DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2557
z dnia 14 grudnia 2022 r.
w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE
(Tekst mający znaczenie dla EOG)
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,
uwzględniając wniosek Komisji Europejskiej,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,
uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego (1),
uwzględniając opinię Komitetu Regionów (2),
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą (3),
a także mając na uwadze, co następuje:
(1) Podmioty krytyczne, jako dostawcy usług kluczowych, odgrywają nieodzowną rolę w utrzymaniu niezbędnych funkcji społecznych lub niezbędnej działalności gospodarczej na rynku wewnętrznym w coraz bardziej współzależnej gospodarce Unii. Konieczne jest zatem określenie unijnych ram mających na celu zarówno zwiększenie odporności podmiotów krytycznych na rynku wewnętrznym poprzez ustanowienie zharmonizowanych przepisów określających minimalne standardy, jak i pomaganie tym podmiotom poprzez spójne i ukierunkowane środki wsparcia i nadzoru.
(2) Dyrektywa Rady 2008/114/WE (4) przewiduje procedurę wyznaczania w sektorach energii i transportu europejskiej infrastruktury krytycznej, której zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny na co najmniej dwa państwa członkowskie. Dyrektywa ta koncentruje się wyłącznie na ochronie takiej infrastruktury. Ocena dyrektywy 2008/114/WE przeprowadzona w 2019 r. wykazała jednak, że ze względu na w coraz większym stopniu wzajemnie powiązany i transgraniczny charakter operacji wykorzystujących infrastrukturę krytyczną środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury są niewystarczające, aby zapobiec wszystkim zakłóceniom. Wobec tego niezbędna jest zmiana podejścia z myślą o zapewnieniu lepszego uwzględniania ryzyk, lepszego zdefiniowania i uspójnienia ról i obowiązków podmiotów krytycznych jako dostawców usług kluczowych dla funkcjonowania rynku wewnętrznego oraz przyjęcia unijnych przepisów na rzecz zwiększenia odporności podmiotów krytycznych. Podmioty krytyczne powinny być w stanie zwiększyć swoje zdolności do zapobiegania incydentom mogącym zakłócić świadczenie usług kluczowych, ochrony przed takimi incydentami i odpowiedzi na nie, stawiania im oporu, łagodzenia i absorbowania ich oraz adaptacji i odtworzenia po takich incydentach.
(3) Chociaż pewne środki istniejące na poziomie unijnym, takie jak europejski program ochrony infrastruktury krytycznej, i krajowym mają na celu wspieranie ochrony infrastruktury krytycznej w Unii, należy zrobić więcej, aby lepiej przygotować podmioty będące operatorami takiej infrastruktury do reagowania na ryzyko dla ich funkcjonowania, które mogłoby prowadzić do zakłóceń w świadczeniu usług kluczowych. Należy również zrobić więcej, aby lepiej przygotować takie podmioty na dynamiczny krajobraz zagrożeń, obejmujący m.in. ewoluujące zagrożenia hybrydowe i terrorystyczne, i na rosnące współzależności między infrastrukturą a sektorami. Ponadto istnieje zwiększone fizyczne ryzyko związane z klęskami żywiołowymi i zmianą klimatu, która zwiększa częstotliwość i skalę ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolności, skuteczność i okres eksploatacji niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu przystosowania się do zmiany klimatu. Ponadto rynek wewnętrzny charakteryzuje się fragmentacją w zakresie identyfikacji podmiotów krytycznych, ponieważ odpowiednie sektory i kategorie podmiotów nie są spójnie uznawane za krytyczne we wszystkich państwach członkowskich. Niniejsza dyrektywa powinna zatem umocnić harmonizację w odniesieniu do sektorów i kategorii podmiotów objętych jej zakresem stosowania.
(4) Chociaż niektóre sektory gospodarki, takie jak sektory energii i transportu, są już regulowane sektorowymi aktami prawnymi Unii, te akty prawne zawierają przepisy dotyczące jedynie niektórych aspektów odporności podmiotów prowadzących działalność w tych sektorach. Aby podejść w sposób kompleksowy do kwestii odporności podmiotów, które są krytyczne dla prawidłowego funkcjonowania rynku wewnętrznego, niniejsza dyrektywa tworzy nadrzędne ramy dotyczące odporności podmiotów krytycznych na wszystkie zagrożenia, bez względu na to, czy są to zagrożenia naturalne czy spowodowane przez człowieka, przypadkowe czy zamierzone.
(5) Te rosnące współzależności między infrastrukturą a sektorami są rezultatem w coraz większym stopniu transgranicznej i współzależnej sieci świadczenia usług wykorzystującej kluczową infrastrukturę w całej Unii w sektorach energii, transportu, bankowości, wody pitnej, ścieków, produkcji, przetwarzania i dystrybucji żywności, zdrowia, w sektorze kosmicznym, w sektorach infrastruktury rynku finansowego i infrastruktury cyfrowej, a także w zakresie niektórych aspektów sektora administracji publicznej. Sektor kosmiczny jest objęty zakresem stosowania niniejszej dyrektywy w odniesieniu do świadczenia niektórych usług zależnych od naziemnej infrastruktury, której właścicielami, zarządcami i operatorami są państwa członkowskie lub podmioty prywatne; w związku z tym infrastruktura, której właścicielem jest, którą zarządza lub którą obsługuje Unia w ramach swojego programu kosmicznego lub jeśli odbywa się to w jej imieniu nie jest objęta zakresem stosowania niniejszej dyrektywy.
Jeżeli chodzi o sektor energii, a w szczególności metody wytwarzania i przesyłania energii elektrycznej (w odniesieniu do dostaw energii elektrycznej), rozumie się, że w stosownych przypadkach wytwarzanie energii elektrycznej może obejmować części elektrowni jądrowych zajmujące się przesyłaniem energii elektrycznej, z wyłączeniem elementów wyraźnie jądrowych, które są objęte umowami międzynarodowymi i prawem Unii, w tym odpowiednimi aktami prawnymi Unii dotyczącymi energii jądrowej. Proces identyfikacji podmiotów krytycznych w sektorze spożywczym powinien odpowiednio odzwierciedlać charakter rynku wewnętrznego w tym sektorze oraz kompleksowe przepisy unijne dotyczące ogólnych zasad i wymogów prawa żywnościowego i w zakresie bezpieczeństwa żywności. Dlatego też, w celu zapewnienia proporcjonalnego podejścia oraz odpowiedniego odzwierciedlenia roli i znaczenia tych podmiotów na poziomie krajowym, podmioty krytyczne należy identyfikować jedynie spośród tych przedsiębiorstw spożywczych, które zajmują się wyłącznie logistyką, dystrybucją hurtową oraz produkcją przemysłową i przetwórstwem przemysłowym na dużą skalę i o znaczącym udziale w rynku na poziomie krajowym - przy czym nie ma znaczenia, czy działają one w celach zarobkowych czy nie i czy mają charakter publiczny czy prywatny. Współzależności te oznaczają, że jakiekolwiek zakłócenie usług kluczowych, nawet takie, które początkowo ogranicza się do jednego podmiotu lub jednego sektora, może wywołać efekt kaskadowy na szerszą skalę, potencjalnie prowadzący do daleko idącego i długoterminowego negatywnego wpływu na świadczenie usług na rynku wewnętrznym. Poważne kryzysy, takie jak pandemia COVID-19, uwidoczniają podatność naszych w coraz większym stopniu współzależnych społeczeństw na ryzyko o dużym wpływie i niskim prawdopodobieństwie.
(6) Podmioty zaangażowane w świadczenie usług kluczowych w coraz większym stopniu podlegają rozbieżnym wymaganiom nakładanym na nie na mocy prawa krajowego. Fakt, iż niektóre państwa członkowskie mają względem tych podmiotów mniej surowe wymagania w zakresie bezpieczeństwa, nie tylko prowadzi do zróżnicowania poziomów odporności, ale może też negatywnie wpływać na utrzymanie niezbędnych funkcji społecznych lub niezbędnej działalności gospodarczej w Unii oraz prowadzi do powstawania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego. Inwestorzy i przedsiębiorstwa mogą polegać na podmiotach krytycznych i im ufać, jeśli są one odporne, a niezawodność i zaufanie są fundamentami dobrze funkcjonującego rynku wewnętrznego. Podobne rodzaje podmiotów uznaje się za krytyczne w niektórych państwach członkowskich, a w innych państwach członkowskich nie mają one tego statusu, natomiast te zidentyfikowane jako krytyczne podlegają zróżnicowanym wymaganiom w poszczególnych państwach członkowskich. Prowadzi to do powstania dodatkowego i zbędnego obciążenia administracyjnego dla przedsiębiorstw prowadzących działalność transgraniczną, w szczególności dla przedsiębiorstw działających w państwach członkowskich o surowszych wymaganiach. Dlatego unijne ramy doprowadziłyby również do wyrównania warunków działania podmiotów krytycznych w całej Unii.
(7) Konieczne jest wprowadzenie zharmonizowanych przepisów określających minimalne standardy, aby zapewnić świadczenie usług kluczowych na rynku wewnętrznym, zwiększyć odporność podmiotów krytycznych, a także usprawnić transgraniczną współpracę między właściwymi organami. Ważne jest, aby standardy te nie ulegały dezaktualizacji pod względem ich konstrukcji i wdrażania, a jednocześnie pozwalały na niezbędną elastyczność. Kluczowe znaczenie ma również poprawa zdolności podmiotów krytycznych do świadczenia usług kluczowych w obliczu różnego rodzaju zagrożeń.
(8) Aby osiągnąć wysoki poziom odporności, państwa członkowskie powinny zidentyfikować podmioty krytyczne, które będą podlegać szczególnym wymogom i nadzorowi i które będą otrzymywać szczególne wsparcie i wytyczne w przypadku wystąpienia wszystkich istotnych ryzyk.
(9) Biorąc pod uwagę znaczenie cyberbezpieczeństwa z punktu widzenia odporności podmiotów krytycznych oraz mając na względzie zachowanie spójności, należy zapewnić jednolite podejście w niniejszej dyrektywie i dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2555 (5). Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni dyrektywą (UE) 2022/2555 nakłada się kompleksowe wymagania na dużą grupę podmiotów celem zapewnienia ich cyberbezpieczeństwa. Zważywszy, że w dyrektywie (UE) 2022/2555 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę należy wykluczyć z zakresu stosowania niniejszej dyrektywy, bez uszczerbku dla szczególnych uregulowań dotyczących podmiotów w sektorze infrastruktury cyfrowej.
(10) W przypadku gdy przepisy sektorowych aktów prawnych Unii nakładają na podmioty krytyczne wymóg zastosowania środków zwiększających ich odporność, i jeżeli wymogi te są uznawane przez państwa członkowskie za co najmniej równoważne odpowiadającym im obowiązkom przewidzianym w niniejszej dyrektywie, nie powinno się stosować odpowiednich przepisów niniejszej dyrektywy, co pozwoli uniknąć powielania działań i zbędnego obciążenia. W takim przypadku należy stosować odpowiednie przepisy takich innych aktów prawnych Unii. Jeżeli nie stosuje się odpowiednich przepisów niniejszej dyrektywy, przepisów określonych w niniejszej dyrektywie dotyczących nadzoru i egzekwowania przepisów również nie należy stosować.
(11) Niniejsza dyrektywa nie wpływa na kompetencje państw członkowskich i ich organów w zakresie autonomii administracyjnej, ani na ich obowiązek gwarantowania bezpieczeństwa narodowego i obronności lub ich uprawnienia do gwarantowania innych podstawowych funkcji państwa, w szczególności w zakresie bezpieczeństwa publicznego, integralności terytorialnej i utrzymywania porządku publicznego. Wyłączenie podmiotów administracji publicznej z zakresu stosowania niniejszej dyrektywy powinno mieć zastosowanie do podmiotów, które prowadzą działalność głównie w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym w zakresie prowadzenia postępowań przygotowawczych oraz wykrywania i ścigania przestępstw. Niemniej podmioty administracji publicznej, których działalność jest jedynie w niewielkim stopniu związana z tymi obszarami, powinny być objęte zakresem stosowania niniejszej dyrektywy. Do celów niniejszej dyrektywy podmioty posiadające kompetencje regulacyjne nie są uznawane za prowadzące działalność w obszarze egzekwowania prawa i w związku z tym nie są na tej podstawie wyłączone z zakresu jej stosowania. Podmioty administracji publicznej ustanowione wspólnie z państwem trzecim zgodnie z umową międzynarodową, są wyłączone z zakresu stosowania niniejszej dyrektywy. Niniejsza dyrektywa nie ma zastosowania do misji dyplomatycznych i konsularnych państw członkowskich w państwach trzecich.
