно требовать соблюдения определенных стандартов. Государства-члены ЕС, когда это эффективно, должны поощрять использование европейских и международных стандартов и технических спецификаций, касающихся мер безопасности и устойчивости, применимых к критически важным организациям.

(35) Тогда как критически важные организации в основном функционируют в качестве составной части взаимосвязанной сети предоставления услуг и инфраструктуры, а также часто предоставляют услуги в нескольких государствах-членах ЕС, некоторые из этих критически важных организаций имеют особое значение для Европейского Союза и его внутреннего рынка, поскольку предоставляют основные услуги шести и более государствам-членам ЕС или в шести и более государствах-членах ЕС, и следовательно, могут пользоваться преимуществами специальной поддержки на уровне Союза. Таким образом, необходимо установить правила о консультативных миссиях в отношении таких критически важных организаций особого европейского значения. Эти правила применяются без ущерба правилам о надзоре и обеспечении применения, установленным в настоящей Директиве.

(36) По мотивированному запросу Европейской Комиссии или одного или нескольких государств-членов ЕС, которым или в которых предоставляется основная услуга, в случае если необходима дополнительная информация для консультирования критически важной организации по вопросу выполнения обязательств согласно настоящей Директиве или для оценки соблюдения критически важной организацией особого европейского значения этих обязательств, государство-член ЕС, которое идентифицировало организацию особого европейского значения в качестве критически важной организации, предоставляет Европейской Комиссии определенную информацию, как установлено в настоящей Директиве. По согласованию с государством-членом ЕС, которое идентифицировало организацию особого европейского значения в качестве критически важной организации, Европейская Комиссия вправе организовать консультативную миссию для оценки мер, принимаемых этой организацией. Чтобы обеспечить надлежащее функционирование таких консультативных миссий необходимо установить дополнительные правила, в частности, об организации и проведении консультативных миссий, о необходимых последующих мерах и об обязанностях соответствующих критически важных организаций особого европейского значения. Без ущерба для необходимости соблюдения правил, установленных в настоящей Директиве государством-членом ЕС, в котором проводится консультативная миссия, и заинтересованной критически важной организацией, консультативная миссия должна проводиться с учетом подробных правил законодательства этого государства-члена ЕС, например, о соблюдении четких условий для получения доступа к соответствующим помещениям или документам и о судебном порядке правовой защиты. Специальная экспертиза, необходимая для таких консультативных миссий, в соответствующих случаях может быть запрошена посредством Координационного центра реагирования на чрезвычайные ситуации, созданного Решением 1313/2013/ЕС Европейского Парламента и Совета ЕС*(23).

(37) Для оказания содействия Европейской Комиссии и обеспечения сотрудничества между государствами-членами ЕС и обмена информацией, включая лучшие практики, по вопросам, относящимся к настоящей Директиве, необходимо создать Группу по устойчивости критически важных организаций в качестве экспертной группы Европейской Комиссии. Государства-члены ЕС должны стремиться обеспечить действенное и эффективное сотрудничество назначенных представителей компетентных органов в Группе по устойчивости критически важных организаций, в том числе посредством назначения представителей, которые, при необходимости, прошли проверку безопасности. Группа по устойчивости критически важных организаций должна приступить к работе в кратчайший срок, чтобы обеспечить дополнительные средства для надлежащего сотрудничества на протяжении срока преобразования в национальное право настоящей Директивы. Группа по устойчивости критически важных организаций должна взаимодействовать с другими отраслевыми экспертными рабочими группами.

(38) Группа по устойчивости критически важных организаций сотрудничает с Группой по сотрудничеству, учрежденной в соответствии с Директивой (ЕС) 2022/2555 в целях поддержания всеобъемлющей основы для цифровой и нецифровой устойчивости критически важных организаций. Группа по устойчивости критически важных организаций и Группа по сотрудничеству, созданные в соответствии с Директивой (ЕС) 2022/2555, должны вести регулярный диалог для поощрения сотрудничества между компетентными органами, назначенными согласно настоящей Директиве и компетентными органами, назначенными согласно Директиве (ЕС) 2022/2555, а также чтобы обеспечить обмен информацией, в частности, по темам, имеющим отношение к обеим группам.

