(EU) 2022/2557Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (Text s významem pro EHP)
| Publikováno: | Úř. věst. L 333, 27.12.2022, s. 164-198 | Druh předpisu: | Směrnice |
| Přijato: | 14. prosince 2022 | Autor předpisu: | Evropský parlament; Rada Evropské unie |
| Platnost od: | 16. ledna 2023 | Nabývá účinnosti: | 16. ledna 2023 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
|
27.12.2022 |
CS |
Úřední věstník Evropské unie |
L 333/164 |
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2557
ze dne 14. prosince 2022
o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES
(Text s významem pro EHP)
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 114 této smlouvy,
s ohledem na návrh Evropské komise,
po postoupení návrhu legislativního aktu vnitrostátním parlamentům,
s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),
s ohledem na stanovisko Výboru regionů (2),
v souladu s řádným legislativním postupem (3),
vzhledem k těmto důvodům:
|
(1) |
V ekonomice Unie charakterizované stále větší vzájemnou závislostí mají kritické subjekty jakožto poskytovatelé základních služeb nepostradatelnou úlohu při zachování životně důležitých společenských funkcí nebo hospodářských činností na vnitřním trhu. Má proto zásadní význam vytvořit unijní rámec, jehož cílem je posílit odolnost kritických subjektů na vnitřním trhu stanovením harmonizovaných minimálních pravidel, jakož i pomoci těmto subjektům prostřednictvím ucelených a specializovaných opatření podpory a dohledu. |
|
(2) |
Směrnice Rady 2008/114/ES (4) stanoví postup pro označování evropské kritické infrastruktury v odvětví energetiky a dopravy, jejíž narušení nebo zničení by mělo závažný přeshraniční dopad na nejméně dva členské státy. Uvedená směrnice se zaměřuje výlučně na ochranu takové infrastruktury. Z hodnocení směrnice 2008/114/ES provedeného v roce 2019 však vyplynulo, že vzhledem ke stále více propojené a přeshraniční povaze činností využívajících kritickou infrastrukturu nejsou ochranná opatření týkající se jednotlivých aktiv sama o sobě dostatečná k tomu, aby zabránila vzniku veškerých narušení. Proto je nutné změnit přístup směrem k zajištění toho, aby byla lépe zohledněna rizika, aby byla lépe definována úloha a povinnosti kritických subjektů jakožto poskytovatelů základních služeb nezbytných pro fungování vnitřního trhu a aby byla za účelem posílení odolnosti kritických subjektů přijata jednotná unijní pravidla. Kritické subjekty by tak měly dostat možnost posílit své schopnosti předcházet incidentům, které mohou narušit poskytování základních služeb, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat a absorbovat je, přizpůsobovat se jim a zotavit se z nich. |
|
(3) |
Ačkoli je cílem řady opatření na úrovni Unie, jako je Evropský program na ochranu kritické infrastruktury, a na vnitrostátní úrovni podpora ochrany kritické infrastruktury v Unii, je třeba učinit více, aby mohly být subjekty provozující takovou infrastrukturu lépe vybaveny k řešení rizik pro jejich provoz, které by mohly vést k narušení poskytování základních služeb. Je třeba rovněž učinit více s cílem zlepšit vybavení těchto subjektů z důvodu dynamického vývoje v oblasti hrozeb, který zahrnuje vyvíjející se hybridní a teroristické hrozby, a narůstající vzájemnou závislost mezi infrastrukturou a odvětvími. Kromě toho existuje zvýšené fyzické riziko, pokud jde o přírodní katastrofy a změny klimatu, což zintenzivňuje frekvenci a rozsah extrémních povětrnostních jevů a přináší dlouhodobé změny průměrných klimatických podmínek, které mohou snížit kapacitu, účinnost a životnost určitých typů infrastruktury, pokud nebudou zavedena opatření pro přizpůsobení se změně klimatu. Pokud jde o určení kritických subjektů, panuje dále na vnitřním trhu roztříštěnost, jelikož relevantní odvětví a kategorie subjektů nejsou shodně uznávány jako kritické ve všech členských státech. Tato směrnice by tudíž měla dosáhnout stabilní úrovně harmonizace, pokud jde o odvětví a kategorie subjektů, jež spadají do její oblasti působnosti. |
|
(4) |
Ačkoli některá odvětví hospodářství, jako jsou odvětví energetiky a dopravy, již jsou regulována odvětvovými právními akty Unie, tyto právní akty obsahují ustanovení týkající se pouze určitých aspektů odolnosti subjektů působících v těchto odvětvích. Aby bylo možné komplexně řešit odolnost subjektů, které jsou kritické pro řádné fungování vnitřního trhu, tvoří tato směrnice zastřešující rámec, který řeší odolnost kritických subjektů vůči všem nebezpečím, bez ohledu na to, zda se jedná o nebezpečí přírodní, způsobená člověkem, neúmyslná či úmyslná. |
|
(5) |
Narůstající vzájemná závislost mezi infrastrukturou a odvětvími je výsledkem stále častější přeshraniční a vzájemně závislé sítě poskytování služeb využívající klíčovou infrastrukturu v celé Unii v odvětvích energetiky, dopravy, bankovnictví, pitné vody, odpadních vod, produkce, zpracování a distribuce potravin, zdravotnictví, v kosmickém odvětví, v odvětvích infrastruktury finančních trhů a digitální infrastruktury a v některých prvcích veřejné správy. Kosmické odvětví spadá do oblasti působnosti této směrnice, pokud jde o poskytování určitých služeb závislých na pozemních infrastrukturách, které jsou vlastněny, spravovány a provozovány buď členskými státy, nebo soukromými subjekty, a tudíž infrastruktura vlastněná spravovaná nebo provozovaná Unií nebo jejím jménem v rámci jejího kosmického programu do oblasti působnosti této směrnice nespadá. Pokud jde o odvětví energetiky, a zejména způsoby výroby a přenosu elektřiny (ve vztahu k jejím dodávkám), rozumí se, že tam, kde je to považováno za vhodné, může výroba elektřiny zahrnovat přenosové součásti jaderných elektráren, avšak s vyloučením specificky jaderných prvků, na něž se vztahují mezinárodní úmluvy a právo Unie, včetně příslušných právních předpisů Unie v oblasti jaderné energie. Proces určování kritických subjektů v odvětví výroby, zpracování a distribuce potravin by měl odpovídajícím způsobem odrážet povahu vnitřního trhu v tomto odvětví a obsáhlá pravidla Unie týkající se obecných zásad a požadavků potravinového práva a bezpečnosti potravin. V zájmu zajištění přiměřeného přístupu a náležitého zohlednění úlohy a významu těchto subjektů na vnitrostátní úrovni by proto kritické subjekty měly být určovány pouze mezi potravinářskými podniky, bez ohledu na, zda jsou provozovány za účelem dosažení zisku či nikoli a zda jsou veřejnými či soukromými podniky, a jež se zabývají výhradně logistikou a velkoobchodní distribucí a rozsáhlou průmyslovou výrobou a zpracováním s významným podílem na trhu zjištěným na vnitrostátní úrovni. Tyto vzájemné závislosti znamenají, že jakékoli narušení základních služeb, dokonce i když se původně omezilo na jeden subjekt nebo jedno odvětví, může mít v širším měřítku kaskádové účinky, což může mít za následek dalekosáhlý a dlouhodobý nepříznivý dopad na poskytování služeb na vnitřním trhu. Závažné krize, jako byla pandemie COVID-19, ukázaly zranitelnost našich stále více vzájemně závislých společností vůči rizikům s velkým dopadem a nízkou pravděpodobností. |
|
(6) |
Na subjekty zapojené do poskytování základních služeb se stále více vztahují odlišné požadavky stanovené vnitrostátním právem. Skutečnost, že některé členské státy mají na tyto subjekty méně přísné bezpečnostní požadavky, nejenže vede k různým úrovním odolnosti, ale může mít nepříznivý dopad na zachování nejdůležitějších společenských funkcí nebo hospodářských činností v celé Unii, a vede také k překážkám řádného fungování vnitřního trhu. Investoři a společnosti mohou vložit svou důvěru ve spolehlivé a odolné kritické subjekty a spolehlivost a důvěra jsou základními kameny dobře fungujícího vnitřního trhu. Podobné typy subjektů jsou v některých členských státech považovány za kritické, v jiných nikoli, a na ty, které jsou určeny jakožto kritické, se v různých členských státech vztahují odlišné požadavky. To má za následek další a zbytečnou administrativní zátěž pro společnosti působící přeshraničně, zejména pro společnosti působící v členských státech s přísnějšími požadavky. Unijní rámec by proto měl rovněž vést k vytvoření rovných podmínek pro kritické subjekty v celé Unii. |
|
(7) |
Je nezbytné stanovit harmonizovaná minimální pravidla, která zajistí poskytování základních služeb na vnitřním trhu, posílí odolnost kritických subjektů a zlepší přeshraniční spolupráci příslušných orgánů. Je důležité, aby tato pravidla obstála i v budoucnu, pokud jde o jejich koncepci a provádění, a aby zároveň umožňovala nezbytnou flexibilitu. Je rovněž zásadní zlepšit schopnost kritických subjektů poskytovat základní služby v kontextu působení rozmanitého souboru rizik. |
|
(8) |
K dosažení vysoké míry odolnosti by členské státy měly určit kritické subjekty, které budou podléhat zvláštním požadavkům a dohledu a jimž bude poskytována zvláštní podpora a vedení ve vztahu ke všem příslušným rizikům. |
|
(9) |
Vzhledem k důležitosti kybernetické bezpečnosti pro odolnost kritických subjektů a v zájmu konzistentnosti by měl být zajištěn, je-li to možné, ucelený přístup mezi touto směrnicí a směrnicí Evropského parlamentu a Rady (EU) 2022/2555 (5), Vzhledem k vyšší frekvenci a zvláštním rysům kybernetických rizik stanoví směrnice (EU) 2022/2555 komplexní požadavky na velkou skupinu subjektů za účelem zajištění jejich kybernetické bezpečnosti. Vzhledem k tomu, že kybernetická bezpečnost je dostatečně řešena ve směrnici (EU) 2022/2555, měly by být záležitosti, na které se vztahuje, vyloučeny z oblasti působnosti této směrnice, aniž by byl dotčen zvláštní režim pro subjekty v odvětví digitální infrastruktury. |
|
(10) |
Pokud ustanovení odvětvových právních aktů Unie vyžadují, aby kritické subjekty přijaly opatření k posílení své odolnosti, a pokud jsou tyto požadavky uznány členskými státy za přinejmenším rovnocenné odpovídajícím povinnostem stanoveným v této směrnici, neměla by se příslušná ustanovení této směrnice uplatnit, aby se zabránilo zdvojování a zbytečné zátěži. V takovém případě by se měla použít příslušná ustanovení těchto právních aktů Unie. Pokud se nepoužijí příslušná ustanovení této směrnice, neměla by se použít ani ustanovení o dohledu a vymáhání stanovená v této směrnici. |
|
(11) |
Tato směrnice se nedotýká pravomoci členských států a jejich orgánů, pokud jde o správní autonomii, ani jejich odpovědnosti za zajištění národní bezpečnosti a obrany nebo jejich pravomoci chránit jiné základní funkce státu, zejména pokud jde o veřejnou bezpečnost, územní celistvost a udržování veřejného pořádku. Vynětí subjektů veřejné správy z oblasti působnosti této směrnice by se mělo vztahovat na subjekty, jež vykonávají svou činnost převážně v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů. Nicméně do oblasti působnosti této směrnice by měly spadat subjekty veřejné správy, jejichž činnosti souvisejí s těmito oblastmi pouze okrajově. Pro účely této směrnice se subjekty s regulačními pravomocemi nepovažují za subjekty vykonávající činnost v oblasti prosazování práva, a tudíž nejsou z uvedeného důvodu z oblasti působnosti této směrnice vyloučeny. Z oblasti působnosti této směrnice jsou vyňaty subjekty veřejné správy, které jsou zřízeny společně se třetí zemí v souladu s mezinárodní dohodou. Tato směrnice se nevztahuje na diplomatické a konzulární mise členských států ve třetích zemích. Některé kritické subjekty vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů, či poskytují služby výhradně subjektům veřejné správy, které vykonávají činnosti převážně v uvedených oblastech. S ohledem na odpovědnost členských států za zajištění národní bezpečnosti a obrany by členské státy měly mít možnost rozhodnout, že povinnosti kritických subjektů stanovené v této směrnici by se na tyto kritické subjekty neměly zcela nebo zčásti vztahovat, pokud služby, které poskytují, nebo činnosti, které vykonávají, souvisejí převážně s oblastmi národní bezpečnosti, veřejné bezpečnosti obrany, nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů. Kritické subjekty, jejichž služby nebo činnosti souvisejí s těmito oblastmi pouze okrajově, by měly spadat do oblasti působnosti této směrnice. Žádný členský stát by neměl být povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho národní bezpečnosti. Uplatní se unijní nebo vnitrostátní pravidla o ochraně utajovaných informací nebo dohody o zachování důvěrnosti. |
|
(12) |
Aby nebyla ohrožena národní bezpečnost nebo bezpečnost a obchodní zájmy kritických subjektů, měly by být přístup k citlivým informacím, jejich výměna a nakládání s nimi prováděny obezřetně a se zvláštní pozorností věnovanou přenosovým kanálům a skladovacím kapacitám, které využívají. |
|
(13) |
