Директива Европейского Парламента и Совета ЕС (ЕС) 2016/1148 от 06.07.2016 о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза (документ не действует)

Директива Европейского Парламента и Совета ЕС (ЕС) 2016/1148 от 6 июля 2016 г.
о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза*(1)

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 114 Договора,

На основании предложения Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

Руководствуясь заключением Европейского комитета по экономическим и социальным вопросам*(2),

Действуя в соответствии с обычной законодательной процедурой*(3),

Принимая во внимание следующие обстоятельства:

(1) Сетевые и информационные системы и услуги играют важную роль в обществе. Их надежность и безопасность имеют большое значение для экономической и социальной деятельности, в частности, для функционирования внутреннего рынка.

(2) Возрастает величина, количество и влияние инцидентов, связанных с нарушением безопасности, которые представляют серьезную угрозу функционированию сетевых и информационных систем. Указанные системы также могут стать мишенью преднамеренных вредоносных действий, направленных на причинение вреда или нарушение работы систем. Указанные нарушения могут препятствовать осуществлению экономической деятельности, могут привести к значительным финансовым потерям, могут подрывать доверие пользователей, а также могут причинить серьезный ущерб экономике Союза.

(3) Сетевые и информационные системы, в первую очередь Интернет, играют важную роль в упрощении трансграничного перемещения товаров, услуг и людей. В связи с транснациональным характером указанных систем любое их существенное нарушение, преднамеренное и непреднамеренное, независимо от места совершения нарушения может повлиять на отдельные государства-члены ЕС, а также на Союз в целом. В этой связи безопасность сетевых и информационных систем играет важную роль в обеспечении нормального функционирования внутреннего рынка.

(4) Опираясь на значительный прогресс, достигнутый в рамках Европейского форума государств-членов ЕС по вопросам содействия обсуждению и обмену передовым опытом в области осуществления политики, включая разработку принципов европейского киберкризисного сотрудничества, необходимо создать группу по сотрудничеству, состоящую из представителей государств-членов ЕС, Европейской Комиссии и Европейского агентства по сетевой и информационной безопасности ("ENISA"*(4)), для оказания поддержки и содействия стратегическому сотрудничеству государств-членов ЕС в области безопасности сетевых и информационных систем. Для того чтобы работа указанной группы была эффективной и всеобъемлющей, все государства-члены ЕС должны иметь минимальные возможности и стратегии, гарантирующие высокий уровень безопасности сетевых и информационных систем на их территории. Кроме того, операторы основных услуг и провайдеры цифровых услуг должны отвечать требованиям в области обеспечения безопасности и нотификации в целях содействия формированию культуры управления рисками и обеспечения соблюдения отчетности о наиболее серьезных инцидентах.

(5) Существующие технические возможности недостаточны для обеспечения высокого уровня безопасности сетевых и информационных сетей в рамках Союза. Степень подготовленности государств-членов ЕС различна, что ведет к фрагментации действий по Союзу, что, в свою очередь, сказывается на обеспечении различного уровня защиты потребителей и субъектов предпринимательской деятельности, а также снижает общий уровень безопасности сетевых и информационных систем Союза. Отсутствие общих требований к операторам основных услуг и провайдерам цифровых услуг, в свою очередь, делает невозможным установление единого и эффективного механизма сотрудничества на уровне Союза. Университеты и исследовательские центры играют ключевую роль в развитии научных исследований, разработок и инноваций в указанных сферах.

(6) Таким образом, эффективное реагирование на проблемы, связанные с обеспечением безопасности сетевых и информационных систем, требует установления единой системы действий на уровне Союза, охватывающей общие минимальные требования по наращиванию потенциала и требования по планированию к операторам основных услуг и провайдерам цифровых услуг по обмену информацией, взаимодействию и обеспечению общей безопасности. Тем не менее ничто не препятствует операторам основных услуг и провайдерам цифровых услуг применять более строгие меры, чем меры, предусмотренные в настоящей Директиве.

(7) Для того чтобы под действие настоящей Директивы попали все возможные инциденты и риски, она должна распространяться на операторов основных услуг и провайдеров цифровых услуг. Однако обязательства операторов основных услуг и провайдеров цифровых услуг не должны распространяться на предприятия, оказывающие услуги в сфере общественных сетей связи и общедоступных электронных коммуникаций в значении Директивы 2002/21/ЕС Европейского Парламента и Совета ЕС*(5), так как они подпадают под особые требования в области безопасности и целостности, установленные в указанной Директиве, а также обязательства не распространяются на провайдеров удостоверительных сервисов в значении Регламента (ЕС) 910/2014 Европейского Парламента и Совета ЕС*(6), так как они подпадают под требования в области безопасности, установленные в указанном Регламенте.

(8) Настоящая Директива применяется без ущерба возможности для каждого государства-члена ЕС принимать необходимые меры, гарантирующие защиту интересов своей безопасности, охрану общественного порядка и общественной безопасности, а также меры, направленные на проведение расследования, раскрытия и уголовного преследования преступлений. В соответствии со Статьей 346 Договора о функционировании Европейского Союза (TFEU) государства-члены ЕС не обязаны предоставлять информацию, раскрытие которой противоречит существенным интересам их безопасности. В данном случае значимыми являются Решение 2013/488/ЕС Совета ЕС*(7) и соглашения о неразглашении или неофициальные соглашения о неразглашении, такие как протокол Traffic Light*(8).

(9) Определенные секторы экономики уже урегулированы или могут быть в будущем урегулированы внутриотраслевыми законодательными актами Союза, содержащими нормы о безопасности сетевых и информационных систем. Если в указанных законодательных актах Союза имеются положения, содержащие требования к безопасности сетевых и информационных систем или об уведомлениях о нарушениях, указанные положения применяются только в том случае, если содержащиеся в них требования по существу аналогичны обязательствам, содержащимся в настоящей Директиве. В указанных случаях государства-члены ЕС применяют положения внутриотраслевых законодательных актов Союза, в том числе затрагивающие вопросы юрисдикции, и не придерживаются процесса идентификации операторов основных услуг, указанного в настоящей Директиве. При этом государства-члены ЕС предоставляют Европейской Комиссии сведения о применении положений указанных lex specialis. При определении аналогичности требований к безопасности сетевых и информационных систем или об уведомлениях о нарушениях, содержащихся во внутриотраслевых законодательных актах Союза, требованиям, содержащимся в настоящей Директиве, необходимо учитывать исключительно положения соответствующих законодательных актов Союза и их применение в государствах-членах ЕС.

(10) В секторе водного транспорта требования по обеспечению безопасности к компаниям, судам, портовым сооружениям, портам и службам управления движением судов, содержащиеся в законодательных актах Союза, охватывают всю деятельность, в том числе работу радио- и телекоммуникационных систем, компьютерных систем и сетей. В рамках обязательных для соблюдения процедур предусмотрены и процедуры по сообщению обо всех инцидентах, которые рассматриваются как lex specialis, поскольку указанные требования эквивалентны соответствующим положениям настоящей Директивы.