Niektóre podmioty krytyczne prowadzą działalność w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym w zakresie prowadzenia postępowań przygotowawczych oraz wykrywania i ścigania przestępstw, lub świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, które prowadzą działalność głównie w wymienionych obszarach. W świetle odpowiedzialności państw członkowskich za gwarantowanie bezpieczeństwa narodowego i obronności państwa członkowskie powinny mieć możliwość zdecydowania, że obowiązki podmiotów krytycznych ustanowione w niniejszej dyrektywie nie mają zastosowania, w całości lub w części, do tych podmiotów krytycznych, jeżeli świadczone przez nie usługi lub prowadzona przez nie działalność są głównie związane z obszarami bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym w zakresie prowadzenia postępowań przygotowawczych oraz wykrywania i ścigania przestępstw. Podmioty krytyczne, których usługi lub działalność są jedynie w niewielkim stopniu związane z tymi obszarami, powinny być objęte zakresem stosowania niniejszej dyrektywy. Żadne państwo członkowskie nie powinno mieć obowiązku udzielania informacji, których ujawnienie byłoby sprzeczne z podstawowymi interesami jego bezpieczeństwa narodowego. Istotne znaczenie mają w tym zakresie unijne lub krajowe przepisy dotyczące ochrony informacji niejawnych oraz umowy o zachowaniu poufności.
(12) Aby nie narażać na szwank bezpieczeństwa narodowego ani bezpieczeństwa i interesów handlowych podmiotów krytycznych, dostęp do informacji szczególnie chronionych, ich wymiana i postępowanie z nimi powinny odbywać się z zachowaniem ostrożności i zwróceniem szczególnej uwagi na wykorzystywane kanały transmisji i zdolności przechowywania.
(13) W celu zapewnienia kompleksowego podejścia do odporności podmiotów krytycznych każde państwo członkowskie powinno dysponować strategią mającą na celu zwiększenie odporności podmiotów krytycznych (zwaną dalej „strategią"). Strategie powinny określać cele strategiczne i środki z zakresu polityki, które należy wdrożyć. Dla zachowania spójności i efektywności strategia powinna zostać opracowana w taki sposób, aby sprawnie zintegrować istniejące polityki, w miarę możliwości opierając się na odpowiednich istniejących strategiach krajowych i sektorowych, planach lub podobnych dokumentach. Aby wypracować kompleksowe podejście, państwa członkowskie powinny zapewnić, aby ich strategie przewidywały ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami na mocy niniejszej dyrektywy i właściwymi organami na mocy dyrektywy (UE) 2022/2555, w kontekście wymiany informacji na temat ryzyk w cyberprzestrzeni, cyberzagrożeń i cyberincydentów oraz ryzyk, zagrożeń i incydentów poza cyberprzestrzenią oraz w kontekście wykonywania zadań nadzorczych. Przy określaniu swoich strategii państwa członkowskie powinny należycie uwzględnić hybrydowy charakter zagrożeń dotyczących podmiotów krytycznych.
(14) Państwa członkowskie powinny przekazywać Komisji swoje strategie oraz ich istotne aktualizacje, w szczególności aby umożliwić Komisji ocenę prawidłowego stosowania niniejszej dyrektywy w odniesieniu do przyjętych na poziomie krajowym podejść politycznych do odporności podmiotów krytycznych. W razie potrzeby strategie te mogłyby być przekazywane jako informacje niejawne. Komisja powinna sporządzić sprawozdanie podsumowujące strategie przekazane przez państwa członkowskie, które w ramach prac Grupy ds. Odporności Podmiotów Krytycznych posłuży za podstawę wymiany informacji w celu identyfikowania najlepszych praktyk i kwestii będących przedmiotem wspólnego zainteresowania. Ze względu na wrażliwy charakter zagregowanych informacji zawartych w sprawozdaniu podsumowującym - niezależnie od tego, czy informacje te mają charakter niejawny - Komisja powinna przygotowywać sprawozdanie podsumowujące zwracając odpowiednią uwagę na bezpieczeństwo podmiotów krytycznych, państw członkowskich i Unii. Sprawozdanie podsumowujące i strategie powinny być chronione przed działaniami niezgodnymi z prawem lub działaniami w złym zamiarze i powinny być dostępne wyłącznie dla upoważnionych osób z myślą o realizowaniu celów niniejszej dyrektywy. Przekazywanie strategii i ich istotnych aktualizacji powinno również pomóc Komisji w zrozumieniu ewolucji podejść do odporności podmiotów krytycznych oraz wpisać się w proces monitorowania skutków i wartości dodanej niniejszej dyrektywy, która podlegać będzie regularnemu przeglądowi dokonywanemu przez Komisję.
(15) Działania państw członkowskich mające na celu identyfikację podmiotów krytycznych i przyczynienie się do zapewniania ich odporności powinny być zgodne z podejściem opierającym się na analizie ryzyka skoncentrowanym na podmiotach najważniejszych dla pełnienia niezbędnych funkcji społecznych lub prowadzenia niezbędnej działalności gospodarczej. W celu zapewnienia takiego ukierunkowanego podejścia każde państwo członkowskie powinno przeprowadzić - w zharmonizowanych ramach - ocenę istotnych czynników ryzyka, naturalnych i spowodowanych przez człowieka, w tym tych o charakterze międzysektorowym lub transgranicznym, które mogą wpływać na świadczenie usług kluczowych, z uwzględnieniem wypadków, klęsk żywiołowych, stanów zagrożenia zdrowia publicznego, takich jak pandemie, oraz zagrożeń hybrydowych lub innych zagrożeń związanych z konfliktem, w tym przestępstw terrorystycznych, infiltracji przestępczej i sabotażu (zwaną dalej „oceną ryzyka państwa członkowskiego"). Przeprowadzając oceny ryzyka państw członkowskich, państwa członkowskie powinny uwzględnić inne ogólne lub sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawnych Unii oraz powinny wziąć pod uwagę stopień zależności między sektorami, w tym sektorami w innych państwach członkowskich i w państwach trzecich. Wyniki ocen ryzyka państw członkowskich należy wykorzystać do celów identyfikacji podmiotów krytycznych i wspierania tych podmiotów w spełnianiu odnoszących się do nich wymogów dotyczących odporności. Niniejsza dyrektywa ma zastosowanie wyłącznie do państw członkowskich i podmiotów krytycznych prowadzących działalność w Unii. Niemniej jednak wiedza fachowa i wiedza ogólna wytworzona przez właściwe organy, w szczególności na podstawie ocen ryzyka, oraz przez Komisję, w szczególności w wyniku różnych form wsparcia i współpracy, może być wykorzystywana, w stosownych przypadkach i zgodnie z mającymi zastosowanie instrumentami prawnymi, z pożytkiem dla państw trzecich, szczególnie dla tych w bezpośrednim sąsiedztwie Unii, poprzez uwzględnienie jej w istniejącej współpracy na rzecz odporności.
(16) W celu zapewnienia, aby wszystkie odpowiednie podmioty były objęte przewidzianymi w niniejszej dyrektywie wymogami w zakresie odporności, i w celu ograniczenia rozbieżności w tym zakresie należy wprowadzić zharmonizowane przepisy pozwalające na spójne identyfikowanie podmiotów krytycznych na terenie Unii, umożliwiając jednocześnie państwom członkowskim odpowiednie odzwierciedlenie roli i znaczenia tych podmiotów na poziomie krajowym. Stosując kryteria określone w niniejszej dyrektywie, każde państwo członkowskie powinno zidentyfikować podmioty, które świadczą co najmniej jedną usługę kluczową i które prowadzą działalność na jego terytorium i posiadają na tym terytorium infrastrukturę krytyczną. Należy uznać, że podmiot prowadzi działalność na terytorium tego państwa członkowskiego, w którym prowadzi działania niezbędne do świadczenia danej usługi kluczowej lub danych usług kluczowych, i na terytorium którego znajduje się jego infrastruktura krytyczna wykorzystywana do świadczenia tej usługi lub tych usług. Jeżeli w danym państwie członkowskim nie ma podmiotu spełniającego te kryteria, to państwo członkowskie nie powinno mieć obowiązku identyfikacji podmiotu krytycznego w odnośnym sektorze lub podsektorze. Przez wzgląd na skuteczność, efektywność, spójność oraz pewność prawa należy ustanowić odpowiednie przepisy dotyczące powiadamiania podmiotów, które zostały zidentyfikowane jako podmioty krytyczne.
(17) Państwa członkowskie powinny przekazać Komisji, w sposób, który realizuje cele niniejszej dyrektywy, wykaz usług kluczowych, liczbę zidentyfikowanych podmiotów krytycznych w podziale na sektory i podsektory określone w załączniku, oraz w podziale na usługę kluczową świadczoną lub usługi kluczowe świadczone przez każdy taki podmiot, a także progi, o ile je zastosowano. Powinno być możliwe przedstawienie progów wprost lub w formie zagregowanej, co oznacza, że informacje te można uśrednić według obszaru geograficznego, roku, sektora, podsektora lub w inny sposób, a także, że mogą one zawierać informacje na temat zakresu przedstawionych wskaźników.
(18) Należy ustanowić kryteria umożliwiające określenie znaczenia skutku zakłócającego wywołanego przez incydent. Kryteria te powinny opierać się na kryteriach określonych w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 (6) w celu wykorzystania starań, jakie państwa członkowskie włożyły w identyfikację operatorów usług kluczowych zdefiniowanych w tej dyrektywie, oraz doświadczenia zdobytego w tym zakresie. Poważne kryzysy, takie jak pandemia COVID-19, pokazały, jak ważne jest zapewnienie bezpieczeństwa łańcucha dostaw i jak jego zakłócenia mogą mieć negatywne wielosektorowe i transgraniczne skutki gospodarcze i społeczne. Dlatego też państwa członkowskie przy ustalaniu stopnia zależności innych sektorów i podsektorów od usługi kluczowej świadczonej przez podmiot krytyczny powinny również w miarę możliwości uwzględniać wpływ na łańcuch dostaw.
(19) Zgodnie z mającym zastosowanie prawem Unii i prawem krajowym, w tym z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/452 (7) ustanawiającym ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii, należy dostrzec potencjalne zagrożenie, jakie wiąże się z zagranicznymi udziałami w infrastrukturze krytycznej w Unii, gdyż usługi, gospodarka, swoboda przemieszczania się i bezpieczeństwo obywateli Unii zależą od należytego funkcjonowania infrastruktur krytycznych.
(20) Dyrektywa (UE) 2022/2555 zobowiązuje podmioty należące do sektora infrastruktury cyfrowej, które mogą być zidentyfikowane jako podmioty krytyczne na mocy niniejszej dyrektywy, do wprowadzania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, a także do zgłaszania znaczących incydentów i cyberzagrożeń. Ponieważ zagrożenia dla bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, dyrektywa (UE) 2022/2555 stosuje podejście uwzględniające wszystkie zagrożenia, które obejmuje odporność sieci i systemów informatycznych, a także ich fizycznych komponentów i ich środowiska fizycznego.
Biorąc pod uwagę, że wymogi określone w tym zakresie w dyrektywie (UE) 2022/2555 są co najmniej równoważne odpowiadającym im obowiązkom określonym w niniejszej dyrektywie, obowiązki określone w art. 11 i rozdziałach III, IV i VI niniejszej dyrektywy nie powinny mieć zastosowania do podmiotów należących do sektora infrastruktury cyfrowej, tak aby uniknąć powielania działań i zbędnego obciążenia administracyjnego. Niemniej biorąc pod uwagę znaczenie usług świadczonych przez podmioty należące do sektora infrastruktury cyfrowej na rzecz podmiotów krytycznych należących do wszystkich innych sektorów, państwa członkowskie powinny identyfikować - na podstawie kryteriów i z wykorzystaniem procedury przewidzianych w niniejszej dyrektywie - podmioty należące do sektora infrastruktury cyfrowej jako podmioty krytyczne. W związku z tym powinny mieć zastosowanie określone w rozdziale II niniejszej dyrektywy strategie, oceny ryzyka państw członkowskich i środki wsparcia. Państwa członkowskie powinny mieć możliwość przyjęcia lub utrzymania przepisów prawa krajowego w celu osiągnięcia wyższego poziomu odporności tych podmiotów krytycznych, pod warunkiem że przepisy te są zgodne z mającym zastosowanie prawem Unii.