S cílem zajistit komplexní přístup k odolnosti kritických subjektů by každý členský stát měl mít zavedenou strategii pro posílení odolnosti kritických subjektů (dále jen „strategie“). Strategie by měly stanovit strategické cíle a opatření politik, která mají být provedena. V zájmu soudržnosti a účinnosti by strategie měla být navržena tak, aby hladce integrovala stávající politiky, pokud možno na základě příslušných stávajících vnitrostátních a odvětvových strategií, plánů nebo podobných dokumentů. Za účelem dosažení komplexního přístupu by členské státy měly zajistit, aby jejich strategie poskytovaly rámec politik pro lepší koordinaci mezi příslušnými orgány podle této směrnice a příslušnými orgány podle směrnice (EU) 2022/2555 v souvislosti se sdílením informací o kybernetických bezpečnostních rizicích, kybernetických hrozbách a kybernetických incidentech a o jiných než kybernetických rizicích, hrozbách a incidentech a při výkonu úkolů dohledu. Při zavádění svých strategií by členské státy měly náležitě zohlednit hybridní povahu hrozeb pro kritické subjekty. |
|
(14) |
Členské státy by měly Komisi sdělit své strategie a jejich významné aktualizace, zejména s cílem umožnit Komisi posoudit správné uplatňování této směrnice, pokud jde o přístupy politik k odolnosti kritických subjektů na vnitrostátní úrovni. Strategie by mohly být v případě potřeby sdělovány jako utajované informace. Komise by měla vypracovat souhrnnou zprávu o strategiích oznámených členskými státy, která by sloužila jako základ pro výměny informací za účelem určení osvědčených postupů a otázek společného zájmu v rámci skupiny pro posílení odolnosti kritických subjektů. Vzhledem k citlivé povaze souhrnných informací obsažených v souhrnné zprávě, ať už utajovaných, či nikoli, by Komise měla spravovat tuto souhrnnou zprávu s náležitou úrovní informovanosti, pokud jde o bezpečnost kritických subjektů, členských států a Unie. Souhrnná zpráva a strategie by měly být chráněny před protiprávním nebo zlovolným jednáním a v zájmu splnění cílů této směrnice by měly být přístupné pouze oprávněným osobám. Sdělení strategií a jejich významných aktualizací by rovněž mělo přispět u Komise k porozumění, pokud jde o vývoj v rámci přístupů k odolnosti kritických subjektů, a k monitorování dopadu a přidané hodnoty této směrnice, kterou má Komise pravidelně přezkoumávat. |
|
(15) |
Opatření členských států zaměřená na určení a pomoc při zajišťování odolnosti kritických subjektů by se měla řídit přístupem založeným na analýze rizik, který je zaměřen na subjekty, jež mají nevyšší míru relevantnosti pro výkon nejdůležitějších společenských funkcí nebo hospodářských činností. V zájmu zajištění takového cíleného přístupu by měl každý členský stát v harmonizovaném rámci provést posouzení příslušných přírodních rizik a rizik způsobených člověkem, včetně meziodvětvových nebo přeshraničních rizik, která by mohla poskytování základních služeb ovlivnit, včetně havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví, jako jsou pandemie, a hybridních hrozeb či jiných antagonistických hrozeb, včetně teroristických trestných činů, pronikání trestné činnosti a sabotáže (dále jen „posouzení rizik členského státu“). Při provádění posouzení rizik členského státu by členské státy měly vzít v úvahu další obecné nebo odvětvové posouzení rizik provedené podle jiných právních aktů Unie a měly by zohlednit, do jaké míry na sobě odvětví závisí, mimo jiné i ve vztahu k odvětvím, jež se nacházejí v jiných členských státech či třetích zemích. Výsledek posouzení rizik členského státu by měl být použit k určování kritických subjektů a pomáhat těmto subjektům při plnění jejich požadavků týkajících se odolnosti. Tato směrnice se vztahuje pouze na členské státy a kritické subjekty, které působí v Unii. Odborné znalosti a poznatky, jež získaly příslušné orgány, zejména díky posouzení rizik, a Komise, zejména prostřednictvím různých forem podpory a spolupráce, by však mohly být ve vhodných případech a v souladu s platnými právními nástroji využity ve prospěch třetích zemí, zejména zemí v přímém sousedství Unie, a to jejich využitím v rámci stávající spolupráce v oblasti odolnosti. |
|
(16) |
Aby bylo zajištěno, že požadavky této směrnice týkající se odolnosti se vztahují na všechny příslušné subjekty, a aby se v tomto ohledu omezily rozdíly, je důležité stanovit harmonizovaná pravidla umožňující jednotné určování kritických subjektů v celé Unii, která zároveň umožní členským státům odpovídajícím způsobem zohlednit úlohu a význam těchto subjektů na vnitrostátní úrovni. Při uplatňování kritérií stanovených v této směrnici by každý členský stát měl určit subjekty, které poskytují jednu nebo více základních služeb a které provozují a mají k dispozici kritickou infrastrukturu nacházející se na jeho území. Subjekt by měl být považován za subjekt působící na území členského státu, v němž vykonává činnosti nezbytné pro danou základní službu nebo služby a v němž se nachází kritická infrastruktura tohoto subjektu, která je používána k poskytování dané služby nebo služeb. Pokud v členském státě neexistuje žádný subjekt splňující tato kritéria, neměl by mít tento členský stát povinnost určit kritický subjekt v odpovídajícím odvětví nebo pododvětví. V zájmu účinnosti, účelnosti, soudržnosti a právní jistoty by měla být rovněž stanovena vhodná pravidla pro oznamování subjektům, že byly určeny jakožto kritické subjekty. |
|
(17) |
Členské státy by měly předložit Komisi způsobem, který splňuje cíle této směrnice, seznam základních služeb, počet kritických subjektů určených pro každé odvětví a pododvětví, jež jsou stanoveny v příloze, a pro základní službu nebo služby, které každý subjekt poskytuje, a jsou-li uplatňovány, prahové hodnoty. Tyto prahové hodnoty by mohly být uvedeny jako takové nebo v souhrnné podobě, což znamená, že dané informace lze zprůměrovat za určitou zeměpisnou oblast, rok, odvětví, pododvětví, nebo v jiném členění a že mohou zahrnovat informace o škále uvedených ukazatelů. |
|
(18) |
Měla by být stanovena kritéria pro určení závažnosti narušení vyvolaného incidentem. Tato kritéria by měla vycházet z kritérií stanovených ve směrnici Evropského parlamentu a Rady (EU) 2016/1148 (6), aby bylo možné využít úsilí vynaloženého členskými státy na určení provozovatelů základních služeb podle uvedené směrnice a zkušeností získaných v tomto ohledu. Závažné krize, jako pandemie COVID-19, ukázaly, jak je důležité zajistit bezpečnost dodavatelského řetězce, a prokázaly, že jeho narušení může mít negativní hospodářské a společenské dopady v řadě odvětví a přes hranice. Členské státy by proto měly při určování míry závislosti jiných odvětví a pododvětví na základní službě poskytované kritickým subjektem v co největším možném rozsahu zvážit dopady na dodavatelský řetězec. |
|
(19) |
V souladu s platnými právními předpisy Unie a členských států, včetně nařízení Evropského parlamentu a Rady 2019/452 (7), kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie, musí být uznána potenciální hrozba, kterou představuje zahraniční vlastnictví kritických infrastruktur v Unii, neboť na řádném fungování kritické infrastruktury závisí služby, hospodářství a volný pohyb a bezpečnost občanů Unie. |
|
(20) |
Směrnice (EU) 2022/2555 vyžaduje, aby subjekty náležející do odvětví digitální infrastruktury, které by mohly být určeny jakožto kritické subjekty podle této směrnice, přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jakož i k oznamování závažných incidentů a kybernetických hrozeb. Vzhledem k tomu, že hrozby pro bezpečnost sítí a informačních systémů mohou mít různý původ, uplatňuje směrnice (EU) 2022/2555 přístup zohledňující všechna rizika, který zahrnuje odolnost sítí a informačních systémů, jakož i fyzických součástí a prostředí těchto systémů. Vzhledem k tomu, že požadavky stanovené ve směrnici (EU) 2022/2555 jsou v tomto ohledu přinejmenším rovnocenné odpovídajícím povinnostem stanoveným touto směrnicí, neměly by se na subjekty náležející do odvětví digitální infrastruktury použít povinnosti stanovené v článku 11 a kapitol III, IV a VI této směrnice, aby se zabránilo zdvojování a zbytečné administrativní zátěži. Vzhledem k významu služeb poskytovaných subjekty náležejícími do odvětví digitální infrastruktury kritickým subjektům náležejícím do všech ostatních odvětví by však členské státy měly na základě kritérií a obdobně s použitím postupu stanoveného v této směrnici určit subjekty náležející do odvětví digitální infrastruktury jakožto kritické subjekty. Měly by se tudíž uplatňovat strategie, posouzení rizik členského státu a podpůrná opatření uvedená v kapitole II této směrnice. Členské státy by měly mít možnost přijmout nebo ponechat v platnosti ustanovení vnitrostátního práva s cílem dosáhnout vyšší úrovně odolnosti těchto kritických subjektů za předpokladu, že jsou tyto předpisy v souladu s platným právem Unie. |
|
(21) |
Právní předpisy Unie pro finanční služby stanoví komplexní požadavky na finanční subjekty, a to za účelem řešení všech rizik, jimž čelí, včetně provozních rizik a zajištění kontinuity činnosti. Tyto právní předpisy zahrnují nařízení Evropského parlamentu a Rady (EU) č. 648/2012 (8), (EU) č. 575/213 (9) a (EU) č. 600/2014 (10) a směrnice Evropského parlamentu a Rady 2013/36/EU (11) a 2014/65/EU (12). Uvedený právní rámec je doplněn nařízením Evropského parlamentu a Rady (EU) 2022/2554.. (13), které stanoví požadavky na finanční subjekty za účelem řízení rizik v oblasti informačních a komunikačních technologií (dále jen „IKT“), včetně ochrany fyzické infrastruktury IKT. Vzhledem k tomu, že odolnost uvedených subjektů je tudíž upravena komplexně, článek 11 a kapitoly III, IV a VI této směrnice by se na tyto subjekty neměly vztahovat, aby se zabránilo zdvojování a zbytečné administrativní zátěži. Vzhledem k významu služeb poskytovaných subjekty ve finančním odvětví kritickým subjektům náležejícím do všech ostatních odvětví by však členské státy měly na základě kritérií a s použitím postupu stanoveného v této směrnici určit subjekty ve finančním odvětví jakožto kritické subjekty. Měly by se tudíž uplatňovat strategie, posouzení rizik členských států a podpůrná opatření podle kapitoly II této směrnice. Členské státy by měly mít možnost přijmout nebo ponechat v platnosti ustanovení vnitrostátního práva s cílem dosáhnout vyšší úrovně odolnosti těchto kritických subjektů za předpokladu, že jsou tyto předpisy v souladu s platným právem Unie. |
|
(22) |
Členské státy by měly určit nebo zřídit orgány příslušné k dohledu nad uplatňováním této směrnice a v případě nutnosti k prosazování jejích pravidel a zajistit, aby tyto orgány měly odpovídající zmocnění a zdroje. S ohledem na rozdíly ve vnitrostátních řídících strukturách, v zájmu ochrany existujících odvětvových ujednání nebo kontrolních a regulačních orgánů Unie a za účelem zamezení zdvojování by členské státy měly mít možnost určit nebo zřídit více než jeden příslušný orgán. Pokud členské státy určí nebo zřídí více než jeden příslušný orgán, měly by jasně vymezit příslušné úkoly dotčených orgánů a zajistit jejich hladkou a účinnou spolupráci. Všechny příslušné orgány by rovněž měly obecněji spolupracovat s dalšími příslušnými orgány, a to na unijní i vnitrostátní úrovni. |
|
(23) |
Aby se usnadnila přeshraniční spolupráce a komunikace a umožnilo se účinné provádění této směrnice, měl by každý členský stát, aniž by byly dotčeny požadavky odvětvových právních aktů Unie, určit v relevantních případech v rámci příslušného orgánu jedno jednotné kontaktní místo odpovědné za koordinaci záležitostí souvisejících s odolností kritických subjektů a přeshraniční spoluprací v tomto ohledu na úrovni Unie (dále jen „jednotné kontaktní místo“). Každé jednotné kontaktní místo by mělo udržovat styky a koordinovat případnou komunikaci s příslušnými orgány svého členského státu, s jednotnými kontaktními místy ostatních členských států a se skupinou pro odolnost kritických subjektů. |
|
(24) |
Příslušné orgány podle této směrnice a příslušné orgány podle směrnice (EU) 2022/2555 by měly spolupracovat a vyměňovat si informace ohledně kybernetických bezpečnostních rizik, kybernetických hrozeb a kybernetických incidentů a jiných než kybernetických rizik, hrozeb a incidentů, jež mají vliv na kritické subjekty, jakož i ohledně relevantních opatřeních přijatých příslušnými orgány podle této směrnice a příslušnými orgány podle směrnice (EU) 2022/2555Je důležité, aby členské státy zajistily, že požadavky stanovené v této směrnici a ve směrnici (EU) 2022/2555 budou prováděny doplňkovým způsobem a že kritické subjekty nebudou vystaveny administrativní zátěži nad rámec toho, co je nezbytné pro dosažení cílů podle této směrnice a podle uvedené směrnice. |
|
(25) |
Členské státy by měly podporovat kritické subjekty, včetně těch, které byly zařazeny do kategorie malých nebo středních podniků, v posilování vlastní odolnosti, v souladu s povinnostmi členských států stanovenými v této směrnici, aniž je dotčena vlastní právní odpovědnost kritických subjektů za zajištění tohoto dodržování, a zároveň předcházet nadměrné administrativní zátěži. Členské státy by mohly vypracovat zejména manuály a metodiky, podporovat organizování cvičení sloužícího k otestování odolnosti kritických subjektů a pracovníkům kritických subjektů poskytovat poradenství a školení. Je-li to nezbytné a odůvodněné cíli veřejného zájmu, mohly by členské státy poskytnout finanční zdroje a měly by usnadnit dobrovolné sdílení informací a výměnu osvědčených postupů mezi kritickými subjekty, aniž je dotčeno uplatňování pravidel hospodářské soutěže stanovených ve Smlouvě o fungování Evropské unie (dále jen „Smlouva o fungování EU“). |