(11) При определении операторов в секторе водного транспорта государства-члены ЕС должны учитывать действующие, а также принимаемые в будущем международные кодексы и руководящие принципы, разработанные в том числе и Международной морской организацией, для обеспечения согласованного подхода к отдельным морским операторам.

(12) Регулирование и надзор за банковским сектором и инфраструктурами финансового рынка хорошо гармонизированы на уровне Союза посредством использования основного и вторичного законодательства и стандартов Союза, разработанных при участии Европейских надзорных органов. В банковском союзе применение указанных требований и надзор за их исполнением гарантируется единым надзорным механизмом. В государствах-членах ЕС, не являющихся участниками банковского союза, указанные гарантии предоставляются за счет регуляторов банковской системы государств-членов ЕС. В других областях регулирования финансового сектора Европейская система финансового надзора также гарантирует высокую степень однородности и совпадения надзорной практики. Европейский орган по ценным бумагам и рынкам также выполняет функции прямого надзора за определенными субъектами, а именно за кредитно-рейтинговыми агентствами и торговыми репозиториями.

(13) Операционный риск является важной частью пруденциального регулирования и надзора в банковском секторе и инфраструктурах финансового рынка. Он охватывает всю деятельность, в том числе обеспечение безопасности, целостности и устойчивости сетевых и информационных систем. Требования к указанным системам, часто выходящие за пределы требований, установленных в настоящей Директиве, установлены в нескольких законодательных актах Союза, в том числе в: правилах о доступе к деятельности кредитных организаций и о пруденциальном надзоре за кредитными организациями и инвестиционными фирмами и правилах о пруденциальных требованиях к кредитным организациям и инвестиционным фирмам, которые содержат требования к операционным рискам; правилах о рынках финансовых инструментов, которые содержат требования по оценке рисков инвестиционных фирм и регулируемых рынков; правилах в отношении внебиржевых деривативов, центральных контрагентов и торговых репозитариев; и правилах по совершенствованию расчетов по ценным бумагам в Союзе и правилах в отношении центрального депозитария ценных бумаг, которые содержат требования к операционным рискам. Более того, требования по уведомлению об инцидентах представляют собой часть обычной надзорной практики в финансовом секторе и часто включаются в руководства по надзору. Государства-члены ЕС должны учитывать указанные правила и требования при применении lex specialis.

(14) Как отмечает Европейский Центральный Банк в своем заключении от 25 июля 2014 г.*(9), настоящая Директива не затрагивает надзора Евросистемы за платежными и расчетными системами. Органам, ответственным за указанный надзор, будет необходимо обмениваться опытом по вопросам обеспечения безопасности сетевых и информационных систем с компетентными органами, указанными в настоящей Директиве. Те же рекомендации распространяются на страны, находящиеся за пределами еврозоны, но являющиеся членами Европейской системы центральных банков, которые осуществляют указанный надзор за платежными и расчетными системами в соответствии с национальным законодательством и нормативными положениями.

(15) Интернет-магазины позволяют потребителям и продавцам совершать продажи или заключать договоры на оказание услуг с продавцами через Интернет и представляют собой конечный пункт для заключения указанных договоров. Их действие не распространяется на онлайн-услуги, которые являются исключительно посредническими в услугах, оказываемых третьей стороной, если через них может быть в конечном итоге заключен договор. Следовательно, их действие также не распространяется на онлайн-услуги, в рамках которых представляется сравнительный анализ цен на определенные товары или услуги, предоставляемые различными поставщиками, и осуществляется дальнейшее направление пользователя к выбранному им поставщику для покупки продукта. Компьютерные услуги, оказываемые интернет-магазинами, могут включать в себя обработку трансакций, агрегацию данных или создание профайлов пользователей. Магазины приложений, функционирующие как онлайн-магазины, позволяющие осуществлять цифровую дистрибуцию приложений или программного обеспечения от имени третьих лиц, рассматриваются как вид интернет-магазинов.

(16) Онлайн-поисковые системы позволяют пользователям осуществлять поиск практически всех веб-сайтов по запросу на любую тему. Кроме того, они могут быть ориентированы на веб-сайты на определенном языке. Определение онлайн-поисковой системы, содержащееся в настоящей Директиве, не должно охватывать поисковые функции, ограниченные содержанием определенного веб-сайта, независимо от того, предоставлена ли поисковая функция внешней поисковой системой или нет. Также оно не должно охватывать онлайн-услуги, в рамках которых представляется сравнительный анализ цен на определенные товары или услуги, предоставляемые различными поставщиками, и осуществляется дальнейшее направление пользователя к выбранному им поставщику для покупки продукта.

(17) Операционная система на базе облака охватывает широкий спектр деятельности, который может быть представлен в соответствии с различными моделями. Для целей настоящей Директивы термин "операционная система на базе облака" охватывает услуги, которые позволяют получить доступ к расширяемому и адаптивному пулу многопользовательских компьютерных ресурсов. Указанные компьютерные ресурсы включают в себя такие ресурсы, как сети, серверы и другие объекты инфраструктуры, системы хранения данных, приложения и услуги. Термин "расширяемый" относится к компьютерным ресурсам, которые предоставляются провайдером облачных сервисов в гибкой форме независимо от географического расположения ресурсов, с целью обработки колебаний запросов. Термин "адаптивный пул" используется для определения доступных и предоставляемых в соответствии с запросом компьютерных ресурсов с целью быстрого повышения или снижения ресурсов, степень доступа к которым зависит от нагрузки. Термин "многопользовательский" применяется для определения тех компьютерных ресурсов, которые предоставляются нескольким пользователям, имеющим один и тот же доступ к услуге, но в которых обработка данных производится отдельно для каждого пользователя, при предоставлении услуги через одно электронное оборудование.

(18) Функция точки обмена интернет-трафиком (IXP*(10)) используется для соединения сетей. IXP не предоставляет доступа к сети, а также не выступает транзитным провайдером или поставщиком услуг связи. IXP также не оказывает и другие услуги, не связанные с соединением, указанное правило не препятствует операторам IXP оказывать несвязанные услуги. IXP существует для соединения сетей, которые технически и организационно разделены. Термин "автономная система" используется для определения технически обособленной сети.

(19) Государства-члены ЕС ответственны за определение организаций, которые соответствуют критериям определения оператора основных услуг. Для обеспечения единого подхода определение оператора основных услуг должно согласованно применяться всеми государствами-членами ЕС. Для достижения указанной цели настоящая Директива предусматривает оценку деятельности организаций в определенных отраслях и подотраслях, устанавливает список основных услуг, предусматривает возможность введения единого списка межотраслевых факторов, необходимых для определения оказания потенциальными инцидентами существенного негативного воздействия, устанавливает консультационный механизм, в котором будут принимать участие соответствующие государства-члены ЕС в случае, если организация оказывает услуги в нескольких государствах-членах ЕС, а также предусматривает оказание поддержки Консультационной группе в процессе идентификации. Для обеспечения адекватной реакции на возможные изменения на рынке список идентифицированных операторов должен регулярно пересматриваться государствами-членами ЕС и при необходимости обновляться. И, наконец, государства-члены ЕС должны передать Европейской Комиссии информацию, необходимую для проведения оценки степени влияния указанной единой методологии на обеспечение согласованного применения определения государствами-членами ЕС.

