Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14.12.2022 о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)

Директива Европейского Парламента и Совета Европейского Союза 2022/2555
от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)*(1)

(Действие Директивы распространяется на Европейское экономическое пространство)

Европейский Парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза и, в частности, Статьей 114 Договора,

На основании предложения Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

На основании заключения Европейского Центрального Банка*(2),

На основании заключения Европейского комитета по экономическим и социальным вопросам*(3),

После консультации с Комитетом регионов,

Действуя в соответствии с обычной законодательной процедурой*(4),

Принимая во внимание следующие обстоятельства:

(1) Директива (ЕС) 2016/1148 Европейского Парламента и Совета ЕС*(5) направлена на создание возможностей кибербезопасности в Союзе, смягчение угроз сетевым и информационным системам, используемым для предоставления основных услуг в ключевых отраслях, и обеспечение непрерывности указанных услуг при возникновении инцидентов, тем самым способствуя безопасности Союза и эффективному функционированию его экономики и общества.

(2) С момента вступления в силу Директивы (ЕС) 2016/1148 был достигнут значительный прогресс в вопросе повышения уровня устойчивости к угрозам кибербезопасности Союза. Пересмотр указанной Директивы показал, что она послужила катализатором для институционального и нормативного подхода к кибербезопасности в Союзе, проложив путь для существенного изменения мировоззрения. Указанная Директива гарантировала завершение создания национальных рамок по обеспечению безопасности сетевых и информационных систем путем разработки национальных стратегий обеспечения безопасности сетевых и информационных систем и установления национальных потенциальных возможностей, а также путем реализации регулятивных мер, охватывающих основные инфраструктуры и организации, определенные каждым государством-членом ЕС. Директива (ЕС) 2016/1148 также способствовала сотрудничеству на уровне Союза посредством создания Группы по сотрудничеству и сети национальных групп реагирования на инциденты, связанные с компьютерной безопасностью. Несмотря на указанные достижения, пересмотр Директивы (ЕС) 2016/1148 выявил присущие ей недостатки, которые не позволяют ей эффективно решать текущие и возникающие проблемы, связанные с кибербезопасностью.

(3) Сетевые и информационные системы превратились в центральную составляющую повседневной жизни благодаря стремительной цифровой трансформации и взаимозависимости общества, в том числе в сфере трансграничных обменов. Такое превращение привело к расширению картины киберугроз, способствующих возникновению новых проблем, которые требуют адаптированных, скоординированных и инновационных решений во всех государствах-членах ЕС. Количество, масштаб, степень сложности, частота и воздействие инцидентов растут и представляют собой серьезную угрозу функционированию сетевых и информационных систем. В результате инциденты могут препятствовать осуществлению экономической деятельности на внутреннем рынке, создавать финансовые потери, подрывать доверие пользователей и наносить серьезный ущерб экономике и обществу Союза. Таким образом, готовность и эффективность в области кибербезопасности сейчас как никогда важны для надлежащего функционирования внутреннего рынка. Помимо этого, кибербезопасность является ключевым фактором, который позволяет многим критически важным отраслям успешно осваивать цифровую трансформацию и в полной мере пользоваться экономическими, социальными и устойчивыми преимуществами цифровизации.

(4) Правовой основой Директивы (ЕС) 2016/1148 стала Статья 114 Договора о функционировании Европейского Союза (TFEU), целью которой является установление и функционирование внутреннего рынка путем оптимизации мер по сближению национальных правил. Требования к кибербезопасности, предъявляемые к организациям, предоставляющим услуги или осуществляющим экономически значимые виды деятельности, значительно различаются в разных государствах-членах ЕС с точки зрения типа требований, уровня их детализации и метода надзора. Указанные различия влекут за собой дополнительные расходы и создают трудности для организаций, которые предлагают товары или услуги в разных странах. Требования, предъявляемые одним государством-членом ЕС, которые отличаются от требований, предъявляемых другим государством-членом ЕС, или даже вступают в противоречие с ними, могут существенно повлиять на такую трансграничную деятельность. Помимо этого, возможность несоответствующей разработки или внедрения требований к кибербезопасности в одном государстве-члене ЕС может иметь негативные последствия на уровне кибербезопасности в других государствах-членах ЕС, в частности, учитывая интенсивность трансграничных обменов. Пересмотр Директивы (ЕС) 2016/1148 показал значительное расхождение в ее имплементации государствами-членами ЕС, в том числе в отношении сферы ее применения, установление границ которой в значительной степени было оставлено на усмотрение государств-членов ЕС. Директива (ЕС) 2016/1148 также предоставляла государствам-членам ЕС широкие полномочия в отношении выполнения изложенных в ней обязательств по обеспечению безопасности и представлению отчетности об инцидентах. Таким образом, на национальном уровне указанные обязательства выполнялись значительно отличающимися способами. Аналогичные расхождения имеются и при реализации положений Директивы (ЕС) 2016/1148 в отношении надзора и обеспечения исполнения.

(5) Все указанные расхождения влекут за собой фрагментацию внутреннего рынка и могут оказывать наносящее ущерб воздействие на его функционирование, влияя, в частности, на трансграничное предоставление услуг и уровень устойчивости к угрозам кибербезопасности вследствие применения различных мер. В конечном счете, указанные расхождения могут привести к более высокой степени уязвимости некоторых государств-членов ЕС к киберугрозам с потенциальными последствиями для всего Союза. Настоящая Директива направлена на устранение подобных значительных расхождений между государствами-членами ЕС, в частности, посредством установления минимальных правил в отношении функционирования согласованной нормативно-правовой базы, посредством установления механизмов эффективного сотрудничества между ответственными органами в каждом государстве-члене ЕС, посредством актуализации перечня отраслей и видов деятельности, подпадающих под обязательства по кибербезопасности, а также посредством обеспечения эффективных средств правовой защиты и мер принудительного характера, которые играют ключевую роль в эффективном выполнении указанных обязательств. Вследствие этого, Директива 2016/1148 должна быть отменена и заменена настоящей Директивой.

(6) С отменой Директивы (ЕС) 2016/1148 сфера применения с разбивкой по отраслям должна быть распространена на большую часть экономики для обеспечения всестороннего охвата отраслей и услуг, имеющих жизненно важное значение для ключевых общественных и экономических видов деятельности на внутреннем рынке. В частности, настоящая Директива направлена на преодоление недостатков дифференциации между операторами основных услуг и поставщиками цифровых услуг, которая, как было доказано, устарела, поскольку она не отражает важность отраслей или услуг для общественных и экономических видов деятельности на внутреннем рынке.

(7) Согласно Директиве (ЕС) 2016/1148 государства-члены ЕС несли ответственность за определение организаций, которые соответствовали критериям для квалификации в качестве операторов основных услуг. Для того чтобы устранить значительные расхождения между государствами-членами ЕС в этом отношении и гарантировать правовую определенность в отношении мер по управлению рисками кибербезопасности и обязательств по представлению отчетности для всех соответствующих организаций, необходимо установить единый критерий, который определит организации, подпадающие под сферу применения настоящей Директивы. Указанный критерий должен заключаться в применении правила о предельном размере, согласно которому все организации, которые квалифицируются как средние предприятия согласно Статье 2 Приложения к Рекомендации 2003/361/EC Европейской Комиссии*(6) или превышают максимальные размеры для средних предприятий, предусмотренные в параграфе 1 указанной Статьи, и которые функционируют в пределах отраслей и предоставляют виды услуг или осуществляют деятельность, охватываемую настоящей Директивой, подпадают под сферу ее применения. Государства-члены ЕС также должны предусмотреть, чтобы определенные малые предприятия и микропредприятия, определенные в Статье 2(2) и (3) указанного Приложения, соблюдающие конкретные критерии, которые указывают на ключевую роль для общества, экономики или определенных отраслей или типов услуг, подпадали под действие настоящей Директивы.

(8) Исключение государственных административных органов из сферы применения настоящей Директивы следует применять к органам, деятельность которых осуществляется преимущественно в областях национальной безопасности, общественной безопасности, обороны или правоприменения, включая предотвращение, выявления, расследование и судебное преследование уголовных преступлений. Однако государственные административные органы, деятельность которых лишь незначительно связана с указанными областями, не должны исключаться из сферы применения настоящей Директивы. Для целей настоящей Директивы органы, обладающие регулятивной компетенцией, не считаются осуществляющими деятельность в области правоприменения и, следовательно, не исключаются на этом основании из сферы применения настоящей Директивы. Государственные административные органы, созданные совместно с третьей страной в соответствии с международным соглашением, исключаются из сферы применения настоящей Директивы. Настоящая Директива не применяется к дипломатическим и консульским представительствам государств-членов ЕС в третьих странах или к их сетевым и информационным системам, поскольку такие системы расположены в помещениях представительства или эксплуатируются для пользователей в третьей стране.

(9) Государства-члены ЕС должны быть в состоянии принимать необходимые меры для обеспечения защиты основных интересов национальной безопасности, обеспечения государственной политики и общественной безопасности, а также создать возможность для предупреждения, выявления, расследования и судебного преследования уголовных преступлений. В этой связи государства-члены ЕС должны иметь возможность освобождать определенные организации, которые осуществляют деятельность в областях национальной безопасности, общественной безопасности, обороны или правоприменения, включая предупреждение, выявление, расследование и судебное преследование уголовных преступлений, от определенных обязательств, установленных в настоящей Директиве в отношении указанных видов деятельности. Если организация предоставляет услуги только государственному административному органу, который исключен из сферы применения настоящей Директивы, государства-члены ЕС должны иметь возможность освободить указанную организацию от выполнения определенных обязательств, установленных в настоящей Директиве в отношении указанных услуг. Помимо этого, ни от одного государства-члена ЕС не должно требоваться предоставление информации, раскрытие которой противоречило бы основным интересам его национальной безопасности, общественной безопасности или обороны. В указанном контексте следует принимать во внимание правила Союза или национальные правила в отношении защиты секретной информации, соглашения о неразглашении информации, а также неофициальные соглашения о неразглашении, такие как протокол светофора (протокол Traffic Light). Протокол светофора следует понимать как средство предоставления информации о любых ограничениях в отношении дальнейшего распространения информации. Он используется практически во всех группах реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), и в некоторых центрах анализа и совместного использования информации.

(10) Хотя настоящая Директива применяется к организациям, осуществляющим деятельность по производству электроэнергии на атомных электростанциях, некоторые виды такой деятельности могут быть связаны с национальной безопасностью. В таком случае государство-член ЕС должно иметь возможность выполнять свои обязанности по обеспечению национальной безопасности в отношении такой деятельности, включая деятельность в рамках цепочки создания ценности в сфере атомной энергии в соответствии с Договорами.

(11) Некоторые организации осуществляют деятельность в области национальной безопасности, общественной безопасности, обороны или правоприменения, включая предупреждение, выявление, расследование и судебное преследование уголовных преступлений, при этом предоставляя удостоверительные сервисы. Поставщики удостоверительного сервиса, которые подпадают под сферу применения Регламента (ЕС) 910/2014 Европейского Парламента и Совета ЕС*(7), должны подпадать под сферу применения настоящей Директивы, для того чтобы обеспечить тот же уровень требований к безопасности и надзора, который ранее был установлен в указанном Регламенте в отношении поставщиков удостоверительного сервиса. В соответствии с исключением определенных специфических услуг из Регламента (ЕС) 910/2014 настоящая Директива не должна применяться к предоставлению удостоверительных сервисов, которые используются исключительно в закрытых системах, возникающих вследствие национального законодательства или соглашений между определенной группой участников.

(12) Поставщики почтовых услуг, определенные в Директиве 97/67/ЕС Европейского Парламента и Совета ЕС*(8), включая поставщиков курьерских служб, должны подпадать под действие настоящей Директивы, если они обеспечивают как минимум один из этапов цепочки почтовой доставки, в частности, оформление, сортировку, транспортировку или распределение почтовых отправлений, включая услуги вывоза и доставки грузов, с учетом степени их зависимости от сетевых и информационных систем. Транспортные услуги, которые не предоставляются в рамках одного из указанных этапов, следует исключить из сферы применения почтовых услуг.

(13) Учитывая усиление и изощренность киберугроз, государствам-членам ЕС следует стремиться к тому, чтобы организации, которые исключены из сферы применения настоящей Директивы, достигли высокого уровня кибербезопасности, и следует содействовать реализации эквивалентных мер по управлению рисками кибербезопасности, которые отражают уязвимый характер указанных организаций.

(14) Законодательство Союза о защите данных и законодательство Союза о неприкосновенности личной жизни применяются к любой обработке персональных данных согласно настоящей Директиве. В частности, настоящая Директива действует без ущерба Регламенту (ЕС) 2016/679 Европейского Парламента и Совета ЕС*(9) и Директиве 2002/58/ЕС Европейского Парламента и Совета ЕС*(10). Вследствие этого, настоящая Директива не должна затрагивать, inter alia, задачи и полномочия органов, компетентных контролировать соблюдение применимого законодательства Союза о защите данных и законодательства Союза о неприкосновенности личной жизни.

(15) Организации, подпадающие под сферу применения настоящей Директивы, в целях соблюдения мер по управлению рисками кибербезопасности и обязательств по представлению отчетности должны быть классифицированы на две категории: основные организации и значимые организации, отражающие степень их критической значимости в отношении своей отрасли или типа предоставляемых ими услуг, а также их размера. В этой связи, по мере необходимости, следует должным образом учитывать любые соответствующие оценки отраслевых рисков или рекомендации компетентных органов. Режимы надзора и правоприменения для указанных двух категорий организаций должны быть дифференцированы в целях обеспечения справедливого баланса между основанными на риске требованиями и обязательствами, с одной стороны, и административной нагрузкой, связанной с надзором за соблюдением требований, с другой стороны.

(16) Во избежание того, чтобы организации, у которых есть предприятия-партнеры или которые являются связанными предприятиями, считались основными или значимыми организациями в случае, если это было бы непропорционально, государства-члены ЕС могут учитывать степень независимости, которой пользуется организация в отношении своего партнера или связанных предприятий, при применении Статьи 6(2) Приложения к Рекомендации 2003/361/EC. В частности, государства-члены ЕС могут учитывать тот факт, что организация не зависит от своего партнера или связанных предприятий с точки зрения сетевых и информационных систем, которые указанная организация использует при предоставлении своих услуг, и с точки зрения услуг, которые предоставляет организация. На этой основе, по мере необходимости, государства-члены ЕС могут считать, что такая организация не квалифицируется в качестве среднего предприятия согласно Статье 2 Приложения к Рекомендации 2003/361/EC или не превышает максимальные размеры для среднего предприятия, предусмотренные в параграфе 1 указанной Статьи, если после учета степени независимости указанной организации она не рассматривалась бы в качестве среднего предприятия или предприятия, превышающего максимальные размеры, в том случае, если были бы приняты во внимание только его собственные данные. Это положение не затрагивает установленные в настоящей Директиве обязательства предприятий-партнеров и связанных предприятий, которые подпадают под сферу применения настоящей Директивы.

(17) Государства-члены ЕС должны иметь возможность принимать решения о том, что организации, определенные до вступления в силу настоящей Директивы в качестве операторов основных услуг в соответствии с Директивой (ЕС) 2016/1148, должны рассматриваться как основные организации.

(18) В целях обеспечения четкого описания организаций, подпадающих под сферу применения настоящей Директивы, государствам-членам ЕС следует составить перечень основных и значимых организаций, а также организаций, предоставляющих услуги регистрации доменных имен. С этой целью государствам-членам ЕС следует требовать от организаций предоставления компетентным органам как минимум следующей информации: наименование, адрес и актуальные контактные данные, включая адреса электронной почты, диапазоны IP-адресов и номера телефонов организации и, в предусмотренных случаях, соответствующую отрасль и подотрасль, указанные в приложениях, а также, по мере необходимости, перечень государств-членов ЕС, в которых они предоставляют услуги, подпадающие под сферу применения настоящей Директивы. В этой связи Европейская Комиссия при содействии Агентства Европейского Союза по обеспечению кибербезопасности (ENISA) должна незамедлительно предоставить руководящие принципы и шаблоны, касающиеся обязательства по предоставлению информации. Для содействия составлению и обновлению перечня основных и значимых организаций, а также организаций, предоставляющих услуги регистрации доменных имен, государства-члены ЕС должны иметь возможность устанавливать национальные механизмы для самостоятельной регистрации организаций. Если реестры существуют на национальном уровне, государства-члены ЕС могут принять решение о соответствующих механизмах, позволяющих идентифицировать организации, подпадающие под сферу применения настоящей Директивы.