|
(26) |
S cílem posílit odolnost kritických subjektů určených členskými státy a snížit administrativní zátěž těchto kritických subjektů by příslušné orgány měly ve vhodných případech vést vzájemné konzultace za účelem zajištění jednotného uplatňování této směrnice. Tyto konzultace by měly být zahájeny na žádost kteréhokoli zúčastněného příslušného orgánu a měly by se zaměřit na zajištění konvergentního přístupu, pokud jde o vzájemně propojené kritické subjekty, které využívají kritickou infrastrukturu, jež je fyzicky propojena mezi dvěma nebo více členskými státy, které patří do stejných skupin nebo podnikových struktur, nebo které byly určeny v jednom členském státě a poskytují základní služby do jiných členských států nebo v jiných členských státech. |
|
(27) |
Pokud ustanovení vnitrostátního nebo unijního práva vyžadují, aby kritické subjekty posoudily rizika relevantní pro účely této směrnice a přijaly opatření k zajištění své odolnosti, měly by být uvedené požadavky odpovídajícím způsobem zohledněny pro účel dohledu nad dodržováním ustanovení této směrnice ze strany kritických subjektů. |
|
(28) |
Kritické subjekty by měly mít komplexní povědomí o všech příslušných rizicích, jimž jsou vystavovány, a povinnost tato rizika analyzovat. Za tímto účelem by měly provádět posouzení rizik, kdykoli je to nutné s ohledem na jejich konkrétní situaci a vývoj těchto rizik, a každopádně každé čtyři roky s cílem posoudit všechna relevantní rizika, která by mohla narušit poskytování jejich základních služeb (dále jen „posouzení rizik kritického subjektu“). Pokud kritické subjekty provedly jiná posouzení rizik nebo vypracovaly dokumenty podle povinností stanovených v jiných právních předpisech, které jsou relevantní pro jejich posouzení rizik kritického subjektu, měly by mít možnost tato posouzení a dokumenty použít ke splnění požadavků stanovených v této směrnici týkajících se posouzení rizik kritického subjektu. Za stejným účelem by měl mít příslušný orgán možnost prohlásit, že stávající posouzení rizik provedené kritickým subjektem, které se zabývá relevantními riziky a relevantním rozsahem závislostí, zcela nebo zčásti splňuje povinnosti stanovené v této směrnici. |
|
(29) |
Kritické subjekty by měly přijmout technická, bezpečnostní a organizační opatření, která jsou vhodná a přiměřená rizikům, jimž čelí, aby předcházely incidentům, chránily se před nimi, reagovaly na ně, odolávaly jim, zmírňovaly je, absorbovaly je, přizpůsobily se jim a zotavily se z nich. Přestože by kritické subjekty měly přijmout uvedená opatření v souladu s touto směrnicí, podrobnosti a rozsah takových opatření by měly vhodným a přiměřeným způsobem odrážet různá rizika, která každý kritický subjekt zjistil v rámci svého posouzení rizik kritického subjektu, a zvláštnosti tohoto subjektu. Na podporu soudržného unijního přístupu by Komise měla po konzultaci se skupinou pro odolnost kritických subjektů přijmout nezávazné pokyny k dalšímu upřesnění těchto technických, bezpečnostních a organizačních opatření. Členské státy by měly zajistit, aby každý kritický subjekt určil styčnou osobu nebo jiný ekvivalent pro účely kontaktu s příslušnými orgány. |
|
(30) |
V zájmu účinnosti a odpovědnosti by kritické subjekty měly opatření, která přijímají, popsat v plánu odolnosti nebo v dokumentu či dokumentech, které jsou rovnocenné plánu odolnosti, a to dostatečně podrobně a s ohledem na zjištěná rizika, aby bylo možné cílů účinnosti a odpovědnosti dosáhnout a tento plán uplatnit v praxi. Pokud kritický subjekt již přijal technická, bezpečnostní a organizační opatření a vypracoval dokumenty podle jiných právních předpisů, které jsou relevantní pro opatření na posílení odolnosti podle této směrnice, měl by mít možnost tato opatření a dokumenty použít ke splnění požadavků týkajících se opatření k zajištění odolnosti podle této směrnice s cílem zabránit zbytečnému zdvojování činností. S cílem zabránit zbytečnému zdvojování činnosti by měl mít příslušný orgán možnost prohlásit, že stávající opatření, která kritický subjekt přijal za účelem splnění své povinnosti přijmout technická, bezpečnostní a organizační opatření podle této směrnice, zcela nebo zčásti splňují požadavky této směrnice. |
|
(31) |
Nařízení Evropského parlamentu a Rady (ES) č. 725/2004 (14) a (ES) č. 300/2008 (15) a směrnice Evropského parlamentu a Rady 2005/65/ES (16) stanoví požadavky použitelné na subjekty v odvětví letectví a námořní dopravy za účelem předcházení incidentům způsobeným protiprávními činy a odolávání a zmírňování následků těchto incidentů. Opatření požadovaná podle této směrnice jsou sice širší, pokud jde o řešená rizika a typy opatření, která mají být přijata, ale kritické subjekty v těchto odvětvích by měly ve svém plánu odolnosti nebo v rovnocenných dokumentech zohlednit opatření přijatá na základě těchto jiných právních aktů Unie. Kritické subjekty by měly zohlednit směrnici Evropského parlamentu a Rady 2008/96/ES (17), která zavádí posouzení silniční sítě jako celku za účelem zmapování nebezpečí nehod a cílené kontroly bezpečnosti silničního provozu, jež umožní po prohlídkách stávajících silnic nebo úseků silnic provedených na místě identifikovat nebezpečné podmínky, závady a problémy, jež zvyšují riziko nehod a zranění. Zajištění ochrany a odolnosti kritických subjektů je nanejvýš důležité pro železniční dopravu a kritické subjekty jsou při provádění opatření na posílení odolnosti podle této směrnice vybízeny, aby konzultovaly nezávazné pokyny a dokumenty s osvědčenými postupy vypracované v rámci odvětvových pracovních postupů, jako je platforma EU pro bezpečnost cestujících v železniční dopravě zřízená rozhodnutím Komise 2018/C 232/03 (18). |
|
(32) |
Riziko, že zaměstnanci kritických subjektů nebo jejich dodavatelé zneužijí například svá přístupová práva v rámci organizace kritického subjektu k poškození a způsobení škody, vzbuzuje stále větší obavy. Členské státy by proto měly upřesnit podmínky, podle nichž je kritickým subjektům umožněno v řádně odůvodněných případech a s přihlédnutím k posouzení rizik členského státu podávat žádosti o ověření spolehlivosti u osob, které spadají do určitých kategorií jejich pracovníků. Mělo by se zajistit, aby příslušné orgány posuzovaly tyto žádosti v přiměřeném časovém rámci a vyřizovaly je v souladu s vnitrostátním právem a postupy, jakož i v souladu s relevantním a platným právem Unie, včetně předpisů v oblasti ochrany osobních údajů. Za účelem potvrzení totožnosti osoby, která podléhá ověření spolehlivosti, je vhodné, aby členské státy vyžadovaly doklad totožnosti, jako je cestovní pas, vnitrostátní průkaz totožnosti nebo digitální způsob identifikace, v souladu s platným právem. Ověření spolehlivosti by měla rovněž zahrnovat kontrolu rejstříku trestů dotčené osoby. K získání informací z rejstříků trestů vedených jinými členskými státy by členské státy měly použít Evropský informační systém rejstříků trestů v souladu s postupy stanovenými v rámcovém rozhodnutí Rady 2009/315/SVV (19) a v příslušných situacích případně v nařízení Evropského parlamentu a Rady (EU) 2019/816 (20). Členské státy by rovněž mohly, je-li to relevantní a použitelné, využívat Schengenský informační systém druhé generace (SIS II) zřízený nařízením Evropského parlamentu a Rady (EU) 2018/1862 (21), zpravodajské informace a jakékoli další dostupné objektivní informace, které by mohly být nezbytné k určení vhodnosti dotčené osoby pro práci v pozici, v souvislosti s níž kritický subjekt požádal o ověření spolehlivosti. |
|
(33) |
Měl by být zaveden mechanismus pro oznamování určitých incidentů, který by příslušným orgánům umožnil na incidenty reagovat rychle a odpovídajícím způsobem a mít komplexní přehled o dopadu, povaze, příčinách a možných důsledcích incidentů, které kritické subjekty řeší. Kritické subjekty by měly bez zbytečného odkladu oznamovat příslušným orgánům incidenty, které významně narušují nebo mohou významně narušit poskytování základních služeb. V případě, že toho nejsou z důvodu řešení incidentu schopny, měly by kritické subjekty předložit prvotní oznámení nejpozději 24 hodin poté, co se o incidentu dozvěděly. Prvotní oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné k vyrozumění příslušného orgánu o incidentu, a které kritickému subjektu umožňují v případě potřeby požádat o pomoc. Toto oznámení by mělo uvádět předpokládanou příčinu incidentu, je-li to v daném případě možné. Členské státy by měly zajistit, aby požadavek na předložení tohoto prvotního oznámení neodváděl zdroje kritického subjektu od činností souvisejících s řešením incidentu, které by měly mít přednost. Je-li to relevantní, měla by po prvotním oznámení následovat podrobná zpráva, a to nejpozději jeden měsíc po incidentu. Podrobná zpráva by měla doplnit prvotní oznámení a poskytnout úplnější přehled o incidentu. |
|
(34) |
Standardizace by se měla řídit především tržními potřebami. Nicméně mohou nastat situace, kdy je vhodné používat specifické standardy. Členské státy by měly tam, kde je to užitečné, podporovat užívání evropských a mezinárodní standardů, norem a technických specifikací relevantních pro opatření v oblasti bezpečnosti a odolnosti, která jsou použitelná pro kritické subjekty. |
|
(35) |
Zatímco kritické subjekty obecně působí jako součást stále více propojené sítě v oblasti poskytování služeb a infrastruktury a často poskytují základní služby ve více než jednom členském státě, některé z těchto kritických subjektů mají pro Unii a její vnitřní trh zvláštní význam, protože poskytují základní služby v šesti nebo více členských státech nebo do těchto států, a mohly by proto získat zvláštní podporu na úrovni Unie. Pro tyto kritické subjekty zvláštního evropského významu by proto měla být stanovena pravidla pro poradní mise. Těmito pravidly nejsou dotčena pravidla pro dohled a vymáhání stanovená v této směrnici. |
|
(36) |
Na základě odůvodněné žádosti Komise nebo jednoho nebo více členských států, jimž nebo v nichž je poskytována základní služba, pokud jsou nezbytné další informace za účelem poskytnutí poradenství kritickému subjektu v rámci plnění jeho povinností podle této směrnice nebo posouzení dodržování těchto povinností kritickým subjektem zvláštního evropského významu, členský stát, který určil kritický subjekt zvláštního evropského významu jakožto kritický subjekt, by měl poskytnout Komisi určité informace podle této směrnice. Se souhlasem členského státu, který určil kritický subjekt zvláštního evropského významu jakožto kritický subjekt, by Komise měla mít možnost zorganizovat poradní misi s cílem posoudit opatření zavedená tímto subjektem. Aby byl zajištěn řádný průběh těchto poradních misí, měla by být stanovena doplňková pravidla, týkající se zejména organizování a průběhu poradních misí, následných opatření a povinností dotčených kritických subjektů zvláštního evropského významu. Aniž je dotčena potřeba, aby členský stát, v němž je poradní mise zorganizována, a dotčený kritický subjekt dodržovaly pravidla stanovená v této směrnici, měla by se poradní mise řídit právními předpisy daného členského státu, například o přesných podmínkách, které je třeba splnit za účelem získání přístupu do relevantních prostor nebo k dokumentům, a o prostředcích soudní nápravy. Konkrétní odborné znalosti potřebné pro tyto poradní mise by mohly být případně vyžádány prostřednictvím Střediska pro koordinaci odezvy na mimořádné události zřízeného rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU (22). |
|
(37) |
S cílem podpořit Komisi a usnadnit spolupráci mezi členskými státy a výměnu informací, včetně osvědčených postupů, ohledně otázek týkajících se této směrnice, by měla být zřízena skupina pro odolnost kritických subjektů jakožto expertní skupina Komise. Členské státy by se měly ve skupině pro odolnost kritických subjektů snažit zajistit účinnou a účelnou spolupráci určených zástupců svých příslušných orgánů, mimo jiné tím, že do ní jmenují zástupce, kteří mají v případě potřeby bezpečnostní prověrku. Skupina pro odolnost kritických subjektů by měla začít plnit své úkoly co nejdříve, aby poskytla další prostředky pro vhodnou spolupráci během období provádění této směrnice. Skupina pro odolnost kritických subjektů by měla spolupracovat s dalšími relevantními odvětvovými odbornými pracovními skupinami. |
|
(38) |
Skupina pro odolnost kritických subjektů by měla spolupracovat se skupinou pro spolupráci zřízenou podle směrnice (EU) 2022/2555 s cílem podpořit komplexní rámec pro kybernetickou a jinou než kybernetickou odolnost kritických subjektů. Skupina pro odolnost kritických subjektů a skupina pro spolupráci zřízená podle směrnice (EU) 2022/2555 by měly vést pravidelný dialog s cílem podpořit spolupráci mezi příslušnými orgány podle této směrnice a příslušnými orgány podle směrnice (EU) 2022/2555 a usnadnit výměnu informací, zejména pokud jde o témata týkající se obou skupin. |