(21) W prawie Unii dotyczącym usług finansowych ustanowiono kompleksowe wymagania względem podmiotów finansowych polegające na zarządzaniu wszystkimi czynnikami ryzyka, z jakimi się zmagają, w tym ryzykiem operacyjnym, oraz zapewnieniu ciągłości działania. Prawo to obejmuje rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 648/2012 (8), (UE) nr 575/2013 (9) i (UE) nr 600/2014 (10) oraz dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE (11) i 2014/65/UE (12). Te ramy prawne uzupełnione są rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/2554 (13), w którym określono wymagania mające zastosowanie do podmiotów finansowych w zakresie zarządzania czynnikami ryzyka związanymi z technologiami informacyjno-komunikacyjnymi (ICT), w tym dotyczące ochrony fizycznej infrastruktury ICT. Zatem, ponieważ odporność tych podmiotów została kompleksowo uwzględniona, art. 11 i rozdziały III, IV i VI niniejszej dyrektywy nie powinny mieć do nich zastosowania, tak aby uniknąć powielania działań i zbędnego obciążenia administracyjnego.
Niemniej biorąc pod uwagę znaczenie usług świadczonych przez podmioty w sektorze finansowym na rzecz podmiotów krytycznych należących do wszystkich innych sektorów, państwa członkowskie powinny identyfikować - na podstawie kryteriów i z wykorzystaniem procedury przewidzianych w niniejszej dyrektywie - podmioty z sektora finansowego jako podmioty krytyczne. Zatem zastosowanie powinny mieć określone w rozdziale II niniejszej dyrektywy strategie, oceny ryzyka państw członkowskich i środki wsparcia. Państwa członkowskie powinny mieć możliwość przyjęcia lub utrzymania przepisów prawa krajowego w celu osiągnięcia wyższego poziomu odporności tych podmiotów krytycznych, pod warunkiem że przepisy te są zgodne z mającym zastosowanie prawem Unii.
(22) Państwa członkowskie powinny wyznaczyć lub ustanowić organy odpowiedzialne za nadzór nad stosowaniem przepisów niniejszej dyrektywy i, w stosownych przypadkach, za ich egzekwowanie oraz zapewnić, aby organy te dysponowały odpowiednimi uprawnieniami i zasobami. Z uwagi na różnice pomiędzy krajowymi strukturami zarządzania, w celu zabezpieczenia obowiązujących ustaleń sektorowych lub działania unijnych organów nadzorczych i regulacyjnych, a także w celu unikania powielania działań, państwa członkowskie powinny móc wyznaczać lub ustanowić więcej niż jeden właściwy organ. W przypadku gdy państwa członkowskie wyznaczają lub ustanawiają więcej niż jeden właściwy organ, powinny one wyraźnie rozgraniczyć odpowiednie zadania tych organów oraz zapewnić, aby organy te współpracowały ze sobą w sposób płynny i skuteczny. Wszystkie właściwe organy powinny również współpracować w ujęciu bardziej ogólnym z innymi odpowiednimi organami, zarówno na poziomie Unii, jak i na poziomie krajowym.
(23) W celu ułatwienia współpracy i komunikacji transgranicznej oraz umożliwienia skutecznego wdrożenia niniejszej dyrektywy każde państwo członkowskie powinno, bez uszczerbku dla wymogów wynikających z sektorowych aktów prawnych Unii, wyznaczyć jeden pojedynczy punkt kontaktowy - w stosownych przypadkach w ramach właściwego organu - odpowiedzialny za koordynację kwestii związanych z odpornością podmiotów krytycznych oraz współpracę transgraniczną na poziomie Unii (zwany dalej „pojedynczym punktem kontaktowym"). Każdy pojedynczy punkt kontaktowy powinien również w stosownych przypadkach pełnić funkcję łącznika pomiędzy właściwymi organami swojego państwa członkowskiego, pojedynczymi punktami kontaktowymi innych państw członkowskich oraz Grupą ds. Odporności Podmiotów Krytycznych, a także koordynować komunikację między tymi podmiotami.
(24) Właściwe organy na podstawie niniejszej dyrektywy oraz właściwe organy na podstawie dyrektywy (UE) 2022/2555 powinny współpracować i wymieniać informacje w odniesieniu do ryzyk w cyberprzestrzeni, cyberzagrożeń i cybe-rincydentów oraz ryzyk, zagrożeń i incydentów poza cyberprzestrzenią mających wpływ na podmioty krytyczne, a także w odniesieniu do odpowiednich środków podejmowanych przez właściwe organy na podstawie niniejszej dyrektywy i właściwe organy na podstawie dyrektywy (UE) 2022/2555 Ważne jest, aby państwa członkowskie zapewniły, by wymogi przewidziane w niniejszej dyrektywie i w dyrektywie (UE) 2022/2555 były wdrażane w sposób komplementarny oraz aby podmioty krytyczne nie podlegały obciążeniom administracyjnym wykraczającym poza to, co jest konieczne do osiągnięcia celów niniejszej dyrektywy i drugiej wspomnianej dyrektywy.
(25) Państwa członkowskie powinny wspierać podmioty krytyczne - w tym te, które kwalifikują się jako małe i średnie przedsiębiorstwa- we wzmacnianiu ich odporności, zgodnie z obowiązkami państw członkowskich przewidzianymi w niniejszej dyrektywie, bez uszczerbku dla własnej odpowiedzialności prawnej podmiotów krytycznych za zapewnienie takiej zgodności, a przy tym zapobiegać nakładaniu nadmiernego obciążenia administracyjnego. Państwa członkowskie mogłyby, w szczególności, opracować materiały zawierające wytyczne i metodyki, wspierać organizowanie ćwiczeń mających na celu sprawdzenie odporności podmiotów krytycznych oraz zapewnić doradztwo i szkolenia dla personelu podmiotów krytycznych. Jeżeli jest to konieczne i uzasadnione celami interesu publicznego, państwa członkowskie mogą zapewniać zasoby finansowe i powinny ułatwiać dobrowolną wymianę informacji i dobrych praktyk między podmiotami krytycznymi, bez uszczerbku dla zastosowania reguł konkurencji ustanowionych w Traktacie o funkcjonowaniu Unii Europejskiej (TFUE).
(26) W celu zwiększenia odporności podmiotów krytycznych zidentyfikowanych przez państwa członkowskie oraz w celu zmniejszenia obciążenia administracyjnego tych podmiotów krytycznych właściwe organy powinny w stosownych przypadkach konsultować się ze sobą w celu zapewnienia spójnego stosowania niniejszej dyrektywy. Konsultacje te powinno się rozpoczynać na wniosek dowolnego zainteresowanego właściwego organu i powinny one koncentrować się na zapewnieniu spójnego podejścia do wzajemnie powiązanych podmiotów krytycznych, które korzystają z infrastruktury krytycznej fizycznie połączonej na terytorium co najmniej dwóch państw członkowskich, należą do tych samych grup lub struktur przedsiębiorstw lub które zostały zidentyfikowane w jednym państwie członkowskim i świadczą usługi kluczowe na rzecz innych państw członkowskich lub w innych państwach członkowskich.
(27) W przypadku gdy przepisy prawa Unii lub prawa krajowego wymagają od podmiotów krytycznych dokonania oceny czynników ryzyka istotnych do celów niniejszej dyrektywy oraz wprowadzenia środków mających zapewnić im odporność, wymogi te należy odpowiednio uwzględnić do celów nadzoru przestrzegania niniejszej dyrektywy przez podmioty krytyczne.
(28) Podmioty krytyczne powinny mieć wszechstronną wiedzę o istotnych czynnikach ryzyka, na które są narażone, oraz być zobowiązane je analizować. W tym celu powinny przeprowadzać oceny ryzyka, gdy tylko jest to konieczne ze względu na ich szczególne okoliczności oraz zmianę tych czynników ryzyka, a w każdym przypadku co cztery lata, w celu oceny wszystkich istotnych czynników ryzyka, które mogłyby zakłócić świadczenie ich usług kluczowych (zwane dalej „ocenami ryzyka podmiotu krytycznego"). W przypadku gdy podmioty krytyczne przeprowadziły inne oceny ryzyka lub sporządziły dokumenty zgodnie z obowiązkami wynikającymi z innych aktów prawnych, które to oceny ryzyka lub dokumenty są istotne dla ich oceny ryzyka podmiotu krytycznego, podmioty te powinny mieć możliwość wykorzystania tych ocen i dokumentów w celu spełnienia wymogów określonych w niniejszej dyrektywie w odniesieniu do ocen ryzyka podmiotów krytycznych. Właściwy organ powinien mieć możliwość uznania istniejącej oceny ryzyka przeprowadzonej przez podmiot krytyczny, która odnosi się do istotnych czynników ryzyka i istotnego stopnia zależności, za spełniającą - w całości lub w części - obowiązki określone w niniejszej dyrektywie.
(29) Podmioty krytyczne powinny wprowadzać środki techniczne, środki bezpieczeństwa i środki organizacyjne odpowiednie i proporcjonalne do czynników ryzyka, na które są narażone, w celu zapobiegania incydentom, ochrony przed nimi, odpowiedzi na nie, stawiania im oporu, łagodzenia i absorbowania ich, adaptacji oraz odtworzenia po incydencie. Podmioty krytyczne powinny wprowadzać te środki zgodnie z niniejszą dyrektywą, przy czym szczegóły i zakres takich środków powinny w sposób odpowiedni i proporcjonalny odzwierciedlać poszczególne czynniki ryzyka rozpoznane przez każdy z podmiotów krytycznych w ramach jego oceny ryzyka podmiotu krytycznego oraz specyfikę takiego podmiotu. W celu promowania spójnego unijnego podejścia Komisja powinna, po konsultacji z Grupą ds. Odporności Podmiotów Krytycznych, przyjąć niewiążące wytyczne w celu doprecyzowania tych środków technicznych, środków bezpieczeństwa i środków organizacyjnych. Państwa członkowskie powinny zapewnić, by każdy podmiot krytyczny wyznaczył urzędnika łącznikowego lub jego odpowiednika jako punkt kontaktowy z właściwymi organami.
(30) W celu zapewnienia skuteczności i rozliczalności, podmioty krytyczne w planie zwiększania odporności lub dokumencie równoważnym lub dokumentach równoważnych z planem zwiększania odporności powinny opisać podejmowane przez siebie środki z zachowaniem poziomu szczegółowości, który w wystarczającym stopniu pozwala osiągnąć cele dotyczące skuteczności i rozliczalności, uwzględniając zidentyfikowane ryzyka oraz powinny wdrożyć ten plan. Jeśli podmiot krytyczny wprowadził już środki techniczne, środki bezpieczeństwa i środki organizacyjne oraz sporządził dokumenty na podstawie innych aktów prawnych, które to środki i dokumenty są istotne dla środków w zakresie zwiększania odporności na podstawie niniejszej dyrektywy, podmiot ten, aby uniknąć powielania działań, powinien mieć możliwość, wykorzystania tych środków i dokumentów w celu spełnienia wymogów dotyczących środków w zakresie odporności na podstawie niniejszej dyrektywy. Aby uniknąć powielania działań, właściwy organ powinien mieć możliwość uznania wprowadzonych przez podmiot krytyczny środków w zakresie odporności odnoszących się do obowiązku tego podmiotu w zakresie wprowadzania środków technicznych, środków bezpieczeństwa i środków organizacyjnych za zgodne - w całości lub w części - z wymogami niniejszej dyrektywy.