(19) Государства-члены ЕС должны нести ответственность за предоставление Европейской Комиссии как минимум информации о количестве основных и значимых организаций по каждой отрасли и подотрасли, указанных в приложениях, в также соответствующей информации о количестве идентифицированных организаций и о положении из числа установленных в настоящей Директиве, на основе которого они были идентифицированы, а также о типе услуг, которые они предоставляют. Государствам-членам ЕС рекомендуется обмениваться с Европейской Комиссией информацией об основных и значимых организациях, а в случае крупномасштабного инцидента в области кибербезопасности - соответствующей информаций, такой как наименование соответствующей организации.

(20) Европейская Комиссия совместно с Группой по сотрудничеству и после консультации с заинтересованными сторонами должна предоставить руководящие принципы по имплементации критериев, применимых к микропредприятиям и малым предприятиям, для оценки того, подпадают ли они под сферу применения настоящей Директивы. Европейская Комиссия также должна гарантировать, что соответствующие рекомендации предоставлены микропредприятиям и малым предприятиям, подпадающим под сферу действия настоящей Директивы. При содействии государств-членов ЕС Европейская Комиссия должна предоставлять микропредприятиям и малым предприятиям информацию по указанному вопросу.

(21) Европейская Комиссия могла бы предоставлять рекомендации для содействия государствам-членам ЕС при имплементации положений настоящей Директивы в отношении сферы применения и при оценке пропорциональности мер, которые должны быть приняты согласно настоящей Директиве, в частности, в отношении организаций со сложными коммерческими моделями или эксплуатационными условиями, согласно которым организация может одновременно выполнять критерии, приписываемые как основным, так и значимым организациям, или может одновременно осуществлять виды деятельности, некоторые из которых подпадают под сферу применения настоящей Директивы, а некоторые исключены из нее.

(22) Настоящая Директива устанавливает исходные параметры для мер по управлению рисками кибербезопасности и обязательств по представлению отчетности во всех отраслях, которые подпадают под ее сферу применения. Во избежание фрагментации положений правовых актов Союза о кибербезопасности, в которых дополнительные отраслевые правовые акты Союза, касающиеся мер по управлению рисками кибербезопасности и обязательств по представлению отчетности, считаются необходимыми для обеспечения высокого уровня кибербезопасности в Союзе, Европейская Комиссия должна оценить, могут ли такие дополнительные положения быть предусмотрены в имплементационном акте согласно настоящей Директиве. В случае если такой имплементационный акт не подходит для указанной цели, отраслевые правовые акты Союза могли бы содействовать обеспечению высокого уровня кибербезопасности в Союзе, в полной мере учитывая специфику и сложность соответствующих отраслей. В этой связи настоящая Директива не исключает принятия дополнительных отраслевых правовых актов Союза, касающихся мер по управлению рисками кибербезопасности и обязательств по представлению отчетности, которые должным образом учитывают необходимость всеобъемлющей и последовательной структуры кибербезопасности. Настоящая Директива действует без ущерба существующим имплементационным полномочиям, предоставленным Европейской Комиссии в ряде отраслей, включая транспорт и энергетику.

(23) В случае если отраслевой правовой акт Союза содержит положения, требующие от основных или значимых организаций принятия мер по управлению рисками кибербезопасности или уведомления о серьезных инцидентах, и если указанные требования как минимум эквивалентны по силе обязательствам, установленным в настоящей Директиве, указанные положения, в том числе в отношении надзора и правоприменения, должны применяться в отношении таких организаций. Если отраслевой правовой акт Союза не распространяется на все организации в определенной отрасли, подпадающей под действие настоящей Директивы, соответствующие положения настоящей Директивы должны и в дальнейшем применяться к организациям, которых не охватывает указанный акт.

(24) В случае если положения отраслевого правового акта Союза требуют от основных или значимых организаций соблюдения обязательств по представлению отчетности, как минимум эквивалентных по силе действия обязательствам по представлению отчетности, установленным в настоящей Директиве, необходимо гарантировать последовательность и эффективность рассмотрения уведомлений об инцидентах. В этой связи, относящиеся к уведомлениям об инцидентах положения отраслевого правового акта Союза должны предоставлять CSIRTs, компетентным органам или единым контактным центрам по кибербезопасности (единые контактные центры), согласно настоящей Директиве, немедленный доступ к уведомлениям об инцидентах, предоставленным в соответствии с отраслевым правовым актом Союза. В частности, указанный немедленный доступ может быть гарантирован, если уведомления об инцидентах направляются без необоснованной задержки CSIRT, компетентному органу или единому контактному центру согласно настоящей Директиве. По мере необходимости, государства-члены ЕС должны внедрить механизм автоматического и прямого представления отчетности, который обеспечит систематический и незамедлительный обмен информацией с CSIRTs, компетентными органами или едиными контактными центрами относительно рассмотрения таких уведомлений об инцидентах. Государства-члены ЕС в соответствии с отраслевым правовым актом Союза могут использовать единый контактный центр для упрощения процесса отчетности и внедрения механизма автоматического и прямого представления отчетности.

(25) Отраслевые правовые акты Союза, которые предусматривают меры по управлению рисками кибербезопасности или обязательства по представлению отчетности, как минимум эквивалентные по силе действия обязательствам, установленным в настоящей Директиве, могли бы предусматривать, чтобы компетентные органы, согласно указанным актам, выполняли свои полномочия по надзору и правоприменению в отношении таких мер или обязательств при содействии компетентных органов согласно настоящей Директиве. Для этой цели соответствующие компетентные органы могли бы разработать механизмы сотрудничества. Такие механизмы сотрудничества могут определять, inter alia, процедуры, касающиеся координации надзорной деятельности, включая процедуры расследований и выездных проверок в соответствии с национальным законодательством, а также механизм обмена соответствующей информацией о надзоре и правоприменении между компетентными органами, включая доступ к связанной с киберпространством информации, запрашиваемой компетентными органами в рамках настоящей Директивы.

(26) В случае если отраслевые правовые акты Союза требуют или предоставляют организациям стимулы для уведомления о серьезных киберугрозах, государства-члены ЕС также должны поощрять обмен информацией о серьезных киберугрозах с CSIRTs, компетентными органами или едиными контактными центрами в рамках настоящей Директивы, для того чтобы гарантировать более высокий уровень осведомленности указанных органов о картине киберугроз и позволить им эффективно и своевременно реагировать в случае, если серьезные киберугрозы находят свое реальное воплощение.

(27) Будущие отраслевые правовые акты Союза должны надлежащим образом учитывать определения и рамки надзора и правоприменения, установленные в настоящей Директиве.

(28) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС*(11) следует рассматривать как отраслевой правовой акт Союза в отношении настоящей Директивы применительно к финансовым организациям. Вместо положений, предусмотренных в настоящей Директиве, должны применяться положения Регламента (ЕС) 2022/2554, касающиеся управления рисками в области информационно-коммуникационных технологий (ICT), управления инцидентами, связанными с ICT и, в частности, отчетности о серьезных инцидентах, связанных с ICT, а также тестирования цифровой операционной устойчивости, механизмов совместного использования информации и рисков третьей стороны в области ICT. Вследствие этого, государства-члены ЕС не должны применять положения настоящей Директивы об обязательствах по управлению рисками кибербезопасности и представлению отчетности, а также надзору и правоприменению в отношении финансовых организаций, подпадающих под действие Регламента (ЕС) 2022/2554. В то же время важно поддерживать прочные отношения и обмениваться информацией с финансовым сектором в рамках настоящей Директивы. В этой связи Регламент (ЕС) 2022/2554 позволяет Европейским агентствам по надзору (ESAs) и компетентным органам согласно указанному Регламенту участвовать в деятельности Группы по сотрудничеству, а также обмениваться информацией и сотрудничать с едиными контактными центрами, CSIRTs и компетентными органами согласно настоящей Директиве. Компетентные органы в рамках Регламента (ЕС) 2022/2554 также должны передавать подробные сведения о серьезных инцидентах, связанных с ICT, и, по мере необходимости, о серьезных киберугрозах CSIRTs, компетентным органам или единым контактным центрам в рамках настоящей Директивы. Этого можно достичь посредством предоставления немедленного доступа к уведомлениям об инцидентах и их отправки либо напрямую, либо через единый контактный центр. Помимо этого, государства-члены ЕС должны и дальше включать финансовый сектор в свои стратегии кибербезопасности, а CSIRTs могут охватывать финансовый сектор в рамках своей деятельности.

(29) Для того чтобы избежать расхождений между обязательствами в области кибербезопасности, возложенными на организации авиационного сектора, или избежать их дублирования, национальные органы согласно Регламентам (ЕС) 300/2008*(12) и (ЕС) 2018/1139*(13) Европейского Парламента и Совета ЕС, а также компетентные органы в рамках настоящей Директивы должны сотрудничать в отношении имплементации мер по управлению рисками в области кибербезопасности, а также в отношении надзора за соблюдением указанных мер на национальном уровне. Соблюдение организацией требований безопасности, установленных в Регламентах (ЕС) 300/2008 и (ЕС) 2018/1139, а также в соответствующих делегированных и имплементационных актах, принятых согласно указанным Регламентам, может рассматриваться компетентными органами согласно настоящей Директиве как соблюдение соответствующих требований, установленных в настоящей Директиве.

(30) С учетом взаимосвязей между кибербезопасностью и физической безопасностью организаций следует обеспечить согласованный подход между Директивой (ЕС) 2022/2557 Европейского Парламента и Совета ЕС*(14) и настоящей Директивой. Для достижения данной цели организации, определенные в качестве критически важных согласно Директиве (ЕС) 2022/2557, считаются основными организациями в рамках настоящей Директивы. Помимо этого, каждое государство-член ЕС должно гарантировать, что его национальная стратегия кибербезопасности предусматривает политическую структуру для улучшения координации в указанном государстве-члене ЕС между его компетентными органами, действующими согласно настоящей Директиве, и компетентными органами, действующими согласно Директиве (ЕС) 2022/2557, в контексте совместного использования информации о рисках, киберугрозах и инцидентах, а также о рисках, угрозах и инцидентах, не связанных с киберпространством, и в контексте выполнения задач по надзору. Компетентные органы, действующие в рамках настоящей Директивы, и компетентные органы, действующие в рамках Директивы (ЕС) 2022/2557, должны сотрудничать и незамедлительно обмениваться информацией, в частности, в отношении идентификации критически важных организаций, рисков, киберугроз и инцидентов, а также рисков, угроз и инцидентов, не связанных с киберпространством, затрагивающих критически важные организации, включая кибербезопасность и физические меры, принятые критически важными организациями, а также результаты надзорной деятельности, осуществляемой в отношении указанных организаций.

Помимо этого, для упорядочения надзорной деятельности между компетентными органами согласно настоящей Директиве и компетентными органами согласно Директиве (ЕС) 2022/2557, а также для минимизации административной нагрузки для соответствующих организаций указанные компетентные органы должны стремиться гармонизировать шаблоны уведомлений об инцидентах и процессы надзора. В предусмотренных случаях компетентные органы, действующие согласно Директиве (ЕС) 2022/2557, должны иметь возможность просить компетентные органы, действующие в рамках настоящей Директивы, осуществлять свои полномочия по надзору и правоприменению в отношении организации, которая определена в качестве критически важной согласно Директиве (ЕС) 2022/2557. Компетентные органы, действующие согласно настоящей Директиве, и компетентные органы, действующие в рамках Директивы (ЕС) 2022/2557, должны, по возможности в режиме реального времени, сотрудничать друг с другом и обмениваться информацией в указанных целях.

(31) Организации, принадлежащие сектору цифровой инфраструктуры, по сути, основаны на сетевых и информационных системах, и, следовательно, обязательства, возложенные на указанные организации согласно настоящей Директиве, должны в полном объеме предусматривать физическую безопасность указанных систем в рамках их мер по управлению рисками кибербезопасности и обязательств по представлению отчетности. Поскольку указанные вопросы регулируются настоящей Директивой, обязательства, установленные в Главах III, IV и VI Директивы (ЕС) 2022/2557, не применяются к указанным организациям.

(32) Поддержка и сохранение надежной, устойчивой и безопасной системы доменных имен (DNS) являются ключевыми факторами поддержания целостности интернета и необходимы для его непрерывной и стабильной работы, от которой зависят цифровая экономика и общество. Следовательно, настоящая Директива должна применяться к реестрам имен домена верхнего уровня (TLD) и поставщикам услуг DNS, которые следует понимать как организации, предоставляющие доступные для всеобщего пользования услуги рекурсивного разрешения доменных имен для конечных пользователей интернета или услуги авторитетного разрешения доменных имен для использования третьей стороной. Настоящая Директива не применяется в отношении серверов имен корневого домена.

(33) Услуги облачных вычислений должны охватывать цифровые услуги, которые обеспечивают администрирование по требованию и широкий удаленный доступ к масштабируемому и адаптивному пулу совместно используемых вычислительных ресурсов, в том числе в тех случаях, когда такие ресурсы распределены по нескольким местоположениям. Вычислительные ресурсы включают в себя такие ресурсы, как сети, серверы или другую инфраструктуру, операционные системы, программное обеспечение, системы хранения, приложения и службы. Модели обслуживания облачных вычислений включают, inter alia, инфраструктуру как услугу (IaaS), платформу как услугу (PaaS), программное обеспечение как услугу (SaaS) и сеть как услугу (N aaS). Модели развертывания облачных вычислений должны включать частную, коллективную, общедоступную и гибридную облачную среду. Модели обслуживания и развертывания услуг облачных вычислений имеют то же значение, что условия обслуживания и модели развертывания, определенные согласно стандарту ISO/IEC 17788:2014. Способность пользователя облачных вычислений в одностороннем порядке и самостоятельно получать вычислительные возможности, такие как серверное время или сетевое хранилище, без какого-либо взаимодействия с человеком со стороны поставщика услуг облачных вычислений, можно было бы охарактеризовать как администрирование по требованию.

Понятие "широкий удаленный доступ" применяется для описания того, что облачные возможности предоставляются в сети и доступны посредством механизмов, способствующих использованию разнородных платформ с незначительным или мощным программным обеспечением, включая мобильные телефоны, планшеты, ноутбуки и рабочие станции. Понятие "масштабируемые" относится к вычислительным ресурсам, которые гибко распределяются поставщиками облачных услуг, вне зависимости от географического расположения ресурсов, в целях управления колебаниями спроса. Понятие "адаптивный пул" используется для описания вычислительных ресурсов, которые предоставляются и выпускаются согласно спросу в целях быстрого увеличения или уменьшения количества доступных ресурсов в зависимости от рабочей нагрузки. Понятие "совместно используемые" применяется для описания вычислительных ресурсов, которые предоставляются нескольким пользователям, имеющим общий доступ к сервису, но в том случае, когда обработка осуществляется отдельно для каждого пользователя, хотя услуга предоставляется посредством одного и того же электронного оборудования. Понятие "распределены" применяется для описания вычислительных ресурсов, которые расположены на различных сетевых компьютерах или устройствах и которые взаимодействуют между собой и координируют свои действия посредством передачи сообщений.

(34) Ожидается, что с появлением инновационных технологий и новых коммерческих моделей на внутреннем рынке появятся новые модели предоставления и развертывания услуг облачных вычислений в ответ на меняющиеся потребности потребителей. В данном контексте услуги облачных вычислений могут предоставляться в виде "сильно распределенных" услуг, еще ближе к месту генерации или сбора данных, тем самым переходя от традиционной к сильно распределенной модели (периферийные вычисления).

(35) Услуги, предлагаемые поставщиками услуг центра обработки данных, не всегда могут предоставляться в виде услуг облачных вычислений. Соответственно, центры обработки данных не всегда могут являться частью инфраструктуры облачных вычислений. Следовательно, в целях управления всеми рисками, связанными с безопасностью сетевых и информационных систем, действие настоящей Директивы должно распространяться на поставщиков услуг центра обработки данных, которые не являются услугами облачных вычислений. В целях настоящей Директивы понятие "услуга центра обработки данных" должно охватывать предоставление услуги, которая включает в себя структуры или группы структур, предназначенных для централизованного размещения, взаимосвязи и эксплуатации информационных технологий (IT) и сетевого оборудования, предоставляющего услуги по хранению, обработке и передаче данных совместно со всеми объектами и инфраструктурами для распределения электроэнергии и контроля состояния окружающей среды. Понятие "услуга центра обработки данных" не применяется в отношении внутренних центров обработки корпоративных данных, которые принадлежат соответствующей организации и эксплуатируются ею в ее собственных целях.