|
(39) |
Za účelem dosažení cílů této směrnice, a aniž je dotčena právní odpovědnost členských států a kritických subjektů za zajištění dodržování jejich příslušných povinností stanovených v této směrnici, by měla Komise, pokud to považuje za vhodné, podporovat příslušné orgány a kritické subjekty s cílem usnadnit jim dodržování jejich příslušných povinností. Při poskytování podpory členským státům a kritickým subjektům při plnění povinností podle této směrnice by Komise měla stavět na stávajících strukturách a nástrojích, například v rámci mechanismu civilní ochrany Unie zřízeného rozhodnutím č. 1313/2013/EU a Evropské referenční sítě pro ochranu kritické infrastruktury. Kromě toho by měla informovat členské státy o zdrojích, které jsou k dispozici na úrovni Unie, například v rámci Fondu pro vnitřní bezpečnost zřízeného nařízením Evropského parlamentu a Rady (EU) 2021/1149 (23), programu Horizont Evropa zavedeného nařízením Evropského parlamentu a Rady (EU) 2021/695 (24) nebo jiných nástrojů relevantních pro odolnost kritických subjektů. |
|
(40) |
Členské státy by měly zajistit, aby jejich příslušné orgány měly ve vztahu ke kritickým subjektům určité zvláštní pravomoci pro řádné uplatňování a prosazování této směrnice, pokud tyto subjekty spadají do jejich působnosti stanovené v této směrnici. Mezi tyto pravomoci by měla patřit zejména pravomoc provádět inspekce, audity, pravomoc vykonávat dohled, pravomoc vyžadovat, aby kritické subjekty poskytly informace a důkazy o opatřeních, která přijaly za účelem splnění svých povinností, a v případě potřeby pravomoc vydávat příkazy k nápravě zjištěných porušení těchto povinností. Při vydávání těchto příkazů by členské státy neměly vyžadovat opatření, která jdou nad rámec toho, co je nezbytné a přiměřené k zajištění toho, aby dotčený kritický subjekt dodržoval pravidla uvedená v této směrnici, přičemž vezmou v úvahu zejména závažnost porušení a ekonomické možnosti dotčeného kritického subjektu. Obecněji by tyto pravomoci měly být doprovázeny vhodnými a účinnými zárukami, které budou upřesněny ve vnitrostátním právu v souladu s Listinou základních práv Evropské unie. Při posuzování dodržování povinností kritického subjektu stanovených v této směrnici by příslušné orgány podle této směrnice měly mít možnost požádat příslušné orgány podle směrnice (EU) 2022/2555, aby vůči subjektu podle uvedené směrnice, který byl rovněž určen jakožto kritický subjekt podle této směrnice, vykonávaly své pravomoci v oblasti dohledu a vymáhání. Příslušné orgány podle této směrnice a příslušné orgány podle směrnice (EU) 2022/2555 by za tímto účelem měly spolupracovat a vyměňovat si informace. |
|
(41) |
Za účelem účinného a jednotného uplatňování této směrnice by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU s cílem doplnit tuto směrnici vypracováním seznamu základních služeb. Tento seznam by měly příslušné orgány používat pro účely provádění posouzení rizik členského státu a pro určení kritických subjektů podle této směrnice. S ohledem na přístup spočívající v minimální harmonizaci, který je uplatňován v této směrnici, je tento seznam demonstrativní a členské státy by jej mohly doplnit o další základní služby na vnitrostátní úrovni s cílem zohlednit vnitrostátní specifika při poskytování základních služeb. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (25). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na setkání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci. |
|
(42) |
V zájmu zajištění jednotných podmínek provádění této směrnice by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (26). |
|
(43) |
Jelikož cílů této směrnice, totiž zajistit, aby služby nezbytné pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností byly na vnitřním trhu poskytovány bez narušení a aby byla posílena odolnost kritických subjektů poskytujících tyto služby, nemůže být uspokojivě dosaženo členskými státy, ale spíše jich z důvodu účinků této směrnice může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku 5 nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení těchto cílů. |
|
(44) |
Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (27) a vydal své stanovisko dne 11. srpna 2021. |
|
(45) |
Směrnice 2008/114/ES by proto měla být zrušena, |
PŘIJALY TUTO SMĚRNICI:
KAPITOLA I
OBECNÁ USTANOVENÍ
Článek 1
Předmět a oblast působnosti
1. Tato směrnice:
|
a) |
stanovuje členským státům povinnosti přijmout konkrétní opatření, jejichž cílem je zajistit, aby služby nezbytné pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností v rámci působnosti článku 114 Smlouvy o fungování EU byly na vnitřním trhu poskytovány neomezeně, zejména povinnosti určit kritické subjekty a podporovat kritické subjekty při plnění povinností, které jim byly uloženy; |
|
b) |
stanovuje povinnosti pro kritické subjekty zaměřené na posílení jejich odolnosti a schopnosti poskytovat služby podle písmena a) na vnitřním trhu; |
|
c) |
stanovuje pravidla pro:
|
|
d) |
stanovuje společné postupy pro spolupráci a podávání zpráv o uplatňování této směrnice; |
|
e) |
stanovuje opatření s cílem dosáhnout vysoké úrovně odolnosti kritických subjektů v zájmu zajištění poskytování základních služeb v Unii a zlepšení fungování vnitřního trhu. |
2. Tato směrnice se nevztahuje na záležitosti upravené směrnicí (EU) 2022/2555, aniž je dotčen článek 8 této směrnice. S ohledem na vztah mezi fyzickou bezpečností a kybernetickou bezpečností kritických subjektů zajistí členské státy, aby tato směrnice a směrnice (EU) 2022/2555 byly prováděny koordinovaně.
3. Pokud ustanovení odvětvových právních aktů Unie vyžadují, aby kritické subjekty přijaly opatření k posílení své odolnosti, a pokud jsou tyto požadavky uznány členskými státy za alespoň rovnocenné odpovídajícím povinnostem stanoveným v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání stanovených v kapitole VI, se nepoužijí.
4. Aniž je dotčen článek 346 Smlouvy o fungování EU, informace, které jsou důvěrné podle unijních nebo vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Komisí a jinými příslušnými orgány v souladu s touto směrnicí pouze v případě, že je taková výměna nezbytná pro účely této směrnice. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu takové výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a bezpečnost a obchodní zájmy kritických subjektů při současném respektování bezpečnosti členských států.
5. Touto směrnicí není dotčena odpovědnost členských států za ochranu národní bezpečnosti a obranu, ani jejich pravomoc chránit jiné základní funkce státu, včetně zajištění územní celistvosti státu a zachování veřejného pořádku.
6. Tato směrnice se nevztahuje na subjekty veřejné správy, které vykonávají své činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů.
7. Členské státy mohou rozhodnout, že se článek 11 a kapitoly III, IV a VI zcela nebo zčásti nepoužijí na konkrétní kritické subjekty, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů, nebo které poskytují služby výhradně subjektům veřejné správy uvedeným v odstavci 6 tohoto článku.
8. Povinnosti stanovené touto směrnicí nezahrnují poskytování informací, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
Článek 2
Definice
Pro účely této směrnice se rozumí:
|
1) |
„kritickým subjektem“ veřejný nebo soukromý subjekt, který byl členským státem určen v souladu s článkem 6 jako subjekt náležející do jedné z kategorií stanovených ve třetím sloupci tabulky v příloze; |
|
2) |
„odolností“ schopnost kritického subjektu předcházet incidentům, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat a absorbovat je, přizpůsobovat se jim a zotavit se z nich ; |
|
3) |
„incidentem“ událost, která může významně narušit nebo která narušuje poskytování základní služby, včetně případů, kdy ovlivňuje vnitrostátní systémy chránící právní stát; |
|
4) |
„kritickou infrastrukturou“ aktivum, zařízení, vybavení, síť nebo systém či část aktiva, zařízení, vybavení, sítě nebo systému, které jsou nezbytné pro poskytování základní služby; |
|
5) |
„základní službou“ služba, která je zásadní pro zachování nejdůležitějších společenských funkcí, hospodářských činností, veřejného zdraví a bezpečnosti nebo životního prostředí; |
|
6) |
„rizikem“ možnost ztráty nebo narušení v důsledku incidentu, přičemž toto riziko má být vyjádřeno jako kombinace rozsahu takové ztráty nebo takového narušení a pravděpodobnosti vzniku incidentu; |
|
7) |
„posouzením rizik “ celkový postup určení povahy a rozsahu rizika identifikací a analýzou možných relevantních hrozeb, zranitelných míst a nebezpečí, které by mohly vést k incidentu, a hodnocením možné ztráty nebo narušení poskytování základní služby způsobené tímto incidentem. |
|
8) |
„standardem“ standard nebo norma ve smyslu čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 (30); |
|
9) |
„technickou specifikací“ technická specifikace ve smyslu čl. 2 bodu 4 nařízení (EU) č. 1025/2012; |
|
10) |
„subjektem veřejné správy“ subjekt takto uznaný v souladu s vnitrostátními právními předpisy v určitém členském státě, s výjimkou soudních orgánů, parlamentů a centrálních bank, který splňuje tato kritéria:
|
Článek 3
Minimální harmonizace
Tato směrnice nebrání členským státům v tom, aby přijaly nebo ponechaly v platnosti ustanovení vnitrostátního práva s cílem dosáhnout vyšší úrovně odolnosti kritických subjektů, jsou-li tato opatření v souladu s povinnostmi členských států stanovenými v právu Unie.
KAPITOLA II
VNITROSTÁTNÍ RÁMCE PRO ODOLNOST KRITICKÝCH SUBJEKTŮ
Článek 4
Strategie týkající se odolnosti kritických subjektů
1. Po konzultaci, která je v prakticky možném rozsahu otevřená příslušným zúčastněným stranám, přijme každý členský stát do 17. ledna 2026 strategii pro posílení odolnosti kritických subjektů (dále jen „ strategie“). Strategie stanoví na základě relevantních stávajících vnitrostátních a odvětvových strategií, plánů nebo obdobných dokumentů strategické cíle a opatření politik s cílem dosáhnout vysoké úrovně odolnosti kritických subjektů a zachovat ji a pokrýt alespoň odvětví stanovená v příloze.
2. Každá strategie musí obsahovat alespoň tyto prvky:
|
a) |
strategické cíle a priority za účelem posílení celkové odolnosti kritických subjektů s přihlédnutím k přeshraniční a meziodvětvové jednostranné i vzájemné závislosti; |
|
b) |
správní rámec pro naplnění strategických cílů a priorit, včetně popisu úlohy a odpovědností různých orgánů, kritických subjektů a dalších stran zapojených do provádění této strategie; |
|
c) |
popis opatření nezbytných k posílení celkové odolnosti kritických subjektů, včetně popisu posouzení rizik podle článku 5; |
|
d) |
popis postupu, jak jsou určovány kritické subjekty; |
|
e) |
popis procesu podpory kritických subjektů v souladu s touto kapitolou, včetně opatření na posílení spolupráce mezi veřejným sektorem na jedné straně a soukromým sektorem a veřejnými a soukromými subjekty na straně druhé; |
|
f) |
seznam hlavních orgánů a příslušných zúčastněných stran jiných než kritických subjektů zapojených do provádění strategie; |
|
g) |
rámec politik pro koordinaci mezi příslušnými orgány podle této směrnice (dále jen „příslušné orgány“) a příslušnými orgány podle směrnice (EU) 2022/2555 pro účely sdílení informací o kybernetických bezpečnostních rizicích, kybernetických hrozbách a kybernetických incidentech, stejně jako o jiných než kybernetických rizicích, hrozbách a incidentech a výkonu úkolů v oblasti dohledu; |
|
h) |
popis již zavedených opatření, jejichž cílem je usnadnit malým a středním podnikům plnění povinností podle kapitoly III této směrnice ve smyslu přílohy doporučení Komise 2003/361/ES (31), které dotčený členský stát určil jako kritické subjekty. |
Po konzultaci, která je v prakticky možném rozsahu otevřená příslušným zúčastněným stranám, členské státy aktualizují své strategie alespoň jednou za čtyři roky.
3. Členské státy oznámí své strategie a jejich významné aktualizace Komisi do tří měsíců od jejich přijetí.
Článek 5
Posouzení rizik členskými státy
1. Komisi je svěřena pravomoc přijmout v souladu s článkem 23 do 17. listopadu 2023 akt v přenesené pravomoci za účelem doplnění této směrnice stanovením demonstrativního seznamu základních služeb v odvětvích a pododvětvích uvedených v příloze. Příslušné orgány použijí uvedený seznam základních služeb pro účely provedení posouzení rizik (dále jen „posouzení rizik členského státu“) do 17. ledna 2026 a následně v případě potřeby a alespoň každé čtyři roky. Příslušné orgány použijí posouzení rizik členského státu pro účely určení kritických subjektů v souladu s článkem 6 a poskytování pomoci těmto kritickým subjektům při přijímání opatření podle článku 13.
Posouzení rizik členského státu zohlední všechna relevantní přírodní a člověkem způsobená rizika, včetně rizik meziodvětvové nebo přeshraniční povahy, havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví a hybridních hrozeb či jiných antagonistických hrozeb, včetně teroristických trestných činů, jak je stanoveno ve směrnici Evropského parlamentu a Rady (EU) 2017/541 (32).