(31) Rozporządzeniami Parlamentu Europejskiego i Rady (WE) nr 725/2004 (14) i (WE) nr 300/2008 (15) oraz dyrektywą Parlamentu Europejskiego i Rady 2005/65/WE (16) ustanowiono wymagania mające zastosowanie do podmiotów w sektorach transportu lotniczego i transportu morskiego w celu zapobiegania incydentom powodowanym bezprawnymi czynami oraz stawiania oporu skutkom takich incydentów i ograniczania tych skutków. Chociaż środki wymagane zgodnie z niniejszą dyrektywą obejmują szerszy zakres czynników ryzyka, których dotyczą, i rodzajów środków, które należy wdrożyć, podmioty krytyczne w tych sektorach powinny odzwierciedlić w swoim planie zwiększania odporności lub równoważnych dokumentach środki wdrożone na podstawie wspomnianych innych aktów prawnych Unii. Podmioty krytyczne muszą również uwzględniać dyrektywę Parlamentu Europejskiego i Rady 2008/96/WE (17) wprowadzającą ocenę bezpieczeństwa ruchu drogowego obejmującą całą sieć w celu określenia zagrożeń związanych z wypadkami oraz ukierunkowane kontrole bezpieczeństwa ruchu drogowego w celu zidentyfikowania niebezpiecznych warunków, uszkodzeń i problemów, które zwiększają ryzyko wypadków i obrażeń, przeprowadzane w oparciu o wizje lokalne na istniejących drogach lub odcinkach dróg. Zapewnienie ochrony i odporności podmiotów krytycznych ma ogromne znaczenie dla sektora kolejowego, a podczas wdrażania środków w zakresie odporności zgodnie z niniejszą dyrektywą podmioty krytyczne zachęca się do odwoływania się do niewiążących wytycznych i dokumentów dotyczących dobrych praktyk opracowanych w kontekście działań sektorowych, takich jak unijna platforma bezpieczeństwa pasażerów w ruchu kolejowym utworzona decyzją Komisji 2018/C 232/03 (18).
(32) Ryzyko, że pracownicy podmiotów krytycznych lub wykonawcy pracujący na rzecz podmiotów krytycznych nad-użyją na przykład swoich praw dostępu w ramach organizacji podmiotu krytycznego w celu wyrządzenia szkody, budzi coraz większe obawy. Państwa członkowskie powinny zatem określić warunki, zgodnie z którymi podmioty krytyczne mogą - w należycie uzasadnionych przypadkach i z uwzględnieniem ocen ryzyka państw członkowskich- składać wnioski o sprawdzenie przeszłości osób należących do szczególnych kategorii ich personelu. Należy zapewnić, by odpowiednie organy oceniały takie wnioski w rozsądnym terminie i przetwarzały je zgodnie z prawem krajowym i procedurami krajowymi i z odpowiednim i mającym zastosowanie prawem Unii, w tym dotyczącym ochrony danych osobowych. W celu potwierdzenia tożsamości osoby podlegającej sprawdzeniu przeszłości państwa członkowskie powinny wymagać dowodu tożsamości, takiego jak paszport, krajowy dokument tożsamości lub cyfrowa forma identyfikacji, zgodnie z mającym zastosowanie prawem.
Sprawdzenie przeszłości powinno obejmować sprawdzenie rejestrów karnych odnośnej osoby. Państwa członkowskie powinny wykorzystywać europejski system przekazywania informacji z rejestrów karnych zgodnie z procedurami określonymi w decyzji ramowej Rady 2009/315/WSiSW (19) oraz, w razie potrzeby i w stosownych przypadkach, w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2019/816 (20), w celu uzyskiwania informacji z rejestrów karnych innych państw członkowskich. Państwa członkowskie mogą również, w razie potrzeby i w stosownych przypadkach, opierać się na informacjach uzyskanych z systemu informacyjnego Schengen drugiej generacji (SIS II) ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1862 (21), danych wywiadowczych oraz na wszelkich innych dostępnych bezstronnych informacjach, które mogą być niezbędne do określenia, czy dana osoba jest odpowiednia do pracy na stanowisku, w odniesieniu do którego podmiot krytyczny zwrócił się o przeprowadzenie sprawdzenia przeszłości.
(33) Powinien zostać ustanowiony mechanizm zgłaszania określonych incydentów, by umożliwić właściwym organom szybką i adekwatną odpowiedź na nie oraz uzyskanie kompleksowego obrazu skutków, charakteru, przyczyn i możliwych konsekwencji danego incydentu, którym zajmują się podmioty krytyczne. Podmioty krytyczne powinny niezwłocznie zgłaszać właściwym organom incydenty, które istotnie zakłócają lub mogą istotnie zakłócać świadczenie usług kluczowych. Podmioty krytyczne powinny dokonać zgłoszenia wstępnego nie później niż 24 godziny od uzyskania wiedzy o wystąpieniu incydentu - chyba że jest to niemożliwe z operacyjnego punktu widzenia. Wstępne zgłoszenie powinno zawierać jedynie informacje absolutnie niezbędne do tego, by poinformować właściwy organ o wystąpieniu incydentu i umożliwić podmiotowi krytycznemu zwrócenie się o wsparcie, jeśli zachodzi taka potrzeba. Zgłoszenie takie powinno w miarę możliwości wskazywać potencjalną przyczynę incydentu. Państwa członkowskie powinny zapewnić, aby wymóg dokonania wstępnego zgłoszenia nie powodował przekierowania zasobów podmiotu krytycznego z działań podejmowanych w reakcji na incydent, które to działania powinny mieć charakter priorytetowy. W stosownych przypadkach, po wstępnym zgłoszeniu należy przedłożyć szczegółowe sprawozdanie - nie później niż miesiąc od zaistnienia incydentu. Szczegółowe sprawozdanie powinno uzupełniać wstępne zgłoszenie i oferować pełniejsze podsumowanie dotyczące incydentu.
(34) Proces normalizacji powinien pozostać procesem uzależnionym głównie od czynników rynkowych. Nadal mogą jednak zaistnieć sytuacje, w których należy wymagać przestrzegania określonych norm. Państwa członkowskie powinny zachęcać, gdy może to być przydatne, do stosowania europejskich i międzynarodowych norm i specyfikacji technicznych istotnych dla środków w zakresie bezpieczeństwa i w zakresie odporności mających zastosowanie do podmiotów krytycznych.
(35) Podczas gdy podmioty krytyczne działają zazwyczaj jako element w coraz większym stopniu wzajemnie powiązanej sieci świadczenia usług i infrastruktury oraz często świadczą usługi kluczowe w więcej niż jednym państwie członkowskim, niektóre z tych podmiotów krytycznych mają szczególne znaczenie dla Unii i jej rynku wewnętrznego, ponieważ świadczą usługi kluczowe na rzecz co najmniej sześciu państw członkowskich lub w co najmniej sześciu państwach członkowskich, i mogłyby zatem korzystać ze szczególnego wsparcia na poziomie Unii. Należy zatem ustanowić przepisy dotyczące misji doradczych w odniesieniu do takich podmiotów krytycznych o szczególnym znaczeniu europejskim. Przepisy te pozostają bez uszczerbku dla przepisów dotyczących nadzoru i egzekwowania przepisów przewidzianych w niniejszej dyrektywie.
(36) Na uzasadniony wniosek Komisji lub co najmniej jednego państwa członkowskiego, na rzecz którego lub w którym świadczona jest usługa kluczowa, w przypadkach gdy do zapewnienia podmiotowi krytycznemu doradztwa w zakresie wypełniania jego obowiązków zgodnie z niniejszą dyrektywą lub do oceny wypełniania tych obowiązków przez podmiot krytyczny o szczególnym znaczeniu europejskim niezbędne są dodatkowe informacje, państwo członkowskie, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny, powinno przekazać Komisji określone informacje, jak określono w niniejszej dyrektywie. Komisja powinna mieć możliwość zorganizowania misji doradczej - w porozumieniu z państwem członkowskim, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny - w celu oceny środków wdrożonych przez ten podmiot. Aby zapewnić prawidłowe powadzenie takich misji doradczych, należy ustanowić dodatkowe przepisy, w szczególności dotyczące organizacji i przebiegu misji doradczych, działań następczych, które należy podjąć, oraz obowiązków podmiotów krytycznych o szczególnym znaczeniu europejskim, których dotyczą misje. Misje doradcze należy - bez uszczerbku dla konieczności przestrzegania przepisów niniejszej dyrektywy przez państwo członkowskie, w którym prowadzi się misję doradczą, oraz przez podmiot krytyczny, którego ona dotyczy - prowadzić zgodnie ze szczegółowymi przepisami prawa tego państwa członkowskiego, na przykład dotyczącymi konkretnych warunków, które należy spełnić, aby uzyskać dostęp do odpowiednich budynków lub terenów lub dokumentów, oraz dotyczącymi środka zaskarżenia. O konkretną wiedzę ekspercką wymaganą na potrzeby takich misji doradczych można by w stosownych przypadkach wnosić za pośrednictwem Centrum Koordynacji Reagowania Kryzysowego ustanowionego decyzją Parlamentu Europejskiego i Rady nr 1313/2013/EU (22).
(37) W celu wsparcia Komisji i ułatwienia współpracy między państwami członkowskimi oraz wymiany informacji, w tym najlepszych praktyk, na temat kwestii związanych z niniejszą dyrektywą należy ustanowić Grupę ds. Odporności Podmiotów Krytycznych jako grupę ekspercką Komisji. Państwa członkowskie powinny dokładać starań, aby zapewnić skuteczną i efektywną współpracę wyznaczonych przedstawicieli ich właściwych organów w ramach Grupy ds. Odporności Podmiotów Krytycznych, w tym w stosownych przypadkach poprzez wyznaczanie przedstawicieli posiadających poświadczenie bezpieczeństwa osobowego. Grupa ds. Odporności Podmiotów Krytycznych powinna rozpocząć wykonywanie swoich zadań jak najszybciej, tak aby zapewnić dodatkowe środki na rzecz odpowiedniej współpracy w okresie transpozycji niniejszej dyrektywy. Grupa ds. Odporności Podmiotów Krytycznych powinna współdziałać z innymi odpowiednimi sektorowymi grupami roboczymi ekspertów.
(38) Grupa ds. Odporności Podmiotów Krytycznych powinna współpracować z Grupą Współpracy ustanowioną na podstawie dyrektywy (UE) 2022/2555 w celu wspierania kompleksowych ram dotyczących odporności podmiotów krytycznych w zakresie cyberbezpieczeństwa i ich odporności niezwiązanej z cyberbezpieczeństwem. Grupa ds. Odporności Podmiotów Krytycznych i Grupa Współpracy ustanowiona na podstawie dyrektywy (UE) 2022/2555 powinny prowadzić regularny dialog w celu promowania współpracy między właściwymi organami na podstawie niniejszej dyrektywy i właściwymi organami na podstawie dyrektywy (UE) 2022/2555 i ułatwiania wymiany informacji, w szczególności w zakresie tematów istotnych dla obu grup.
(39) Aby osiągnąć cele niniejszej dyrektywy i bez uszczerbku dla odpowiedzialności prawnej państw członkowskich i podmiotów krytycznych za wywiązywanie się z ich odpowiednich obowiązków określonych w niniejszej dyrektywie, Komisja powinna - jeżeli uzna to za stosowne -wspierać właściwe organy i podmioty krytyczne w celu ułatwienia wypełniania ich odpowiednich obowiązków. Udzielając wsparcia państwom członkowskim i podmiotom krytycznym w wykonywaniu obowiązków na podstawie niniejszej dyrektywy, Komisja powinna korzystać z istniejących struktur i narzędzi, takich jak te dostępne w ramach Unijnego Mechanizmu Ochrony Ludności, ustanowionego decyzją nr 1313/2013/UE oraz Europejskiej Sieci Referencyjnej ds. Ochrony Infrastruktury Krytycznej. Ponadto Komisja powinna informować państwa członkowskie o zasobach dostępnych na poziomie Unii, na przykład w ramach Funduszu Bezpieczeństwa Wewnętrznego ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/1149 (23), programu „Horyzont Europa" ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/695 (24) lub innych instrumentów istotnych dla odporności podmiotów krytycznych.