(36) Исследовательская деятельность играет ключевую роль в разработке новых продуктов и процессов. Многие из таких видов деятельности осуществляются организациями, которые совместно обмениваются результатами своих исследований, распространяют или используют их в коммерческих целях. Вследствие этого, указанные организации могут быть важными участниками цепочки создания добавленной стоимости, что делает безопасность их сетевых и информационных систем неотъемлемой частью общей кибербезопасности внутреннего рынка. Под исследовательскими организациями следует понимать организации, основная часть деятельности которых сосредоточена на проведении прикладных исследований или экспериментальных разработок в значении Руководства Фраскати Организации экономического сотрудничества и развития 2015: Руководящие принципы сбора и представления данных об исследованиях и экспериментальных разработках, для использования их результатов в коммерческих целях, таких как производство или разработка продукта или процесса, предоставление услуги или ее маркетинг.

(37) Растущие взаимозависимости являются результатом все более трансграничной и взаимозависимой сети предоставления услуг с использованием ключевых инфраструктур на всей территории Союза в таким отраслях, как энергетика, транспорт, цифровая инфраструктура, питьевая вода и сточные воды, здравоохранение, определенные аспекты государственного управления, а также в космической отрасли в той мере, в какой это касается предоставления определенных услуг, зависящих от наземных инфраструктур, которые принадлежат, управляются или эксплуатируются государствами-членами ЕС или частными лицами, и, следовательно, не охватывающих инфраструктуры, которые принадлежат, управляются или эксплуатируются Союзом или от его имени в рамках его космической программы. Указанные взаимозависимости означают, что любое нарушение, даже первоначально ограниченное одной организацией или одной отраслью, может иметь каскадные последствия в более широком понимании, которые потенциально приведут к масштабным и длительным негативным последствиям для предоставления услуг на внутреннем рынке. Активизация кибератак во время пандемии COVID-19 показала уязвимость все более взаимозависимых обществ перед лицом маловероятных рисков.

(38) С учетом различий в национальных структурах управления и в целях защиты уже существующих отраслевых договоренностей или надзорных или регулятивных органов Союза государства-члены ЕС должны иметь возможность назначать или учреждать один или несколько компетентных органов, ответственных за кибербезопасность и за задачи по надзору в рамках настоящей Директивы.

(39) В целях содействия трансграничному сотрудничеству и взаимодействию между органами власти и для обеспечения эффективной имплементации настоящей Директивы каждому государству-члену ЕС необходимо назначить единый контактный центр, отвечающий за координацию вопросов, связанных с безопасностью сетевых и информационных систем, а также за трансграничное сотрудничество на уровне Союза.

(40) Единые контактные центры должны гарантировать эффективное трансграничное сотрудничество с соответствующими органами других государства-членов ЕС и, по мере необходимости, с Европейской Комиссией и ENISA. Вследствие этого, единым контактным центрам следует поручить направление уведомлений о серьезных инцидентах, имеющих трансграничные последствия, единым контактным центрам других соответствующих государств-членов ЕС по запросу CSIRT или компетентного органа. На национальном уровне единые контактные центры должны обеспечивать бесперебойное межотраслевое сотрудничество с другими компетентными органами. Единые контактные центры также могли бы быть получателями соответствующей информации об инцидентах, касающихся финансовых организаций, от компетентных органов, действующих согласно Регламенту (ЕС) 2022/2554, которую они должны иметь возможность направлять, при необходимости, CSIRTs или компетентным органам, действующих согласно настоящей Директиве.

(41) Государства-члены ЕС должны быть надлежащим образом оборудованы, как в техническом, так и организационном плане, для предотвращения, выявления инцидентов и рисков, реагирования на них и смягчения их последствий. Государства-члены ЕС, следовательно, должны создать или назначить одну группу или несколько групп CSIRTs согласно настоящей Директиве и гарантировать, что они располагают достаточными ресурсами и техническими возможностями. CSIRTs должны соблюдать требования, установленные в настоящей Директиве, для того чтобы гарантировать эффективные и совместимые возможности для устранения инцидентов и рисков, а также для обеспечения эффективного сотрудничества на уровне Союза. Государства-члены ЕС должны иметь возможность назначать в качестве CSIRTs существующие группы реагирования на компьютерные происшествия (CERTs). Для укрепления доверительных отношений между организациями и CSIRTs, если CSIRT является частью компетентного органа, государства-члены ЕС должны иметь возможность рассматривать функциональное разделение между оперативными задачами, выполняемыми CSIRTs, в частности, в отношении совместного использования информации и содействия, оказываемого организациям, и надзорной деятельностью компетентных органов.

(42) CSIRTs поручаются задачи по управлению инцидентами. Это подразумевает обработку больших объемов иногда конфиденциальных данных. Государства-члены ЕС должны гарантировать, что CSIRTs располагают инфраструктурой для совместного использования информации и ее обработки, а также хорошо оснащенным персоналом, который обеспечивает конфиденциальность и надежность их работы. CSIRTs также могли бы принять правила поведения в этом отношении.

(43) В том, что касается персональных данных, CSIRTs должны иметь возможность в соответствии с Регламентом (ЕС) 2016/679 предоставлять по запросу основных или значимых организаций автоматическое сканирование сетевых и информационных систем, используемых для представления услуг организации. В предусмотренных случаях, государства-члены ЕС должны стремиться обеспечить равный уровень технических возможностей для всех отраслевых CSIRTs. Государства-члены ЕС должны иметь возможность обращаться к ENISA за помощью при разработке своих CSIRTs.

(44) CSIRTs должны иметь возможность по запросу основной или значимой организации осуществлять мониторинг подключенных к интернету активов организации, как на месте, так и за ее пределами, с целью выявления, понимания общих организационных рисков организации и управления ими в отношении вновь выявленных нарушений цепочки поставок или критических уязвимостей. Следует поощрять организацию сообщать CSIRT об использовании ею привилегированного интерфейса управления, поскольку это может повлиять на скорость принятия мер по смягчению последствий.

(45) С учетом важности международного сотрудничества в области кибербезопасности CSIRTs должны иметь возможность участвовать в сетях международного сотрудничества в дополнение к сети CSIRTs, учрежденной настоящей Директивой. Вследствие этого, для выполнения своих задач CSIRTs и компетентные органы должны иметь возможность обмениваться информацией, в том числе персональными данными, с национальными группами реагирования на инциденты, связанные с компьютерной безопасностью, или компетентными органами третьих стран в том случае, если соблюдаются условия, предусмотренные законодательством Союза о защите данных для передачи персональных данных третьим странам, inter alia, согласно Статье 49 Регламента 2016/679.

(46) Большое значение имеет обеспечение достаточных ресурсов для достижения целей настоящей Директивы и для того, чтобы компетентные органы и CSIRTs могли выполнять задачи, установленные в настоящей Директиве. Государства-члены ЕС могут ввести на национальном уровне механизм финансирования для покрытия необходимых расходов в связи с выполнением задач государственными органами, отвечающими за кибербезопасность в государстве-члене ЕС в соответствии с настоящей Директивой. Такой механизм должен соответствовать законодательству Союза, быть пропорциональным и недискриминационным, а также учитывать различные подходы к предоставлению безопасных услуг.

(47) Сеть CSIRTs должна продолжать содействовать укреплению доверия и способствовать быстрому и эффективному оперативному сотрудничеству между государствами-членами ЕС. В целях укрепления оперативного сотрудничества на уровне Союза сети CSIRTs следует рассмотреть возможность приглашения органов и агентств Союза, задействованных в политике кибербезопасности, таких как Европол, принять участие в ее работе.

(48) В целях достижения и поддержания высокого уровня кибербезопасности национальные стратегии кибербезопасности, требуемые в соответствии с настоящей Директивой, должны содержать согласованные рамки, определяющие стратегические цели и приоритеты в области кибербезопасности и управление для их достижения. Указанные стратегии могут состоять из одного или нескольких законодательных или подзаконных актов.

(49) Политика кибергигиены обеспечивает основу для защиты инфраструктур сетевых и информационных систем, аппаратного обеспечения, программного обеспечения и безопасности онлайн-приложений, а также коммерческих данных или данных конечного пользователя, на которые полагаются организации. Политика кибергигиены, включающая общий базовый набор практик, в том числе обновления программного и аппаратного обеспечения, смену паролей, управление новыми установками, ограничение учетных записей доступа на уровне администратора и резервное копирование данных, обеспечивает автоматическую систему готовности и общей безопасности в случае инцидентов или киберугроз. ENISA следует проводить мониторинг и анализ политики кибергигиены государств-членов ЕС.

(50) Осведомленность о кибербезопасности и кибергигиена необходимы для повышения уровня кибербезопасности в Союзе, в частности, в свете растущего числа подключенных устройств, которые все чаще используются при кибератаках. Следует приложить усилия для повышения общей осведомленности о рисках, связанных с такими устройствами, в то время как оценки на уровне Союза могли бы помочь обеспечить общее понимание таких рисков на внутреннем рынке.

(51) Государства-члены ЕС должны поощрять использование любых инновационных технологий, включая искусственный интеллект, использование которых могло бы улучшить выявление и предотвращение кибератак, позволяя более эффективно перенаправлять на них ресурсы. Вследствие этого, государства-члены ЕС должны поощрять в процессе деятельности, связанной с научными исследованиями и разработками, в рамках своих национальных стратегий в области кибербезопасности содействие использованию таких технологий, в частности, технологий, касающихся автоматических и полуавтоматических средств кибербезопасности, и, в соответствующих случаях, содействие обмену данными, необходимыми для подготовки пользователей такой технологии и для ее совершенствования. Использование любой инновационной технологии, включая искусственный интеллект, должно соответствовать законодательству Союза о защите данных, включая принципы защиты данных, касающиеся точности данных, минимизации объема данных, справедливости и прозрачности, а также безопасности данных, например, современное шифрование. Требования по защите данных, по умолчанию установленные Регламентом (ЕС) 2016/679, должны быть выполнены в полной мере.

(52) Инструменты и приложения для обеспечения кибербезопасности с открытым исходным кодом могут способствовать повышению степени открытости и могут оказать положительное влияние на эффективность промышленных инноваций. Открытые стандарты облегчают взаимодействие между инструментами безопасности, повышая безопасность заинтересованных сторон в промышленности. Инструменты и приложения для обеспечения кибербезопасности с открытым исходным кодом могут привлечь более широкое сообщество разработчиков, что позволит диверсифицировать поставщиков. Открытый исходный код может привести к более прозрачному процессу проверки инструментов, связанных с кибербезопасностью, и процессу обнаружения уязвимостей, осуществляемому по инициативе сообщества. Следовательно, государства-члены ЕС должны иметь возможность содействовать использованию программного обеспечения с открытым исходным кодом и открытых стандартов, проводя политику в отношении использования открытых данных и открытого исходного кода в рамках обеспечения безопасности посредством прозрачности. Меры политики, способствующие внедрению и устойчивому использованию инструментов для обеспечения кибербезопасности с открытым исходным кодом, имеют особое значение для малых и средних предприятий, сталкивающихся со значительными затратами на внедрение, которые можно было бы свести к минимуму за счет уменьшения потребности в конкретных приложениях или инструментах.

(53) Коммунальные службы в городах все чаще подключаются к цифровым сетям с целью улучшения городских транспортных сетей, модернизации систем водоснабжения и утилизации отходов, а также повышения эффективности освещения и отопления зданий. Указанные оцифрованные коммунальные службы уязвимы для кибератак, и в случае успешной кибератаки они рискуют нанести гражданам масштабный ущерб вследствие своей взаимосвязанности. Государства-члены ЕС в рамках своей национальной стратегии в области кибербезопасности должны разработать политику, направленную на развитие таких подключенных или интеллектуальных городов и их потенциальное воздействие на общество.

(54) В последние годы Союз столкнулся с экспоненциальным увеличением числа атак вредоносных программ-вымогателей, в ходе которых вредоносное программное обеспечение шифрует данные и системы и требует выкуп за их освобождение. Возрастающая частота и тяжесть атак вредоносных программ-вымогателей могут быть обусловлены несколькими факторами, такими как различные схемы атак, преступные коммерческие модели, связанные с "программами-вымогателями как услугой" и криптовалютой, требования выкупа и рост атак на системы поставок. Государствам-членам ЕС в рамках своей национальной стратегии в области кибербезопасности следует разработать политику, направленную на борьбу с ростом числа атак вредоносных программ-вымогателей.

(55) Государственно-частные партнерства (PPPs) в области кибербезопасности могут обеспечить надлежащую основу для обмена знаниями, совместного использования передовых практик и установления общего уровня взаимопонимания между заинтересованными сторонами. Государства-члены ЕС должны содействовать политическим принципам, лежащим в основе создания государственно-частных партнерств (PPPs), ориентированных на кибербезопасность. Указанные принципы должны разъяснять, inter alia, информацию о сфере применения и вовлеченных заинтересованных сторонах, модели управления, доступных вариантах финансирования и взаимодействии между участвующими заинтересованными сторонами в отношении PPPs. Государственно-частные партнерства (PPPs) могут использовать экспертный опыт организаций частного сектора для оказания помощи компетентным органам в разработке современных услуг и процессов, включая обмен информацией, раннее предупреждение, учения в отношении киберугроз и инцидентов, управление кризисами и планирование устойчивости.

(56) Государства-члены ЕС в своих национальных стратегиях в области кибербезопасности должны учитывать конкретные потребности малых и средних предприятий в области кибербезопасности. Малые и средние предприятия по всему Союзу составляют значительную долю промышленного и делового рынка и часто испытывают трудности с адаптацией к новым методам ведения хозяйственной деятельности в более взаимосвязанном мире и в цифровой среде, где сотрудники работают из дома, а коммерческая деятельность все чаще осуществляется в режиме реального времени. Некоторые малые и средние предприятия сталкиваются со специфическими проблемами кибербезопасности, такими как низкая осведомленность о киберпространстве, отсутствие удаленной IT-безопасности, высокая стоимость решений для кибербезопасности и повышенный уровень угроз, таких как вредоносные программы-вымогатели, в отношении которых они должны получать руководящие указания и помощь. Малые и средние предприятия все чаще становятся мишенью атак в системе поставок вследствие их менее строгих мер по управлению рисками кибербезопасности и управлению атаками, а также вследствие того факта, что они располагают ограниченными ресурсами безопасности. Такие атаки на системы поставок не только оказывают влияние на малые и средние предприятия и их деятельность по отдельности, но также могут оказывать каскадное воздействие на более крупные атаки на организации, которым они обеспечивали поставки. Государства-члены ЕС в рамках своих национальных стратегий в области кибербезопасности должны помогать малым и средним предприятиям решать проблемы, с которыми они сталкиваются в своих системах поставок. Государства-члены ЕС должны иметь контактный центр для малых и средних предприятий на национальном или региональном уровне, который предоставляет руководящие указания и помощь малым и средним предприятиям или направляет их в соответствующие органы для получения указаний и помощи по вопросам, связанным с кибербезопасностью. Государствам-членам ЕС также рекомендуется предлагать такие услуги, как системная конфигурация веб-сайта и ведение журнала, микропредприятиям и малым предприятиям, которым не хватает таких возможностей.

(57) В рамках своих национальных стратегий в области кибербезопасности государства-члены ЕС должны принять политические принципы поощрения активной киберзащиты в рамках более широкой оборонительной стратегии. Вместо реагирования в качестве ответной меры активная киберзащита представляет собой предотвращение, выявление, мониторинг, анализ и смягчение последствий нарушений сетевой безопасности активным образом в сочетании с использованием потенциальных возможностей, развернутых внутри пострадавшей сети и за ее пределами. Сюда могут относиться государства-члены ЕС, предлагающие бесплатные услуги или инструменты определенным организациям, включая проверки самообслуживания, средства обнаружения и услуги по освобождению устройства для следующего использования. Решающее значение для обеспечения единства усилий в успешном предупреждении, выявлении, устранении и блокировании атак на сетевые и информационные системы имеет способность быстро и автоматически обмениваться информацией об угрозах, анализами угроз, предупреждениями о кибератаках и ответными действиями, а также понимать их. Активная киберзащита основана на оборонительной стратегии, которая исключает наступательные операции.