2. Při provádění posouzení rizik členského státu vezmou členské státy v úvahu alespoň:
|
a) |
obecné posouzení rizik provedené podle čl. 6 odst. 1 rozhodnutí č. 1313/2013/EU; |
|
b) |
další příslušná posouzení rizik prováděná v souladu s požadavky příslušných odvětvových právních aktů Unie, včetně nařízení Evropského parlamentu a Rady (EU) 2017/1938 (33) a (EU) 2019/941 (34) a směrnic Evropského parlamentu a Rady 2007/60/EC (35) a 2012/18/EU (36); |
|
c) |
relevantní rizika vyplývající z míry závislosti mezi odvětvími, jež jsou stanovena v příloze, včetně míry závislosti na subjektech nacházejících se v jiných členských státech a třetích zemích, a dopad, který může významné narušení v jednom odvětví mít na ostatní odvětví, včetně veškerých významných rizik pro občany a vnitřní trh; |
|
d) |
veškeré informace o incidentech ohlášených v souladu s článkem 15. |
Pro účely prvního pododstavce písm. c) členské státy případně spolupracují s příslušnými orgány jiných členských států a příslušnými orgány třetích zemí.
3. Členské státy zpřístupní příslušné prvky posouzení rizik členského státu, v případě potřeby prostřednictvím svých jednotných kontaktních míst, kritickým subjektům, které členské státy určily v souladu s článkem 6. Členské státy zajistí, že informace poskytnuté kritickým subjektům těmto subjektům slouží k provádění posouzení rizik podle článku 12 a při přijímání opatření k zajištění jejich odolnosti podle článku 13.
4. Do tří měsíců od provedení posouzení rizik členského státu členský stát poskytne Komisi relevantní informace o druzích zjištěných rizik a výsledcích posouzení rizik tohoto členského státu pro jednotlivá odvětví a pododvětví stanovená v příloze.
5. Komise ve spolupráci s členskými státy vytvoří dobrovolný společný vzor pro podávání zpráv pro účely dodržování odstavce 4.
Článek 6
Určení kritických subjektů
1. Každý členský stát do 17. července 2026 určí kritické subjekty pro odvětví a pododvětví stanovená v příloze.
2. Členský stát při určování kritických subjektů podle odstavce 1 zohlední výsledky svého posouzení rizik členského státu a strategii a použije všechna tato kritéria:
|
a) |
subjekt poskytuje jednu nebo více základních služeb; |
|
b) |
na území tohoto členského státu subjekt působí a nachází se tam jeho kritická infrastruktura; a |
|
c) |
incident by významně narušil, jak je určeno v souladu s čl. 7 odst. 1, poskytování jedné nebo více základních služeb v odvětvích stanovených v příloze, nebo poskytování jiných základních služeb v odvětvích stanovených v příloze, jež na takové základní službě či takových základních službách závisí. |
3. Každý členský stát vytvoří seznam určených kritických subjektů podle odstavce 2 a zajistí, aby tyto kritické subjekty byly informovány o tom, že byly určeny jakožto kritické subjekty do jednoho měsíce od tohoto určení. Členské státy informují uvedené kritické subjekty o jejich povinnostech podle kapitol III a IV a o datu, od kterého se na ně uvedené povinnosti vztahují, aniž je dotčen článek 8. Členské státy informují kritické subjekty v odvětvích stanovených v bodech 3, 4 a 8 tabulky v příloze o tom, že nemají žádné povinnosti podle kapitol III a IV, nestanoví-li vnitrostátní opatření jinak.
Kapitola III se na dotčené kritické subjekty použije 10 měsíců od data oznámení podle prvního pododstavce tohoto odstavce.
4. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice informovaly příslušné orgány podle směrnice (EU) 2022/2555 o identitě kritických subjektů, které určily podle tohoto článku, a to do jednoho měsíce od tohoto určení. Toto oznámení v odůvodněných případech upřesní, že dotčené kritické subjekty jsou subjekty v odvětvích stanovených v bodech 3, 4 a 8 tabulky v příloze této směrnice a nemají žádné povinnosti podle kapitol III a IV této směrnice.
5. Členské státy v případě potřeby a vždy alespoň každé čtyři roky přezkoumají a případně aktualizují seznam určených kritických subjektů podle odstavce 3. Pokud tyto aktualizace vedou k určení dalších kritických subjektů, použijí se na tyto další kritické subjekty odstavce 3 a 4. Kromě toho členské státy zajistí, aby subjekty, které již podle takové aktualizace nejsou určeny jakožto kritické subjekty, byly včas informovány o této skutečnosti, jakož i o tom, že ode dne obdržení tohoto oznámení se na ně již nevztahují povinnosti podle kapitoly III.
6. Komise ve spolupráci s členskými státy vypracuje doporučení a nezávazné pokyny na podporu členských států při určování kritických subjektů.
Článek 7
Významné narušení
1. Při určování významnosti narušení podle čl. 6 odst. 2 písm. c) členské státy zváží tyto okolnosti:
|
a) |
počet uživatelů, kteří jsou závislí na základní službě poskytované dotčeným subjektem; |
|
b) |
rozsah, v němž jiná odvětví a pododvětví stanovená v příloze závisí na dotčené základní službě; |
|
c) |
možný dopad incidentů, pokud jde o jejich intenzitu a délku trvání, na ekonomické a společenské činnosti, životní prostředí, veřejnou bezpečnost a bezpečnost obecně nebo na zdraví obyvatelstva; |
|
d) |
tržní podíl tohoto subjektu na trhu s dotčenou základní službou či službami; |
|
e) |
území, které by mohlo být incidentem ovlivněno, včetně případných přeshraničních dopadů, s přihlédnutím ke zranitelnosti spojené se stupněm odloučení určitých typů území, jako jsou ostrovní či vzdálené regiony nebo horské oblasti; |
|
f) |
důležitost subjektu, pokud jde o udržování dostatečné úrovně dané základní služby, s přihlédnutím k dostupnosti alternativních způsobů poskytování této základní služby. |
2. Každý členský stát po určení kritických subjektů podle čl. 6 odst. 1 předloží Komisi bez zbytečného odkladu tyto informace:
|
a) |
seznam základních služeb v tomto členském státě, existují-li v porovnání se seznamem základních služeb podle čl. 5 odst. 1 další základní služby; |
|
b) |
počet kritických subjektů určených pro každé odvětví a pododvětví stanovené v příloze a pro každou základní službu; |
|
c) |
jakékoli mezní hodnoty použité k upřesnění jednoho nebo více kritérií v odstavci 1. |
Mezní hodnoty podle prvního pododstavce písm. c) mohou být předloženy jako takové nebo v agregované podobě.
Členské státy následně předloží informace podle prvního pododstavce podle potřeby, alespoň však každé čtyři roky.
3. Komise po konzultaci se skupinou pro odolnost kritických subjektů podle článku 19 přijme nezávazné pokyny k usnadnění uplatňování kritérií uvedených v odstavci 1 tohoto článku s přihlédnutím k informacím uvedeným v odstavci 2 tohoto článku.
Článek 8
Kritické subjekty v odvětvích bankovnictví, infrastruktury finančních trhů a digitální infrastruktury
Členské státy zajistí, aby se článek 11 a kapitoly III, IV a VI nepoužily na kritické subjekty, které byly určeny v odvětvích stanovených v bodech 3, 4 a 8 tabulky v příloze. Členské státy mohou přijmout nebo ponechat v platnosti ustanovení vnitrostátního práva s cílem dosáhnout vyšší úrovně odolnosti těchto kritických subjektů za předpokladu, že jsou tyto předpisy v souladu s platným právem Unie.
Článek 9
Příslušné orgány a jednotné kontaktní místo
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za správné uplatňování této směrnice na vnitrostátní úrovni a v případě potřeby vymáhání pravidel stanovených v této směrnici.
Pokud jde o kritické subjekty v odvětvích stanovených v bodech 3 a 4 tabulky v příloze této směrnice, jsou příslušnými orgány v zásadě příslušné orgány podle článku 46 nařízení (EU) 2022/2554 Pokud jde o kritické subjekty v odvětví stanoveném v bodě 8 tabulky v příloze této směrnice, jsou příslušnými orgány v zásadě příslušné orgány podle směrnice (EU) 2022/2555. Členské státy mohou určit jiný příslušný orgán pro odvětví stanovená v bodech 3, 4 a 8 tabulky v příloze této směrnice v souladu se stávajícími vnitrostátními rámci.
Pokud členské státy určí či zřídí více než jeden příslušný orgán, musí jasně stanovit úkoly každého z dotčených orgánů a zajistit, aby účinně spolupracovaly při plnění svých úkolů podle této směrnice, a to i pokud jde o určení a činnosti jednotného kontaktního místa podle odstavce 2.
2. Každý členský stát určí či zřídí jedno jednotné kontaktní místo, pro výkon styčné funkce k zajištění přeshraniční spolupráce s jednotnými kontaktními místy jiných členských států a skupinou pro odolnost kritických subjektů podle článku 19 (dále jen „jednotné kontaktní místo“). V případě potřeby členský stát určí své jednotné kontaktní místo v rámci příslušného orgánu. V případě potřeby může členský stát stanovit, že jeho jednotné kontaktní místo rovněž vykonává styčnou funkci s Komisí a zajišťuje spolupráci se třetími zeměmi.
3. Do 17. července 2028 a poté každé dva roky předloží jednotná kontaktní místa souhrnnou zprávu Komisi a skupině pro odolnost kritických subjektů o přijatých oznámeních podle článku 19, včetně jejich počtu, povahy oznámených incidentů a opatření přijatých v souladu s čl. 15 odst. 3.
Komise ve spolupráci se skupinou pro odolnost kritických subjektů vypracuje společný vzor pro podávání zpráv. Příslušné orgány mohou tento společný vzor pro podávání zpráv dobrovolně použít pro účely předkládání souhrnných zpráv uvedených v prvním pododstavci.
4. Každý členský stát zajistí, aby jeho příslušný orgán i jednotné kontaktní místo měly pravomoci a odpovídající finanční, lidské a technické zdroje k účinnému a účelnému plnění úkolů, které jim byly přiděleny.
5. Každý členský stát zajistí, aby jeho příslušný orgán, kdykoli je to vhodné, v souladu s právem Unie a vnitrostátními právními předpisy vedl konzultace a spolupracoval s dalšími příslušnými vnitrostátními orgány, včetně těch, které odpovídají za civilní ochranu, prosazování práva a ochranu osobních údajů, a s kritickými subjekty a příslušnými zúčastněnými stranami.
6. Každý členský stát zajistí, aby jeho příslušný orgán podle této směrnice spolupracoval a vyměňoval si informace s příslušnými orgány podle směrnice (EU) 2022/2555 ohledně kybernetických bezpečnostních rizik, kybernetických hrozeb a kybernetických incidentů a jiných než kybernetických rizik, hrozeb a incidentů, jež mají vliv na kritické subjekty, včetně informací o relevantních opatřeních, jež byla přijata jeho příslušnými orgány a příslušnými orgány podle směrnice (EU) 2022/2555
7. Do tří měsíců od určení nebo zřízení příslušného orgánu a jednotného kontaktního místa každý členský stát oznámí Komisi jejich identitu a jejich úkoly a povinnosti podle této směrnice, jejich kontaktní údaje a veškeré následné změny. Členské státy vyrozumí Komisi, pokud se rozhodnou ustanovit ve vztahu ke kritickým subjektům v odvětvích stanovených v bodech 3, 4 a 8 tabulky v příloze, jakožto určené příslušné orgány jiné orgány než ty, které jsou uvedeny v odst. 1 druhém pododstavci. Každý členský stát zveřejní identitu příslušného orgánu a jednotného kontaktního místa.
8. Komise zveřejní seznam jednotných kontaktních míst.
Článek 10
Podpora členských států kritickým subjektům
1. Členské státy podpoří kritické subjekty při posilování jejich odolnosti. Tato podpora může zahrnovat vypracování poradenských manuálů a metodik, podporu organizace cvičení sloužících k prověření jejich odolnosti a poskytování poradenství a školení pracovníkům kritických subjektů. Aniž by tím byla dotčena použitelná pravidla státní podpory, členské státy mohou poskytovat kritickým subjektům finanční zdroje, je-li to nezbytné a odůvodněné cíli veřejného zájmu.
2. Každý členský stát zajistí, aby jeho příslušný orgán spolupracoval a vyměňoval si informace a osvědčené postupy s kritickými subjekty v odvětvích uvedených v příloze.
3. Členské státy usnadňují dobrovolné sdílení informací mezi kritickými subjekty v souvislosti se záležitostmi, na něž se vztahuje tato směrnice, v souladu s unijními a vnitrostátními právními předpisy týkajícími se zejména utajovaných a citlivých informací, hospodářské soutěže a ochrany osobních údajů.
Článek 11
Spolupráce mezi členskými státy
1. Kdykoli je to vhodné, členské státy vedou vzájemné konzultace týkající se kritických subjektů s cílem zajistit jednotné uplatňování této směrnice. Tyto konzultace probíhají zejména o kritických subjektech, které:
|
a) |
využívají kritickou infrastrukturu fyzicky spojenou mezi dvěma nebo více členskými státy; |
|
b) |
jsou součástí podnikových struktur, jež jsou propojeny s kritickými subjekty v jiných členských státech nebo jsou na ně navázány; |
|
c) |
byly určeny jakožto kritické subjekty v jednom členském státě a poskytují základní služby do jiných členských států nebo v jiných členských státech. |
2. Cílem konzultací podle odstavce 1 je posílit odolnost kritických subjektů a tam, kde je to možné, snížit jejich administrativní zátěž.