(40) Państwa członkowskie powinny zapewnić, aby ich właściwe organy dysponowały pewnymi szczególnymi uprawnieniami umożliwiającymi im prawidłowe stosowanie i egzekwowanie przepisów niniejszej dyrektywy względem podmiotów krytycznych, jeżeli zgodnie z niniejszą dyrektywą podmioty te podlegają ich jurysdykcji. Uprawnienia te powinny obejmować w szczególności uprawnienie do prowadzenia inspekcji i audytów, uprawnienie do sprawowania nadzoru, uprawnienie do zobowiązania podmiotów krytycznych do przekazywania informacji i dowodów związanych ze środkami, które wdrożyły, aby wywiązać się ze swoich obowiązków, oraz w stosownych przypadkach uprawnienie do wydawania nakazów usunięcia skutków stwierdzonych naruszeń. Wydając takie nakazy, państwa członkowskie nie powinny wymagać środków wykraczających poza środki niezbędne i proporcjonalne do zapewnienia przestrzegania przepisów przez dane podmioty krytyczne, biorąc pod uwagę w szczególności powagę naruszenia oraz zdolność gospodarczą odnośnego podmiotu krytycznego. Mówiąc ogólniej, uprawnieniom tym powinny towarzyszyć odpowiednie i skuteczne zabezpieczenia przewidziane prawem krajowym i zgodne z Kartą praw podstawowych Unii Europejskiej. Dokonując oceny wypełniania przez podmiot krytyczny obowiązków określonych w niniejszej dyrektywie, właściwe organy na podstawie niniejszej dyrektywy powinny mieć możliwość zwrócenia się do właściwych organów na podstawie dyrektywy (UE) 2022/2555, by te ostatnie skorzystały ze swoich uprawnień w zakresie nadzoru i egzekwowania przepisów w odniesieniu do podmiotu na podstawie tej dyrektywy, który to podmiot został również zidentyfikowany jako podmiot krytyczny na podstawie niniejszej dyrektywy. W tym celu właściwe organy na podstawie niniejszej dyrektywy oraz właściwe organy na podstawie dyrektywy (UE) 2022/2555 powinny współpracować i wymieniać informacje.
(41) W celu skutecznego i spójnego stosowania niniejszej dyrektywy należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE w celu uzupełnienia niniejszej dyrektywy przez sporządzenie wykazu usług kluczowych. Wykaz ten powinien być wykorzystywany przez właściwe organy do celów przeprowadzania ocen ryzyka państw członkowskich oraz do identyfikacji podmiotów krytycznych zgodnie z niniejszą dyrektywą. Z uwagi na zastosowane w niniejszej dyrektywie podejście polegające na minimalnej harmonizacji wykaz ten nie jest wyczerpujący, a państwa członkowskie mogą go uzupełniać o dodatkowe usługi kluczowe na poziomie krajowym w celu uwzględnienia krajowej specyfiki w zakresie świadczenia usług kluczowych. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa (25). W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.
(42) W celu zapewnienia jednolitych warunków wykonywania niniejszej dyrektywy należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (26).
(43) Ponieważ cele niniejszej dyrektywy - a mianowicie zapewnienie niezakłóconego świadczenia na rynku wewnętrznym usług kluczowych dla utrzymania niezbędnych funkcji społecznych lub niezbędnej działalności gospodarczej oraz zwiększenie odporności podmiotów krytycznych świadczących takie usługi - nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na skutki działań możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym art. 5 niniejsza dyrektywa nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.
(44) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (27) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 11 sierpnia 2021 r.
(45) Należy zatem uchylić dyrektywę 2008/114/WE,
PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ:
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot i zakres stosowania
1. W niniejszej dyrektywie ustanawia się:
a) obowiązki państw członkowskich polegające na przyjmowaniu konkretnych środków mających na celu zapewnienie niezakłóconego świadczenia na rynku wewnętrznym usług kluczowych dla utrzymania niezbędnych funkcji społecznych lub niezbędnej działalności gospodarczej, w ramach zakresu stosowania art. 114 TFUE, w szczególności obowiązki polegające na identyfikowaniu podmiotów krytycznych oraz wspieraniu podmiotów krytycznych w wypełnianiu przez nie nałożonych na nie obowiązków;
b) obowiązki podmiotów krytycznych mające na celu zwiększenie ich odporności i zdolności do świadczenia usług, o których mowa w lit. a), na rynku wewnętrznym;
c) przepisy:
(i) dotyczące nadzoru nad podmiotami krytycznymi;
(ii) dotyczące egzekwowania przepisów;
(iii) w zakresie identyfikacji podmiotów krytycznych o szczególnym znaczeniu europejskim oraz w zakresie misji doradczych w celu oceny środków, które takie podmioty wdrożyły, aby wypełniać swoje obowiązki wynikające z Rozdziału III;
d) wspólne procedury dotyczące współpracy i sprawozdawczości w zakresie stosowania niniejszej dyrektywy;
e) środki mające na celu osiągnięcie wysokiego poziomu odporności podmiotów krytycznych, aby zapewnić świadczenie usług kluczowych w Unii oraz usprawnić funkcjonowanie rynku wewnętrznego.
2. Niniejszej dyrektywy nie stosuje się do kwestii objętych dyrektywą (UE) 2022/2555, bez uszczerbku dla art. 8 niniejszej dyrektywy. Z uwagi na powiązanie między fizycznym bezpieczeństwem a cyberbezpieczeństwem podmiotów krytycznych państwa członkowskie zapewniają skoordynowane wdrażanie niniejszej dyrektywy i dyrektywy (UE) 2022/2555.
3. Nie stosuje się odpowiednich przepisów niniejszej dyrektywy, w tym przepisów dotyczących nadzoru i egzekwowania przepisów przewidzianych w rozdziale VI, jeżeli w przepisach sektorowych aktów prawa Unii nałożono na podmioty krytyczne obowiązek zastosowania środków zwiększających ich odporność i jeżeli wymogi te są uznawane przez państwa członkowskie za co najmniej równoważne odpowiadającym im obowiązkom przewidzianym w niniejszej dyrektywie.
4. Bez uszczerbku dla art. 346 TFUE informacje, które są poufne zgodnie z przepisami unijnymi lub krajowymi, takimi jak przepisy dotyczące tajemnicy przedsiębiorstwa, podlegają wymianie z Komisją i innymi odpowiednimi organami zgodnie z niniejszą dyrektywą tylko wtedy, gdy wymiana taka jest niezbędna do stosowania niniejszej dyrektywy. Informacje podlegające wymianie ograniczają się do tego, co jest istotne dla celów takiej wymiany i proporcjonalne do jej celów. Przy wymianie informacji należy chronić poufność oraz bezpieczeństwo i interesy handlowe podmiotów krytycznych, przy jednoczesnym poszanowaniu bezpieczeństwa państw członkowskich.
5. Niniejsza dyrektywa pozostaje bez uszczerbku dla obowiązku państw członkowskich w zakresie gwarantowania bezpieczeństwa narodowego i obronności i ich uprawnień do gwarantowania innych podstawowych funkcji państwa, w tym zapewniania integralności terytorialnej państwa i utrzymywania porządku publicznego.
6. Niniejszej dyrektywy nie stosuje się do podmiotów administracji publicznej, które prowadzą swoją działalność w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym w zakresie prowadzenia postępowań przygotowawczych oraz wykrywania i ścigania przestępstw.
7. Państwa członkowskie mogą zdecydować, że art. 11 i rozdziałów III, IV i VI, w całości lub w części, nie stosuje się do konkretnych podmiotów krytycznych, które prowadzą działalność w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym w zakresie prowadzenia postępowań przygotowawczych oraz wykrywania i ścigania przestępstw, lub które świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, o których mowa w ust. 6 niniejszego artykułu,.
8. Obowiązki ustanowione w niniejszej dyrektywie nie wiążą się z dostarczaniem informacji, których ujawnienie byłoby sprzeczne z podstawowymi interesami bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności państw członkowskich.
9. Niniejsza dyrektywa pozostaje bez uszczerbku dla prawa Unii w sprawie ochrony danych osobowych, w szczególności rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (28) i dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady (29).
Artykuł 2
Definicje
Do celów niniejszej dyrektywy stosuje się następujące definicje:
1) „podmiot krytyczny" oznacza podmiot publiczny lub prywatny zidentyfikowany przez państwo członkowskie zgodnie z art. 6 jako należący do jednej z kategorii wymienionych w trzeciej kolumnie tabeli w załączniku;
2) „odporność" oznacza zdolność podmiotu krytycznego do zapobiegania incydentowi, ochrony przed nim, odpowiedzi na niego, stawiania mu oporu, łagodzenia i absorbowania incydentu oraz adaptacji i odtworzenia po incydencie;
3) „incydent" oznacza każde zdarzenie, które może znacząco zakłócić lub które zakłóca świadczenie usługi kluczowej, w tym gdy wpływa ono na krajowe systemy chroniące praworządność;
4) „infrastruktura krytyczna" oznacza składnik, obiekt, sprzęt, sieć lub system lub część składnika, obiektu, sprzętu, sieci lub systemu, niezbędne do świadczenia usługi kluczowej;
5) „usługa kluczowa" oznacza usługę, która ma decydujące znaczenie dla utrzymania niezbędnych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska;
6) „ryzyko" oznacza potencjalną stratę lub potencjalne zakłócenie spowodowane incydentem i ma być wyrażone jako wypadkowa skali takiej straty lub takiego zakłócenia oraz prawdopodobieństwa wystąpienia takiego incydentu;
7) „ocena ryzyka " oznacza ogólny proces mający na celu określenie charakteru i zakresu ryzyka poprzez identyfikację i analizę potencjalnych odpowiednich zagrożeń, podatności na zagrożenia i niebezpieczeństw, które mogłyby prowadzić do incydentu, oraz poprzez ocenę potencjalnej straty lub potencjalnego zakłócenia świadczenia usługi kluczowej spowodowanych tym incydentem;
8) „norma" oznacza normę zdefiniowaną w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 (30);
9) „specyfikacja techniczna" oznacza specyfikację techniczną zdefiniowaną w art. 2 pkt 4 rozporządzenia (UE) nr 1025/2012;
10) „podmiot administracji publicznej" oznacza podmiot uznany za taki w danym państwie członkowskim zgodnie z prawem krajowym, z wyłączeniem sądownictwa, parlamentów lub banków centralnych, który spełnia następujące kryteria:
a) został utworzony w celu zaspokajania potrzeb leżących w interesie ogólnym i nie ma charakteru przemysłowego ani handlowego;
b) posiada osobowość prawną lub zgodnie z prawem jest uprawniony do działania w imieniu innego podmiotu posiadającego osobowość prawną;
c) jest finansowany w przeważającej części przez organy państwa lub inne podmioty prawa publicznego ze szczebla centralnego, jego zarząd podlega nadzorowi ze strony tych organów lub podmiotów lub ponad połowa członków jego organu administrującego, zarządzającego lub nadzorczego została wyznaczona przez organy państwa lub inne podmioty prawa publicznego ze szczebla centralnego;
d) jest uprawniony do kierowania do osób fizycznych lub prawnych decyzji administracyjnych lub regulacyjnych mających wpływ na ich prawa w transgranicznym przepływie osób, towarów, usług lub kapitału.
Artykuł 3
Minimalna harmonizacja
Niniejsza dyrektywa nie uniemożliwia państwom członkowskim przyjmowania lub utrzymywania przepisów prawa krajowego w celu osiągnięcia wyższego poziomu odporności podmiotów krytycznych, pod warunkiem że takie przepisy są zgodne z obowiązkami państw członkowskich ustanowionymi w prawie Unii.
ROZDZIAŁ II
KRAJOWE RAMY DOTYCZĄCE ODPORNOŚCI PODMIOTÓW KRYTYCZNYCH
Artykuł 4
Strategia w zakresie odporności podmiotów krytycznych
1. Po przeprowadzeniu konsultacji otwartych - w zakresie, w jakim jest to praktycznie możliwe - dla odpowiednich zainteresowanych stron każde państwo członkowskie przyjmuje w terminie do dnia 17 stycznia 2026 r. strategię mającą na celu zwiększenie odporności podmiotów krytycznych (zwaną dalej „strategią"). W strategii określa się, w oparciu o odpowiednie istniejące strategie krajowe i sektorowe, plany lub podobne dokumenty, cele strategiczne i środki polityczne służące osiągnięciu i utrzymaniu wysokiego poziomu odporności po stronie podmiotów krytycznych oraz obejmujące co najmniej sektory określone w załączniku.