(39) Для достижения целей настоящей Директивы и без ущерба для правовой ответственности государств-членов ЕС и критически важных организаций по обеспечению соблюдения соответствующих обязательств, установленных Директивой, Европейская Комиссия, если сочтет это целесообразным, оказывает содействие компетентным органам и критически важным организациям с целью обеспечения соблюдения ими соответствующих обязательств. При оказании содействия государствам-членам ЕС и критически важным организациям в имплементации обязательств в соответствии с настоящей Директивой Европейская Комиссия опирается на существующие структуры и инструменты, такие как созданные в соответствии с Механизмом гражданской защиты ЕС, учрежденным Решением 1313/2013/ЕС, а также Европейская справочная сеть для защиты критической инфраструктуры. В дополнение, она информирует государства-члены ЕС о ресурсах, имеющихся на уровне Союза, например, в рамках Фонда внутренней безопасности, учрежденного Регламентом (ЕС) 2021/1149 Европейского Парламента и Совета ЕС*(24), Горизонт Европа, созданный Регламентом (ЕС) 2021/695 Европейского Парламента и Совета ЕС*(25) или другие инструменты, относящиеся к устойчивости критически важных организаций.

(40) Государства-члены ЕС гарантируют, что их компетентные органы обладают специальными полномочиями для надлежащего применения и обеспечения исполнения настоящей Директивы в отношении критически важных организаций, в случаях, когда такие организации подпадают под их юрисдикцию как установлено в настоящей Директиве. Такие полномочия должны включать, в частности, право проведения проверок и аудитов, полномочия по надзору, право запрашивать в критически важных организациях предоставление информации и доказательств, касающихся мер, принятых ими для соблюдения своих обязательств, и, при необходимости, полномочия по выдаче предписаний об устранении выявленных нарушений. При выдаче таких предписаний государства-члены ЕС не должны требовать принятия мер, выходящих за рамки того, что необходимо и пропорционально для обеспечения соответствия критически важной организации с учетом, в частности, серьезности нарушения и экономической возможности заинтересованной критически важной организации. В целом эти полномочия должны сопровождаться надлежащими и эффективными гарантиями, предусматриваемыми в национальном законодательстве в соответствии с Хартией основных прав Европейского Союза. При оценке соблюдения критически важной организацией своих обязательств, как установлено в настоящей Директиве, компетентные органы, назначенные в соответствии с настоящей Директивой, вправе запросить в компетентных органах, назначенных в соответствии с Директивой (ЕС) 2022/2555, сведения о применении их надзорных и правоприменительных полномочий в отношении организации, которая подпадает под действие указанной Директивы и которая была идентифицирована как критически важная организация в соответствии с настоящей Директивой. Для этих целей компетентные органы, назначенные согласно настоящей Директиве, и компетентные органы, назначенные согласно Директиве (ЕС) 2022/2555, должны сотрудничать и обмениваться информацией.

(41) Для эффективного и последовательного применения настоящей Директивы полномочия по принятию актов в соответствии со Статьей 290 TFEU, должны быть делегированы Европейской Комиссии для дополнения настоящей Директивы путем составления перечня основных услуг. Данный перечень используется компетентными органами для целей проведения оценок рисков государств-членов ЕС и идентификации критически важных организаций в соответствии с настоящей Директивой. В свете минимального гармонизированного подхода настоящей Директивы этот перечень не является исчерпывающим, и государства-члены ЕС могут дополнять его на национальном уровне и вносить в него основные услуги с тем, чтобы учесть национальные особенности при предоставлении основных услуг. Крайне важно, чтобы Европейская Комиссия проводила соответствующие консультации в ходе подготовительной работы, в том числе на уровне экспертов, а также, чтобы эти консультации проводились в соответствии с принципами, установленными в Межинституциональном соглашении от 13 апреля 2016 г. по совершенствованию законодательной работы*(26). В частности, чтобы обеспечить равное участие в подготовке делегированных актов, Европейский Парламент и Совет ЕС получают все документы одновременно с экспертами государств-членов ЕС. Их эксперты должны иметь систематический доступ на совещания экспертных групп Европейской Комиссии, занимающихся разработкой делегированных актов.