(20) В процессе идентификации операторов основных услуг государства-члены ЕС должны оценивать в каждой подотрасли, указанной в настоящей Директиве, какие услуги рассматриваются как основные с точки зрения поддержания важнейшей социально-экономической деятельности, а также насколько организации, указанные в отраслях и подотраслях, установленных в настоящей Директиве, оказывающие указанные услуги, отвечают критериям для идентификации операторов. При установлении того факта, оказывает ли организация услуги, необходимые для поддержания важнейшей социально-экономической деятельности, необходимо проверять, оказывает ли организация услугу, включенную в список основных услуг. Более того, необходимо подтвердить, что предоставление основной услуги зависит от сетевых и информационных систем. И, наконец, при оценке того, будет ли инцидент иметь существенное негативное влияние на предоставление услуг, государства-члены ЕС должны учитывать ряд межотраслевых факторов, а также при необходимости внутриотраслевые факторы.

(21) Для целей идентификации операторов основных услуг размещение организаций в государствах-членах ЕС подразумевает эффективное и реальное осуществление деятельности в соответствии с устоявшимися формами организации. Правовая форма указанной организации, будь то филиал или дочернее предприятие, обладающие правоспособностью, в данном случае не является определяющим фактором.

(22) Существует возможность оказания организациями, работающими в отраслях и подотраслях, указанных в настоящей Директиве, основных и неосновных услуг. Например, в отрасли воздушных перевозок, аэропорты оказывают услуги, которые рассматриваются государствами-членами ЕС как основные, так как они осуществляют управление взлетно-посадочными полосами, но также они оказывают ряд услуг, которые рассматриваются как неосновные, например, предоставление торговых площадей. Операторы основных услуг должны отвечать особым требованиям в области обеспечения безопасности только в отношении тех услуг, которые считаются основными. Таким образом, для целей идентификации операторов государства-члены ЕС должны установить список услуг, которые считаются основными.

(23) Список услуг должен включать в себя перечень всех услуг, предоставляемых на территории государства-члена ЕС, отвечающего всем требованиям, установленным в настоящей Директиве. Государства-члены ЕС должны иметь возможность дополнить список, включив в него новые услуги. Список услуг служит для государств-членов ЕС отправной точкой при идентификации операторов основных услуг. Его целью является определение типов основных услуг в любой отрасли, указанной в настоящей Директиве, а также отделение указанных услуг от сопутствующих услуг, которые может выполнять организация, работающая в определенной отрасли. Список услуг, установленный каждым государством-членом ЕС, вносит вклад в оценку регулятивной практики каждого государства-члена ЕС для обеспечения общей согласованности процесса идентификации среди государств-членов ЕС.

(24) Для целей процесса идентификации, если организация оказывает основные услуги в двух или более государствах-членах ЕС, указанные государства-члены ЕС должны проводить между собой двусторонние или многосторонние переговоры. Целью указанного консультационного процесса является оказание помощи государствам-членам ЕС в проведении оценки степени воздействия оператора на трансграничные отношения, что в свою очередь позволяет заинтересованным государствам-членам ЕС высказать свое мнение о рисках, связанных с предоставляемыми услугами. В указанном процессе заинтересованные государства-члены ЕС должны учитывать мнения друг друга, а также в указанных целях должны иметь возможность обратиться за помощью к Группе по сотрудничеству.

(25) В результате идентификационного процесса государства-члены ЕС должны принять меры по определению организаций, которые должны исполнять обязательства по обеспечению безопасности сетевых и информационных систем. Указанные цели могут быть достигнуты путем принятия перечня всех операторов основных услуг или принятия национальных мер, в том числе объективных количественных критериев, таких как производительная мощность оператора или количество пользователей, которые позволят определить организации, которые должны исполнять обязательства по обеспечению безопасности сетевых и информационных систем. Уже действующие или принятые в свете настоящей Директивы национальные меры должны содержать все правовые меры, административные и политические меры, которые позволяют провести идентификацию операторов основных услуг в соответствии с настоящей Директивой.

(26) Для определения значимости идентифицированного оператора основных услуг в соответствующей отрасли государства-члены ЕС должны учитывать количество и размер указанных операторов, например, с точки зрения занимаемой доли рынка или объемов производства или поставляемых услуг, при этом на них не возлагается обязанность по раскрытию информации, позволяющей выявить идентифицированного оператора.

(27) Для определения инцидентов, способных оказать существенное негативное воздействие на предоставление основных услуг, государства-члены ЕС должны учитывать ряд различных факторов, таких как количество пользователей, прибегающих к указанной услуге в личных или профессиональных целях. Под использованием услуги понимается непосредственное, косвенное использование или использование через представителя. При оценке возможного воздействия инцидента на социально-экономическую деятельность или общественную безопасность с точки зрения его масштаба и продолжительности государства-члены ЕС также должны оценивать, сколько пройдет времени, прежде чем перерыв начнет оказывать отрицательное воздействие.

(28) В дополнение к межотраслевым факторам также необходимо при определении возможности оказания инцидентами существенного негативного воздействия на предоставление основных услуг учитывать внутриотраслевые факторы. Для поставщиков энергии в число указанных факторов необходимо включать объем или долю вырабатываемой электроэнергии на национальном уровне; для поставщиков нефти - ежедневные объемы; для воздушного транспорта, в том числе аэропортов и авиаперевозчиков, железнодорожного транспорта и морских портов - долю национального объема перевозок и количество пассажиров или грузовых операций в год; для банковского сектора и инфраструктур финансового рынка - их системную значимость в зависимости от совокупных активов или отношение указанных совокупных активов к ВВП; для отрасли здравоохранения - количество пациентов, обслуживаемых поставщиком медицинских услуг, в год; для отрасли по добыче, обработке и поставке воды - объем, количество и тип пользователей, которым была поставлена вода, в том числе, например, больницы, организации по обслуживанию населения или отдельных физических лиц, а также наличие альтернативных источников воды на той же географической территории.

(29) Для достижения и поддержания высокого уровня безопасности сетевых и информационных систем каждое государство-член ЕС должно разработать национальную стратегию по обеспечению безопасности сетевых и информационных систем, в которой будут определены цели стратеги и конкретные тактические действия, подлежащие реализации.

(30) В связи с различными национальными структурами управления, а также в целях обеспечения сохранности существующих отраслевых систем регулирования или органов надзора и регулирования на уровне Союза, а также во избежание дублирования государства-члены ЕС должны иметь возможность назначить несколько национальных компетентных органов, ответственных за выполнение задач, связанных с обеспечением безопасности сетевых и информационных систем операторами основных услуг и провайдерами цифровых услуг в соответствии с настоящей Директивой.