2. Każda strategia zawiera co najmniej następujące elementy:
a) cele strategiczne i priorytety służące zwiększeniu ogólnej odporności podmiotów krytycznych, biorąc pod uwagę trans-graniczne i międzysektorowe zależności i współzależności;
b) ramy zarządzania służące osiągnięciu celów strategicznych i priorytetów, w tym opis ról i obowiązków poszczególnych organów, podmiotów krytycznych i innych stron zaangażowanych we wdrażanie strategii;
c) opis środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, w tym opis oceny ryzyka, o której mowa w art. 5;
d) opis procesu, w ramach którego identyfikuje się podmioty krytyczne;
e) opis procesu wspierania podmiotów krytycznych zgodnie z niniejszym rozdziałem, w tym środków służących zacieśnieniu współpracy między sektorem publicznym, z jednej strony, a sektorem prywatnym oraz podmiotami publicznymi i prywatnymi, z drugiej strony;
f) wykaz głównych organów i odpowiednich zainteresowanych stron, innych niż podmioty krytyczne, zaangażowanych we wdrażanie strategii;
g) ramy polityczne umożliwiające koordynację między właściwymi organami na podstawie niniejszej dyrektywy (zwanymi dalej „właściwymi organami") oraz właściwymi organami na podstawie dyrektywy (UE) 2022/2555 na potrzeby wymiany informacji na temat ryzyk w cyberprzestrzeni, cyberzagrożeń i cyberincydentów oraz ryzyk, zagrożeń i incydentów poza cyberprzestrzenią oraz wykonywania zadań nadzorczych;
h) opis już wprowadzonych środków mających na celu ułatwienie wypełniania obowiązków wynikających z rozdziału III niniejszej dyrektywy przez małe i średnie przedsiębiorstwa w rozumieniu załącznika do zalecenia Komisji 2003/361/WE (31), które to przedsiębiorstwa dane państwo członkowskie zidentyfikowało jako podmioty krytyczne.
Po przeprowadzeniu konsultacji otwartych - w zakresie w jakim jest to praktycznie możliwe - dla odpowiednich zainteresowanych stron państwa członkowskie aktualizują swoje strategie co najmniej raz na cztery lata.
3. Państwa członkowskie przekazują Komisji swoje strategie i istotne aktualizacje tych strategii w terminie trzech miesięcy od ich przyjęcia.
Artykuł 5
Ocena ryzyka przeprowadzana przez państwa członkowskie
1. Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 23 do dnia 17 listopada 2023 r. w celu uzupełnienia niniejszej dyrektywy przez ustanowienie niewyczerpującego wykazu usług kluczowych w sektorach i podsektorach, określonych w załączniku. Właściwe organy wykorzystują ten wykaz usług kluczowych do celu przeprowadzenia oceny ryzyka (zwanej dalej „oceną ryzyka państwa członkowskiego") do dnia 17 stycznia 2026 r., a następnie w razie potrzeby, co najmniej raz na cztery lata. Właściwe organy wykorzystują oceny ryzyka państw członkowskich do celów identyfikacji podmiotów krytycznych zgodnie z art. 6 i udzielania pomocy tym podmiotom krytycznym we wprowadzaniu środków zgodnie z art. 13.
Oceny ryzyka państw członkowskich muszą uwzględniać istotne czynniki ryzyka, naturalne i spowodowane przez człowieka, w tym zagrożenia mające charakter międzysektorowy i transgraniczny, wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego i zagrożenia hybrydowe lub inne zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne przewidziane w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/541 (32).
2. Przeprowadzając oceny ryzyka państw członkowskich, państwa członkowskie biorą pod uwagę co najmniej:
a) ogólną ocenę ryzyka przeprowadzoną na podstawie art. 6 ust. 1 decyzji nr 1313/2013/UE;
b) inne istotne oceny ryzyka przeprowadzone zgodnie z wymogami właściwych sektorowych aktów prawnych Unii, w tym rozporządzeń Parlamentu Europejskiego i Rady (UE) 2017/1938 (33) i (UE) 2019/941 (34) oraz dyrektyw Parlamentu Europejskiego i Rady 2007/60/WE (35) i 2012/18/UE (36);
c) istotne ryzyka wynikające ze stopnia wzajemnej zależności między sektorami określonymi w załączniku, w tym od stopnia ich zależności od podmiotów znajdujących się w innych państwach członkowskich i państwach trzecich, oraz wpływ, jaki znaczące zakłócenie w jednym sektorze może mieć na inne sektory, w tym wszelkie istotne czynniki ryzyka dla obywateli i rynku wewnętrznego;
d) wszelkie informacje na temat incydentów zgłoszonych zgodnie z art. 15.
Do celów akapitu pierwszego lit. c) państwa członkowskie współpracują w stosownych przypadkach z właściwymi organami innych państw członkowskich i właściwymi organami państw trzecich.
3. Państwa członkowskie udostępniają, w stosownych przypadkach za pośrednictwem swoich pojedynczych punktów kontaktowych, odpowiednie elementy ocen ryzyka państw członkowskich podmiotom krytycznym, które zostały przez nie zidentyfikowane zgodnie z art. 6. Państwa członkowskie zapewniają, aby informacje przekazane podmiotom krytycznym pomagały im w przeprowadzaniu ich własnych ocen ryzyka, zgodnie z art. 12, oraz we wprowadzaniu środków służących zapewnieniu ich odporności, zgodnie z art. 13.
4. W terminie trzech miesięcy od przeprowadzenia oceny ryzyka państwa członkowskiego dane państwo członkowskie przekazuje Komisji odpowiednie informacje dotyczące rodzajów ryzyka stwierdzonych na podstawie oceny ryzyka państwa członkowskiego oraz wyników tej oceny w odniesieniu do poszczególnych sektorów i podsektorów określonych w załączniku.
5. Komisja - we współpracy z państwami członkowskimi - opracowuje dobrowolny wspólny formularz sprawozdawczy do celów wykonania ust. 4.
Artykuł 6
Identyfikowanie podmiotów krytycznych
1. Do dnia 17 lipca 2026 r. każde państwo członkowskie identyfikuje podmioty krytyczne dla sektorów i podsektorów określonych w załączniku.
2. Identyfikując podmioty krytyczne zgodnie z ust. 1, państwo członkowskie bierze pod uwagę wyniki swojej oceny ryzyka państwa członkowskiego i strategię oraz stosuje wszystkie następujące kryteria:
a) podmiot świadczy co najmniej jedną usługę kluczową;
b) podmiot prowadzi działalność na terytorium tego państwa członkowskiego i jego infrastruktura krytyczna znajduje się na terytorium tego państwa członkowskiego; oraz
c) ustalono, zgodnie z art. 7 ust. 1, że incydent miałby istotne skutki zakłócające dla świadczenia przez podmiot co najmniej jednej usługi kluczowej lub dla świadczenia innych usług kluczowych w sektorach określonych w załączniku, które zależą od tej usługi kluczowej lub tych usług kluczowych.
3. Każde państwo członkowskie sporządza wykaz zidentyfikowanych podmiotów krytycznych zgodnie z ust. 2 i zapewnia, aby te podmioty krytyczne były powiadamiane o tym zidentyfikowaniu w terminie jednego miesiąca od jego dokonania. Państwa członkowskie informują te podmioty krytyczne o ich obowiązkach przewidzianych w rozdziałach III i IV oraz o dacie, począwszy od której obowiązki te mają do nich zastosowanie, bez uszczerbku dla art. 8. Państwa członkowskie informują podmioty krytyczne w sektorach określonych w pkt 3, 4 i 8 tabeli w załączniku, że nie spoczywają na nich obowiązki przewidziane w rozdziałach III i IV, chyba że środki krajowe stanowią inaczej.
W przypadku odnośnych podmiotów krytycznych rozdział III stosuje się po 10 miesiącach od daty powiadomienia, o którym mowa w akapicie pierwszym niniejszego ustępu.
4. Państwa członkowskie zapewniają, aby ich właściwe organy na podstawie niniejszej dyrektywy przekazywały właściwym organom na podstawie dyrektywy (UE) 2022/2555 dane identyfikacyjne podmiotów krytycznych, które państwa te zidentyfikowały na podstawie niniejszego artykułu, w terminie jednego miesiąca od takiego zidentyfikowania. W stosownych przypadkach powiadomienie to zawiera informację, że odnośne podmioty krytyczne to podmioty z sektorów określonych w pkt 3, 4 i 8 tabeli w załączniku do niniejszej dyrektywy i że nie spoczywają na nich obowiązki przewidziane w rozdziałach III i IV niniejszej dyrektywy.
5. W razie potrzeby, a w każdym przypadku co najmniej co cztery lata państwa członkowskie dokonują przeglądu wykazu zidentyfikowanych podmiotów krytycznych, o którym mowa w ust. 3, oraz, w stosownych przypadkach, aktualizują go. Jeżeli takie aktualizacje prowadzą do zidentyfikowania dodatkowych podmiotów krytycznych, w odniesieniu do tych dodatkowych podmiotów krytycznych stosuje się ust. 3 i 4. Ponadto państwa członkowskie zapewniają, aby podmioty, które wskutek takiej aktualizacji nie są już zidentyfikowane jako podmioty krytyczne, zostały w odpowiednim terminie powiadomione o tym fakcie oraz o facie, że od dnia otrzymania takiego powiadomienia nie podlegają już obowiązkom określonym w rozdziale III.
6. Komisja we współpracy z państwami członkowskimi opracowuje zalecenia i niewiążące wytyczne, aby wesprzeć państwa członkowskie w identyfikowaniu podmiotów krytycznych.
Artykuł 7
Istotny skutek zakłócający
1. Przy określaniu istotności skutku zakłócającego, o którym mowa w art. 6 ust. 2 lit. c), państwa członkowskie uwzględniają następujące kryteria:
a) liczbę użytkowników zależnych od usługi kluczowej świadczonej przez odnośny podmiot;
b) stopień, w jakim inne sektory i podsektory określone w załączniku zależą od danej usługi kluczowej;
c) wpływ, jaki incydenty - jeżeli chodzi o ich skalę i czas trwania - mogłyby mieć na działalność gospodarczą i społeczną, środowisko, bezpieczeństwo publiczne lub na zdrowie ludności;
d) udział podmiotu w rynku odnośnej usługi kluczowej lub odnośnych usług kluczowych;
e) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego, przy uwzględnieniu podatności na zagrożenia związanej ze stopniem odizolowania niektórych rodzajów obszarów geograficznych, takich jak regiony wyspiarskie, regiony oddalone lub obszary górskie;
f) znaczenie podmiotu w utrzymywaniu wystarczającego poziomu usługi kluczowej przy uwzględnieniu dostępności alternatywnych sposobów świadczenia tej usługi kluczowej.
2. Po zidentyfikowaniu podmiotów krytycznych na podstawie art. 6 ust. 1, każde państwo członkowskie bez zbędnej zwłoki przekazuje Komisji następujące informacje:
a) wykaz usług kluczowych w danym państwie członkowskim, jeżeli istnieją dodatkowe usługi kluczowe w porównaniu do wykazu usług kluczowych, o którym mowa w art. 5 ust. 1;
b) liczbę podmiotów krytycznych zidentyfikowanych w każdym sektorze i podsektorze, określonych w załączniku, oraz zidentyfikowanych w odniesieniu do każdej z usług kluczowych;
c) wszelkie progi zastosowane w celu określenia co najmniej jednego spośród kryteriów określonych w ust. 1.
Progi, o których mowa w akapicie pierwszym lit. c), można przedstawić wprost lub w formie zagregowanej.
Następnie państwa członkowskie przekazują informacje, o których mowa w akapicie pierwszym, w razie potrzeby i co najmniej raz na cztery lata.
3. Komisja - po skonsultowaniu się z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 19 - przyjmuje niewiążące wytyczne mające na celu ułatwienie stosowania kryteriów, o których mowa w ust. 1 niniejszego artykułu, biorąc pod uwagę informacje, o których mowa w ust. 2 niniejszego artykułu.
Artykuł 8
Podmioty krytyczne w sektorze bankowym, sektorze infrastruktury rynku finansowego oraz sektorze infrastruktury cyfrowej
Państwa członkowskie zapewniają, aby art. 11 i rozdziały III, IV i VI nie miały zastosowania w odniesieniu do podmiotów krytycznych, które zostały przez nie zidentyfikowane w sektorach określonych w pkt 3, 4 i 8 tabeli w załączniku. Państwa członkowskie mogą przyjąć lub utrzymać przepisy prawa krajowego w celu osiągnięcia wyższego poziomu odporności tych podmiotów krytycznych, pod warunkiem że przepisy te są zgodne z mającym zastosowanie prawem Unii.