(42) Чтобы обеспечить единые условия для имплементации настоящей Директивы, имплементационные полномочия должны быть возложены на Европейскую Комиссию. Указанные полномочия осуществляются в соответствии с Регламентом (ЕС) 182/2011 Европейского Парламента и Совета ЕС*(27).

(43) Поскольку цели настоящей Директивы, а именно: обеспечение бесперебойного предоставления услуг, имеющих важное значение для поддержания жизненно важных социальных функций или экономической деятельности на внутреннем рынке, и повышение устойчивости критически важных организаций, предоставляющих такие услуги, не могут быть в достаточной степени достигнуты на уровне государств-членов ЕС, но ввиду последствий предполагаемых действий могут быть эффективнее достигнуты на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, как установлено в Статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, как установлено в данной Статье 5, настоящая Директива не выходит за пределы того, что необходимо для достижения указанных целей.

(44) В соответствии со Статьей 42(1) Регламента (ЕС) 2018/1725 Европейского Парламента и Совета ЕС*(28) проведены консультации Европейским инспектором по защите данных и получено заключение от 11 августа 2021 г.

(45) Директива 2008/114/ЕС подлежит отмене.

приняли настоящую Директиву:

------------------------------

*(1) Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (Text with EEA relevance). Опубликована в Официальном Журнале (далее - ОЖ) N L 333, 3 0.4.2004, стр. 164.

*(2) ОЖ N C 286, 16.7.2021, стр. 170.

*(3) ОЖ N C 440, 29.10.2021, стр. 99.

*(4) Позиция Европейского Парламента от 22 ноября 2022 г. (еще не опубликована в ОЖ) и Решение Совета ЕС от 8 декабря 2022 г.

*(5) Директива 2008/114/ЕС Совета ЕС от 8 декабря 2008 г. о европейских критических инфраструктурах и мерах по их защите (ОЖ N L 345, 23.12.2008, стр. 75).

*(6) Директива (ЕС) 2022/2555 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2) (см. стр. 80 настоящего ОЖ).

*(7) Директива (ЕС) 2016/1148 Европейского Парламента и Совета ЕС от 6 июля 2016 г. о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза (ОЖ N L 194, 19.7.2016, стр. 1).

*(8) Регламент (ЕС) 2019/452 Европейского Парламента и Совета ЕС от 19 марта 2019 г. об установлении правовых рамок для проверки прямых иностранных инвестиций в Союз (ОЖ N L 79 I, 21.3.2019, стр. 1).

*(9) Регламент (ЕС) 648/2012 Европейского Парламента и Совета ЕС от 4 июля 2012 г. о внебиржевых деривативах, центральных контрагентах и торговых репозиториях (ОЖ N L 201, 27.7.2012, стр. 1).

*(10) Регламент (ЕС) 575/2013 Европейского Парламента и Совета ЕС от 26 июня 2013 г. о пруденциальных требованиях к кредитным организациям и инвестиционным фирмам и внесении изменений в Регламент (ЕС) 648/2012 (ОЖ N L 176, 27.6.2013, стр. 1)

*(11) Регламент (ЕС) 600/2014 Европейского Парламента и Совета ЕС о рынках финансовых инструментов и о внесении изменений в Регламент (ЕС) 648/2012 (ОЖ N L 173, 12.6.2014, стр. 84).

*(12) Директива 2013/36/ЕС Европейского Парламента и Совета ЕС от 26 июня 2013 г. о доступе к деятельности кредитных учреждений и пруденциальном надзоре за кредитными учреждениями и инвестиционными фирмами и о внесении изменений в Директиву 2002/87/ЕС и об отмене Директив 2006/48/ЕС и 2006/49 /EC (ОЖ N L 176, 27.6.13, стр. 338).

*(13) Директива 2014/65/ЕС Европейского Парламента и Совета ЕС от 15 мая 2014 г. о рынках финансовых инструментов и об изменении Директивы 2002/92/ЕС и Директивы 2011/61/ЕС (ОЖ N L 173, 12.6.2014, стр. 349).