(31) Для упрощения трансграничного сотрудничества и взаимодействия, а также для обеспечения эффективной имплементации настоящей Директивы каждое государство-член ЕС без ущерба действию положений, направленных на отраслевое регулирование, должно назначить единую национальный контактный пункт, ответственный за осуществление деятельности в области координации по вопросам безопасности сетевых и информационных систем и трансграничное взаимодействие на уровне Союза. Компетентные органы и единые контактные пункты должны обладать надлежащими техническими, финансовыми и человеческими ресурсами для эффективного и квалифицированного выполнения своих задач, а также для достижения целей настоящей Директивы. Поскольку настоящая Директива направлена на улучшение функционирования внутреннего рынка путем укрепления доверия и уверенности, органы государств-членов ЕС должны иметь возможность эффективно взаимодействовать с субъектами экономической деятельности, а также должны быть надлежащим образом структурированы.

(32) Уведомления об инцидентах должны предоставляться в компетентные органы или в группы реагирования на инциденты, связанные с компьютерной безопасностью ("CSIRTs"*(11)). Непосредственно в единые контактные пункты уведомления об инцидентах не направляются, за исключением случаев, когда они также действуют в качестве компетентного органа или CSIRT. Однако компетентный орган или CSIRT может уполномочить единый контактный пункт на передачу уведомлений об инцидентах в единые контактные пункты других заинтересованных государств-членов ЕС.

(33) В целях надлежащей передачи информации государствам-членам ЕС и Европейской Комиссии единый контактный пункт должен представить Группе по сотрудничеству сводный отчет, сведения в котором должны быть обезличены для обеспечения конфиденциальности уведомления и сведений об операторах основных услуг и провайдерах цифровых услуг, также для обмена передовым опытом в рамках Группы по координации не требуется предоставление информации об организации, направившей уведомление. В сводном отчете должна быть указана информация о количестве полученных уведомлений, а также данные о характере инцидента, в отношении которого направлено уведомление, такие как типы нарушений безопасности, их тяжесть и длительность.

(34) Государства-члены ЕС должны иметь надлежащее техническое и организационное оснащение для предотвращения, выявления, реагирования и снижения последствий инцидентов и рисков в области сетевых и информационных систем. Государства-члены ЕС также должны гарантировать надлежащее функционирование на их территории CSIRTs, также известных как группы быстрого реагирования на нарушения компьютерной безопасности (СERTs*(12)), соответствующих основным требованиям в области обеспечения эффективной и последовательной борьбы с инцидентами и рисками и обеспечения эффективного сотрудничества на уровне Союза. Для того чтобы все виды операторов основных услуг и провайдеров цифровых услуг могли воспользоваться преимуществами указанной борьбы и сотрудничества, государства-члены ЕС должны обеспечить, чтобы в отношении каждого вида операторов действовала назначенная CSIRT. Учитывая важность международного сотрудничества в области кибербезопасности, CSIRTs должны иметь возможность принимать участие не только в сетях CSIRTs, установленных в соответствии с настоящей Директивой, но и дополнительно в сетях по международному сотрудничеству.

(35) Поскольку большинство сетевых и информационных систем находится в частной собственности, сотрудничество между государственным и частным секторами имеет большое значение. Необходимо поощрять операторов основных услуг и провайдеров цифровых услуг в разработке своих собственных механизмов неформального сотрудничества для обеспечения безопасности сетевых и информационных систем. Группа по сотрудничеству при необходимости должна иметь возможность пригласить заинтересованные стороны принять участие в обсуждении. Для оказания активного содействия обмену информацией и передовым опытом необходимо обеспечить, чтобы операторам основных услуг и провайдерам цифровых услуг, участвующим в подобном обмене, не был причинен ущерб указанным сотрудничеством.

(36) ENISA должно оказывать помощь государствам-членам ЕС, предоставляя консультации и рекомендации, а также упрощая процесс обмена передовым опытом. В частности, в ходе применения настоящей Директивы Европейская Комиссия должна обращаться за консультациями к ENISA, а государства-члены ЕС должны иметь возможность обращаться за указанными консультациями. В целях наращивания потенциала и распространения знаний в государствах-членах ЕС обмен передовым опытом, обсуждение возможностей и готовности государств-членов ЕС на добровольной основе оказывать помощь членам Группы по сотрудничеству в оценке национальных стратегий по обеспечению безопасности сетевых и информационных систем, а также наращивание потенциала и оценка опыта в области обеспечения безопасности сетевых и информационных систем должны происходить также и в рамках деятельности Группы по сотрудничеству.

(37) При необходимости государства-члены ЕС должны иметь возможность в ходе применения настоящей Директивы использовать или приспосабливать уже существующие организационные структуры или стратегии.

(38) Сопредельные задачи Группы по сотрудничеству и ENISA взаимозависимы и дополняют друг друга. В целом ENISA должно оказывать помощь Группе по сотрудничеству в достижении ее задач в соответствии с целью ENISA, установленной в Регламенте (ЕС) 526/2013 Европейского Парламента и Совета ЕС*(13), а именно, оказывать помощь организациям, органам, учреждениям и агентствам Союза, а также государствам-членам ЕС в реализации политики, необходимой для выполнения законодательных и регламентарных требований в области обеспечения безопасности сетевых и информационных систем, в соответствии с действующими и принимаемыми в будущем правовыми актами Союза. В частности, ENISA должно оказывать содействие в областях, соответствующих его задачам согласно Регламенту (ЕС) 526/2013, а именно проведение анализа стратегий по обеспечению безопасности сетевых и информационных систем, обмен информацией и передовым опытом в области повышения осведомленности и проведения обучения. Также ENISA должно участвовать в разработке руководств по определению внутриотраслевых критериев оценки существенности влияния инцидентов.

(39) В целях развития улучшенной безопасности сетевых и информационных систем Группа по сотрудничеству должна при необходимости сотрудничать с соответствующими организациями, органами, учреждениями и агентствами Союза для обмена ноу-хау и передовой практикой, а также для предоставления консультации по вопросам безопасности сетевых и информационных систем, оказывающим влияние на их деятельность, при одновременном соблюдении правил обмена секретной информацией. При сотрудничестве с правоохранительными органами по вопросам, связанным с обеспечением безопасности сетевых и информационных систем, затрагивающим их деятельность, Группа по сотрудничеству должна придерживаться существующих каналов обмена информацией и установленных сетей.

(40) Информация по инцидентам представляет особую значимость для общественности и предприятий, в частности для малых и средних предприятий. В некоторых случаях указанная информация также предоставляется через веб-сайты на национальном уровне на языке определенной страны и освещает инциденты и происшествия, произошедшие на территории государства. Учитывая, что указанные предприятия все чаще осуществляют трансграничную деятельность, а граждане пользуются онлайн-услугами, информация об инцидентах должна предоставляться в обобщенном виде на уровне Союза. Секретариату сети CSIRTs рекомендуется поддерживать веб-сайт или создать отдельную страницу на существующем веб-сайте, на которых будет размещена в общем доступе информация об основных инцидентах, произошедших на территории Союза, особое внимание в которой будет обращено на интересы и потребности предприятий. Поощряется участие CSIRTs в сетях CSIRTs для размещения информации на добровольной основе на указанном веб-сайте, за исключением конфиденциальной и секретной информации.