(58) Поскольку использование уязвимостей в сетевых и информационных системах может привести к серьезным сбоям и ущербу, быстрое выявление и устранение таких уязвимостей является важным фактором в снижении рисков. Вследствие этого, организации, которые разрабатывают сетевые и информационные системы или управляют ими, должны установить процедуры для устранения уязвимостей при их обнаружении. Поскольку уязвимости часто обнаруживаются, а информация о них раскрывается третьими сторонами, производитель или поставщик продуктов ICT или услуг ICT также должен внедрить необходимые процедуры для получения информации об уязвимостях от третьих сторон. В этой связи международные стандарты ISO/IEC 30111 и ISO/IEC 29147 предусматривают руководящие указания по обработке уязвимостей и раскрытию информации о них. Укрепление координации между представляющими отчетность физическими и юридическими лицами и производителями или поставщиками продуктов ICT или услуг ICT особенно важно в целях содействия добровольному раскрытию информации об уязвимостях. Согласованное раскрытие информации об уязвимостях определяет структурированный процесс, посредством которого производителю или поставщику потенциально уязвимых продуктов ICT или услуг ICT сообщается об уязвимостях таким образом, чтобы он мог диагностировать и устранить уязвимость до того, как подробная информация об уязвимости будет раскрыта третьим сторонам или общественности. Согласованное раскрытие информации об уязвимостях также должно включать координирование действий между представляющим отчетность физическим или юридическим лицом и производителем или поставщиком потенциально уязвимых продуктов ICT или услуг ICT в отношении сроков устранения и публикации уязвимостей.

(59) Европейская Комиссия, ENISA и государства-члены ЕС должны продолжить содействовать согласованности с международными стандартами и существующими передовыми отраслевыми практиками в области управления рисками кибербезопасности, например, в областях оценки безопасности системы поставок, совместного использования информации и раскрытия информации об уязвимостях.

(60) Государства-члены ЕС в сотрудничестве с ENISA должны принять меры для содействия согласованному раскрытию информации об уязвимостях путем установления соответствующей национальной политики. В рамках своей национальной политики государства-члены ЕС должны стремиться, насколько это возможно, решать проблемы, с которыми сталкиваются специалисты по исследованию уязвимостей, включая их возможное привлечение к уголовной ответственности в соответствии с национальным законодательством. С учетом того, что физические и юридические лица, проводящие исследования уязвимостей, в некоторых государствах-членах ЕС могут быть привлечены к уголовной и гражданской ответственности, государствам-членам ЕС рекомендуется принять руководящие принципы в отношении отказа от судебного преследования специалистов по исследованию в области информационной безопасности и освобождения от гражданской ответственности за их деятельность.

(61) Государства-члены ЕС должны назначить одну из своих групп CSIRTs координатором, действующим в качестве доверенного посредника между представляющими отчетность физическими или юридическими лицами и производителями или поставщиками продуктов ICT или услуг ICT, которых может затронуть уязвимость, по мере необходимости. Задачи CSIRT, назначенной координатором, должны включать выявление соответствующих организаций и установление контактов с ними, оказание содействия физическим или юридическим лицам, представляющим отчетность об уязвимости, согласование сроков раскрытия информации и управление уязвимостями, которые затрагивают несколько организаций (многостороннее согласованное раскрытие информации об уязвимостях). В тех случаях, когда заявленная уязвимость может оказать значительное влияние на организации более чем в одном государстве-члене ЕС, CSIRTs, назначенные координаторами, должны сотрудничать в рамках сети CSIRTs, в предусмотренных случаях.

(62) Доступ к правильной и своевременной информации об уязвимостях, влияющих на продукты ICT и услуги ICT, содействует улучшению управления рисками кибербезопасности. Источники общедоступной информации об уязвимостях являются важным инструментом для организаций и пользователей их услуг, а также для компетентных органов и CSIRTs. По этой причине ENISA должно создать европейскую базу данных уязвимостей, в которой организации, вне зависимости от того, подпадают ли они под сферу применения настоящей Директивы, и их поставщики сетевых и информационных систем, а также компетентные органы и CSIRTs, могут раскрывать и регистрировать на добровольной основе публично известные уязвимости, для того чтобы разрешить пользователям принимать соответствующие смягчающие меры. Целью указанной базы данных является решение уникальных проблем, связанных с рисками для организаций Союза. Помимо этого, ENISA должно создать соответствующую процедуру, касающуюся процесса опубликования, чтобы предоставить организациям время для принятия смягчающих мер в отношении их уязвимостей и для использования современных мер по управлению рисками кибербезопасности, а также машиночитаемые наборы данных и соответствующие интерфейсы. Для содействия культуре раскрытия информации об уязвимостях раскрытие информации не должно оказывать негативное воздействие на физическое или юридическое лицо, представляющее отчетность.

(63) Несмотря на факт существования аналогичных реестров или баз данных уязвимостей, они размещаются и обслуживаются организациями, которые не учреждены в Союзе. Европейская база данных уязвимостей, обслуживаемая ENISA, обеспечит повышенную прозрачность процесса опубликования до публичного раскрытия информации об уязвимости, а также устойчивость в случае сбоя или временного прекращения предоставления аналогичных услуг. Чтобы, по возможности, избежать дублирования усилий и стремиться к взаимодополняемости, ENISA должно изучить возможность заключения структурированных соглашений о сотрудничестве с аналогичными реестрами или базам данных, которые подпадают под юрисдикцию третьих стран. В частности, ENISA должно изучить возможность тесного сотрудничества с операторами системы общего перечня уязвимостей и рисков безопасности (CVE).

(64) Группа по сотрудничеству должна обеспечивать поддержку и содействовать стратегическому сотрудничеству и обмену информацией, а также укреплять доверие между государствами-членами ЕС. Группа по сотрудничеству должна составлять рабочую программу каждые два года. Рабочая программа должна включать действия, которые должна предпринимать Группа по сотрудничеству для реализации своих целей и задач. Временные рамки для составления первой рабочей программы согласно настоящей Директиве должны быть согласованы с временными рамками последней рабочей программы, составленной согласно Директиве (ЕС) 2016/1148, во избежание возможных сбоев в работе Группы по сотрудничеству.

(65) При разработке руководящих документов Группа по сотрудничеству должна последовательно отображать национальные решения и опыт, оценивать воздействие результатов работы Группы по сотрудничеству на национальные подходы, обсуждать проблемы реализации и формулировать определенные рекомендации, в частности, в отношении содействия согласованию преобразования настоящей Директивы в национальное право между государствами-членами ЕС, которые должны быть решены путем более эффективной реализации существующих правил. Группа по сотрудничеству также может отобразить национальные решения для обеспечения совместимости решений в области кибербезопасности, применимых к каждой конкретной отрасли на всей территории Союза. Это особенно актуально для отраслей, которые имеют международный или трансграничный характер.

(66) Группа по сотрудничеству должна оставаться гибким форумом и должна иметь возможность реагировать на изменяющиеся и новые политические приоритеты и вызовы, учитывая при этом наличие ресурсов. Она могла бы организовывать регулярные совместные встречи с соответствующими частными заинтересованными лицами со всего Союза для обсуждения деятельности, осуществляемой Группой по сотрудничеству, и для сбора данных и вклада в решение возникающих политических проблем. Помимо этого, Группа по сотрудничеству должна проводить регулярную оценку состояния киберугроз или инцидентов, таких как вредоносные программы-вымогатели. В целях расширения сотрудничества на уровне Союза Группа по сотрудничеству должна рассмотреть возможность приглашения соответствующих институтов, органов, ведомств и агентств Союза, вовлеченных в политику кибербезопасности, таких как Европейский Парламент, Европол, Европейский совет по защите данных, Европейское Агентство по безопасности авиации, учрежденное Регламентом (ЕС) 2018/1139, и Агентство Европейского Союза по космической программе, учрежденное Регламентом (ЕС) 2021/696 Европейского Парламента и Совета ЕС*(15), для участия в своей работе.

(67) Компетентные органы и CSIRTs должны иметь возможность участвовать в схемах обмена для должностных лиц из других государств-членов ЕС в определенных рамках и, по мере необходимости, при условии получения должностными лицами, участвующими в таких схемах обмена, требуемого допуска к работе с секретными документами в целях улучшения сотрудничества и укрепления доверия между государствами-членами ЕС. Компетентные органы должны принимать необходимые меры, которые позволят должностным лицами из других государств-членов ЕС играть эффективную роль в деятельности принимающего компетентного органа или принимающей CSIRT.

(68) Государства-члены ЕС должны способствовать созданию Системы реагирования ЕС на кризисы в сфере кибербезопасности, учрежденной в Рекомендации (ЕС) 2017/1584 Европейской Комиссии*(16), через существующие сети сотрудничества, в частности, Европейскую сеть организации взаимодействия в кризисных ситуациях, связанных с киберпространством (EU-CyCLONe), сеть CSIRTs и Группу по сотрудничеству. EU-CyCLONe и сеть CSIRTs должны сотрудничать на основе процессуальных механизмов, которые определяют детали указанного сотрудничества и не допускают любого дублирования задач. Правила процедуры EU-CyCLONe должны дополнительно определять механизмы, с помощью которых должна функционировать указанная сеть, в том числе роли сети, средства сотрудничества, взаимодействия с другими соответствующими действующими лицами и шаблоны для совместного использования информации, а также средства связи. В том, что касается управления в кризисных ситуациях на уровне Союза, соответствующие стороны должны полагаться на комплексные механизмы реагирования ЕС на политические кризисы в рамках Имплементационного Решения (ЕС) 2018/1993 Совета ЕС*(17) (механизмы IPCR). Для указанной цели Европейская Комиссия должна использовать процесс координации межотраслевых кризисов высокого уровня ARGUS. Если кризис влечет за собой важное внешнее или общее измерение политики безопасности и обороны, следует активировать механизм антикризисного реагирования Европейской службы внешних связей.

(69) В соответствии с Приложением к Рекомендации (ЕС) 2017/1584 крупномасштабный инцидент в области кибербезопасности должен означать инцидент, который вызывает уровень сбоя, превышающий возможности государства-члена ЕС отреагировать на него, или который оказывает значительное влияние как минимум на два государства-члена ЕС. В зависимости от их причины и воздействия крупномасштабные инциденты в области кибербезопасности могут усугубляться и превращаться в полноценные кризисы, не позволяющие внутреннему рынку функционировать должным образом или создающие серьезные риски для общественной безопасности организаций или граждан в нескольких государствах-членах ЕС или в Союзе в целом. С учетом обширной сферы применения и, в большинстве случаев, трансграничного характера таких инцидентов государства-члены ЕС и соответствующие институты, органы, ведомства и агентства Союза должны сотрудничать на техническом, оперативном и политическом уровне для надлежащей координации ответных мер на всей территории Союза.

(70) Крупномасштабные инциденты и кризисы в области кибербезопасности на уровне Союза требуют согласованных действий для обеспечения принятия быстрых и эффективных ответных мер вследствие высокой степени взаимозависимости между отраслями и государствами-членами ЕС. Наличие киберустойчивых сетевых и информационных систем, а также доступность, конфиденциальность и целостность данных жизненно важны для безопасности Союза и для защиты его граждан, предприятий и учреждений от инцидентов и киберугроз, а также для повышения доверия лиц и организаций к возможностям Союза продвигать и защищать глобальное, открытое, свободное, стабильное и безопасное киберпространство, основанное на правах человека, основных свободах, демократии и принципе верховенства закона.

(71) EU-CyCLONe следует выступать посредником между техническим и политическим уровнем во время крупномасштабных инцидентов и кризисов в области кибербезопасности и следует укреплять сотрудничество на оперативном уровне и содействовать принятию решений на политическом уровне. В сотрудничестве с Европейской Комиссией, принимая во внимание компетенцию Европейской Комиссии в области управления кризисными ситуациями, EU-CyCLONe следует опираться на выводы сети CSIRTs и использовать свои собственные возможности для проведения анализа последствий крупномасштабных инцидентов и кризисных ситуаций в области кибербезопасности.

(72) Кибератаки носят трансграничный характер, серьезный инцидент может нарушить работу и нанести ущерб критически важным информационным инфраструктурам, от которых зависит бесперебойное функционирование внутреннего рынка. Рекомендация (ЕС) 2017/1584 касается роли всех соответствующих субъектов. Помимо этого, Европейская Комиссия в рамках Механизма гражданской защиты Союза, учрежденного Решением 1313/2013/ЕС Европейского Парламента и Совета ЕС*(18), несет ответственность за общие действия по обеспечению готовности, включая управление Координационным центром реагирования в чрезвычайных ситуациях и Общей системой связи и информации в чрезвычайных ситуациях, за поддержание и дальнейшее развитие способности к ситуационной осведомленности и анализу, а также за создание возможностей по мобилизации и направлению групп экспертов в случае запроса о помощи от государства-члена ЕС или третьей страны и за управление такими возможностями. Европейская Комиссия также несет ответственность за предоставление аналитических отчетов для механизмов IPCR согласно Имплементационному Решению (ЕС) 2018/1993, в том числе в отношении ситуационной осведомленности и готовности в области кибербезопасности, а также за ситуационную осведомленность и реагирование на кризисные ситуации в областях сельского хозяйства, неблагоприятных погодных условий, картирования и прогнозирования конфликтов, систем раннего предупреждения о стихийных бедствиях, чрезвычайных ситуаций в сфере здравоохранения, надзора за инфекционными болезнями, здоровья растений, химических инцидентов, безопасности пищевых продуктов и кормов, здоровья животных, миграции, таможенного контроля, ядерных и радиологических чрезвычайных ситуаций и энергетики.

(73) Союз, в предусмотренном случае, может заключать международные соглашения в соответствии со Статьей 218 TFEU с третьими странами или международными организациями, разрешая и организуя их участие в конкретных мероприятиях Группы по сотрудничеству, сети CSIRTs и EU-CyCLONe. Такие соглашения должны обеспечивать интересы Союза и надлежащую защиту данных. Это положение не препятствует праву государств-членов ЕС сотрудничать с третьими странами по вопросу управления уязвимостями и управления рисками в области кибербезопасности, содействуя представлению отчетности и совместному использованию общей информации согласно законодательству Союза.

(74) В целях содействия эффективной имплементации настоящей Директивы в отношении, inter alia, управления уязвимостями, мер по управлению рисками кибербезопасности, обязательств по представлению отчетности и механизмов совместного использования информации в области кибербезопасности государства-члены ЕС могут сотрудничать с третьими странами и предпринимать действия, которые считаются соответствующими указанной цели, включая обмен информацией о киберугрозах, об инцидентах, уязвимостях, средствах и методах, тактиках, приемах и процедурах, готовности к управлению кризисными ситуациями в области кибербезопасности, учениях, подготовке, укреплении доверия и структурированных механизмах совместного использования информации.

(75) Следует внедрить экспертные оценки, которые помогут извлечь уроки из общего опыта, укрепить взаимное доверие и достичь высокого общего уровня кибербезопасности. Экспертные оценки могут привести к ценным аналитическим выводам и рекомендациям, укрепляющим общие возможности в области кибербезопасности, создавая еще один функциональный путь для обмена передовым опытом между государствами-членами ЕС и способствуя повышению уровня зрелости государств-членов ЕС в вопросах кибербезопасности. Помимо этого, экспертные оценки должны учитывать результаты аналогичных механизмов, таких как система экспертных оценок сети CSIRTs, и должны повышать эффективность и избегать дублирования. Имплементация экспертных оценок должна проводиться без ущерба законодательству Союза или национальному законодательству о защите конфиденциальной или засекреченной информации.

(76) Группа по сотрудничеству должна разработать методологию самооценки для государств-членов ЕС, направленную на охват таких факторов, как уровень реализации мер по управлению рисками кибербезопасности и обязательств по представлению отчетности, уровень возможностей и эффективность выполнения задач компетентных органов, оперативные возможности CSIRTs, уровень реализации взаимной помощи, уровень имплементации механизмов совместного использования информации в области кибербезопасности или определенные вопросы трансграничного или межотраслевого характера. Государствам-членам ЕС рекомендуется проводить самооценки на регулярной основе, а также представлять и обсуждать результаты своей самооценки в рамках Группы по сотрудничеству.