*(14) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011 (см. стр. 1 настоящего ОЖ).

*(15) Регламент (ЕС) 725/2004 Европейского Парламента и Совета ЕС от 31 марта 2004 г. о повышении безопасности судов и портовых средств (ОЖ N L 129, 29.4.2004, стр. 6).

*(16) Регламент (ЕС) 300/2008 Европейского Парламента и Совета ЕС от 11 марта 2008 г. об общих правилах в области безопасности гражданской авиации и об отмене Регламента (ЕС) 2320/2002 (ОЖ N L 97, 9.4.2008, стр. 72).

*(17) Директива 2005/65/EC Европейского Парламента и Совета ЕС от 26 октября 2005 г. о повышении безопасности портов (ОЖ N L 310, 25.11.2005, стр. 28)

*(18) Директива 2008/96/EC Европейского Парламента и Совета ЕС от 19 ноября 2008 г. об управлении безопасностью автодорог (ОЖ N L 310, 25.11.2005, стр. 28).

*(19) Решение Европейской Комиссии от 29 июня 2018 г. о создании Платформы безопасности на железнодорожном транспорте ЕС 2018/С 232/03 (ОЖ N C 232, 3.7.2018, стр. 10)

*(20) Рамочное Решение Совета ЕС 2009/315/ПВД от 26 февраля 2009 г. об организации и содержании обмена информацией из уголовных досье между государствами-членами ЕС (ОЖ N L 93, 7.4.2009, стр. 23).

*(21) Регламент (ЕС) 2019/816 Европейского Парламента и Совета ЕС от 17 апреля 2019 г. о создании централизованной системы идентификации государств-членов ЕС, содержащей информацию о судимостях граждан третьих стран и лиц без гражданства (ECRIS-TCN), в целях дополнения Европейской информационной системы учета криминального прошлого и об изменении Регламента (ЕС) 2018/1726 (ОЖ N L 135, 22.5.2019, стр. 1).

*(22) Регламент (ЕС) 2018/1862 от 28 ноября 2018 г. об учреждении, функционировании и использовании Шенгенской информационной системы (SIS) в сфере полицейского и судебного сотрудничества по уголовным делам, о внесении изменений и отмене Решения Совета ЕС 2007/533/ПВД и об отмене Регламента (EC) 1986/2006 Европейского Парламента и Совета ЕС и Решения Европейской Комиссии 2010/261/ЕС (ОЖ N L 312, 7.12.2018, стр. 56).

*(23) Решение 1313/2013/ЕС Европейского Парламента и Совета ЕС от 17 декабря 2013 г. о Механизме гражданской защиты Союза (ОЖ N L 347, 20.12.2013, стр. 924).

*(24) Регламент (ЕС) 2021/1149 Европейского Парламента и Совета ЕС от 7 июля 2021 г. о создании Фонда внутренней безопасности (ОЖ N L 251, 15.7.2021, стр. 94).

*(25) Регламент (ЕС) 2021/695 Европейского Парламента и Совета ЕС от 28 апреля 2021 г. об учреждении Рамочной Программы по научным исследованиям и инновациям "Горизонт Европа", устанавливающей правила участия и распределения результатов, и об отмене Регламентов (ЕС) 1290/2013 и (ЕС) 1291/2013 (ОЖ N L 170, 12.5.2021, стр. 1).

*(26) ОЖ N L 123, 12.5.2016, стр. 1

*(27) Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы относительно механизмов контроля государствами-членами ЕС выполнения Европейской Комиссией имплементационных полномочий (ОЖ N L 55, 28.2.2011, стр. 13).

*(28) Регламент (ЕС) 2018/1725 Европейского Парламента и Совета ЕС от 23 октября 2018 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC (ОЖ N L 295, 21.11.2018, стр. 39).

*(29) Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/EC (Общий Регламент о защите персональных данных) (ОЖ N L 119, 4.5.2016, стр. 1).

*(30) Директива 2002/58/ЕС Европейского Парламента и Совета ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи) (ОЖ N L 201, 31.7.2002, стр. 37).