Artykuł 9
Właściwe organy i pojedynczy punkt kontaktowy
1. Każde państwo członkowskie wyznacza lub ustanawia co najmniej jeden właściwy organ odpowiedzialny za prawidłowe stosowanie i - w stosownych przypadkach - egzekwowanie przepisów określonych w niniejszej dyrektywie na poziomie krajowym.
W odniesieniu do podmiotów krytycznych w sektorach określonych w pkt 3 i 4 tabeli w załączniku do niniejszej dyrektywy, właściwymi organami są co do zasady właściwe organy, o których mowa w art. 46 rozporządzenia (UE) 2022/2554 W odniesieniu do podmiotów krytycznych w sektorze określonym w pkt 8 tabeli w załączniku do niniejszej dyrektywy, właściwymi organami są co do zasady właściwe organy na podstawie dyrektywy (UE) 2022/2555. Państwa członkowskie mogą wyznaczyć inny właściwy organ dla sektorów określonych w pkt 3, 4 i 8 tabeli w załączniku do niniejszej dyrektywy zgodnie z istniejącymi ramami krajowymi.
Jeżeli państwa członkowskie wyznaczą lub ustanowią więcej niż jeden właściwy organ, wyraźnie określają odpowiednie zadania każdego z przedmiotowych organów oraz zapewniają ich skuteczną współpracę w wypełnianiu ich zadań na mocy niniejszej dyrektywy, w tym w odniesieniu do wyznaczenia i działań pojedynczego punktu kontaktowego, o którym mowa w ust. 2.
2. Każde państwo członkowskie wyznacza lub ustanawia jeden pojedynczy punkt kontaktowy, który wykonuje funkcję łącznikową w celu zapewnienia współpracy transgranicznej z pojedynczymi punktami kontaktowymi innych państw członkowskich i z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 19 (zwany dalej „pojedynczym punktem kontaktowym"). W stosownych przypadkach państwo członkowskie wyznacza swój pojedynczy punkt kontaktowy w ramach właściwego organu. W stosownych przypadkach państwo członkowskie może postanowić, że jego pojedynczy punkt kontaktowy będzie wykonywał również funkcję łącznikową z Komisją i zapewniał współpracę z państwami trzecimi.
3. W terminie do dnia 17 lipca 2028 r., a następnie co dwa lata, pojedyncze punkty kontaktowe przekazują Komisji oraz Grupie ds. Odporności Podmiotów Krytycznych, o której mowa w art. 19, sprawozdanie podsumowujące na temat otrzymanych zgłoszeń, w tym liczby zgłoszeń, charakteru zgłoszonych incydentów oraz działań podjętych zgodnie z art. 15 ust. 3.
Komisja, we współpracy z Grupą ds. Odporności Podmiotów Krytycznych, opracowuje wspólny formularz sprawozdawczy. Właściwe organy mogą dobrowolnie korzystać z tego wspólnego formularza sprawozdawczego do celów przedkładania sprawozdań podsumowujących, o których mowa w akapicie pierwszym.
4. Każde państwo członkowskie zapewnia, aby jego właściwy organ i pojedynczy punkt kontaktowy posiadały uprawnienia oraz odpowiednie zasoby finansowe, ludzkie i techniczne, by w sposób skuteczny i wydajny wykonywać przydzielone im zadania.
5. Każde państwo członkowskie zapewnia, aby jego właściwy organ - w stosownych przypadkach oraz zgodnie z prawem Unii i prawem krajowym - konsultował się oraz współpracował z innymi odpowiednimi organami krajowymi, w tym z organami, które zajmują się ochroną ludności, egzekwowaniem prawa i ochroną danych osobowych, oraz z podmiotami krytycznymi i odpowiednimi zainteresowanymi stronami.
6. Każde państwo członkowskie zapewnia, aby jego właściwy organ na podstawie niniejszej dyrektywy współpracował i wymieniał się informacjami z właściwymi organami na podstawie dyrektywy (UE) 2022/2555 w zakresie ryzyk w cyberprzestrzeni, cyberzagrożeń i cyberincydentów oraz ryzyk, zagrożeń i incydentów poza cyberprzestrzenią wpływających na podmioty krytyczne, w tym w odniesieniu do odpowiednich środków podjętych przez jego właściwy organ i właściwe organy na podstawie dyrektywy (UE) 2022/2555.
7. W terminie trzech miesięcy od wyznaczenia lub ustanowienia właściwego organu i pojedynczego punktu kontaktowego każde państwo członkowskie powiadamia Komisję o ich danych identyfikacyjnych i o ich zadaniach i obowiązkach wynikających z niniejszej dyrektywy, o ich danych kontaktowych oraz o wszelkich późniejszych zmianach w tym zakresie. Państwa członkowskie informują Komisję, w przypadku gdy postanowiły wyznaczyć organ inny niż organy właściwe, o których mowa w ust. 1 akapit drugi, jako właściwe organy w odniesieniu do podmiotów krytycznych w sektorach określonych w pkt 3, 4 i 8 tabeli w załączniku. Każde państwo członkowskie podaje do publicznej wiadomości informację o danych identyfikacyjnych właściwego organu i pojedynczego punktu kontaktowego.
8. Komisja podaje do wiadomości publicznej wykaz pojedynczych punktów kontaktowych.
Artykuł 10
Wsparcie państw członkowskich na rzecz podmiotów krytycznych
1. Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to może obejmować opracowywanie materiałów zawierających wytyczne oraz metodyk, pomoc w organizacji ćwiczeń mających na celu sprawdzenie odporności tych podmiotów oraz zapewnianie doradztwa i szkoleń dla personelu podmiotów krytycznych. Bez uszczerbku dla mających zastosowanie przepisów dotyczących pomocy państwa, jeżeli jest to konieczne i uzasadnione celami interesu publicznego, państwa członkowskie mogą przekazywać zasoby finansowe podmiotom krytycznym.
2. Każde państwo członkowskie zapewnia, aby jego właściwy organ współpracował z podmiotami krytycznymi z sektorów określonych w załączniku oraz aby prowadził z nimi wymianę informacji i dobrych praktyk.
3. Państwa członkowskie ułatwiają dobrowolną wymianę informacji między podmiotami krytycznymi w odniesieniu do kwestii objętych niniejszą dyrektywą zgodnie z prawem Unii i prawem krajowym, w szczególności z przepisami dotyczącymi informacji niejawnych i szczególnie chronionych, konkurencji i ochrony danych osobowych.
Artykuł 11
Współpraca między państwami członkowskimi
1. W stosownych przypadkach państwa członkowskie prowadzą wzajemne konsultacje dotyczące podmiotów krytycznych w celu zapewnienia spójnego stosowania niniejszej dyrektywy. Konsultacje takie odbywają się w szczególności w odniesieniu do podmiotów krytycznych, które:
a) korzystają z infrastruktury krytycznej, która jest fizycznie połączona na terytorium co najmniej dwóch państw członkowskich;
b) są częścią struktur przedsiębiorstw połączonych lub powiązanych z podmiotami krytycznymi w innych państwach członkowskich;
c) zostały zidentyfikowane jako podmioty krytyczne w jednym państwie członkowskim i świadczą usługi kluczowe na rzecz innych państw członkowskich lub w innych państwach członkowskich.
2. Konsultacje, o których mowa w ust. 1, mają na celu zwiększenie odporności podmiotów krytycznych oraz, w miarę możliwości, zmniejszenie ich obciążenia administracyjnego.
ROZDZIAŁ III
ODPORNOŚĆ PODMIOTÓW KRYTYCZNYCH
Artykuł 12
Ocena ryzyka przeprowadzana przez podmioty krytyczne
1. Niezależnie od terminu określonego w art. 6 ust. 3 akapit drugi państwa członkowskie zapewniają przeprowadzenie oceny ryzyka przez podmioty krytyczne w terminie dziewięciu miesięcy po otrzymaniu powiadomienia, o którym mowa w art. 6 ust. 3, a następnie w razie potrzeby, co najmniej co cztery lata, na podstawie ocen ryzyka państw członkowskich i innych istotnych źródeł informacji, aby ocenić wszystkie istotne czynniki ryzyka, które mogłyby zakłócać świadczenie ich usług kluczowych (zwanej dalej „oceną ryzyka podmiotu krytycznego").
2. Oceny ryzyka podmiotów krytycznych obejmują wszystkie istotne naturalne i spowodowane przez człowieka czynniki ryzyka mogące prowadzić do incydentu, w tym czynniki ryzyka o charakterze międzysektorowym lub transgranicznym, wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego i zagrożenia hybrydowe oraz inne zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne przewidziane w dyrektywie (UE) 2017/541. Ocena ryzyka podmiotu krytycznego musi uwzględniać stopień zależności innych sektorów określonych w załączniku od usługi kluczowej świadczonej przez podmiot krytyczny oraz stopień zależności tego podmiotu krytycznego od usług kluczowych świadczonych przez inne podmioty w takich innych sektorach, w tym w stosownych przypadkach w sąsiadujących państwach członkowskich i w państwach trzecich.
W przypadku gdy podmiot krytyczny przeprowadził inne oceny ryzyka lub sporządził dokumenty zgodnie z obowiązkami określonymi w innych aktach prawnych, które to oceny ryzyka lub dokumenty są istotne dla jego oceny ryzyka podmiotu krytycznego, podmiot ten może wykorzystać te oceny i dokumenty do spełnienia wymogów określonych w niniejszym artykule. Wykonując swoje funkcje nadzorcze, właściwy organ może uznać istniejącą ocenę ryzyka przeprowadzoną przez podmiot krytyczny, która odnosi się do czynników ryzyka i stopnia zależności, o których mowa w akapicie pierwszym niniejszego ustępu, za spełniającą -w całości lub w części - wymogi niniejszego artykułu.
Artykuł 13
Środki w zakresie odporności wprowadzane przez podmioty krytyczne
1. Państwa członkowskie zapewniają, aby podmioty krytyczne wprowadzały odpowiednie i proporcjonalne środki techniczne, środki bezpieczeństwa i środki organizacyjne służące zapewnieniu ich odporności, w oparciu o odpowiednie informacje dostarczone przez państwa członkowskie dotyczące oceny ryzyka państwa członkowskiego oraz wyników oceny ryzyka podmiotu krytycznego, w tym środki niezbędne w celu:
a) zapobiegania incydentom, z należytym uwzględnieniem środków zmniejszania ryzyka związanego z katastrofami i przystosowania się do zmiany klimatu;
b) zapewnienia odpowiedniej fizycznej ochrony ich budynków i terenów oraz infrastruktury krytycznej, z należytym uwzględnieniem na przykład zainstalowania ogrodzeń, budowy barier, narzędzi i procedur monitorowania terenu podlegającego ochronie, sprzętu do wykrywania i kontroli dostępu;
c) odpowiedzi na incydenty, stawiania im oporu i łagodzenia ich skutków, z należytym uwzględnieniem wdrażania procedur i protokołów zarządzania ryzykiem i zarządzania kryzysowego, a także procedur ostrzegawczych;
d) odtworzenia po incydentach, z należytym uwzględnieniem środków na rzecz ciągłości działania oraz identyfikacji alternatywnych łańcuchów dostaw w celu przywrócenia świadczenia usługi kluczowej;
e) zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, z należytym uwzględnieniem środków takich jak ustanowienie kategorii personelu wykonującego funkcje krytyczne, ustanowienie praw dostępu do budynków i terenów, infrastruktury krytycznej i informacji szczególnie chronionych, ustanowienie procedur sprawdzenia przeszłości zgodnie z art. 14, wyznaczenie kategorii osób podlegających takim procedurom sprawdzenia przeszłości oraz określenie odpowiednich wymogów szkoleniowych i kwalifikacji;
f) zwiększania świadomości odpowiedniego personelu na temat środków, o których mowa w lit. a)-e), z należytym uwzględnieniem szkoleń, materiałów informacyjnych i ćwiczeń.
Do celów akapitu pierwszego lit. e) państwa członkowskie zapewniają, aby podmioty krytyczne uwzględniały personel zewnętrznych dostawców usług przy określaniu kategorii personelu, który wykonuje funkcje krytyczne.