(77) Ответственность за обеспечение безопасности сетевой и информационной системы в значительной степени лежит на основных и значимых организациях. Необходимо поощрять и развивать культуру управления рисками, включая оценки рисков и внедрение мер по управлению рисками кибербезопасности, соответствующих возникающим рискам.

(78) Меры по управлению рисками кибербезопасности должны учитывать степень зависимости основных и значимых организаций от сетевых и информационных систем и должны включать в себя меры по идентификации любых рисков инцидентов, по предупреждению и выявлению инцидентов, реагированию на них и восстановлению после них, а также по уменьшению их воздействия. Безопасность сетевых и информационных систем должна включать в себя безопасность хранимых, передаваемых и обработанных данных. Меры по управлению рисками кибербезопасности должны предусматривать системный анализ с учетом человеческого фактора, чтобы иметь полную картину безопасности сетевой и информационной системы.

(79) Поскольку угрозы безопасности сетевых и информационных систем могут иметь разное происхождение, меры по управлению рисками кибербезопасности должны основываться на учитывающем все опасности подходе, который направлен на защиту сетевых и информационных систем и физической среды указанных систем от таких случаев, как кража, пожар, наводнение, сбои в работе системы связи или отключение электроснабжения, несанкционированный физический доступ к информации основной или значимой организации и средствам обработки информации, повреждение указанной информации и средств, а также посягательство на информацию основной или значимой организации и на средства ее обработки, что может поставить под угрозу доступность, подлинность, целостность и конфиденциальность хранящихся, передаваемых или обработанных данных или услуг, предлагаемых сетевыми и информационными системами или доступных через них. Следовательно, меры по управлению рисками кибербезопасности должны также касаться физической и экологической безопасности сетевых и информационных систем, в том числе мер по защите таких систем от системных сбоев, человеческой ошибки, злоумышленных деяний или природных явлений в соответствии с европейскими и международными стандартами, такими, как например, стандарты серии ISO/IEC 27000. В этой связи основные и значимые организации в рамках своих мер по управлению рисками кибербезопасности должны также учитывать безопасность кадровых ресурсов и должны иметь в распоряжении систему соответствующих мер по контролю доступа. Указанные меры должны соответствовать Директиве (ЕС) 2022/2557.

(80) В целях демонстрации соблюдения мер по управлению рисками кибербезопасности и в отсутствие соответствующих европейских схем сертификации кибербезопасности, принятых в соответствии с Регламентом (ЕС) 2019/881 Европейского Парламента и Совета ЕС*(19), государства-члены ЕС по согласованию с Группой по сотрудничеству и Европейской группой по сертификации кибербезопасности должны содействовать использованию соответствующих европейских и международных стандартов основными и значимыми организациями или могут потребовать от организаций использовать сертифицированные продукты ICT, услуги ICT и процессы ICT.

(81) Во избежание непропорциональной финансовой и административной нагрузки на основные и значимые организации меры по управлению рисками кибербезопасности должны быть пропорциональны рискам, которым подвергается соответствующая сетевая и информационная система, с учетом современного состояния таких мер и, при необходимости, с учетом соответствующих европейских и международных стандартов, а также затрат на их внедрение.

(82) Меры по управлению рисками кибербезопасности должны быть пропорциональны степени подверженности основной или значимой организации рискам и тому социальному и экономическому воздействию, которое может оказать инцидент. При разработке мер по управлению рисками кибербезопасности, адаптированных к основным и значимым организациям, должным образом следует учитывать неоднородную подверженность основных и значимых организаций рискам, например, степень ответственности организации, риски, в том числе социальные риски, которым она подвержена, размер организации и вероятность возникновения инцидентов и их тяжесть, включая их социальное и экономическое воздействие.

(83) Основные и значимые организации должны обеспечивать безопасность сетевых и информационных систем, которые они используют в процессе своей деятельности. Указанные системы в основном представляют собой частные сетевые и информационные системы, которыми управляет внутренний IT-персонал основных и значимых организаций или безопасность которых была передана сторонним организациям. Меры по управлению рисками кибербезопасности и обязательства по представлению отчетности, установленные в настоящей Директиве, должны применяться к соответствующим основным и значимым организациям вне зависимости от того, обеспечивают ли указанные организации работу своих сетевых и информационных систем без привлечения сторонних организаций или с их привлечением.

(84) С учетом их трансграничного характера поставщики услуг DNS, реестры имен TLD, провайдеры услуг облачных вычислений, поставщики услуг центра обработки данных, поставщики сети доставки контента, поставщики услуг управления сетью, поставщики услуг по управлению информационной безопасностью, поставщики электронных торговых площадок, онлайновых поисковых систем и платформ социальных сетевых сервисов, а также поставщики удостоверительного сервиса подлежат высокой степени гармонизации на уровне Союза. Следовательно, реализации мер по управлению рисками кибербезопасности в отношении указанных организаций должен содействовать имплементационный акт.

(85) Устранение рисков, связанных с системой поставок организации и ее взаимоотношениями со своими поставщиками, такими как поставщики услуг по хранению и обработке данных или поставщики услуг по управлению информационной безопасностью и редакторы программного обеспечения, играет особо важную роль с учетом уровня распространения инцидентов в случаях, когда организации становились жертвами кибератак и когда злоумышленники могли скомпрометировать безопасность сетевых и информационных систем организации, используя уязвимости, затрагивающие продукты и услуги третьих сторонних производителей. Вследствие этого, основные и значимые организации должны оценивать и принимать во внимание общее качество и устойчивость продуктов и услуг, заложенные в них меры по управлению рисками кибербезопасности, а также практики обеспечения кибербезопасности их поставщиков и поставщиков услуг, включая их процедуры безопасной разработки. Основным и значимым организациям, в частности, рекомендуется инкорпорировать меры по управлению рисками кибербезопасности в договорные соглашения со своими прямыми поставщиками и поставщиками услуг. Указанные организации могут учитывать риски, связанные с поставщиками и поставщиками услуг других уровней.

(86) Среди поставщиков услуг поставщики услуг по управлению информационной безопасностью в таких областях, как реагирование на инциденты, тестирование проникновения, аудиторские проверки состояния безопасности и консультирование, играют особенно важную роль в оказании содействия организациям в их усилиях по предотвращению и выявлению инцидентов, реагированию на них и восстановлению после них. Поставщики услуг по управлению информационной безопасностью, однако, сами становились объектами кибератак и вследствие их тесной интеграции в операции организаций представляют особый риск. Основные и значимые организации, следовательно, должны внимательнее выбирать поставщиков услуг по управлению информационной безопасностью.

(87) Компетентные органы в контексте своих задач по надзору также могут воспользоваться услугами кибербезопасности, такими как аудиторские проверки состояния безопасности, тестирование проникновения или реагирование на инциденты.

(88) Основные и значимые организации также должны устранять риски, возникающие в связи с их взаимодействием и взаимоотношениями с другими заинтересованными сторонами в рамках более широкой экосистемы, в том числе в отношении противодействия промышленному шпионажу и защиты коммерческой тайны. В частности, указанные организации должны принимать соответствующие меры для гарантии того, что их сотрудничество с академическими и исследовательскими институтами осуществляется согласно политике в области кибербезопасности и в соответствии с передовыми практиками в отношении безопасного доступа и распространения информации в целом и защиты интеллектуальной собственности в частности. Аналогичным образом, учитывая важность и ценность данных для деятельности основных и значимых организаций, полагаясь на услуги третьих сторон по преобразованию и аналитической обработке данных, указанные организации должны принимать все надлежащие меры по управлению рисками кибербезопасности.

(89) Основные и значимые организации должны принять широкий спектр основных методов кибергигиены, таких как принципы нулевого доверия, обновления программного обеспечения, конфигурация устройства, сетевая сегментация, управление доступом или осведомленность пользователей; также они должны организовать обучение для своего персонала и повысить осведомленность в отношении киберугроз, фишинга или методов социальной инженерии. Помимо этого, указанные организации должны оценить свои собственные возможности в области кибербезопасности и, по мере необходимости, должны стремиться к интеграции технологий совершенствования кибербезопасности, таких как искусственный интеллект или системы машинного обучения, для повышения своих возможностей и безопасности сетевых и информационных систем.

(90) Для дальнейшего устранения основных рисков в системе поставок и оказания содействия основным и значимым организациям, задействованным в секторах, охватываемых настоящей Директивой, в надлежащем управлении рисками, связанными с системой поставок и поставщиком, Группа по сотрудничеству при содействии Европейской Комиссии и ENISA и, по мере необходимости, после консультации с заинтересованными сторонами, в том числе с представителями промышленности, должна проводить согласованные оценки рисков безопасности критически важных систем поставок, как это сделано для сетей 5G согласно Рекомендации (ЕС) 2019/534 Европейской Комиссии*(20), с целью определения по отраслям критически важных услуг ICT, систем ICT или продуктов ICT, соответствующих угроз и уязвимостей. Такие согласованные оценки рисков безопасности должны определять меры, планы по смягчению последствий и передовой опыт для противодействия критическим зависимостям, потенциальным единичным точкам отказа, угрозам, уязвимостям и другому риску, связанному с системой поставок, и должны изучать пути дальнейшего содействия их более широкого применения основными и значимыми организациями. Потенциальные нетехнические факторы риска, такие как ненадлежащее влияние третьей страны на поставщиков и поставщиков услуг, в частности, в случае альтернативных моделей управления, включают в себя скрытые уязвимости или лазейки и потенциальные системные сбои поставок, в частности, в случае технической блокировки или зависимости от поставщика.

(91) Согласованные оценки рисков безопасности критически важных систем поставок, в свете характеристик соответствующей отрасли, должны учитывать технические и, по мере необходимости, нетехнические факторы, в том числе определенные в Рекомендации (ЕС) 2019/534, в согласованной оценке ЕС рисков кибербезопасности сетей 5G и в инструментарии ЕС в отношении кибербезопасности 5G, согласованном Группой по сотрудничеству. Для идентификации систем поставок, которые подлежат согласованной оценке рисков безопасности, следует учитывать следующие критерии: (i) степень, в которой основные и значимые организации используют определенные критически важные услуги ICT, системы ICT или продукты ICT и полагаются на них; (ii) актуальность определенных критически важный услуг ICT, систем ICT или продуктов ICT для выполнения важных или конфиденциальных функций, включая обработку персональных данных; (iii) наличие альтернативных услуг ICT, систем ICT или продуктов ICT; (iv) устойчивость всей системы поставок услуг ICT, систем ICT или продуктов ICT на протяжении всего их жизненного цикла к сбоям; и (v) для появляющихся услуг ICT, систем ICT или продуктов ICT - их потенциальное значением в будущем для деятельности организаций. Помимо этого, особый акцент следует сделать на услугах ICT, системах ICT или продуктах ICT, к которым третьи страны предъявляют особые требования.

(92) В целях упрощения обязательств, возлагаемых на поставщиков сетей электронных коммуникаций общего пользования или доступных для всеобщего пользования услуг электронных коммуникаций и на поставщиков удостоверительного сервиса, связанных с безопасностью их сетевых и информационных систем, а также для того, чтобы позволить указанным организациям и компетентным органам согласно Директиве (ЕС) 2018/1972 Европейского Парламента и Совета ЕС*(21) и Регламенту (ЕС) 910/2014 соответственно воспользоваться правовой базой, установленной настоящей Директивой, включая назначение CSIRT, ответственной за управление инцидентами, участие соответствующих компетентных органов в деятельности Группы по сотрудничеству и сети CSIRTs, указанные организации подпадают под сферу применения настоящей Директивы. Вследствие этого, необходимо исключить соответствующие положения, установленные в Регламенте (ЕС) 910/2014 и в Директиве (ЕС) 2018/1972, касающиеся предъявления требований по безопасности и уведомлению к указанным типам организаций. Правила, касающиеся обязательств по представлению отчетности, установленных в настоящей Директиве, должны применяться без ущерба Регламенту (ЕС) 2016/679 и Директиве 2002/58/EC.

(93) Обязательства в области кибербезопасности, установленные в настоящей Директиве, следует рассматривать как дополнительные к требованиям, предъявляемым к поставщикам удостоверительного сервиса согласно Регламенту (ЕС) 910/2014. Поставщики удостоверительного сервиса должны принимать все соответствующие и пропорциональные меры для управления рисками, связанными с их услугами, в том числе в отношении получателей услуг и проверяющих третьих сторон, и сообщать об инцидентах согласно настоящей Директиве. Такие обязательства по кибербезопасности и представлению отчетности должны также касаться физической защиты предоставляемых услуг. Требования, предъявляемые к квалифицированным поставщикам удостоверительного сервиса и установленные в Статье 24 Регламента (ЕС) 910/2014, продолжают применяться.

(94) Государства-члены ЕС могут отвести роль компетентных органов по предоставлению удостоверительных сервисов надзорным органам согласно Регламенту (ЕС) 910/2014, для того чтобы обеспечить продолжение текущей практики и учесть знания и опыт, приобретенные при применении указанного Регламента. В таком случае, в соответствии с настоящей Директивой компетентные органы должны тесно и своевременно сотрудничать с надзорными органами путем обмена соответствующей информацией, чтобы обеспечить эффективный надзор и соблюдение поставщиками удостоверительного сервиса требований, установленных в настоящей Директиве и в Регламенте (ЕС) 910/2014. В предусмотренном случае, CSIRT или компетентный орган, действующий в рамках настоящей Директивы, должны незамедлительно информировать надзорный орган, действующий в рамках Регламента (ЕС) 910/2014, о любой заявленной серьезной киберугрозе или инциденте, затрагивающем удостоверительные сервисы, а также о любых нарушениях поставщиком удостоверительного сервиса положений настоящей Директивы. В целях отчетности государства-члены ЕС могут, по мере необходимости, использовать единую точку входа, созданную для обеспечения представления общей и автоматической отчетности об инциденте надзорному органу, действующему в рамках Регламента (ЕС) 910/2014, и CSIRT или компетентному органу, действующему в рамках настоящей Директивы.

(95) В предусмотренном случае и во избежание ненужных сбоев существующие национальные руководящие указания, принятые для преобразования в национальное право правил, касающихся мер безопасности, установленных в Статьях 40 и 41 Директивы (ЕС) 2018/1972, необходимо учесть при преобразовании в национальное право настоящей Директивы, тем самым опираясь на знания и навыки, уже приобретенные в рамках Директивы (ЕС) 2018/1972, о мерах безопасности и уведомлениях об инцидентах. ENISA также может разработать руководящее указание относительно требований безопасности и обязательств по представлению отчетности для поставщиков сетей электронных коммуникаций общего пользования или доступных для всеобщего пользования услуг электронных коммуникаций, чтобы содействовать гармонизации и переходу и свести к минимуму сбои. Государства-члены ЕС могут отвести роль компетентных органов в области электронных коммуникаций национальным регулятивным органам, действующим в рамках Директивы (ЕС) 2018/1972, для обеспечения продолжения текущей практики и учета знаний и опыта, приобретенных в результате имплементации указанной Директивы.

(96) Учитывая растущую значимость услуг межличностных коммуникаций, не зависящих от номера, согласно Директиве (ЕС) 2018/1972, необходимо гарантировать, что к таким услугам также предъявляются соответствующие требования безопасности с учетом их особого характера и экономической важности. Поскольку возможные направления атак продолжают расширяться, услуги межличностных коммуникаций, не зависящих от номера, например, службы передачи сообщений, становятся распространенными векторами атак. Злоумышленники используют платформы для общения и привлечения жертв к открытию скомпрометированных с точки зрения безопасности веб-страниц, тем самым повышая вероятность инцидентов, связанных с использованием персональных данных, и, как следствие, с безопасностью сетевых и информационных систем. Поставщики услуг межличностных коммуникаций, не зависящих от номера, должны гарантировать уровень безопасности сетевых и информационных систем в соответствии с возникающими рисками. С учетом того, что поставщики услуг межличностных коммуникаций, не зависящих от номера, обычно не осуществляют фактический контроль над передачей сигналов по сетям, степень рисков, связанных с такими услугами, в некоторых отношениях можно считать более низкой, чем при предоставлении традиционных услугах электронных коммуникаций. То же самое относится к услугам межличностных коммуникаций, определенным в Директиве (ЕС) 2018/1972, которые используют номера и которые не осуществляют фактический контроль над передачей сигнала.