(41) Если информация в соответствии с нормами Союза и национальными нормами о коммерческой тайне считается конфиденциальной, указанная тайна должна быть гарантирована при осуществлении деятельности и выполнении обязательств в соответствии с настоящей Директивой.

(42) Учения, в рамках которых в режиме реального времени моделируются сценарии инцидентов, играют важную роль в проверке готовности государств-членов ЕС и степени их сотрудничества в области обеспечения безопасности сетевых и информационных систем. Цикл учений CyberEurope, проводимый ENISA при участии государств-членов ЕС, представляет собой полезный механизм для проведения проверки и составления рекомендаций по будущему улучшению действий, направленных на борьбу с инцидентами на уровне Союза. Поскольку в настоящее время государства-члены ЕС не обязаны участвовать в планировании или проведении учений, создание в соответствии с настоящей Директивой сети CSIRTs позволит государствам-членам ЕС принимать участие в учениях на основе точного планирования и принятия стратегических решений. В рамках Группы по сотрудничеству, учрежденной в соответствии с настоящей Директивой, должно проходить обсуждение стратегических решений, относящихся к учениям, в том числе по вопросам частоты проведения учений и их сценариев, но не ограничиваясь ими. В соответствии со своим мандатом ENISA должно поддерживать организацию и проведение учений на уровне Союза, предоставляя экспертную оценку и консультируя Группу по сотрудничеству и сеть CSIRTs.

(43) Принимая во внимание глобальный характер проблем в области безопасности сетевых и информационных систем, необходимо создавать более тесное международное сотрудничество для улучшения стандартов безопасности и обмена информацией, а также для содействия общему глобальному подходу к вопросам безопасности.

(44) В значительной степени ответственность за обеспечение безопасности сетевых и информационных систем лежит на операторах основных услуг и провайдерах цифровых услуг. Необходимо развивать культуру управления рисками, в том числе оценку рисков и осуществление мер по обеспечению безопасности в связи с возможными рисками, а также разрабатывать культуру путем принятия соответствующих нормативных требований и развития добровольной практики в определенной отрасли. Установление заслуживающих доверия равных условий также играет важную роль в обеспечении надлежащего функционирования Группы по сотрудничеству и сети CSIRTs и гарантировании эффективного сотрудничества государств-членов ЕС.

(45) Настоящая Директива распространяется только на те государственные административные органы, которые были идентифицированы как операторы основных услуг. Следовательно, государства-члены ЕС обязаны гарантировать безопасность сетевых и информационных систем административных органов, не подпадающих под сферу действия настоящей Директивы.

(46) Меры, направленные на управление рисками, включают в себя меры по определению любых рисков наступления инцидентов, по предотвращению, обнаружению и устранению инцидентов, а также по смягчению их последствий. Безопасность сетевых и информационных систем включает в себя безопасность хранения, передачи и обработки данных.

(47) За компетентными органами должно сохраниться право на принятие на национальном уровне руководств, касающихся обстоятельств, в которых операторы основных услуг должны уведомлять об инцидентах.

(48) Многие предприятия в Союзе полагаются на провайдеров цифровых услуг при оказании своих услуг. Поскольку некоторые цифровые услуги являются важным ресурсом для пользователей, в том числе операторов основных услуг, а также поскольку у указанных пользователей не всегда имеются иные варианты, настоящая Директива также должна применяться и к провайдерам указанных услуг. Безопасность, стабильность и надежность указанных в настоящей Директиве типов цифровых услуг играют ключевую роль в нормальном функционировании многих предприятий. Нарушение работы указанных цифровых услуг может препятствовать оказанию других услуг, основанных на цифровых услугах, а следовательно, повлиять на основные виды экономической и социальной деятельности в Союзе. В этой связи указанные цифровые услуги могут оказывать существенное влияние на нормальное функционирование зависящих от них предприятий и, более того, на деятельность указанных предприятий на внутреннем рынке и в области трансграничной торговли на территории Союза. Под действие настоящей Директивы подпадают те провайдеры цифровых услуг, на цифровые услуги которых полагается все больше предприятий в Союзе.

(49) Провайдеры цифровых услуг должны обеспечивать уровень безопасности, соответствующий степени риска, угрожающего безопасности предоставляемых ими цифровых услуг, с учетом влияния их услуг на функционирование других предприятий в Союзе. На практике степень риска операторов основных услуг, которые часто играют важную роль в поддержании ключевой социально-экономической деятельности, выше, чем степень риска провайдеров цифровых услуг. Следовательно, требования к провайдерам цифровых услуг в области обеспечения безопасности должны быть более мягкими. Провайдеры цифровых услуг должны сохранять за собой право принимать по своему усмотрению меры, необходимые для управления рисками, угрожающими безопасности их сетевых и информационных систем. В связи с трансграничной природой провайдеров цифровых услуг к ним должен применяться более гармонизированный подход на уровне Союза. Спецификации и имплементации указанных мер должны способствовать имплементационные акты.

(50) Хотя производители технического оборудования и разработчики программного обеспечения не являются операторами основных услуг или провайдерами цифровых услуг, их продукция повышает безопасность сетевых и информационных систем. В этой связи они играют важную роль в гарантировании операторами основных услуг и провайдерами цифровых услуг безопасности их сетевых и информационных систем. На указанные аппаратные и программные продукты также распространяются действующие нормы, регулирующие ответственность за качество продукции.

(51) Возложенные на операторов основных услуг и провайдеров цифровых услуг технические и организационные меры не должны возлагать обязанности по проектированию, разработке или производству определенным образом продуктов коммерческой информации и продуктов коммуникационных технологий.

(52) Операторы основных услуг и провайдеры цифровых услуг должны гарантировать безопасность используемых ими сетевых и информационных систем. Они, как правило, представляют собой частные сетевые или информационные сети, управляемые собственным IT-персоналом, или их безопасность обеспечивается за счет привлечения сторонних специалистов. Требования в области обеспечения безопасности и уведомления распространяются на операторов основных услуг и провайдеров цифровых услуг независимо от того, сами ли они осуществляют управление сетевыми и информационными системами или привлекают сторонних специалистов.

(53) Для того чтобы операторы основных услуг и провайдеры цифровых услуг не несли излишнее финансовое и административное бремя, требования должны соответствовать рискам, угрожающим соответствующим сетевым и информационным системам, с учетом последних технических разработок в области указанных мер. Что касается провайдеров цифровых услуг, указанные меры не применяются к микропредприятиям и малым предприятиям.

(54) Если органы государственного управления в государствах-членах ЕС пользуются услугами провайдеров цифровых услуг, в частности, операционными системами на базе облака, они имеют право требовать от провайдеров указанных услуг принятия дополнительных мер безопасности, выходящих за рамки мер, обычно предлагаемых провайдерами цифровых услуг в соответствии с настоящей Директивой. Сделать это возможно путем установления договорных обязательств.