*(31) Регламент (ЕС) 1025/2012 Европейского Парламента и Совета ЕС от 25 октября 2012 г. о европейской стандартизации, об изменении Директив 89/686/ЕЭС и 93/15/ЕЭС Совета ЕС и Директив 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC и 2009/105/EC Европейского Парламента и Совета ЕС, а также отмене Решения 87/95/ЕЭС Совета ЕС и Решения 1673/2006/EC Европейского Парламента и Совета ЕС (ОЖ N L 316, 14.11.2012, стр. 12).

*(32) Рекомендация Европейской Комиссии 2003/361/ЕС от 6 мая 2003 г. относительно определения микропредприятий, малых и средних предприятий (ОЖ N L 124, 20.5.2003, стр. 36).

*(33) Директива (ЕС) 2017/541 Европейского Парламента и Совета ЕС от 15 марта 2017 г. о противодействии терроризму, о замене Рамочного Решения 2002/475/ПВД Совета ЕС и об изменении Решения 2005/671/ПВД Совета ЕС (ОЖ N L 124, 20.5.2003, p. 36).

*(34) Регламент (ЕС) 2017/1938 Европейского Парламента и Совета ЕС от 25 октября 2017 г. о мерах по обеспечению безопасности поставок газа и об отмене Регламента (ЕС) 994/2010 (ОЖ N L 280, 28.10.2017, стр. 1).

*(35) Регламент (ЕС) 2019/941 Европейского Парламента и Совета ЕС о подготовленности к рискам в секторе электроэнергетики, а также об отмене Директивы 2005/89/EC (ОЖ N L 158, 14.6.2019, стр. 1).

*(36) Директива (ЕС) 2007/60/EC Европейского Парламента и Совета ЕС от 23 октября 2007 г. об оценке и управлении рисками, связанными с наводнениями (ОЖ N L 288, 6.11.2007, стр. 27).

*(37) Директива (ЕС) 2012/18/ЕС Европейского Парламента и Совета ЕС от 4 июля 2012 г. о контроле крупных аварий, связанных с опасными веществами, изменяющая и впоследствии отменяющая Директиву 96/82/EC Совета ЕС (ОЖ N L 197, 24.7.2012, стр. 1).

*(38) Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, о свободном обращении таких данных, а также об отмене Рамочного Решения Совета ЕС 2008/977/ПВД (ОЖ N L 119, 4.5.2016, стр. 89).

*(39) Директива (ЕС) 2019/944 Европейского Парламента и Совета ЕС от 5 июня 2019 г. об общих правилах внутреннего рынка электроэнергии и изменении Директивы 2012/27/ЕС (ОЖ NL 158, 14.6.2019, стр. 125).

*(40) Регламент (ЕС) 2019/943 Европейского Парламента и Совета ЕС от 5 июня 2019 г. о внутреннем рынке электроэнергии (ОЖ N L 158, 14.6.2019, стр. 54).

*(41) Директива (ЕС) 2018/2001 Европейского Парламента и Совета ЕС от 11 декабря 2018 г. о стимулировании использования энергии из возобновляемых источников (ОЖ N L 328, 21.12.2018, стр. 82).

*(42) Директива 2009/119/ЕС Совета ЕС от 14 сентября 2009 г. об обязательстве государств-членов ЕС по поддержанию минимальных запасов сырой нефти и/или нефтепродуктов (ОЖ N L 265, 9.10.2009, стр. 9).

*(43) Директива 2009/73/ЕС Европейского Парламента и Совета ЕС от 13 июля 2009 г. об общих правилах внутреннего рынка природного газа и об отмене Директивы 2003/55/EC (ОЖ N L 211, 14.08.2009, стр. 94)

*(44) Директива 2009/12/ЕС Европейского Парламента и Совета ЕС от 11 марта 2009 г. о сборах на услуги аэропортов (ОЖ N L 70, 14.3.2009, стр. 11).

*(45) Регламент (ЕС) 1315/2013 Европейского Парламента и Совета ЕС от 11 декабря 2013 г. о руководящих принципах Союза, касающихся развития трансъевропейской транспортной сети, и об отмене Решения 661/2010/ЕС (ОЖ N L 348, 20.12.2013, стр. 1).