(97) Внутренний рынок больше, чем когда-либо, зависит от функционирования сети интернет. Услуги почти всех основных и значимых организаций зависят от услуг, предоставляемых через интернет. Для обеспечения бесперебойного предоставления услуг, предоставляемых основными и значимыми организациями, важно, чтобы все поставщики сетей электронных коммуникаций общего пользования принимали соответствующие меры по управлению рисками кибербезопасности и сообщали о серьезных инцидентах, связанных с ними. Государства-члены ЕС должны обеспечить поддержание безопасности сетей электронных коммуникаций общего пользования и защиту их жизненно важных интересов безопасности от саботажа и шпионажа. Поскольку международная связь улучшает и ускоряет конкурентоспособную цифровизацию Союза и его экономики, об инцидентах, затрагивающих подводные кабели связи, следует сообщать CSIRT или, в предусмотренных случаях, компетентному органу. Национальная стратегия кибербезопасности, по мере необходимости, должна учитывать кибербезопасность подводных кабелей связи и включать картирование потенциальных рисков кибербезопасности и мер по смягчению последствий для обеспечения наивысшего уровня их защиты.

(98) В целях обеспечения безопасности сетей электронных коммуникаций общего пользования и доступных для всеобщего пользования услуг электронных коммуникаций следует содействовать использованию технологий шифрования, в частности, оконечного шифрования, а также концепций безопасности, ориентированных на обработку данных, таких как картография, сегментная адресация, самоидентификация, политика доступа и управление доступом, а также автоматизированные решения о предоставлении доступа. По мере необходимости, использование шифрования, в частности, оконечного шифрования, должно быть обязательным для поставщиков сетей электронных коммуникаций общего пользования или доступных для всеобщего пользования услуг электронных коммуникаций в соответствии с принципами безопасности и конфиденциальности по умолчанию для целей настоящей Директивы. Использование оконечного шифрования должно согласовываться с полномочиями государств-членов ЕС по обеспечению защиты их основных интересов безопасности и общественной безопасности, а также для предотвращения, выявления, расследования и судебного преследования уголовных преступлений в соответствии с законодательством Союза. Однако указанное положение не должно снижать эффективность оконечного шифрования, которое является критически важной технологией для эффективной защиты данных и конфиденциальности, а также безопасности коммуникаций.

(99) В целях обеспечения безопасности и предотвращения злоупотреблений и манипуляций сетями электронных коммуникаций общего пользования и доступными для всеобщего пользования услугами электронных коммуникаций следует содействовать использованию стандартов безопасной маршрутизации для обеспечения целостности и надежности функций маршрутизации во всей экосистеме поставщиков услуг доступа в интернет.

(100) В целях обеспечения функциональности и целостности сети интернет и содействия безопасности и устойчивости DNS следует рекомендовать соответствующим заинтересованным сторонам, включая организации частного сектора Союза, поставщиков доступных для всеобщего пользования услуг электронных коммуникаций, в частности, поставщиков услуг доступа в интернет, и поставщиков онлайновых поисковых систем, принять стратегию диверсификации преобразования DNS. Помимо этого, государствам-членам ЕС рекомендуется разработать и использовать общедоступный и безопасный европейский сервис DNS-преобразователя.

(101) Настоящая Директива устанавливает многоступенчатый подход к предоставлению сообщений о серьезных инцидентах, с тем чтобы обеспечить правильный баланс между оперативной отчетностью, которая помогает смягчить последствия потенциального распространения серьезных инцидентов и позволяет основным и значимым организациям обращаться за помощью, с одной стороны, и детальной отчетностью, которая позволяет извлекать ценные уроки из отдельных инцидентов и со временем повышать устойчивость киберпространства отдельных организаций и целых отраслей, с другой стороны. В этой связи настоящая Директива должна включать представление отчетности об инцидентах, которые, на основе первоначальной оценки, проведенной соответствующей организацией, могут привести к серьезным сбоям в работе служб или финансовым потерям для указанной организации или повлиять на других физических или юридических лиц, причинив значительный материальный или нематериальный ущерб. Такая первоначальная оценка должна учитывать, inter alia, пострадавшие сетевые и информационные системы, в частности, их важность при предоставлении услуг организации, серьезность и технические характеристики киберугроз и любые лежащие в их основе используемые уязвимости, а также опыт организации в подобных инцидентах. Такие показатели, как степень нарушения функционирования сервиса, продолжительность инцидента или количество пострадавших получателей услуг, могут сыграть важную роль в определении степени тяжести сбоев в работе сервиса.

(102) В тех случаях, когда основным или значимым организациям становится известно о серьезном инциденте, они должны представить раннее предупреждение незамедлительно и в любом случае в течение 24 часов. За указанным ранним предупреждением должно последовать уведомление об инциденте. Соответствующие организации должны представить уведомление об инциденте незамедлительно и в любом случае в течение 72 часов с момента получения информации о серьезном инциденте, с целью, в частности, актуализации информации, представленной посредством раннего предупреждения, и указания первоначальной оценки серьезного инцидента, включая его тяжесть и последствия, а также индикаторы компрометации, при их наличии. Окончательный отчет должен быть представлен не позднее, чем через месяц после уведомления об инциденте. Раннее предупреждение должно включать только информацию, необходимую для того, чтобы CSIRT или, по мере необходимости, компетентный орган были осведомлены о серьезном инциденте и позволили соответствующей организации обратиться за помощью, если это потребуется. Такое раннее предупреждение, в предусмотренном случае, должно указывать, имеются ли подозрения, что серьезный инцидент был вызван незаконными или злоумышленными деяниями, и может ли он иметь трансграничные последствия. Государства-члены ЕС должны гарантировать, что обязательство по предоставлению указанного раннего предупреждения или последующего уведомления об инциденте не отвлекает ресурсы уведомляющей организации от деятельности, связанной с управлениями инцидентами, которым следует отдавать приоритет, чтобы обязательства по представлению отчетности об инцидентах не отвлекали ресурсы от реагирования на серьезные инциденты или иным образом не ставили под угрозу усилия организации в этом отношении. В случае продолжающегося инцидента на момент представления окончательного отчета государствам-членам ЕС следует гарантировать, что соответствующие организации представят отчет о достигнутых результатах в указанное время, а окончательный отчет - в течение одного месяца после рассмотрения ими серьезного инцидента.

(103) В предусмотренных случаях основные и значимые организации незамедлительно должны сообщать получателям своих услуг о любых мерах или средствах, которые они могут предпринять для снижения рисков, связанных с серьезной киберугрозой. Указанные организации, в соответствующих случаях и, в частности, там, где существует вероятность возникновения серьезной киберугрозы, также должны информировать получателей своих услуг о самой угрозе. Требование информировать указанных получателей о серьезных киберугрозах должно соблюдаться на основе принципа "наибольших усилий", но не должно освобождать указанные организации от обязанности принимать за свой собственный счет соответствующие и немедленные меры для предотвращения или устранения любых таких угроз и восстановления нормального уровня безопасности услуги. Предоставление такой информации о серьезных киберугрозах получателям услуг должно быть бесплатным и составленным на понятном языке.

(104) Поставщики сетей электронных коммуникаций общего пользования или доступных для всеобщего пользования услуг электронных коммуникаций должны обеспечивать безопасность по умолчанию и информировать получателей своих услуг о серьезных киберугрозах и о мерах, которые они могут принять для защиты безопасности своих устройств и коммуникаций, например, с помощью определенных типов программного обеспечения или технологий шифрования.

(105) Упреждающий подход к киберугрозам является жизненно важным компонентом управления рисками кибербезопасности, который должен позволить компетентным органам эффективно предотвращать превращение киберугроз в инциденты, которые могут нанести значительный материальный или нематериальный ущерб. Для указанной цели уведомление о киберугрозах имеет ключевое значение. В этой связи организациям рекомендуется сообщать о киберугрозах на добровольной основе.

(106) Для того чтобы упростить представление информации, требуемой согласно настоящей Директиве, а также чтобы снизить административную нагрузку на организации, государства-члены ЕС должны предоставить технические средства, такие как единая точка входа, автоматизированные системы, регистрационные анкеты, удобные для пользователя интерфейсы, шаблоны, специализированные платформы для использования организациями, вне зависимости от того, подпадают ли они под сферу применения настоящей Директивы, для представления соответствующей информации, подлежащей отчетности. Финансирование Союза в поддержку реализации настоящей Директивы, в частности, в рамках программы "Цифровая Европа", учрежденной Регламентом (ЕС) 2021/694 Европейского Парламента и Совета ЕС*(22), могло бы включать в себя поддержку единых точек входа. Помимо этого, организации часто оказываются в ситуации, когда об определенном инциденте в силу его особенностей необходимо сообщать различным органам вследствие обязательств по уведомлению, включенных в разные юридические акты. Такие случаи создают дополнительную административную нагрузку, а также могут привести к неопределенностям в отношении формата и процедур таких уведомлений. Если устанавливается единая точка входа, государствам-членам ЕС также рекомендуется использовать такую единую точку входа для уведомлений об инцидентах безопасности, требуемых согласно другому законодательству Союза, например, Регламенту (ЕС) 2016/679 и Директиве 2002/58/EC. Использование такой единой точки входа для представления отчетности об инцидентах безопасности согласно Регламенту (ЕС) 2016/679 и Директиве 2002/58/EC не должно влиять на применение положений Регламента (ЕС) 2016/679 и Директивы 2002/58/EC, в частности, тех положений, которые касаются независимости указанных в них органов. ENISA, в сотрудничестве с Группой по сотрудничеству, должно разработать общие шаблоны уведомлений посредством руководящих указаний для упрощения и рационализации информации, подлежащей представлению в соответствии с законодательством Союза, а также должно снизить административную нагрузку на уведомляющие организации.

(107) В случае если имеется подозрение, что инцидент связан с серьезной преступной деятельностью согласно законодательству Союза или национальному законодательству, государства-члены ЕС должны рекомендовать основным и значимым организациям, на основе применимых правил уголовного производства в соответствии с законодательством Союза, сообщать об инцидентах предполагаемого серьезного преступного характера соответствующим правоохранительным органам. По мере необходимости и без ущерба правилам о защите персональных данных, применимым к Европолу, желательно, чтобы координация между компетентными органами и правоохранительными органами различных государств-членов ЕС осуществлялась Европейским центром по борьбе с киберпреступностью (EC3) и ENISA.

(108) Персональные данные во многих случаях разглашаются в результате инцидентов. В этом контексте компетентные органы должны сотрудничать и обмениваться информацией по всем соответствующим вопросам с органами, указанными в Регламенте (ЕС) 2016/679 и Директиве 2002/58/EC.

(109) Поддержание точных и полных баз данных о регистрации доменных имен (данные WHOIS) и предоставление законного доступа к таким данным имеет большое значение для обеспечения безопасности, стабильности и устойчивости DNS, что, в свою очередь, содействует общему высокому уровню кибербезопасности в Союзе. Для указанной определенной цели от реестров имен TLD и организаций, предоставляющих услуги регистрации доменных имен, требуется обрабатывать определенные данные, необходимые для достижения указанной цели. Такая обработка должна представлять собой юридическое обязательство в рамках пункта (c) Статьи 6(1) Регламента (ЕС) 2016/679. Указанное обязательство действует без ущерба возможности сбора данных регистрации доменных имен для других целей, например, на основе договорных соглашений или правовых требований, установленных в другом законодательстве Союза или национальном законодательстве. Указанное обязательство направлено на получение полного и точного набора регистрационных данных и не должно приводить к многократному сбору одних и тех же данных. Реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны сотрудничать друг с другом во избежание дублирования указанной задачи.

(110) Наличие и своевременный доступ к данным регистрации доменных имен соискателей законного доступа имеет большое значение для предотвращения злоупотреблений DNS и борьбы с ними, для предотвращения и выявления инцидентов, а также реагирования на них. Под соискателями законного доступа понимается любое физическое или юридическое лицо, обращающееся с запросом согласно законодательству Союза или национальному законодательству. К ним могут относиться органы, компетентные в соответствии с настоящей Директивой, и органы, компетентные в рамках законодательства Союза или национального законодательства в области предотвращения, выявления, расследования или судебного преследования уголовных преступлений, и CERTs или CSIRTs. От реестров имен TLD и организаций, предоставляющих услуги регистрации доменных имен, требуется предоставлять законный доступ к определенным данным регистрации доменных имен, которые необходимы для целей запроса доступа, соискателям законного доступа в соответствии с законодательством Союза и национальным законодательством. Запрос соискателей законного доступа должен сопровождаться изложением причин, позволяющих оценить необходимость доступа к данным.

(111) Чтобы обеспечить доступность точных и полных данных регистрации доменных имен, реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны собирать данные регистрации доменных имен и гарантировать их целостность и доступность. В частности, реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны разработать политические принципы и процедуры сбора и обслуживания точных и полных данных регистрации доменных имен, а также предотвращения и исправления неточных данных регистрации в соответствии с законодательством Союза о защите данных. Указанные политические принципы и процедуры должны учитывать, насколько это возможно, стандарты, разработанные структурами управления, предусматривающими участие многих заинтересованных сторон, на международном уровне. Реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны принять и внедрить пропорциональные процедуры для проверки данных регистрации доменных имен. Указанные процедуры должны отражать передовые практики, используемые в промышленности и, насколько это возможно, прогресс, достигнутый в отрасли электронной идентификации. Примеры процедур проверки могут включать меры контроля ex ante, осуществляемые во время регистрации, и меры контроля ex post, осуществляемые после регистрации. Реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны, в частности, проверить как минимум одно средство связи владельца регистрации.

(112) Реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны публиковать данные регистрации доменных имен, которые не подпадают под сферу применения законодательства Союза о защите данных, такие как данные, касающиеся юридических лиц, в соответствии с преамбулой Регламента (ЕС) 2016/679. В том, что касается юридических лиц, реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны довести до всеобщего сведения как минимум имя владельца регистрации и контактный номер телефона. Контактный адрес электронной почты также должен быть опубликован, при условии, что он не содержит никаких персональных данных, как например, в случае псевдонимов электронных адресов или функциональных учетных записей. Реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны также предоставлять законный доступ к определенным данным регистрации доменных имен, касающимся физических лиц, соискателям законного доступа в соответствии с законодательством Союза о защите данных. Государства-члены ЕС должны требовать, чтобы реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, незамедлительно отвечали на запросы о раскрытии данных регистрации доменных имен, полученные от соискателей законного доступа. Реестры имен TLD и организации, предоставляющие услуги регистрации доменных имен, должны разработать политические принципы и процедуры опубликования и раскрытия данных регистрации, включая соглашения об уровне обслуживания, для рассмотрения запросов на предоставление доступа от соискателей законного доступа. Указанные принципы и процедуры должны учитывать, насколько это возможно, любые руководящие указания и стандарты, разработанные структурами управления, предусматривающими участие многих заинтересованных сторон, на международном уровне. Процедура доступа могла бы включать в себя использование интерфейса, портала или другого технического средства для обеспечения эффективной системы запроса данных регистрации и доступа к ним. В целях содействия гармонизированным практикам на внутреннем рынке Европейская Комиссия без ущерба компетенции Европейского совета по защите данных может предоставить руководящие указания в отношении таких процедур, которые учитывают, насколько это возможно, стандарты, разработанные структурами управления, предусматривающими участие многих заинтересованных сторон, на международном уровне. Государства-члены ЕС должны обеспечить, чтобы все виды доступа к личным или неличным данным регистрации доменных имен были бесплатными.