(55) Содержащиеся в настоящей Директиве определения онлайн-магазинов, онлайн-поисковых систем и операционных систем на базе облака используются для конкретных целей настоящей Директивы и не затрагивают другие акты.

(56) Настоящая Директива не препятствует государствам-членам ЕС принимать национальные меры, требующие от органов государственного сектора обеспечивать выполнение особых требований в области безопасности при заключении договоров об использовании операционных систем на базе облака. Указанные национальные меры применяются к органам государственного сектора, а не к провайдерам операционных систем на базе облака.

(57) Учитывая фундаментальные различия между операторами основных услуг, в частности, их прямую связь с материальной базой, и провайдерами цифровых услуг, в частности, их трансграничную природу, в настоящей Директиве должны применяться различные подходы к указанным двум группам субъектов с точки зрения уровня гармонизации. В отношении операторов основных услуг государства-члены ЕС должны быть уполномочены проводить идентификацию соответствующих операторов и предъявлять к ним более строгие требования, чем установлены в настоящей Директиве. Государства-члены ЕС не должны проводить идентификацию провайдеров цифровых услуг, поскольку настоящая Директива применяется ко всем провайдерам цифровых услуг, подпадающим под ее сферу действия. Кроме того, настоящая Директива и принятые в соответствии с ней имплементационные акты должны обеспечивать высокий уровень гармонизации требований по обеспечению безопасности и уведомлению, предъявляемых к провайдерам цифровых услуг. Указанное требование позволит установить одинаковое отношение к провайдерам цифровых услуг на территории Союза, соответствующее их природе и уровню риска, с которым они могут столкнуться.

(58) Настоящая Директива не препятствует государствам-членам ЕС возлагать на предприятия, не являющиеся провайдерами цифровых услуг, подпадающими под действие настоящей Директивы, требования по обеспечению безопасности и уведомлению, без ущерба действию обязательств государств-членов ЕС в соответствии с законодательством Союза.

(59) Компетентные органы должны уделять внимание сохранению неформальных и надежных каналов обмена информацией. При предании гласности инцидентов, о которых было сообщено компетентным органам, должен соблюдаться баланс интересов общественности, которая имеет право получать информацию о возможных угрозах для репутации и коммерческих угрозах для операторов основных услуг и провайдеров цифровых услуг, сообщающих об инцидентах. При осуществлении своих обязательств по уведомлению компетентные органы и CSIRTs должны уделять особое внимание необходимости сохранять строгую конфиденциальность информации об уязвимости продукта до публикации соответствующих корректировок безопасности.

(60) Надзорная деятельность провайдеров цифровых услуг должна носить упрощенный характер, и характер последующего реагирования согласно природе оказываемых услуг и операций. В этой связи заинтересованные компетентные органы должны принимать меры только после получения от самого провайдера цифровых услуг, от другого компетентного органа, в том числе компетентного органа другого государства-члена ЕС, или от потребителя услуг доказательств того, что провайдер цифровых услуг не выполняет требований настоящей Директивы, в частности, вследствие наступления инцидента. Следовательно, на компетентные органы не должны возлагаться общие обязательства по надзору за провайдерами цифровых услуг.

(61) Компетентные органы должны обладать всеми необходимыми средствами для выполнения своих обязательств, в том числе полномочиями по получению достаточной для проведения оценки уровня безопасности сетевых и информационных систем информации.

(62) Инциденты могут быть результатом преступной деятельности, предупреждение, расследование и судебное преследование которой осуществляется при координации деятельности и взаимодействии операторов основных услуг, провайдеров цифровых услуг, компетентных органов и правоохранительных органов. Если существует подозрение, что инцидент связан с тяжкой преступной деятельностью в соответствии с правом Союза или национальным правом, государства-члены ЕС должны поощрять операторов основных услуг или провайдеров цифровых услуг за сообщение об инцидентах, которые могут быть связаны с тяжкими преступлениями, в соответствующие правоохранительные органы. При необходимости желательно, чтобы Европейский центр по борьбе с киберпреступностью*(14) (ЕС3) и ENISA способствовали взаимодействию компетентных органов и правоохранительных органов.

(63) Во многих случаях в результате инцидентов подвергаются риску персональные данные. В связи с этим компетентные органы и органы по надзору за соблюдением законодательства о защите персональных данных должны сотрудничать и обмениваться информацией по всем соответствующим вопросам для противодействия нарушениям персональных данных, вызванных инцидентами.

(64) Провайдеры цифровых услуг должны относиться к юрисдикции государств-членов ЕС, которые являются основным местом размещения в Союзе, что фактически соответствует месту размещения головного офиса провайдера в Союзе. Размещение подразумевает под собой эффективное фактическое осуществление деятельности в соответствии с устоявшимися формами организации. Правовая форма указанной организации, будь то филиал или дочернее предприятие, обладающие правоспособностью, в данном случае не является определяющим фактором. Указанный критерий не должен зависеть от фактического расположения сетевых или информационных систем в указанном месте; само по себе наличие и использование указанных систем не представляет собой указанное основное место размещения, а следовательно, не является критерием для определения основного места размещения.

(65) Если провайдер цифровых услуг, не учрежденный на территории Союза, оказывает услуги на территории Союза, он должен назначить представителя. Для того чтобы определить, оказывает ли провайдер цифровых услуг услуги на территории Союза, необходимо бесспорно установить, что провайдер цифровых услуг намерен предлагать свои услуги лицам в одном или нескольких государствах-членах ЕС. Только доступность в Союзе веб-сайта провайдера цифровых услуг или его посредника, его адреса электронной почты или иной контактной информации, а также использование языка, обычно используемого в третьей стране, в которой учрежден провайдер цифровых услуг, не является достаточным подтверждением указанных намерений. Однако такие факты, как использование языка или валюты, обычно используемых в одном или нескольких государствах-членах ЕС, с предоставлением возможности заказа услуг на указанном языке или упоминание находящихся в Союзе потребителей или пользователей, могут явно свидетельствовать о намерении провайдера цифровых услуг оказывать услуги на территории Союза. Представитель должен действовать от имени провайдера цифровых услуг, а компетентным органам или CSIRTs должна быть предоставлена возможность связаться с представителем. В письменном предписании провайдера цифровых услуг должно быть четко указано на полномочия представителя действовать от имени провайдера по обязательствам последнего, установленным в настоящей Директиве, в том числе сообщать об инцидентах.

(66) Стандартизация требований в области безопасности представляет собой процесс, подчиняющийся законам рынка. В целях обеспечения единообразного применения стандартов безопасности государства-члены ЕС должны поощрять соответствие установленным стандартам или их соблюдение в целях обеспечения высокого уровня безопасности сетевых и информационных систем на уровне Союза. ENISA должно оказывать в этом содействие государствам-членам ЕС путем предоставления консультаций и рекомендаций. Для достижения указанной цели будет целесообразно разработать проект гармонизированных стандартов в соответствии с Регламентом (ЕС) 1025/2012 Европейского Парламента и Совета ЕС*(15).