*(46) Регламент (ЕС) 549/2004 Европейского Парламента и Совета ЕС от 10 марта 2004 г., устанавливающий правовую базу для создания единого Европейского неба (рамочный Регламент) (ОЖ N L 96, 31.03.2004, стр. 1).

*(47) Директива 2012/34/ЕС Европейского Парламента и Совета ЕС от 21 ноября 2012 г. о создании единого Европейского железнодорожного пространства (ОЖ N L 343, 14.12.2012, стр. 32).

*(48) Директива 2002/59/ЕС Европейского Парламента и Совета ЕС от 27 июня 2002 г. о создании в Сообществе системы мониторинга и информирования о движении судов, а также об отмене Директивы 93/75/ЕЭС Совета ЕС (ОЖ N L 208, 05.08.2002, стр. 10).

*(49) Делегированный Регламент (ЕС) 2015/962 Европейской Комиссии от 18 декабря 2014 г. о дополнении Директивы 2010/40/ЕС Европейского Парламента и Совета ЕС о службах ЕС, предоставляющих информацию о дорожном движении в режиме реального времени (ОЖ N L 157, 23.6.2015, стр. 21).

*(50) Директива 2010/40/ЕС Европейского Парламента и Совета ЕС от 7 июля 2010 г. об общих рамках для размещения ITS (Intelligent Transport Systems) в сфере дорожного транспорта и взаимодействия с другими видами транспорта (ОЖ N L 207, 6.8.2010, стр. 1).

*(51) Регламент (ЕС) 1370/2007 Европейского Парламента и Совета ЕС от 23 октября 2007 г. об услугах общественного пассажирского железнодорожного и автодорожного транспорта и об отмене Регламентов (ЕЭС) 1191/69 и 1107/70 Совета ЕС (ОЖ N L 315, 3.12.2007, стр. 1).

*(52) Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (ОЖ N L 88, 4.4.2011, стр. 45).

*(53) Регламент (ЕС) 2022/2371 Европейского Парламента и Совета ЕС от 23 ноября 2022 г. о серьезных трансграничных угрозах для здоровья и отмене Решения 1082/2013/ЕС (ОЖ N L 314, 6.12.2022, стр. 26).

*(54) Директива 2001/83/ЕС Европейского Парламента и Совета ЕС от 6 ноября 2001 г. о Кодексе Сообщества о лекарственных средствах для использования человеком (ОЖ N L 311, 28.11.2001, стр. 67).

*(55) Регламент (ЕС) 2022/123 Европейского Парламента и Совета ЕС об усилении роли Европейского Агентства по лекарственным средствам в предотвращении кризисных ситуаций и управлении ими в отношении лекарственных средств и медицинских изделий (ОЖ N L 20, 31.1.2022, стр. 1).

*(56) Директива (ЕС) 2020/2184 Европейского Парламента и Совета ЕС от 16 декабря 2020 г. о качестве воды, предназначенной для употребления людьми (ОЖ N L 435, 23.12.2020, стр. 1).

*(57) Директива 91/271/ЕЭС Совета ЕС от 21 мая 1991 г. об очистке городских сточных вод (ОЖ N L 135, 30.5.1991, стр. 40).

*(58) Регламент (ЕС) 910/2014 Европейского Парламента и Совета ЕС от 23 июля 2014 г. об электронной идентификации и удостоверительных сервисах для электронных трансакций на внутреннем рынке и об отмене Директивы 1999/93/ЕС (ОЖ N L 257, 28.8.2014, стр. 73).

*(59) Директива (ЕС) 2018/1972 Европейского Парламента и Совета ЕС от 11 декабря 2018 г. об установлении Европейского Кодекса электронных коммуникаций (ОЖ N L 321, 17.12.2018, стр. 36).

*(60) Регламент (ЕС) 178/2002 Европейского Парламента и Совета ЕС от 28 января 2002 г. об установлении общих принципов и требований продовольственного законодательства, об учреждении Европейского органа по безопасности пищевых продуктов, а также об установлении процедур в отношении безопасности пищевых продуктов (ОЖ N L 31, 1.2.2002, стр. 1).