KAPITOLA III
ODOLNOST KRITICKÝCH SUBJEKTŮ
Článek 12
Posouzení rizik kritickými subjekty
1. Bez ohledu na lhůtu stanovenou v čl. 6 odst. 3 druhém pododstavci členské státy zajistí, aby kritické subjekty provedly posouzení rizika do devíti měsíců od obdržení oznámení podle čl. 6 odst. 3 a následně v případě potřeby, alespoň však každé čtyři roky, na základě posouzení rizik členského státu a dalších příslušných zdrojů informací s cílem posoudit veškerá příslušná rizika, která mohou narušit poskytování jejich základních služeb (dále jen „posouzení rizik kritického subjektu“).
2. Posouzení rizik kritického subjektu zohlední veškerá příslušná přírodní rizika a rizika způsobená člověkem, která by mohla vést k incidentu, včetně rizik meziodvětvové nebo přeshraniční povahy, havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví, hybridních hrozeb či jiných antagonistických hrozeb, včetně teroristických trestných činů uvedených ve směrnici (EU) 2017/541. Posouzení rizik kritického subjektu zohlední i míru závislosti jiných odvětví stanovených v příloze na základní službě poskytované kritickým subjektem a míru závislosti kritického subjektu na základních službách poskytovaných subjekty v těchto jiných odvětvích, a to v příslušných případech včetně odvětví v sousedních členských státech a případně třetích zemích.
Pokud kritický subjekt provedl posouzení rizik nebo vypracoval dokumenty podle povinností stanovených v jiných právních aktech, které jsou relevantní pro jeho posouzení rizik kritického subjektu, kritický subjekt může tato posouzení a dokumenty použít ke splnění požadavků stanovených v tomto článku. Při výkonu svých dohledových funkcí může příslušný orgán rozhodnout, že stávající posouzení rizik provedené kritickým subjektem, které se zabývá riziky a mírou závislosti podle prvního pododstavce tohoto odstavce, částečně nebo zcela splňuje povinnosti podle tohoto článku.
Článek 13
Opatření kritických subjektů k zajištění odolnosti
1. Členské státy zajistí, aby kritické subjekty na základě relevantních informací poskytnutých členskými státy v posouzení rizik členského státu a na základě výsledků posouzení rizik kritického subjektu, přijaly vhodná a přiměřená technická, bezpečnostní a organizační opatření k zajištění své odolnosti, včetně opatření nezbytných za účelem:
|
a) |
předcházení vzniku incidentů, přičemž řádně zváží opatření ke snižování rizika katastrof a přizpůsobení se změně klimatu; |
|
b) |
zajištění přiměřené fyzické ochrany jejich prostor a kritické infrastruktury, přičemž řádně zváží například oplocení, zábrany, nástroje a postupy pro monitorování hranic objektu, detekční zařízení a kontroly přístupu; |
|
c) |
odezvy na incidenty, odolávání důsledkům incidentů a jejich zmírňování, přičemž řádně zváží provádění postupů a protokolů pro řízení rizik a krizí a výstražných postupů; |
|
d) |
zotavení se z incidentů, přičemž řádně zváží opatření pro zajištění kontinuity činnosti a určení alternativních dodavatelských řetězců s cílem obnovit poskytování základní služby; |
|
e) |
zajištění přiměřeného řízení bezpečnosti zaměstnanců, přičemž řádně zváží opatření, jako jsou stanovení kategorií pracovníků, kteří vykonávajících kritické funkce, stanovení přístupových práv k prostorám, kritické infrastruktuře a citlivým informacím, zavedení postupů pro ověřování spolehlivosti v souladu s článkem 14 a vymezení kategorií osob, u nichž je vyžadováno toto ověření spolehlivosti, a stanovení vhodných požadavků na odbornou přípravu a kvalifikaci; |
|
f) |
zvyšování povědomí příslušných pracovníků o opatřeních uvedených v písmenech a) až e) s náležitým ohledem na kurzy odborné přípravy, informační materiály a cvičení. |
Pro účely prvního pododstavce písm. e) členské státy zajistí, aby kritické subjekty při vymezování kategorií osob, jež vykonávají zásadní funkce, zohlednily pracovníky externích poskytovatelů služeb.
2. Členské státy zajistí, aby kritické subjekty zavedly a používaly plán odolnosti nebo rovnocenný dokument či dokumenty, které popisují opatření přijatá podle odstavce 1. Pokud kritické subjekty vypracovaly dokumenty nebo přijaly opatření podle povinností stanovených v jiných právních aktech, které jsou relevantní pro opatření uvedená v odstavci 1, mohou tato opatření a dokumenty použít ke splnění požadavků stanovených v tomto článku. Při výkonu svých dohledových funkcí může příslušný orgán rozhodnout, že stávající opatření přijatá kritickým subjektem k posílení své odolnosti, jsou částečně nebo zcela v souladu s povinnostmi podle tohoto článku, pokud vhodným a přiměřeným způsobem odpovídají technickým, bezpečnostním a organizačním opatřením uvedeným v odstavci 1.
3. Členské státy zajistí, aby každý kritický subjekt určil pro účely kontaktu s příslušnými orgány styčnou osobu nebo její ekvivalent.
4. Na žádost členského státu, který určil kritický subjekt, a se souhlasem dotčeného kritického subjektu zorganizuje Komise v souladu s opatřeními stanovenými v čl. 18 odst. 6, 8 a 9 poradní mise za účelem poskytování poradenství dotčenému kritickému subjektu při plnění jeho povinností podle kapitoly III. Poradní mise oznámí svá zjištění Komisi, příslušnému členskému státu a dotčenému kritickému subjektu.
5. Komise po konzultaci se skupinou pro odolnost kritických subjektů podle článku 19 přijme nezávazné pokyny k dalšímu upřesnění technických, bezpečnostních a organizačních opatření, která lze přijmout podle odstavce 1 tohoto článku.
6. Komise přijme prováděcí akty s cílem stanovit nezbytné technické a metodické specifikace týkající se uplatňování opatření uvedených v odstavci 1 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 24 odst. 2.
Článek 14
Ověřování spolehlivosti
1. Členské státy upřesní podmínky, za nichž může kritický subjekt v řádně odůvodněných případech a s přihlédnutím k posouzení rizik členského státu podávat žádosti o ověření spolehlivosti osob :
|
a) |
které plní citlivé úkoly v rámci kritického subjektu nebo v jeho prospěch, zejména ve vztahu k odolnosti kritického subjektu; |
|
b) |
které jsou pověřeny přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů, a to i v souvislosti s bezpečností kritického subjektu; |
|
c) |
u kterých se zvažuje, že budou přijaty na pozice, na něž se vztahují kritéria uvedená v písmenech a) a b). |
2. Žádosti podle odstavce 1 tohoto článku se posuzují v přiměřené lhůtě a vyřizují se v souladu s vnitrostátním právem a postupy a s příslušným a použitelným právem Unie, včetně nařízení (EU) 2016/679 a směrnice Evropského parlamentu a Rady (EU) 2016/680 (37). Ověřování spolehlivosti musí být přiměřené a přísně omezeno na to, co je nezbytné. Provádí se výhradně za účelem vyhodnocení potenciálního bezpečnostního rizika pro dotčený kritický subjekt.
3. Ověřování spolehlivosti uvedené v odstavci 1 musí alespoň:
|
a) |
potvrdit totožnost osoby, u níž se ověřování spolehlivosti provádí ; |
|
b) |
prověřit záznamy v rejstříku trestů u této osoby týkající se trestných činů, jež by byly významné z hlediska konkrétní pozice ; |
Při ověřování spolehlivosti členské státy využívají Evropský informační systém rejstříků trestů v souladu s postupy stanovenými v rámcovém rozhodnutí 2009/315/SVV a v příslušných situacích případně v nařízení (EU) 2019/816 pro účely získávání informací z rejstříků trestů vedených jinými členskými státy. Ústřední orgány uvedené v čl. 3 odst. 1 rámcového rozhodnutí 2009/315/SVV a v čl. 3 bodě 5 nařízení (EU) 2019/816 poskytnou odpovědi na žádosti o tyto informace do 10 pracovních dnů ode dne, v němž byla taková žádost obdržena v souladu s čl. 8. odst. 1 rámcového rozhodnutí 2009/315/SVV.
Článek 15
Oznamování incidentů
1. Členské státy zajistí, aby kritické subjekty vyrozuměly bez zbytečného odkladu příslušný orgán o incidentech, které významně narušují nebo mohou významně narušit poskytování základních služeb. Členské státy zajistí, s výjimkou případů, které by bránily v řešení incidentu, aby kritické subjekty podaly prvotní oznámení nejpozději do 24 hodin od okamžiku, kdy se kritický subjekt o incidentu dozvěděl, a v relevantních případech nejpozději do jednoho měsíce poté podrobnou zprávu. K určení závažnosti narušení je třeba vzít v úvahu zejména tyto parametry:
|
a) |
počet a podíl uživatelů zasažených narušením; |
|
b) |
dobu trvání narušení; |
|
c) |
území zasažené narušením s přihlédnutím k tomu, zda je toto území geograficky izolované. |
Pokud incident má nebo by mohl mít významný dopad na kontinuitu poskytování základních služeb v šesti nebo více členských státech nebo do těchto států, oznámí příslušné orgány členských států zasažených incidentem tento incident Komisi.
2. Oznámení podle odst. 1 prvního pododstavce obsahují veškeré dostupné informace nezbytné k tomu, aby příslušný orgán mohl pochopit povahu, příčinu a možné důsledky incidentu, včetně jakýkoliv dostupných informací nezbytných ke stanovení případného přeshraničního dopadu incidentu. Tato oznámení nezakládají u kritického subjektu zvýšení jeho odpovědnosti.
3. Na základě informací poskytnutých kritickým subjektem v oznámení podle odstavce 1 vyrozumí příslušný orgán prostřednictvím jednotného kontaktního místa jednotná kontaktní místa ostatních dotčených členských států, pokud incident má nebo mohl mít významný dopad na kritické subjekty a kontinuitu poskytování základních služeb v jednom nebo více jiných členských státech nebo do tohoto státu či států.
Při zasílání a přijímání informací podle prvního pododstavce jednotná kontaktní místa zachází v souladu s unijním nebo vnitrostátním právem s těmito informacemi způsobem, který respektuje jejich důvěrnost a chrání bezpečnost a obchodní zájmy dotčeného kritického subjektu.
4. Příslušný orgán co nejdříve po obdržení oznámení podle odstavce 1 poskytne kritickému subjektu relevantní navazující informace, včetně informací, které by mohly pomoci kritickému subjektu na tento incident účinně reagovat. Členské státy informují veřejnost, pokud se domnívají, že by to bylo ve veřejném zájmu.
Článek 16
Standardy
V zájmu prosazování harmonizovaného provádění této směrnice podporují členské státy používání evropských a mezinárodních standardů, norem a technických specifikací týkajících se opatření v oblasti bezpečnosti a odolnosti, jež se použijí pro kritické subjekty, pokud je to užitečné a aniž by ukládaly nebo zvýhodňovaly používání určitého druhu technologie.
KAPITOLA IV
KRITICKÉ SUBJEKTY ZVLÁŠTNÍHO EVROPSKÉHO VÝZNAMU
Článek 17
Určení kritických subjektů zvláštního evropského významu
1. Subjekt se považuje za kritický subjekt zvláštního evropského významu, pokud:
|
a) |
byl určen jako kritický subjekt podle čl. 6 odst. 1; |
|
b) |
poskytuje stejné nebo podobné základní služby v šesti nebo více členských státech nebo do těchto států; a |
|
c) |
byl jako takový vyrozuměn podle odstavce 3 tohoto článku. |
2. Členské státy zajistí, aby kritický subjekt po vyrozumění podle čl. 6 odst. 3 informoval příslušný orgán, pokud poskytuje základní služby v šesti nebo více členských státech nebo do těchto států. V takovém případě členský stát zajistí, aby tento kritický subjekt informoval příslušný orgán o základních službách, jež poskytuje těmto členským státům nebo v nich, a aby tyto členské státy uvedl. Členské státy oznámí Komisi bez zbytečného odkladu identitu kritických subjektů a informace, jež poskytují podle tohoto odstavce.
Komise vede konzultace s příslušným orgánem členského státu, který určil kritický subjekt podle prvního pododstavce, s příslušným orgánem dalších dotčených členských států a s dotčeným kritickým subjektem. Během těchto konzultací každý členský stát informuje Komisi, má-li za to, že služby, které mu kritický subjekt poskytuje, jsou základními službami.
3. Pokud Komise na základě konzultací podle odstavce 2 tohoto článku rozhodne, že dotčený kritický subjekt poskytuje základní služby v šesti nebo více členských státech nebo do těchto států, Komise vyrozumí kritický subjekt prostřednictvím příslušného orgánu, že je považován za kritický subjekt zvláštního evropského významu a rovněž ho vyrozumí o povinnostech podle této kapitoly a o datu, od kterého se na něj tyto povinnosti vztahují. Jakmile Komise příslušný orgán informuje o svém rozhodnutí, podle kterého se určitý subjekt považuje za kritický subjekt zvláštního evropského významu, příslušný orgán postoupí bez zbytečného odkladu toto oznámení dotčenému kritickému subjektu.
4. Tato kapitola se na dotčený kritický subjekt zvláštního evropského významu vztahuje ode dne obdržení vyrozumění podle odstavce 3 tohoto článku.
Článek 18
Poradní mise
1. Na žádost členského státu, který určil kritický subjekt zvláštního evropského významu jakožto kritický subjekt podle čl. 6 odst. 1, Komise zorganizuje poradní misi za účelem posouzení opatření, která tento kritický subjekt zavedl za účelem splnění svých povinností podle kapitoly III.