(67) Организации, не подпадающие под сферу действия настоящей Директивы, могут столкнуться с инцидентами, оказывающими серьезное влияние на оказываемые ими услуги. Если организации решат, что сообщение о возникновении указанных инцидентов соответствует общественным интересам, они должны иметь возможность добровольно сообщить о них. Указанные сообщения должны рассматриваться компетентными органами или CSIRT, за исключением случаев, когда такое рассмотрение может возложить на заинтересованные государства-члены ЕС чрезмерное и неоправданное бремя.

(68) С целью обеспечения единых условий имплементации настоящей Директивы имплементационные полномочия по принятию процессуальных норм, необходимых для функционирования группы по сотрудничеству, и по принятию требований в области обеспечения безопасности и нотификации, применимых к провайдерам цифровых услуг, должны быть возложены на Европейскую Комиссию. Указанные полномочия должны осуществляться в соответствии с Регламентом (ЕС) 182/2011 Европейского Парламента и Совета ЕС*(16). При принятии имплементационных актов в отношении процедурных норм, необходимых для функционирования группы по сотрудничеству, Европейская Комиссия должна учитывать заключение ENISA.

(69) При принятии имплементационных актов в отношении требований в области обеспечения безопасности, применимых к провайдерам цифровых услуг, Европейская Комиссия должна учитывать заключение ENISA, а также должна консультироваться с заинтересованными сторонами. Кроме того, Европейской Комиссии рекомендуется принимать во внимание следующие примеры: в отношении безопасности систем и предприятий: физическую и экологическую безопасность, безопасность поставок, контроль доступа к сетевым и информационным системам и целостность сетевых и информационных систем; в отношении управления инцидентами: процедуры управления инцидентами, способность выявления инцидентов, отчеты и сообщения об инцидентах; в отношении управления устойчивостью бизнеса: стратегию непрерывности услуг и чрезвычайный план, средства аварийного восстановления; и в отношении мониторинга, аудита и тестирования: политику в области мониторинга и регистрации данных, осуществление чрезвычайных планов, тестирование сетевых и информационных систем, оценку безопасности и мониторинг соответствия.

(70) При имплементации настоящей Директивы Европейская Комиссия должна при необходимости устанавливать связь с соответствующими отраслевыми комитетами и соответствующими органами, учрежденными на уровне Союза, в областях, подпадающих под действие настоящей Директивы.

(71) Европейская Комиссия должна периодически пересматривать положения настоящей Директивы, прибегая к консультациям с заинтересованными сторонами, в частности, с точки зрения необходимости внесения изменений в свете изменений в обществе, политике, а также технологических или рыночных условиях.

(72) Процесс обмена информацией по вопросам рисков и инцидентов в рамках Группы по сотрудничеству и сети CSIRTs, а также процесс выполнения требований по уведомлению национальных компетентных органов или CSIRTs об инцидентах может потребовать обработки персональных данных. Указанная обработка должна соответствовать требованиям Директивы 95/46/ЕС Европейского Парламента и Совета ЕС*(17) и Регламента (ЕС) 45/2001 Европейского Парламента и Совета ЕС*(18). При применении настоящей Директивы при необходимости должен применяться Регламент (ЕС) 1049/2001 Европейского Парламента и Совета ЕС*(19).

(73) В соответствии со Статьей 28(2) Регламента (ЕС) 45/2001 с Европейским инспектором по защите данных были проведены консультации, и он представил свое заключение от 14 июня 2013 г.*(20)

(74) Поскольку цель настоящей Директивы, а именно достижение единого высокого уровня безопасности сетевых и информационных систем в Союзе, не может быть полностью достигнута государствами-членами ЕС, но в силу последствий деятельности может быть эффективнее достигнута на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, установленным в Статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, установленным данной Статьей, настоящая Директива не выходит за пределы того, что необходимо для достижения указанной цели.

(75) Настоящая Директива учитывает основные права и соблюдает принципы, признанные Хартией Европейского Союза об основных правах, в частности, право на уважение частной жизни и конфиденциальность сообщений, защиту личных данных, свободу ведения бизнеса, право собственности, право на эффективное средство досудебной правовой защиты и право быть выслушанными. Имплементация настоящей Директивы должна осуществляться в соответствии с указанными правами и принципами,

ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:

Совершено в Страсбурге 6 июля 2016 г.

От имени Европейского Парламента

Председатель

M. SCHULZ

От имени Совета ЕС

Председатель

I. KORCOK

-----------------------------

*(1) Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union. Опубликована в Официальном Журнале (далее - ОЖ) N L 194, 19.07.2016, стр. 1.

*(2) ОЖ N С 271, 19.09.2013, стр. 133.

*(3) Позиция Европейского Парламента от 13 марта 2014 г. (еще не опубликована в ОЖ) и позиция Совета ЕС в первом чтении от 17 мая 2016 г. (еще не опубликована в ОЖ). Позиция Европейского Парламента от 16 июля 2016 г. (еще не опубликована в ОЖ).

*(4) Англ. - European Union Agency for Network and Informational Security - прим. перевод.

*(5) Директива 2002/21/ЕС Европейского Парламента и Совета ЕС от 7 марта 2002 г. об общих рамках регулирования электронных коммуникационных сетей и услуг (Рамочная Директива) (ОЖ N L 108, 24.04.2002, стр. 33).

*(6) Регламент (ЕС) 910/2014 Европейского Парламента и Совета ЕС от 23 июля 2014 г. об электронной идентификации и удостоверительных сервисах для электронных трансакций на внутреннем рынке и об отмене Директивы 1999/93/EC (ОЖ N L 257, 28.08.2014, стр. 73).

*(7) Решение 2013/488/ЕС Совета ЕС от 23 сентября 2013 г. о правилах безопасности для защиты секретных данных в ЕС (ОЖ N L 274, 15.10.2013, стр. 1).

*(8) Протокол Traffic Light (Traffic Light Protocol) - набор обозначений для маркировки конфиденциальной информации с целью указания аудитории ее дальнейшего распространения - прим. перевод.

*(9) ОЖ N С 352, 07.10.2014, стр. 4.

*(10) Англ. - internet exchange point - прим. перевод.

*(11) Англ. - computer security incident response team, CSIRTs. При употреблении в единственном числе - CSIRT - прим. перевод.

*(12) Англ. - computer emergency response team, CERTs. При употреблении в единственном числе - CERT - прим. перевод.

*(13) Регламент (ЕС) 526/2013 Европейского Парламента и Совета ЕС от 21 мая 2013 г. о Европейском агентстве по сетевой и информационной безопасности ("ENISA") и об отмене Регламента (ЕС) 460/2004 (ОЖ N L 165, 18.06.2013, стр. 41).

*(14) Англ. - European Cybercrime Center - прим. перевод.

*(15) Регламент (ЕС) 1025/2012 Европейского Парламента и Совета ЕС от 25 октября 2012 г. о европейской стандартизации, изменении Директив 89/686/ЕЭС и 93/15/ЕЭС Совета ЕС и Директив 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC и 2009/105/EC Европейского Парламента и Совета ЕС (ОЖ N L 316, 14.11.2012, стр. 12).