(113) Организации, подпадающие под сферу применения настоящей Директивы, следует рассматривать как подпадающие под юрисдикцию государства-члена ЕС, в котором они учреждены. Однако следует считать, что поставщики сетей электронных коммуникаций общего пользования или поставщики доступных для всеобщего пользования услуг электронных коммуникаций подпадают под юрисдикцию государства-члена ЕС, в котором они предоставляют свои услуги. Следует считать, что поставщики услуг DNS, реестры имен TLD, организации, предоставляющие услуги регистрации доменных имен, провайдеры услуг облачных вычислений, поставщики услуг центра обработки данных, поставщики сети доставки контента, поставщики услуг управления сетью, поставщики услуг по управлению информационной безопасностью, а также поставщики электронных торговых площадок, онлайновых поисковых систем и платформ социальных сетевых сервисов подпадают под юрисдикцию государства-члена ЕС, в котором находится их главное представительство в Союзе. Государственные административные органы должны подпадать под юрисдикцию государства-члена ЕС, которое их учредило. Если организация предоставляет услуги или учреждена более чем в одном государстве-члене ЕС, она подпадает под отдельную и совместную юрисдикцию каждого из указанных государств-членов ЕС. Компетентные органы указанных государств-членов ЕС должны сотрудничать, оказывать друг другу совместную помощь и, по мере необходимости, осуществлять совместные надзорные действия. Если государства-члены ЕС осуществляют юрисдикцию, они не должны вводить меры принудительного характера или налагать санкции более одного раза за одно и то же деяние в соответствии с принципом ne bis in idem.

(114) Для того чтобы учесть трансграничный характер услуг и операций поставщиков услуг DNS, реестров имен TLD, организаций, предоставляющих услуги регистрации доменных имен, провайдеров услуг облачных вычислений, поставщиков услуг центра обработки данных, поставщиков сети доставки контента, поставщиков услуг управления сетью, поставщиков услуг по управлению информационной безопасностью, а также поставщиков электронных торговых площадок, онлайновых поисковых систем и платформ социальных сетевых сервисов, только одно государство-член ЕС должно обладать юрисдикцией в отношении указанных организаций. Юрисдикция должна быть отнесена к государству-члену ЕС, в котором соответствующая организация имеет свое основное представительство в Союзе. Критерий учреждения для целей настоящей Директивы подразумевает эффективное осуществление деятельности посредством устойчивых механизмов. Правовая форма таких механизмов, будь то через филиал или дочернюю компанию, обладающую правосубъектностью, не является определяющим фактором в этом отношении. Выполнение указанного критерия не должно зависеть от того, расположены ли физически сетевые и информационные системы в данном месте; наличие и использование таких систем само по себе не приравнивается к такому основному представительству и, следовательно, они не являются решающими критериями для определения основного представительства. Следует считать, что основное представительство находится в государстве-члене ЕС, если решения, связанные с мерами по управлению рисками кибербезопасности, принимаются преимущественно в Союзе. Как правило, это соответствует месту центрального управления организаций в Союзе. Если такое государство-член ЕС не может быть определено или если такие решения не принимаются в Союзе, следует считать, что основное представительство находится в государстве-члене ЕС, в котором осуществляются операции по обеспечению кибербезопасности. Если такое государство-член ЕС не может быть определено, то следует считать, что основное представительство находится в государстве-члене ЕС, в котором организация имеет предприятие с наибольшим числом работников в Союзе. В тех случаях, когда услуги предоставляются группой предприятий, основным представительством контролирующего предприятия следует считать основное представительство группы предприятий.

(115) Если доступная для всеобщего пользования рекурсивная услуга DNS предоставляется поставщиком сети электронных коммуникаций общего пользования или доступных для всеобщего пользования услуг электронных коммуникаций только как часть услуги доступа в интернет, следует считать, что организация подпадает под юрисдикцию всех государств-членов ЕС, в которых предоставляются ее услуги.

(116) Если поставщик услуг DNS, реестр имен TLD, организация, предоставляющая услуги регистрации доменных имен, провайдер услуг облачных вычислений, поставщик услуг центра обработки данных, поставщик сети доставки контента, поставщик услуг управления сетью, поставщик услуг по управлению информационной безопасностью или поставщик электронных торговых площадок, онлайновых поисковых систем и платформ социальных сетевых сервисов, который не учрежден в Союзе, предлагает услуги на территории Союза, он должен назначить представителя в Союзе. Для того чтобы определить, предлагает ли такая организация услуги в Союзе, необходимо выяснить, планирует ли организация предлагать услуги лицам в одном или нескольких государствах-членах ЕС. Однако такие факторы, как использование языка или валюты, обычно используемых в одном или нескольких государствах-членах ЕС, с возможностью заказа услуг на этом языке, или упоминание получателей услуг или пользователей, которые находятся в Союзе, могут сделать очевидным тот факт, что организация планирует предлагать услуги в Союзе. Представитель должен действовать от имени организации, и у компетентных органов или CSIRTs должна быть возможность обратиться к представителю. В письменном поручении организации должно быть четко указано, что представитель назначен действовать от имени организации в отношении ее обязательств, установленных в настоящей Директиве, включая представление отчетности об инцидентах.

(117) Чтобы обеспечить четкий обзор деятельности поставщиков услуг DNS, реестров имен TLD, организаций, предоставляющих услуги регистрации доменных имен, провайдеров услуг облачных вычислений, поставщиков услуг центра обработки данных, поставщиков сети доставки контента, поставщиков услуг управления сетью, поставщиков услуг по управлению информационной безопасностью, а также поставщиков электронных торговых площадок, онлайновых поисковых систем и платформ социальных сетевых сервисов, которые предоставляют услуги на всей территории Союза, которые подпадают под сферу применения настоящей Директивы, ENISA должно создать и обслуживать реестр таких организаций, основанный на информации, полученной государствами-членами ЕС, по мере необходимости, посредством национальных механизмов, установленных для самостоятельной регистрации организаций. Единые контактные центры должны направлять ENISA информацию и любые изменения к ней. В целях обеспечения точности и полноты информации, которая должна быть включена в указанный реестр, государства-члены ЕС должны направлять ENISA информацию, доступную в любых национальных реестрах относительно указанных организаций. ENISA и государства-члены ЕС должны принять меры для содействия взаимодействию таких реестров, обеспечив при этом защиту конфиденциальной или секретной информации. ENISA должно разработать соответствующие протоколы классификации информации и управления ею, чтобы гарантировать безопасность и конфиденциальность рассекреченной информации и ограничить доступ, хранение и передачу такой информации предполагаемым пользователям.

(118) В случае если в рамках настоящей Директивы происходит обмен информацией, которая засекречена в соответствии с законодательством Союза или национальным законодательством, а также если такая информация сообщается или иным образом предоставляется другим лицам, должны применяться соответствующие правила обработки конфиденциальной информации. Помимо этого, ENISA должно располагать инфраструктурой, процедурами и правилами для обработки конфиденциальной и секретной информации в соответствии с применимыми правилами безопасности для защиты конфиденциальной информации ЕС.

(119) Поскольку киберугрозы становятся все более сложными и изощренными, эффективное выявление таких угроз и меры по их предотвращению в значительной степени зависят от регулярного обмена разведывательной информацией об угрозах и уязвимостях между организациями. Обмен информацией способствует повышению осведомленности о киберугрозах, что, в свою очередь, повышает способность организаций предотвращать превращение таких угроз в инциденты и позволяет организациям лучше сдерживать последствия инцидентов и более эффективно восстанавливаться после них. В отсутствие руководящих указаний на уровне Союза различные факторы, по-видимому, препятствовали указанному обмену разведывательной информацией, в частности, неопределенность в отношении совместимости с правилами конкуренции и ответственности.

(120) Государства-члены ЕС должны поощрять организации и оказывать им содействие в коллективном использовании их индивидуальных знаний и практического опыта на стратегическом, тактическом и оперативном уровнях с целью расширения их возможностей в отношении надлежащего предотвращения, выявления инцидентов, реагирования на них или восстановления после них, а также в отношении смягчения их последствий. Таким образом, необходимо обеспечить возможность создания на уровне Союза добровольных механизмов обмена информацией о кибербезопасности. В этой связи государства-члены ЕС должны оказывать активное содействие и рекомендовать организациям, таким как организации, предоставляющие услуги и исследования в области кибербезопасности, а также соответствующим организациям, не подпадающим под сферу применения настоящей Директивы, участвовать в таких механизмах обмена информацией о кибербезопасности. Указанные механизмы должны быть учреждены в соответствии с правилами Союза о конкуренции и законодательством Союза о защите данных.

(121) Обработку персональных данных в объеме, необходимом и пропорциональном для цели обеспечения безопасности сетевых и информационных систем основными и значимыми организациями, можно считать законной на основании того, что такая обработка соответствует юридической обязанности, объектом которой является контролер данных, в соответствии с требованиями пункта (c) Статьи 6(1) и с требованиями Статьи 6(3) Регламента (ЕС) 2016/679. Обработка персональных данных также может быть необходима для законных интересов, которые преследуют основные и значимые организации, а также поставщики технологий и услуг безопасности, действующие от имени указанных организаций, согласно пункту (f) Статьи 6(1) Регламента (ЕС) 2016/679, в том числе в тех случаях, когда такая обработка требуется для механизмов совместного использования информации в области кибербезопасности или для добровольного уведомления о соответствующей информации согласно настоящей Директиве. Меры, касающиеся предупреждения, выявления, идентификации, сдерживания, анализа инцидентов и реагирования на них, меры по повышению осведомленности в отношении определенных киберугроз, обмен информацией в контексте устранения уязвимостей и согласованного раскрытия информации об уязвимостях, добровольный обмен информацией об указанных инцидентах, а также киберугрозы и уязвимости, индикаторы компрометации, тактики, методы и процедуры, предупреждения в области кибербезопасности и средства конфигурации могут потребовать обработки определенных категорий персональных данных, таких как IP-адреса, единые указатели ресурса (URLs), доменные имена, адреса электронной почты и, если они раскрывают персональные данные, отметки времени. Обработка персональных данных компетентными органами, едиными контактными центрами и CSIRTs может представлять собой юридическую обязанность или считаться необходимой для выполнения задач в интересах государства или при осуществлении официальных полномочий, возложенных на контролера согласно пункту (c) или (e) Статьи 6(1) или Статье 6(3) Регламента (ЕС) 2016/679, или для обеспечения законных интересов основных и значимых организаций согласно пункту (f) Статьи 6(1) указанного Регламента. Помимо этого, в национальном законодательстве можно было бы установить правила, позволяющие компетентным органам, единым контактным центрам и CSIRTs в объеме, необходимом и пропорциональном для цели обеспечения безопасности сетевых и информационных систем основных и значимых организаций, обрабатывать определенные категории персональных данных в соответствии со Статьей 9 Регламента (ЕС) 2016/679, в частности, посредством принятия надлежащих и конкретных мер по защите основных прав и интересов физических лиц, включая технические ограничения на повторное использование таких данных и использование самых современных мер безопасности и обеспечения конфиденциальности, таких как псевдонимизация или шифрование, если обезличивание может существенно повлиять на преследуемую цель.

(122) Для усиления полномочий и мер по надзору, которые помогают обеспечить эффективное соблюдение требований, настоящая Директива должна предусматривать минимальный перечень мер и средств по надзору, с помощью которых компетентные органы могут осуществлять надзор за основными и значимыми организациями. Помимо этого, настоящая Директива должна установить разграничение режима надзора между основными и значимыми организациями с целью обеспечения справедливого баланса обязательств указанных организаций и компетентных органов. Вследствие этого, на основные организации должен распространяться режим всестороннего надзора ex ante ("до события") и ex post (пост фактум), в то же время на значимые организации должен распространяться легкий режим надзора только ex post. Следовательно, значимым организациям не требуется систематически документировать соблюдение мер по управлению рисками кибербезопасности, при этом компетентные органы должны имплементировать подход к надзору на основе действий ex post и по этой причине не должны нести общего обязательства по надзору за указанными организациями. Надзор ex post за значимыми организациями может быть инициирован на основании доказательства, указания или информации, доведенных до сведения компетентных органов, которые, по мнению указанных органов, предполагают возможные нарушения настоящей Директивы. Например, такое доказательство, указание или информация могут быть того типа, который предоставлен компетентным органам другими органами, организациями, гражданами, средствами массовой информации или другими источниками, или общедоступной информацией, или могут быть получены в результате другой деятельности, проводимой компетентными органами при выполнении своих задач.

(123) Выполнение задач по надзору компетентными органами не должно без необходимости препятствовать предпринимательской деятельности соответствующей организации. В случае если компетентные органы выполняют свои задачи по надзору в отношении основных организаций, включая проведение выездных проверок и надзора без выезда на место, расследование нарушений настоящей Директивы и проведение аудиторских проверок состояния безопасности или сканирований системы безопасности, они должны минимизировать воздействие на предпринимательскую деятельность соответствующей организации.

(124) При осуществлении надзора ex ante компетентные органы должны иметь возможность принимать решения о приоритетности использования мер по надзору и средств, имеющихся в их распоряжении, пропорциональным образом. Это означает, что компетентные органы могут принимать решения о такой расстановке приоритетов на основе методик надзора, которые должны основываться на подходе, основанном на определении риска. В частности, такие методики могли бы включать критерии или контрольные показатели для классификации основных организаций по категориям риска и соответствующие меры по надзору и средства, рекомендуемые по каждой категории риска, такие как использование, частота или типы выездных проверок, целевых аудиторских проверок безопасности или сканирования системы безопасности, тип запрашиваемой информации и уровень детализации указанной информации. Такие методики надзора могли бы также сопровождаться рабочими программами и оцениваться, а также пересматриваться на регулярной основе, в том числе по таким аспектам, как распределение ресурсов и потребности. В том, что касается государственных административных органов, полномочия по надзору должны осуществляться в соответствии с национальными законодательными и организационными рамками.

(125) Компетентные органы должны гарантировать, что их задачи по надзору в отношении основных и значимых организаций выполняются подготовленными специалистами, которые обладают необходимыми навыками для выполнения указанных задач, в частности, в отношении проведения выездных проверок и надзора без выезда на место, включая выявление слабых мест в базах данных, аппаратном обеспечении, сетевых устройствах защиты, шифровании и сетях. Указанные проверки и надзор должны проводиться объективным образом.

(126) В должным образом обоснованных случаях, когда компетентному органу известно о серьезной киберугрозе или неизбежном риске, он должен иметь возможность принимать немедленные решения принудительного характера с целью предотвращения инцидента или реагирования на него.

(127) В целях эффективного правоприменения необходимо установить минимальный перечень правоприменительных полномочий, которые могут применяться в случае нарушения мер по управлению рисками кибербезопасности и обязательств по представлению отчетности, предусмотренных в настоящей Директиве, создавая четкую и согласованную основы для такого правоприменения в Союзе. Следует должным образом учитывать характер, тяжесть и продолжительность нарушения настоящей Директивы, причиненный материальный или нематериальный ущерб, было ли нарушение совершено умышленно или непреднамеренно, меры, принятые для предотвращения или смягчения материального или нематериального ущерба, степень ответственности или любые предыдущие нарушения, степень сотрудничества с компетентным органом и любые другие отягчающие или смягчающие факторы. Меры принудительного характера, в том числе административные штрафы, должны быть пропорциональными, их применение должно осуществляться с соблюдением надлежащих процессуальных гарантий в соответствии с общими принципами законодательства Союза и Хартией Европейского Союза об основных правах ("Хартии"), включая право на эффективное средство правовой защиты и беспристрастное судебное разбирательство, презумпцию невиновности и права защиты.

(128) Настоящая Директива не требует от государств-членов ЕС предусматривать уголовную или гражданско-правовую ответственность в отношении физических лиц, несущих ответственность за обеспечение соблюдения организацией настоящей Директивы, за ущерб, понесенный третьими сторонами в результате нарушения настоящей Директивы.

(129) Для обеспечения эффективного исполнения обязательств, установленных в настоящей Директиве, каждый компетентный орган должен иметь право налагать административные штрафы или требовать их наложения.

(130) В случае если административный штраф налагается на основную или значимую организацию, являющуюся предприятием, под предприятием для указанных целей следует понимать предприятие в соответствии со Статьями 101 и 102 TFEU. Если административный штраф налагается на лицо, которое не является предприятием, компетентный орган при рассмотрении вопроса о соответствующей сумме штрафа должен принимать во внимание общий уровень дохода в государстве-члене ЕС, а также экономическое положение данного лица. Государствам-членам ЕС следует самим определять, должны ли государственные органы подвергаться административным штрафам и в какой степени. Наложение административного штрафа не влияет на применение других полномочий компетентных органов или других санкций, установленных национальными правилами, транспонирующими настоящую Директиву.

(131) Государства-члены ЕС должны иметь возможность устанавливать правила в отношении уголовных санкций за нарушения национальных правил, транспонирующих настоящую Директиву. Однако применение уголовных санкций за нарушения таких национальных правил и связанных с ними административных санкций не должно вести к нарушению принципа ne bis in idem в толковании Суда Европейского Союза.