2. Komise z vlastního podnětu nebo na žádost jednoho či více z členských států, jimž nebo v nichž jsou poskytovány základní služby, zorganizuje poradní misi podle odstavce 1 tohoto článku, souhlasí-li s tím členský stát, který kritický subjekt zvláštního evropského významu určil podle čl. 6 odst. 1 jakožto kritický subjekt.
3. Na základě odůvodněné žádosti Komise nebo jednoho či více z členských států, jimž nebo v nichž se základní služba poskytuje, poskytne členský stát, který určil kritický subjekt zvláštního evropského významu jakožto kritický subjekt podle čl. 6 odst. 1, Komisi následující :
|
a) |
relevantní části posouzení rizik kritického subjektu; |
|
b) |
seznam relevantních opatření přijatých v souladu s článkem 13; |
|
c) |
opatření v oblasti dohledu nebo vymáhání, včetně posouzení dodržování předpisů nebo vydaných příkazů, které příslušný orgán v souvislosti s tímto kritickým subjektem přijal podle článků 21 a 22. |
4. Poradní mise podá o svých zjištěních zprávu Komisi, členskému státu, který určil kritický subjekt zvláštního evropského významu jakožto kritický subjekt podle čl. 6 odst. 1, členským státům, jimž nebo v nichž se základní služba poskytuje, a dotčenému kritickému subjektu do tří měsíců od ukončení poradní mise.
Členské státy, do nichž nebo v nichž se základní služba poskytuje, zprávu podle prvního pododstavce analyzují a v případě potřeby Komisi informují, zda dotčený kritický subjekt zvláštního evropského významu plní své povinnosti podle kapitoly III, a případně jaká opatření by mohla být přijata k posílení odolnosti uvedeného kritického subjektu.
Komise na základě informací podle druhého pododstavce tohoto odstavce sdělí své stanovisko členskému státu, který určil kritický subjekt zvláštního evropského významu jakožto kritický subjekt podle čl. 6 odst. 1, členským státům, do nichž nebo v nichž se základní služba poskytuje, a uvedenému kritickému subjektu ohledně toho, zda uvedený kritický subjekt plní své povinnosti podle kapitoly III, a případně o tom, jaká opatření by mohla být přijata k posílení odolnosti uvedeného kritického subjektu.
Členský stát, který určil kritický subjekt zvláštního evropského významu jakožto kritický subjekt podle čl. 6 odst. 1, zajistí, aby jeho dotčený příslušný orgán i dotčený kritický subjekt zohlednily stanovisko podle třetího pododstavce tohoto odstavce a poskytly Komisi a členským státům, do nichž nebo v nichž je základní služba poskytována, informace o opatřeních, která na základě uvedeného stanoviska přijal.
5. Každá poradní mise se skládá z odborníků z členského státu, v němž se kritický subjekt zvláštního evropského významu nachází, z odborníků z členských států, do nichž nebo v nichž se základní služba poskytuje, a zástupců Komise. Uvedené členské státy mohou navrhnout kandidáty na členy poradní mise. Komise po konzultaci s členským státem, který určil kritický subjekt zvláštního evropského významu jako kritický subjekt podle čl. 6 odst. 1, vybírá a jmenuje členy každé poradní mise v souladu s jejich odbornou způsobilostí a zajišťuje pokud možno zeměpisně vyvážené zastoupení ze všech uvedených členských států. Kdykoli je to nezbytné, musí mít členové poradní mise platnou odpovídající bezpečnostní prověrku. Náklady spojené s účastí v poradní misi nese Komise.
Komise organizuje program každé poradní mise po konzultaci s členy dané poradní mise a po dohodě s členským státem, který určil kritický subjekt zvláštního evropského významu jako kritický subjekt podle čl. 6 odst. 1.
6. Komise přijme prováděcí akt, kterým se stanoví pravidla týkající se procesních opatření pro žádosti o organizování poradních misí, vyřizování těchto žádostí, provádění poradních misí a zprávy z nich a pro zacházení se sdělením stanoviska Komise podle odst. 4 třetího pododstavce tohoto článku a o přijatých opatřeních, a to s náležitým ohledem na důvěrnost a obchodní citlivost dotčených informací. Tento prováděcí akt se přijímá přezkumným postupem podle článku 24 odst. 2.
7. Členské státy zajistí, aby kritické subjekty zvláštního evropského významu poskytly poradním misím přístup k informacím, systémům a zařízením souvisejícím s poskytováním jejich základních služeb nezbytných pro uskutečnění dotčené poradní mise.
8. Poradní mise se uskutečňují v souladu s příslušným vnitrostátním právem členského státu, v němž se konají, přičemž je respektována odpovědnost tohoto členského státu za národní bezpečnost a ochranu jeho bezpečnostních zájmů.
9. Při organizování poradních misí zohlední Komise zprávy o jakýchkoli inspekcích prováděných Komisí podle nařízení (ES) č. 725/2004 a (ES) č. 300/2008 a zprávy o jakémkoli monitorování prováděném Komisí podle směrnice 2005/65/ES v souvislosti s dotčeným kritickým subjektem.
10. Komise informuje skupinu pro odolnost kritických subjektů podle článku 19, kdykoli je poradní mise pořádána. Členský stát, v němž se poradní mise konala, a Komise rovněž informují skupinu pro odolnost kritických subjektů o hlavních zjištěních poradní mise a získaných poznatcích, aby se podpořilo vzájemné učení.
KAPITOLA V
SPOLUPRÁCE A PŘEDKLÁDÁNÍ ZPRÁV
Článek 19
Skupina pro odolnost kritických subjektů
1. Zřizuje se skupina pro odolnost kritických subjektů. Skupina pro odolnost kritických subjektů podporuje Komisi a usnadňuje spolupráci mezi členskými státy a výměnu informací o otázkách týkajících se této směrnice.
2. Skupina pro odolnost kritických subjektů je složena ze zástupců členských států a Komise, kteří mají v relevantních případech bezpečnostní prověrku. Je-li to pro plnění jejích úkolů relevantní, může skupina pro odolnost kritických subjektů přizvat příslušné zúčastněné strany k účasti na plnění svých úkolů. Na žádost Evropského parlamentu může Komise přizvat k účasti na schůzích skupiny pro odolnost kritických subjektů odborníky z Evropského parlamentu.
Skupině pro odolnost kritických subjektů předsedá zástupce Komise.
3. Skupina pro odolnost kritických subjektů má tyto úkoly:
|
a) |
podporuje Komisi v rámci pomoci členským státům při posilování jejich kapacity přispívat k zajištění odolnosti kritických subjektů v souladu s touto směrnicí; |
|
b) |
analyzuje strategie s cílem určit osvědčené postupy ve vztahu ke strategiím; |
|
c) |
usnadňuje výměnu osvědčených postupů, pokud jde o určení kritických subjektů členskými státy podle čl. 6 odst. 1, a to i v souvislosti s přeshraničními a meziodvětvovými závislostmi a ohledně rizik a incidentů; |
|
d) |
tam, kde je to vhodné, přispívá v záležitostech souvisejících s touto směrnicí k dokumentům týkajícím se odolnosti na úrovni Unie; |
|
e) |
přispívá k přípravě pokynů uvedených v čl. 7 odst. 3 a čl. 13 odst. 5 a na požádání přispívá k přípravě jakýchkoli aktů v přenesené pravomoci nebo prováděcích aktů přijatých podle této směrnice ; |
|
f) |
analyzuje souhrnné zprávy uvedené v čl. 9 odst. 3 s cílem podpořit sdílení osvědčených postupů týkajících se opatření přijatých v souladu s čl. 15 odst. 3; |
|
g) |
zajišťuje výměnu osvědčených postupů souvisejících s hlášením incidentů uvedeným v článku 15; |
|
h) |
zabývá se souhrnnými zprávami poradních misí a získanými poznatky v souladu s čl. 18 odst. 10; |
|
i) |
zajišťuje výměnu informací a osvědčených postupů v oblasti inovací, výzkumu a vývoje, pokud jde o odolnost kritických subjektů v souladu s touto směrnicí; |
|
j) |
v náležitých případech zajišťuje výměnu informací v záležitostech týkajících se odolnosti kritických subjektů s příslušnými orgány, institucemi, úřady a agenturami Unie. |
4. Do 17. ledna 2025 a poté každé dva roky stanoví skupina pro odolnost kritických subjektů pracovní program zahrnující činnosti, jež mají být uskutečněny k dosažení cílů a splnění úkolů této skupiny. Tento pracovní program odpovídá cílům a požadavkům této směrnice.
5. Skupina pro odolnost kritických subjektů se pravidelně a v každém případě nejméně jednou ročně schází se skupinou pro spolupráci zřízenou podle směrnice (EU) 2022/2555, aby podpořila a usnadnila strategickou spolupráci a výměnu informací.
6. Komise může přijmout prováděcí akty, kterými stanoví procesní pravidla nezbytná pro fungování skupiny pro odolnost kritických subjektů při dodržení čl. 1 odst. 4. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 24 odst. 2.
7. Komise poskytne skupině pro odolnost kritických subjektů souhrnnou zprávu o informacích poskytnutých členskými státy podle čl. 4 odst. 3 a čl. 5 odst. 4 do 17. ledna 2027 a následně kdykoliv je to nutné a alespoň každé čtyři roky.
Článek 20
Podpora Komise příslušným orgánům a kritickým subjektům
1. Komise v příslušných případech podporuje členské státy a kritické subjekty při plnění jejich povinností podle této směrnice. Komise vypracuje přehled na úrovni Unie týkající se přeshraničních a meziodvětvových rizik pro poskytování základních služeb, pořádá poradní mise podle čl. 13 odst. 4 a článku 18 a usnadňuje výměnu informací mezi členskými státy a odborníky v celé Unii.
2. Komise doplňuje činnosti členských států podle článku 10 tím, že vypracuje osvědčené postupy, pokyny a metodiky a zavede přeshraniční vzdělávací činnosti a cvičení sloužící k otestování odolnosti kritických subjektů.
3. Komise informuje členské státy o finančních zdrojích na úrovni Unie, které mají členské státy k dispozici na posílení odolnosti kritických subjektů.
KAPITOLA VI
DOHLED A VYMÁHÁNÍ
Článek 21
Dohled a vymáhání
1. Za účelem posouzení, zda subjekty, které členské státy určily jakožto kritické subjekty podle čl. 6 odst. 1, dodržují povinnosti stanovené v této směrnici, členské státy zajistí, aby příslušné orgány měly pravomoci a prostředky k:
|
a) |
provádění kontrol na místě u kritické infrastruktury a v prostorách, které kritický subjekt používá k poskytování svých základních služeb, a dohledu nad opatřeními, jež kritické subjekty přijaly v souladu s článkem 13; |
|
b) |
provádění nebo nařízení auditů ve vztahu ke kritickým subjektům. |
2. Členské státy zajistí, aby příslušné orgány měly pravomoci a prostředky požadovat, je-li to pro plnění jejich úkolů podle této směrnice nezbytné, aby subjekty podle směrnice (EU) 2022/2555, které členské státy určily jakožto kritické subjekty podle této směrnice, poskytly v přiměřené lhůtě stanovené těmito orgány:
|
a) |
informace nezbytné k posouzení, zda opatření přijatá těmito subjekty k zajištění jejich odolnosti splňují požadavky stanovené v článku 13; |
|
b) |
důkazy o účinném provádění těchto opatření, včetně výsledků auditu, který byl proveden kvalifikovaným auditorem, jehož daný subjekt vybral, a který byl proveden na náklady uvedeného subjektu. |
Pokud příslušné orgány žádají o poskytnutí těchto informací, uvedou účel svého požadavku a upřesní požadované informace.
3. Aniž je dotčena možnost ukládat sankce v souladu s článkem 22, mohou příslušné orgány na základě opatření v oblasti dohledu uvedených v odstavci 1 tohoto článku nebo na základě posouzení informací uvedených v odstavci 2 tohoto článku uložit dotčeným kritickým subjektům, aby přijaly nezbytná a přiměřená opatření k nápravě jakéhokoli zjištěného porušení této směrnice v přiměřené lhůtě stanovené těmito orgány a aby těmto orgánům poskytly informace o přijatých opatřeních. Tato nařízení zohlední zejména závažnost porušení.
4. Členský stát zajistí, aby pravomoci stanovené v odstavcích 1, 2 a 3 mohly být vykonávány pouze za předpokladu odpovídajících záruk. Tyto záruky zaručí zejména to, aby takový výkon probíhal objektivně, transparentně a přiměřeně a aby byla náležitě chráněna práva a oprávněné zájmy dotčených kritických subjektů, jako jsou ochrana obchodního tajemství, včetně práva být vyslechnut, práva na obhajobu a práva na účinnou právní ochranu před nezávislým soudem.
5. V případě, že příslušný orgán podle této směrnice v souladu s tímto článkem posuzuje, zda kritický subjekt dodržuje předpisy, členské státy zajistí, aby o tom uvedený příslušný orgán informoval příslušné orgány dotčeného členského státu podle směrnice (EU) 2022/2555 Za tímto účelem členské státy zajistí, aby příslušné orgány podle této směrnice mohly požádat příslušné orgány podle směrnice (EU) 2022/2555 o výkon pravomocí v oblasti dohledu a vymáhání ve vztahu k subjektu podle uvedené směrnice, který je určen jakožto kritický subjekt podle této směrnice. Za tímto účelem členské státy zajistí, aby příslušné orgány podle této směrnice spolupracovaly s příslušnými orgány podle směrnice (EU) 2022/2555 a vyměňovaly si s nimi informace.