*(16) Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы относительно механизмов контроля государствами-членами ЕС выполнения Европейской Комиссией имплементационных полномочий (ОЖ N L 55, 28.02.2011, стр. 13).

*(17) Директива 95/46/ЕС Европейского Парламента и Совета ЕС от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных (ОЖ N L 281, 23.11.1995, стр. 31).

*(18) Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц в отношении обработки персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных (ОЖ N L 8, 12.01.2001, стр. 1).

*(19) Регламент (ЕС)1049/2001 Европейского Парламента и Совета ЕС от 30 мая 2001 г. о доступе к документам Европейского Парламента, Совета ЕС и Европейской Комиссии (ОЖ N L 145, 31.05.2001, стр. 43).

*(20) ОЖ N С 32, 04.02.2014, стр. 19.

*(21) Директива 2008/144/ЕС Совета ЕС от 8 декабря 2008 г. об определении и обозначении европейских объектов жизнеобеспечения и оценке необходимости в укреплении их защиты (ОЖ N L 345, 23.12.2008, стр. 75).

*(22) Директива 2011/93/ЕС Европейского Парламента и Совета ЕС от 13 декабря 2011 г. о борьбе с сексуальным насилием, сексуальной эксплуатацией детей и детской порнографией и о замене Рамочного Решения 2004/68/ПВД Совета ЕС (ОЖ N L 335, 17.12.2011, стр. 1).

*(23) Директива 2013/40/ЕС Европейского Парламента и Совета ЕС от 12 августа 2013 г. об атаках на информационные системы и о замене Рамочного Решения 2005/222/ПВД Совета ЕС (ОЖ N L 218, 14.08.2013, стр. 8).

*(24) Директива (ЕС) 2015/1535 Европейского Парламента и Совета ЕС от 9 сентября 2015 г. о процедуре предоставления информации в области технических регламентов, а также правил оказания услуг в информационном обществе (ОЖ N L 241, 17.09.2015, стр. 1).

*(25) Англ. - top-level domain - прим. перевод.

*(26) Директива 2013/11/ЕС Европейского Парламента и Совета ЕС от 21 мая 2013 г. об альтернативном рассмотрении споров потребителей и об изменении Регламента (EC) 2006/2004 и Директивы 2009/22/EC (Директива об ADR потребителей) (ОЖ N L 165, 18.06.2013, стр. 63).

*(27) Рекомендация 2003/361/ЕС Европейской Комиссии от 6 мая 2003 г. относительно определения микропредприятий, малых и средних предприятий (ОЖ N L 124, 20.05.2003, стр. 60).

*(28) Директива 2009/72/ЕС Европейского Парламента и Совета ЕС от 13 июля 2009 г. об общих правилах внутреннего рынка электрической энергии и об отмене Директивы 2003/54/ЕС (ОЖ N L 211, 14.08.2009, стр. 55).

*(29) Директива 2009/73/ЕС Европейского Парламента и Совета ЕС от 13 июля 2009 г. об общих правилах внутреннего рынка для природного газа и об отмене Директивы 2003/55/ЕС (ОЖ N L 211, 14.08.2009, стр. 94).

*(30) Регламент (ЕС) 300/2008 Европейского Парламента и Совета ЕС от 11 марта 2008 г. об общих правилах в области безопасности гражданской авиации и об отмене Регламента (ЕС) 2320/2002 (ОЖ N L 97, 09.04.2008, стр. 72).

*(31) Директива 2009/12/ЕС Европейского Парламента и Совета ЕС от 11 марта 2009 г. о сборах на услуги аэропортов (ОЖ N L 70, 14.03.2009, стр. 11).

*(32) Регламент (ЕС) 1315/2013 Европейского Парламента и Совета ЕС от 11 декабря 2013 г. о руководящих принципах Союза для развития трансъевропейской транспортной сети, а также об отмене Решения 661/2010/ЕС (ОЖ N L 348, 20.12.2013, стр. 1).

*(33) АТС - англ. Air traffic control - прим. перевод.

*(34) Регламент (ЕС) 549/2004 Европейского Парламента и Совета ЕС от 10 марта 2004 г., устанавливающий правовую базу для создания Единого европейского неба (рамочный Регламент) (ОЖ N L 96, 31.03.2004, стр. 1)

*(35) Директива 2012/34/ЕС Европейского Парламента и Совета ЕС от 21 ноября 2012 г., устанавливающая единое европейского железнодорожное пространство (ОЖ N L 343, 14.12.2012, стр. 32).

*(36) Регламент (ЕС) 725/2003 Европейского Парламента и Совета ЕС от 31 марта 2004 г. о повышении безопасности судов и портовых сооружений (ОЖ N L 129, 29.04.2004, стр. 6).

*(37) Директива 2005/65/ЕС Европейского Парламента и Совета ЕС от 26 октября 2005 г. о повышении безопасности портов (ОЖ N L 310, 25.11.2005, стр. 28).

*(38) Директива 2002/59/ЕС Европейского Парламента и Совета ЕС от 27 июня 2002 г. о создании системы мониторинга движения судов и информационного обеспечения в Сообществе и об отмене Директивы 93/75/ЕС Совета ЕС (ОЖ N L 208, 05.08.2002, стр. 10).

*(39) Делегированный Регламент (ЕС) 2015/962 Европейской Комиссии от 18 декабря 2014 г., дополняющий Директиву 2010/40/ЕС Европейского Парламента и Совета ЕС о службах ЕС, предоставляющих информацию о дорожном движении в режиме реального времени (ОЖ N L 157, 23.6.2015, стр. 21).

*(40) Директива 2010/40/ЕС Европейского Парламента и Совета ЕС от 7 июля 2010 г. об общих рамках для размещении ITS (Intelligent Transport Systems) в сфере дорожного транспорта и взаимодействия с другими видами транспорта (ОЖ N L 207, 6.8.2010, стр. 1).

*(41) Регламент (ЕС) 575/2013 Европейского Парламента и Совета ЕС от 26 июня 2013 г. о пруденциальных требованиях к кредитным организациям и инвестиционным фирмам и внесении изменений в Регламент (ЕС) 648/2012 (ОЖ N L 176, 27.06.2013, стр. 1).

*(42) Директива 2014/65/ЕС Европейского Парламента и Совета ЕС от 15 мая 2014 г. о рынках финансовых инструментов и внесении изменений в Директиву 2002/92/EC и Директиву 2011/61/ЕС (ОЖ N L 173, 12.06.2014, стр. 349).

*(43) CCPs - англ. Central counterparties - прим. перевод.

*(44) Регламент (ЕС) 648/2012 Европейского Парламента и Совета ЕС от 4 июля 2012 г. о внебиржевых деривативах, центральных контрагентах и торговых репозиториях (ОЖ N L 201, 27.07.2012, стр. 1).

*(45) Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (ОЖ N L 88, 04.04.2011, стр. 45).

*(46) Директива 98/83/ЕС Совета ЕС от 3 ноября 1998 г. о качестве воды, предназначенной для потребления людьми (ОЖ N L 330, 05.12.1998, стр. 32).