(132) В случае если настоящая Директива не гармонизирует административные санкции или, по мере необходимости, в других случаях, например, в случае серьезного нарушения настоящей Директивы, государства-члены ЕС должны внедрить систему, которая предусматривает эффективные и пропорциональные санкции, оказывающие сдерживающее воздействие. Национальное законодательство должно определять характер таких санкций и тот факт, являются ли они уголовными или административными.

(133) В целях дальнейшего повышения эффективности и сдерживающего воздействия мер принудительного характера, применимых к нарушениям настоящей Директивы, компетентные органы должны иметь право временно приостанавливать или запрашивать временное приостановление сертификации или разрешения в отношении части или всех соответствующих предоставляемых услуг или деятельности, осуществляемой основной организацией, и требовать введения временного запрета на осуществление управленческих функций любым физическим лицом, выполняющим управленческие обязанности на уровне главного должностного лица или законного представителя. С учетом их серьезности и влияния на деятельность организаций и, в конечном счете, на пользователей такие временные приостановления или запреты должны применяться только пропорционально серьезности нарушения и принимать во внимание обстоятельства каждого отдельного случая, в том числе, было ли нарушение совершено преднамеренно или по неосторожности, а также любые меры, принятые для предотвращения или смягчения материального или нематериального ущерба. Такие временные приостановления или запреты должны применяться исключительно в качестве крайней меры, а именно только после того, как будут исчерпаны другие соответствующие меры принудительного характера, установленные в настоящей Директиве, и только до тех пор, пока соответствующая организация не примет необходимые меры для устранения недостатков или соблюдения требований компетентного органа, в отношении которых такие временные приостановления и запреты были введены. Введение таких временных приостановлений или запретов должно сопровождаться соответствующими процессуальными гарантиями в соответствии с общими принципами законодательства Союза и Хартии, включая право на эффективные средства правовой защиты и беспристрастное судебное разбирательство, презумпцию невиновности и права защиты.

(134) В целях обеспечения соблюдения организациями своих обязательств, установленных в настоящей Директиве, государства-члены ЕС должны сотрудничать друг с другом и оказывать друг другу содействие в отношении мер по надзору и мер принудительного характера, в частности, если организация предоставляет услуги в более чем одном государстве-члене ЕС или если ее сетевые и информационные системы расположены в государстве-члене ЕС, отличном от государства-члена ЕС, в котором она предоставляет услуги. При оказании содействия запрашиваемый компетентный орган должен принять меры по надзору и меры принудительного характера в соответствии с национальным законодательством. Для обеспечения бесперебойного функционирования системы взаимной помощи в рамках настоящей Директивы компетентные органы должны использовать Группу по сотрудничеству в качестве форума для обсуждения случаев и определенных запросов о содействии.

(135) Для обеспечения эффективного надзора и правоприменения, в частности, в ситуации с трансграничным аспектом, государство-член ЕС, которое получило запрос о предоставлении взаимной помощи, в рамках указанного запроса должно принять соответствующие меры по надзору и меры принудительного характера в отношении организации, которая является предметом запроса и которая предоставляет услуги или располагает сетевой и информационной системой на территории указанного государства-члена ЕС.

(136) Настоящая Директива должна устанавливать правила сотрудничества между компетентными органами и органами по надзору согласно Регламенту (ЕС) 2016/679 для борьбы с нарушениями настоящей Директивы, связанными с персональными данными.

(137) Настоящая Директива направлена на обеспечение высокого уровня ответственности за меры по управлению рисками кибербезопасности и обязательства по представлению отчетности на уровне основных и значимых организаций. Вследствие этого, органы управления основных и значимых организаций должны одобрить меры по управлению рисками кибербезопасности и осуществлять надзор за их внедрением.

(138) Для обеспечения общего высокого уровня кибербезопасности в Союзе на основании настоящей Директивы на Европейскую Комиссию возлагается полномочие по принятию актов в соответствии со Статьей 290 TFEU в отношении дополнения настоящей Директивы посредством определения того, какие категории основных и значимых организаций обязаны использовать определенные сертифицированные продукты ICT, услуги ICT и процессы ICT или получить сертификат согласно европейской схеме сертификации в области кибербезопасности. Особенно важно, чтобы Европейская Комиссия проводила соответствующие консультации в ходе своей подготовительной работы, в том числе на уровне экспертов, и чтобы указанные консультации проводились в соответствии с принципами, установленными в Межинституциональном соглашении от 13 апреля 2016 г. по совершенствованию законодательной работы*(23). В частности, для обеспечения равного участия в подготовке делегированных актов Европейский Парламент и Совет ЕС получают все документы одновременно с экспертами государств-членов ЕС, а их эксперты систематически имеют доступ к заседаниям экспертных групп Европейской Комиссии, занимающихся подготовкой делегированных актов.

(139) Для обеспечения единообразных условий имплементации настоящей Директивы Европейской Комиссии должны быть предоставлены имплементационные полномочия для установления процессуальных механизмов, необходимых для функционирования Группы по сотрудничеству, а также технических, методологических и отраслевых требований, касающихся мер по управлению рисками кибербезопасности, а также для дальнейшего определения типа информации, формата и процедуры уведомлений об инциденте, киберугрозе и потенциально опасном событии, а также сообщений о серьезных киберугрозах и о случаях, когда инцидент считается серьезным. Указанные полномочия должны осуществляться в соответствии с Регламентом (ЕС) 182/2011 Европейского Парламента и Совета ЕС*(24).

(140) Европейская Комиссия после консультации с заинтересованными сторонами должна периодически пересматривать настоящую Директиву, в частности, в целях определения целесообразности предложения поправок в свете изменений социальных, политических, технологических или рыночных условий. В рамках указанного пересмотра Европейская Комиссия должна оценить значимость размера соответствующих организаций, а также отраслей, подотраслей и типов предприятий, указанных в приложениях к настоящей Директиве, для функционирования экономики и общества в отношении кибербезопасности. Европейская Комиссия, inter alia, должна оценить, могли ли поставщики, подпадающие под сферу применения настоящей Директивы, назначенные в качестве очень крупных электронных площадок в значении Статьи 33 Регламента (ЕС) 2022/2065 Европейского Парламента и Совета ЕС*(25), быть определены в качестве основных организаций согласно настоящей Директиве.

(141) Настоящая Директива ставит перед ENISA новые задачи, тем самым повышая его роль, а также она может предусмотреть, чтобы ENISA выполняло свои существующие задачи согласно Регламенту (ЕС) 2019/881 на более высоком уровне, чем раньше. Для того чтобы гарантировать, что ENISA располагает необходимыми финансовыми и кадровыми ресурсами для выполнения существующих и новых задач, а также для достижения любого более высокого уровня выполнения указанных задач вследствие усиления его роли, его бюджет должен быть соответствующем образом увеличен. В дополнение к этому, для обеспечения эффективного использования ресурсов ENISA необходимо предоставить большую гибкость в распределении ресурсов внутри агентства в целях эффективного выполнения своих задач и удовлетворения ожиданий.

(142) Так как цель настоящей Директивы, а именно достижение высокого общего уровня кибербезопасности в Союзе, не может быть в достаточной степени достигнута государствами-членами ЕС, но может быть, в силу воздействия предложенных действий, эффективнее достигнута на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, указанным в Статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, указанным в данной Статье, настоящий Регламент не выходит за рамки того, что необходимо для достижения указанной цели.

(143) Настоящая Директива соблюдает основные права и принципы, признанные Хартией, в частности, право на уважение частной жизни и общения, защиту персональных данных, право ведения хозяйственной деятельности, право на собственность, право на эффективные средства правовой защиты и беспристрастное судебное разбирательство, презумпцию невиновности и права защиты. Право на эффективные средства правовой защиты распространяется на получателей услуг, предоставляемых основными и значимыми организациями. Настоящая Директива должна быть реализована в соответствии с указанными правами и принципами.

(144) С Европейским инспектором по защите данных была проведена консультация в соответствии со Статьей 42(1) Регламента (ЕС) 2018/1725 Европейского Парламента и Совета ЕС*(26), и 11 марта 2021 г. он вынес заключение*(27),

приняли настоящую Директиву:

------------------------------

*(1) Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance) Опубликована в Официальном Журнале (далее - ОЖ) N L 333, 27.12.2022, стр. 80.

*(2) ОЖ N C 233, 16.06.2022, стр. 22.

*(3) ОЖ N C 286, 16.07.2021, стр. 170.

*(4) Позиция Европейского Парламента от 10 ноября 2022 г. (еще не опубликована в ОЖ) и решение Совета ЕС от 28 ноября 2022 г.

*(5) Директива (ЕС) 2016/1148 Европейского Парламента и Совета ЕС от 6 июля 2016 г. о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза (ОЖ N L 194, 19.07.2016, стр. 1).

*(6) Рекомендация 2003/361/EC Европейской Комиссии от 6 мая 2003 г. относительно определения микропредприятий, малых и средних предприятий (ОЖ N L 124, 20.05.2003, стр. 36).

*(7) Регламент (ЕС) 910/2014 Европейского Парламента и Совета ЕС от 23 июля 2014 г. об электронной идентификации и удостоверительных сервисах для электронных трансакций на внутреннем рынке и об отмене Директивы 1999/93/ЕС (ОЖ N L 257, 28.08.2014, стр. 73).

*(8) Директива 97/67/EC Европейского Парламента и Совета ЕС от 15 декабря 1997 г. об общих правилах развития внутреннего рынка почтовых услуг Сообщества и о повышении качества обслуживания (ОЖ N L 15, 21.01.1998, стр. 14).

*(9) Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/EC (Общий Регламент о защите персональных данных) (ОЖ N L 119, 04.05.2016, стр. 1).

*(10) Директива 2002/58/EC Европейского Парламента и Совета ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи) (ОЖ N L 201, 31.07.2002, стр. 37).

*(11) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (ЕС) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011 (см. стр. 1 настоящего ОЖ).

*(12) Регламент (EC) 300/2008 Европейского Парламента и Совета ЕС от 11 марта 2008 г. об общих правилах в области безопасности гражданской авиации и об отмене Регламента (ЕС) 2320/2002 (ОЖ N L 97, 09.04.2008, стр. 72).

*(13) Регламент (ЕС) 2018/1139 Европейского Парламента и Совета ЕС от 4 июля 2018 г. об общих правилах в сфере гражданской авиации, об учреждении Европейского Агентства по безопасности авиации, об изменении Регламентов (ЕС) 2111/2005, (ЕС) 1008/2008, (ЕС) 996/2010, (ЕС) 376/2014, Директив 2014/30/ЕС и 2014/53/ЕС Европейского Парламента и Совета ЕС и об отмене Регламентов (ЕС) 552/2004 и (EC) 216/2008 Европейского Парламента и Совета ЕС и Регламента (ЕЭС) 3922/91 Совета ЕС (ОЖ N L 212, 22.08.2018, стр. 1).

*(14) Директива (ЕС) 2022/2557 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. об устойчивости критически важных организаций, а также об отмене Директивы 2008/114/ЕС Совета ЕС (см. стр. 164 настоящего ОЖ).

*(15) Регламент (ЕС) 2021/696 Европейского Парламента и Совета ЕС от 28 апреля 2021 г. о создании космической программы Европейского Союза и об учреждении Агентства Европейского Союза по космической программе, а также об отмене Регламентов (ЕС) 912/2010, (ЕС) 1285/2013 и (ЕС) 377/2014 и Решения 541/2014/ЕС (ОЖ N L 170, 12.05.2021, стр. 69).

*(16) Рекомендация (ЕС) 2017/1584 Европейской Комиссии от 13 сентября 2017 г. о скоординированном реагировании на широкомасштабные инциденты и кризисы в сфере кибербезопасности (ОЖ N L 239, 19.09.2017, стр. 36).

*(17) Имплементационное Решение (ЕС) 2018/1993 Совета ЕС от 11 декабря 2018 г. о комплексных механизмах реагирования ЕС на политические кризисы (ОЖ N L 320, 17.12.2018, стр. 28).

*(18) Решение 1313/2013/ЕС Европейского Парламента и Совета ЕС от 17 декабря 2013 г. о Механизме гражданской защиты Союза (ОЖ N L 347, 20.12.2013, стр. 924).

*(19) Регламент (ЕС) 2019/881 Европейского Парламента и Совета ЕС от 17 апреля 2019 г. об Агентстве Европейского Союза по обеспечению кибербезопасности (ENISA) и сертификации кибербезопасности информационно-коммуникационных технологий, а также об отмене Регламента (ЕС) 526/2013 Акт о кибербезопасности) (ОЖ N L 151, 07.06.2019, стр. 15).

*(20) Рекомендация (ЕС) 2019/534 Европейской Комиссии от 26 марта 2019 г. по кибербезопасности сетей 5G (ОЖ N L 88, 29.03.2019, стр. 42).

*(21) Директива (ЕС) 2018/1972 Европейского Парламента и Совета ЕС от 11 декабря 2018 г. об установлении Европейского Кодекса электронных коммуникаций (ОЖ N L 321, 17.12.2018, стр. 36).

*(22) Регламент (ЕС) 2021/694 Европейского Парламента и Совета ЕС от 29 апреля 2021 г. об установлении программы "Цифровая Европа" и об отмене Решения (ЕС) 2015/2240 (ОЖ N L 166, 11.05.2021, стр. 1).

*(23) ОЖ N L 123, 12.05.2016, стр. 1.

*(24) Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы относительно механизмов контроля государствами-членами ЕС выполнения Европейской Комиссией имплементационных полномочий (ОЖ N L 55, 28.02.2011, стр. 13).

*(25) Регламент (ЕС) 2022/2065 Европейского Парламента и Совета ЕС от 19 октября 2022 г. о едином рынке цифровых услуг и внесении изменений в Директиву 2000/31/EC (Акт о цифровых услугах) (ОЖ N L 277, 27.10.2022, стр. 1).

*(26) Регламент (ЕС) 2018/1725 Европейского Парламента и Совета ЕС от 23 октября 2018 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC (ОЖ N L 295, 21.11.2018, стр. 39).

*(27) ОЖ N C 183, 11.05.2021, стр. 3.

*(28) Директива 2011/93/ЕС Европейского Парламента и Совета ЕС от 13 декабря 2011 г. о борьбе с сексуальным насилием и с сексуальной эксплуатацией детей и детской порнографией, а также о замене Рамочного Решения 2004/68/ПВД Совета ЕС (ОЖ N L 335, 17.12.2011, стр. 1).

*(29) Директива 2013/40/ЕС Европейского Парламента и Совета ЕС от 12 августа 2013 г. об атаках на информационные системы и о замене Рамочного Решения 2005/222/ПВД Совета ЕС (ОЖ N L 218, 14.08.2013, стр. 8).

*(30) Регламент (ЕС) 1025/2012 Европейского Парламента и Совета ЕС от 25 октября 2012 г. о европейской стандартизации, об изменении Директив 89/686/ЕЭС и 93/15/ЕЭС Совета ЕС и Директив 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC и 2009/105/EC Европейского Парламента и Совета ЕС, а также отмене Решения 87/95/ЕЭС Совета ЕС и Решения 1673/2006/EC Европейского Парламента и Совета ЕС (ОЖ N L 316, 14.11.2012, стр. 12).

*(31) Директива (ЕС) 2015/1535 Европейского Парламента и Совета ЕС от 9 сентября 2015 г. о процедуре предоставления информации в области технических регламентов, а также правил оказания услуг в информационном обществе (ОЖ N L 241, 17.09.2015, стр. 1).

*(32) Директива 2005/29/EC Европейского Парламента и Совета ЕС от 11 мая 2005 г. о недобросовестной коммерческой практике по отношению к потребителям на внутреннем рынке и об изменении Директивы 84/450/ЕЭС Совета ЕС, Директив 97/7/EC, 98/27/EC и 2002/65/EC Европейского Парламента и Совета ЕС и Регламента (ЕС) 2006/2004 Европейского Парламента и Совета ЕС ("Директива о недобросовестной коммерческой практике") (ОЖ N L 149, 11.06.2005, стр. 22).

*(33) Регламент (ЕС) 2019/1150 Европейского Парламента и Совета ЕС от 20 июня 2019 г. о повышении справедливости и прозрачности для бизнес-пользователей сервисов электронной коммерции (ОЖ N L 186, 11.07.2019, стр. 57).