Článek 22
Sankce
Členské státy stanoví pravidla pro sankce za porušení vnitrostátních opatření přijatých na základě této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy uvědomí o těchto pravidlech a opatřeních Komisi do 17. října 2024 a neprodleně ji uvědomí o veškerých pozdějších změnách, které se jich dotýkají.
KAPITOLA VII
AKTY V PŘENESENÉ PRAVOMOCI A PROVÁDĚCÍ AKTY
Článek 23
Výkon přenesené pravomoci
1. Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.
2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 5 odst. 1 je svěřena Komisi na dobu pěti let od 16. ledna 2023.
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 5 odst. 1 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.
4. Před přijetím aktu v přenesené pravomoci Komise vede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.
5. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.
6. Akt v přenesené pravomoci přijatý podle čl. 5 odst. 1 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament ani Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.
Článek 24
Postup projednávání ve výboru
1. Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.
2. Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.
KAPITOLA VIII
ZÁVĚREČNÁ USTANOVENÍ
Článek 25
Předkládání zpráv a přezkum
Do 17. července 2027 Komise předloží Evropskému parlamentu a Radě zprávu, v níž posoudí, do jaké míry každý členský stát přijal opatření nezbytná pro dosažení souladu s touto směrnicí.
Komise pravidelně přezkoumává fungování této směrnice a podává zprávu Evropskému parlamentu a Radě. V uvedené zprávě zejména posoudí přidanou hodnotu této směrnice, její dopad na zajištění odolnosti kritických subjektů a to, zda by měla být příloha směrnice změněna. První takovou zprávu předloží Komise do 17. června 2029. Za účelem podávání zpráv podle tohoto článku Komise zohlední příslušné dokumenty skupiny pro odolnost kritických subjektů.
Článek 26
Provedení ve vnitrostátním právu
1. Členské státy do 17. října 2024 přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Použijí tato opatření od 18. října 2024.
2. Opatření uvedená v odstavci 1 přijatá členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.
Článek 27
Zrušení směrnice 2008/114/ES
Směrnice 2008/114/ES se zrušuje s účinkem od 18. října 2024.
Odkazy na zrušenou směrnici se považují za odkazy na tuto směrnici.
Článek 28
Vstup v platnost
Tato směrnice vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Článek 29
Určení
Tato směrnice je určena členským státům.
Ve Štrasburku dne 14. prosince 2022.
Za Evropský parlament
předsedkyně
R. METSOLA
Za Radu
předseda
M. BEK
(1) Úř. věst. C 286, 16.7.2021, s. 170.
(2) Úř. věst. C 440, 29.10.2021, s. 99.
(3) Postoj Evropského parlamentu ze dne 22. listopadu 2022 (dosud nezveřejněný v Úředním věstníku) a postoj Rady ze dne 8. prosince 2022.
(4) Směrnice Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu (Úř. věst. L 345, 23.12.2008, s. 75).
(5) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice o bezpečnosti sítí a informací 2) (viz strana 80 v tomto čísle Úředního věstníku).
(6) Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1).
(7) Nařízení Evropského parlamentu a Rady (EU) 2019/452 ze dne 19. března 2019, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie (Úř. věst. L 79I, 21.3.2019, s. 1).
(8) Nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů (Úř. věst. L 201, 27.7.2012, s. 1).
(9) Nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 176, 27.6.2013, s. 1).
(10) Nařízení Evropského parlamentu a Rady (EU) č. 600/2014 ze dne 15. května 2014 o trzích finančních nástrojů a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 173, 12.6.2014, s. 84).
(11) Směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES (Úř. věst. L 176, 27.6.2013, s. 338).
(12) Směrnice Evropského parlamentu a Rady 2014/65/EU ze dne 15. května 2014 o trzích finančních nástrojů a o změně směrnic 2002/92/ES a 2011/61/EU (Úř. věst. L 173, 12.6.2014, s. 349).
(13) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (viz strana 1 v tomto čísle Úředního věstníku).
(14) Nařízení Evropského parlamentu a Rady (ES) č. 725/2004 ze dne 31. března 2004 o zvýšení bezpečnosti lodí a přístavních zařízení (Úř. věst. L 129, 29.4.2004, s. 6).
(15) Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy a o zrušení nařízení (ES) č. 2320/2002 (Úř. věst. L 97, 9.4.2008, s. 72).
(16) Směrnice Evropského parlamentu a Rady 2005/65/ES ze dne 26. října 2005 o zvýšení zabezpečení přístavů (Úř. věst. L 310, 25.11.2005, s. 28).
(17) Směrnice Evropského parlamentu a Rady 2008/96/ES ze dne 19. listopadu 2008 o řízení bezpečnosti silniční infrastruktury (Úř. věst. L 319, 29.11.2008, s. 59).
(18) Rozhodnutí Komise ze dne 29. června 2018 o zřízení platformy EU pro bezpečnost cestujících v železniční dopravě 2018/C 232/03(Úř. věst. C 232, 3.7.2018, s. 10).
(19) Rámcové rozhodnutí Rady 2009/315/SVV ze dne 26. února 2009 o organizaci a obsahu výměny informací z rejstříku trestů mezi členskými státy (Úř. věst. L 93, 7.4.2009, s. 23).
(20) Nařízení Evropského parlamentu a Rady (EU) 2019/816 ze dne 17. dubna 2019, kterým se zřizuje centralizovaný systém pro identifikaci členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti (ECRIS-TCN), na doplnění Evropského informačního systému rejstříků trestů, a kterým se mění nařízení (EU) 2018/1726 (Úř. věst. L 135, 22.5.2019, s. 1).
(21) Nařízení Evropského parlamentu a Rady (EU) 2018/1862 ze dne 28. listopadu 2018 o zřízení, provozu a využívání Schengenského informačního systému (SIS) v oblasti policejní spolupráce a justiční spolupráce v trestních věcech, o změně a o zrušení rozhodnutí Rady 2007/533/SVV a o zrušení nařízení Evropského parlamentu a Rady (ES) č. 1986/2006 a rozhodnutí Komise 2010/261/EU (Úř. věst. L 312, 7.12.2018, s. 56).
(22) Rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie (Úř. věst. L 347, 20.12.2013, s. 924).
(23) Nařízení Evropského parlamentu a Rady (EU) 2021/1149 ze dne 7. července 2021, kterým se zřizuje Fond pro vnitřní bezpečnost (Úř. věst. L 251, 15.7.2021, s. 94).
(24) Nařízení Evropského parlamentu a Rady (EU) 2021/695 ze dne 28. dubna 2021, kterým se zavádí rámcový program pro výzkum a inovace Horizont Evropa a stanoví pravidla pro účast a šíření výsledků a zrušují nařízení (EU) č. 1290/2013 a (EU) č. 1291/2013 (Úř. věst. L 170, 12.5.2021, s. 1).
(25) Úř. věst. L 123, 12.5.2016, s. 1.
(26) Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).
(27) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(28) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
(29) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).
(30) Nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES (Úř. věst. L 316, 14.11.2012, s. 12).
(31) Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).
(32) Směrnice Evropského parlamentu a Rady (EU) 2017/541 ze dne 15. března 2017 o boji proti terorismu, kterou se nahrazuje rámcové rozhodnutí Rady 2002/475/SVV a mění rozhodnutí Rady 2005/671/SVV (Úř. věst. L 88, 31.3.2017, s. 6).
(33) Nařízení Evropského parlamentu a Rady (EU) 2017/1938 ze dne 25. října 2017 o opatřeních na zajištění bezpečnosti dodávek zemního plynu a o zrušení nařízení (EU) č. 994/2010 (Úř. věst. L 280, 28.10.2017, s. 1).
(34) Nařízení Evropského parlamentu a Rady (EU) 2019/941 ze dne 5. června 2019 o rizikové připravenosti v odvětví elektroenergetiky a o zrušení směrnice 2005/89/ES (Úř. věst. L 158, 14.6.2019, s. 1).
(35) Směrnice Evropského parlamentu a Rady 2007/60/ES ze dne 23. října 2007 o vyhodnocování a zvládání povodňových rizik (Úř. věst. L 288, 6.11.2007, s. 27).
(36) Směrnice Evropského parlamentu a Rady 2012/18/EU ze dne 4. července 2012 o kontrole nebezpečí závažných havárií s přítomností nebezpečných látek a o změně a následném zrušení směrnice Rady 96/82/ES (Úř. věst. L 197, 24.7.2012, s. 1).
(37) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).
PŘÍLOHA
Odvětví, pododvětví a kategorie subjektů
|
Odvětví |
Pododvětví |
Kategorie subjektů |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
|
|||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
(1) Směrnice Evropského parlamentu a Rady (EU) 2019/944 ze dne 5. června 2019 o společných pravidlech pro vnitřní trh s elektřinou a o změně směrnice 2012/27/EU (Úř. věst. L 158, 14.6.2019, s. 125).
(2) Nařízení Evropského parlamentu a Rady (EU) 2019/943 ze dne 5. června 2019 o vnitřním trhu s elektřinou (Úř. věst. L 158, 14.6.2019, s. 54).
(3) Směrnice Evropského parlamentu a Rady (EU) 2018/2001 ze dne 11. prosince 2018 o podpoře využívání energie z obnovitelných zdrojů (Úř. věst. L 328, 21.12.2018, s. 82).
(4) Směrnice Rady 2009/119/ES ze dne 14. září 2009, kterou se členským státům ukládá povinnost udržovat minimální zásoby ropy nebo ropných produktů (Úř. věst. L 265, 9.10.2009, s. 9).
(5) Směrnice Evropského parlamentu a Rady 2009/73/ES ze dne 13. července 2009 o společných pravidlech pro vnitřní trh se zemním plynem a o zrušení směrnice 2003/55/ES (Úř. věst. L 211, 14.8.2009, s. 94).
(6) Směrnice Evropského parlamentu a Rady 2009/12/ES ze dne 11. března 2009 o letištních poplatcích (Úř. věst. L 70, 14.3.2009, s. 11).
(7) Nařízení Evropského parlamentu a Rady (ES) č. 1315/2013 ze dne 11. prosince 2013 o hlavních směrech Unie pro rozvoj transevropské dopravní sítě a o zrušení rozhodnutí č. 661/2010/EU (Úř. věst. L 348, 20.12.2013, s. 1).
(8) Nařízení Evropského parlamentu a Rady (ES) č. 549/2004 ze dne 10. března 2004, kterým se stanoví rámec pro vytvoření jednotného evropského nebe (rámcové nařízení) (Úř. věst. L 96, 31.3.2004, s. 1).
(9) Směrnice Evropského parlamentu a Rady 2012/34/EU ze dne 21. listopadu 2012 o vytvoření jednotného evropského železničního prostoru (Úř. věst. L 343, 14.12.2012, s. 32).
(10) Směrnice Evropského parlamentu a Rady 2002/59/ES ze dne 27. června 2002, kterou se stanoví kontrolní a informační systém Společenství pro provoz plavidel a kterou se zrušuje směrnice Rady 93/75/EHS (Úř. věst. L 208, 5.8.2002, s. 10).
(11) Nařízení Komise v přenesené pravomoci (EU) 2015/962 ze dne 18. prosince 2014, kterým se doplňuje směrnice Evropského parlamentu a Rady 2010/40/EU, pokud jde o poskytování informačních služeb o dopravním provozu v reálném čase v celé EU (Úř. věst. L 157, 23.6.2015, s. 21).
(12) Směrnice Evropského parlamentu a Rady 2010/40/EU ze dne 7. července 2010 o rámci pro zavedení inteligentních dopravních systémů v oblasti silniční dopravy a pro rozhraní s jinými druhy dopravy (Úř. věst. L 207, 6.8.2010, s. 1).
(13) Nařízení Evropského parlamentu a Rady (ES) č. 1370/2007 ze dne 23. října 2007 o veřejných službách v přepravě cestujících po železnici a silnici a o zrušení nařízení Rady (EHS) č. 1191/69 a č. 1107/70 (Úř. věst. L 315, 3.12.2007, s. 1).
(14) Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).
(15) Nařízení Evropského parlamentu a Rady (EU) 2022/2371 ze dne 23. listopadu 2022 o vážných přeshraničních zdravotních hrozbách a o zrušení rozhodnutí č. 1082/2013/EU (Úř. věst. L 314, 6.12.2022, s. 26).
(16) Směrnice Evropského parlamentu a Rady 2001/83/ES ze dne 6. listopadu 2001 o kodexu Společenství týkajícím se humánních léčivých přípravků (Úř. věst. L 311, 28.11.2001, s. 67).
(17) Nařízení Evropského parlamentu a Rady (EU) 2022/123 ze dne 25. ledna 2022 o posílené úloze Evropské agentury pro léčivé přípravky při připravenosti na krize a krizovém řízení v oblasti léčivých přípravků a zdravotnických prostředků (Úř. věst. L 20, 31.1.2022, s. 1).
(18) Směrnice Evropského parlamentu a Rady (EU) 2020/2184 ze dne 16. prosince 2020 o jakosti vody určené k lidské spotřebě (Úř. věst. L 435, 23.12.2020, s. 1).
(19) Směrnice Rady 91/271/EHS ze dne 21. května 1991 o čištění městských odpadních vod (Úř. věst. L 135, 30.5.1991, s. 40).
(20) Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73).
(21) Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (Úř. věst. L 321, 17.12.2018, s. 36).
(22) Nařízení Evropského parlamentu a Rady (ES) č. 178/2002 ze dne 28. ledna 2002, kterým se stanoví obecné zásady a požadavky potravinového práva, zřizuje se Evropský úřad pro bezpečnost potravin a stanoví postupy týkající se bezpečnosti potravin (Úř. věst. L 31, 1.2.2002, s. 1).