Статья 2. Сфера применения. Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14.12.2022 о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)

Статья 2
Сфера применения

1. Настоящая Директива применяется в отношении государственных или частных организаций типа, указанного в Приложении I или II, которые квалифицируются как средние предприятия согласно Статье 2 Приложения к Рекомендации 2003/361/EC или превышают максимальные размеры для средних предприятий, предусмотренные в параграфе 1 указанной Статьи, и которые предоставляют свои услуги или осуществляют свою деятельность в Союзе. Статья 3(4) Приложения к указанной Рекомендации не применяется для целей настоящей Директивы.

2. Настоящая Директива также применяется в отношении организаций типа, указанного в Приложении I или II, вне зависимости от их размера, если:

(a) услуги предоставляются:

(i) поставщиком сети электронных коммуникаций общего пользования или доступных для всеобщего пользования услуг электронных коммуникаций;

(ii) поставщиком удостоверительного сервиса;

(iii) реестрами имен домена верхнего уровня и поставщиками услуг системы доменных имен;

(b) организация является единственным в государстве-члене ЕС поставщиком услуги, которая необходима для поддержания крайне важной общественной или экономической деятельности;

(c) сбои в работе сервиса, обеспечиваемого организацией, могут оказать значительное влияние на общественный порядок, безопасность или здоровье населения;

(d) сбои в работе сервиса, обеспечиваемого организацией, могут привести к значительному системному риску, в частности, для секторов, где такие сбои могут иметь трансграничные последствия;

(e) организация имеет критически важное значение вследствие своей особой важности на национальном или региональном уровне для определенного сектора или вида услуг или для других взаимозависимых секторов в государстве-члене ЕС;

(f) организация является органом государственного управления:

(i) центрального правительства, как определено государством-членом ЕС в соответствии с национальным законодательством; или

(ii) на региональном уровне, как определено государством-членом ЕС в соответствии с национальным законодательством, который после оценки на основе рисков оказывает услуги, нарушение в предоставлении которых может оказать значительное влияние на крайне важную общественную или экономическую деятельность.

3. Настоящая Директива применяется к организациям, определенным как критически важные в соответствии с Директивой (ЕС) 2022/2557, вне зависимости от их размера.

4. Настоящая Директива применяется к организациям, предоставляющим услуги регистрации доменных имен, вне зависимости от их размера.

5. Государства-члены ЕС могут предусмотреть применение настоящей Директивы в отношении:

(a) органов государственного управления на местном уровне;

(b) учебных заведений, в частности, если они осуществляют особо важную исследовательскую деятельность.

6. Настоящая Директива действует без ущерба ответственности государств-членов ЕС за обеспечение национальной безопасности и без ущерба их полномочиям по защите других важных государственных функций, включая обеспечение территориальной целостности государства и поддержание закона и порядка.

7. Настоящая Директива не применяется в отношении органов государственного управления, которые осуществляют свою деятельность в области национальной безопасности, общественной безопасности, обороны или правоприменения, включая предотвращение, расследование, выявление и судебное преследование уголовных преступлений.

8. Государства-члены ЕС могут освобождать определенные организации, которые осуществляют деятельность в области национальной безопасности, общественной безопасности, обороны или правоприменения, включая предотвращение, расследование, выявление и судебное преследование уголовных преступлений, или которые предоставляют услуги исключительно органам государственного управления, указанным в параграфе 7 настоящей Статьи, от выполнения обязательств, установленных в Статье 21 или 23, в отношении указанной деятельности или услуг. В таких случаях меры по надзору и меры принудительного характера, указанные в Главе VII, не должны применяться в отношении указанных определенных видов деятельности или услуг. Если организации осуществляют деятельность или предоставляют услуги исключительно того типа, который указан в настоящем параграфе, государства-члены ЕС могут также принять решение об освобождении указанных организаций от выполнения обязательств, установленных в Статьях 3 и 27.

9. Параграфы 7 и 8 не должны применяться, если организация выступает в качестве поставщика удостоверительного сервиса.

10. Настоящая Директива не применяется в отношении организаций, исключенных государствами-членами ЕС из сферы применения Регламента (ЕС) 2022/2554 в соответствии со Статьей 2(4) указанного Регламента.

11. Обязательства, установленные в настоящей Директиве, не должны включать в себя предоставление информации, раскрытие которой противоречило бы существенным интересам государств-членов ЕС в области национальной безопасности, общественной безопасности или обороны.

12. Настоящая Директива применяется без ущерба действию Регламента (ЕС) 2016/679, Директивы 2002/58/EC, Директив 2011/93/ЕС*(28) и 2013/40/ЕС*(29) Европейского Парламента и Совета ЕС, а также Директивы (ЕС) 2022/2557.

13. Без ущерба действию Статьи 346 TFEU информация, являющаяся конфиденциальной согласно правилам Союза или национальным правилам, например, правилам о соблюдении коммерческой тайны, подлежит обмену с Европейской Комиссией и другими соответствующими органами согласно настоящей Директиве только в том случае, когда обмен информацией необходим для применения настоящей Директивы. Предоставляемая информация должна быть ограничена только той информацией, которая имеет отношение к указанному обмену и пропорциональна его цели. Обмен информацией должен обеспечивать конфиденциальность такой информации и защищать безопасность и коммерческие интересы соответствующих организаций.

14. Организации, компетентные органы, единые контактные центры и CSIRTs должны обрабатывать персональные данные в той степени, в которой это необходимо для целей настоящей Директивы, и в соответствии с Регламентом (ЕС) 2016/679, в частности, такая обработка должна основываться на Статье 6 указанного Регламента.

Обработка персональных данных согласно настоящей Директиве поставщиками сетей электронных коммуникаций общего пользования или поставщиками доступных для всеобщего пользования услуг электронных коммуникаций должна осуществляться в соответствии с законодательством Союза о защите данных и законодательством Союза о неприкосновенности личной жизни, в частности, с Директивой 2002/58/EC.