2. Państwa członkowskie zapewniają, aby podmioty krytyczne posiadały i stosowały plan zwiększania odporności lub równoważny dokument lub równoważne dokumenty opisujące środki zastosowane na podstawie ust. 1. W przypadku gdy podmioty krytyczne sporządziły dokumenty lub zastosowały środki zgodnie z ustanowionymi w innych aktach prawnych obowiązkami, które są istotne dla środków określonych w ust. 1, podmioty te mogą skorzystać z tych dokumentów i środków do spełnienia wymogów określonych w niniejszym artykule. Wykonując swoje funkcje nadzorcze, właściwy organ może uznać istniejące środki w zakresie zwiększania odporności zastosowane przez podmiot krytyczny, które w odpowiedni i proporcjonalny sposób obejmują środki techniczne, środki bezpieczeństwa i środki organizacyjne, o których mowa w ust. 1, za spełniające - w całości lub w części - obowiązki wynikające z niniejszego artykułu.
3. Państwa członkowskie zapewniają, aby każdy podmiot krytyczny wyznaczył urzędnika łącznikowego lub jego odpowiednika jako punkt kontaktowy z właściwymi organami.
4. Na wniosek państwa członkowskiego, które zidentyfikowało podmiot krytyczny, oraz za zgodą zainteresowanego podmiotu krytycznego Komisja organizuje misje doradcze - zgodnie z ustaleniami określonymi w art. 18 ust. 6, 8 i 9 - w celu zapewnienia zainteresowanemu podmiotowi krytycznemu doradztwa w zakresie wypełniania przez niego obowiązków na podstawie rozdziału III. Misja doradcza zgłasza swoje ustalenia Komisji, danemu państwu członkowskiemu oraz zainteresowanemu podmiotowi krytycznemu.
5. Po konsultacji z Grupą ds. Odporności Podmiotów Krytycznych, o której mowa w art. 19,Komisja przyjmuje niewiążące wytyczne w celu doprecyzowania środków technicznych, środków bezpieczeństwa i środków organizacyjnych, które można wprowadzić na podstawie ust. 1 niniejszego artykułu.
6. Komisja przyjmuje akty wykonawcze w celu określenia niezbędnych specyfikacji technicznych i metodycznych związanych ze stosowaniem środków, o których mowa w ust. 1 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 24 ust. 2.
Artykuł 14
Sprawdzenie przeszłości
1. Państwa członkowskie określają warunki, na podstawie których podmiot krytyczny może - w należycie uzasadnionych przypadkach i z uwzględnieniem oceny ryzyka państwa członkowskiego - składać wnioski o sprawdzenie przeszłości osób, które:
a) pełnią newralgiczne role w podmiocie krytycznym lub na jego rzecz, w szczególności w odniesieniu do odporności podmiotu krytycznego;
b) są upoważnione do posiadania bezpośredniego lub zdalnego dostępu do budynków i terenów podmiotu krytycznego, jego informacji lub systemów kontroli, w tym w związku z bezpieczeństwem podmiotu krytycznego;
c) są brane pod uwagę przy rekrutacji na stanowiska objęte kryteriami, określonymi w lit. a) lub b).
2. Wnioski, o których mowa w ust. 1 niniejszego artykułu, są rozpatrywane w rozsądnym terminie i przetwarzane zgodnie z krajowymi przepisami i procedurami oraz z odpowiednim i mającym zastosowanie prawem Unii, w tym z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 i dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 (37). Sprawdzanie przeszłości musi być proporcjonalne i ściśle ograniczone do tego, co jest konieczne. Przeprowadza się je wyłącznie w celu oceny potencjalnego ryzyka dla bezpieczeństwa odnośnego podmiotu krytycznego.
3. W ramach sprawdzenia przeszłości, o którym mowa w ust. 1, dokonuje się co najmniej:
a) potwierdzenia tożsamość osoby, która podlega sprawdzeniu przeszłości;
b) sprawdzenia rejestrów karnych tej osoby pod kątem przestępstw, które miałyby znaczenie dla danego stanowiska;
Podczas przeprowadzania sprawdzenia przeszłości państwa członkowskie wykorzystują europejski system przekazywania informacji z rejestrów karnych zgodnie z procedurami określonymi w decyzji ramowej 2009/315/WSiSW oraz, w razie potrzeby i w stosownych przypadkach, w rozporządzeniu (UE) 2019/816 w celu uzyskania informacji z rejestrów karnych prowadzonych przez inne państwa członkowskie. Organy centralne, o których mowa w art. 3 ust. 1 decyzji ramowej 2009/315/WSiSW oraz w art. 3 pkt 5 rozporządzenia (UE) 2019/816, udzielają odpowiedzi na wnioski o przekazanie takich informacji w terminie 10 dni roboczych od dnia otrzymania wniosku zgodnie z art. 8 ust. 1 decyzji ramowej 2009/315/WSiSW.
Artykuł 15
Zgłaszanie incydentów
1. Państwa członkowskie zapewniają, aby podmioty krytyczne bez zbędnej zwłoki zgłaszały właściwemu organowi incydenty, które istotnie zakłócają lub mogą istotnie zakłócać świadczenie usług kluczowych. Państwa członkowskie zapewniają, aby podmioty krytyczne dokonały, chyba że jest to niemożliwe z operacyjnego punktu widzenia, zgłoszenia wstępnego -nie później niż 24 godziny od chwili uzyskania wiedzy o zaistnieniu incydentu, a następnie, w stosownych przypadkach, przedłożyły szczegółowe sprawozdanie w terminie nie dłuższym niż jeden miesiąc od zaistnienia incydentu. W celu określenia wagi zakłócenia uwzględnia się w szczególności następujące parametry:
a) liczba i odsetek użytkowników dotkniętych zakłóceniem;
b) czas trwania zakłócenia;
c) obszar geograficzny, którego dotyczy zakłócenie, z uwzględnieniem tego, czy obszar jest geograficznie odizolowany.
W przypadku gdy incydent ma lub może mieć znaczący wpływ na ciągłość świadczenia usług kluczowych na rzecz co najmniej sześciu państw członkowskich lub w co najmniej sześciu państwach członkowskich, właściwe organy państw członkowskich, których incydent ten dotyczy, powiadamiają o tym incydencie Komisję.
2. Zgłoszenia, o których mowa w ust. 1 akapit pierwszy, muszą zawierać wszelkie dostępne informacje, których właściwy organ potrzebuje, aby zrozumieć charakter, przyczynę i ewentualne konsekwencje incydentu, w tym wszelkie dostępne informacje niezbędne do ustalenia, czy dany incydent ma wpływ transgraniczny. Zgłoszenia takie nie mogą narażać podmiotów krytycznych na zwiększoną odpowiedzialność.
3. Na podstawie informacji przekazanych przez podmiot krytyczny w zgłoszeniu, o którym mowa w ust. 1, odpowiedni właściwy organ - za pośrednictwem pojedynczego punktu kontaktowego - informuje o tym incydencie pojedynczy punkt kontaktowy innego państwa członkowskiego, którego dotyczy incydent, jeżeli incydent ma lub może mieć istotny wpływ na podmioty krytyczne oraz na ciągłość świadczenia usług kluczowych na rzecz co najmniej jednego innego państwa członkowskiego lub w co najmniej jednym innym państwie członkowskim.
Pojedyncze punkty kontaktowe wysyłając i otrzymując informacje zgodnie z akapitem pierwszym traktują te informacje w sposób zapewniający zachowanie ich poufności zgodnie z prawem Unii lub prawem krajowym, chroniąc tym samym bezpieczeństwo i interesy handlowe danego podmiotu krytycznego.
4. Jak najszybciej po otrzymaniu zgłoszenia, o którym mowa w ust. 1, zainteresowany właściwy organ przekazuje zainteresowanemu podmiotowi krytycznemu odpowiednie informacje zwrotne, w tym informacje, które mogą pomóc podmiotowi krytycznemu w skutecznej odpowiedzi na dany incydent. Państwa członkowskie informują opinię publiczną, jeżeli stwierdzą, że leży to w interesie publicznym.
Artykuł 16
Normy
Aby wspierać spójne wdrażanie niniejszej dyrektywy, państwa członkowskie zachęcają, w przypadkach gdy może to być przydatne i nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii, do stosowania europejskich i międzynarodowych norm i specyfikacji technicznych istotnych dla środków w zakresie bezpieczeństwa i w zakresie odporności mających zastosowanie do podmiotów krytycznych.
ROZDZIAŁ IV
PODMIOTY KRYTYCZNE O SZCZEGÓLNYM ZNACZENIU EUROPEJSKIM
Artykuł 17
Identyfikowanie podmiotów krytycznych o szczególnym znaczeniu europejskim
1. Podmiot uznaje się za podmiot krytyczny o szczególnym znaczeniu europejskim, w przypadku gdy:
a) zidentyfikowano go jako podmiot krytyczny na podstawie art. 6 ust. 1;
b) świadczy on te same lub podobne usługi kluczowe na rzecz co najmniej sześciu państw członkowskich lub w co najmniej sześciu państwach członkowskich; oraz
c) powiadomiono go o tym fakcie na podstawie ust. 3 niniejszego artykułu.
2. Państwa członkowskie zapewniają, aby po powiadomieniu, o którym mowa w art. 6 ust. 3, podmiot krytyczny poinformował swój właściwy organ o tym, czy świadczy usługi kluczowe na rzecz co najmniej sześciu państw członkowskich lub w co najmniej sześciu państwach członkowskich. W takim przypadku państwa członkowskie zapewniają, aby podmiot krytyczny informował swój właściwy organ o usługach kluczowych, które świadczy na rzecz tych państw członkowskich lub w tych państwach członkowskich, a także o państwach członkowskich, na rzecz których lub w których świadczy takie usługi kluczowe. Państwa członkowskie bez zbędnej zwłoki przekazują Komisji dane identyfikacyjne takich podmiotów krytycznych oraz informacje, które podmioty krytyczne przekazują na podstawie niniejszego ustępu.
Komisja prowadzi konsultacje z właściwym organem państwa członkowskiego, które zidentyfikowało podmiot krytyczny, o którym mowa w akapicie pierwszym, właściwym organem innych zainteresowanych państw członkowskich oraz z odnośnym podmiotem krytycznym. W trakcie tych konsultacji każde państwo członkowskie informuje Komisję o tym, czy uważa, że usługi świadczone na jego rzecz przez podmiot krytyczny stanowią usługi kluczowe.
3. Jeżeli na podstawie konsultacji, o których mowa w ust. 2 niniejszego artykułu, Komisja stwierdzi, że zainteresowany podmiot krytyczny świadczy usługi kluczowe na rzecz co najmniej sześciu państw członkowskich lub w co najmniej sześciu państwach członkowskich, Komisja powiadamia ten podmiot krytyczny za pośrednictwem jego właściwego organu, że uznaje się go za podmiot krytyczny o szczególnym znaczeniu europejskim i informuje ten podmiot krytyczny o obowiązkach spoczywających na nim na podstawie niniejszego rozdziału oraz o dniu, od którego obowiązki te mają wobec niego zastosowanie. Po tym jak Komisja poinformuje właściwy organ o swojej decyzji o uznaniu danego podmiotu krytycznego za podmiot krytyczny o szczególnym znaczeniu europejskim, właściwy organ bez zbędnej zwłoki powiadamia o tym fakcie ten podmiot krytyczny.
4. Niniejszy rozdział stosuje się do odnośnego podmiotu krytycznego o szczególnym znaczeniu europejskim, począwszy od dnia otrzymania powiadomienia, o którym mowa w ust. 3 niniejszego artykułu.
Artykuł 18
Misje doradcze
1. Na wniosek państwa członkowskiego, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1, Komisja organizuje misję doradczą w celu oceny środków wprowadzonych przez ten podmiot krytyczny z myślą o wypełnianiu obowiązków spoczywających na nim na podstawie rozdziału III.
2. Z własnej inicjatywy lub na wniosek co najmniej jednego państwa członkowskiego, na rzecz którego lub w którym świadczona jest usługa kluczowa, Komisja organizuje misję doradczą, o której mowa w ust. 1 niniejszego artykułu, pod warunkiem że zgodzi się na to państwo członkowskie, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1.
3. Na uzasadniony wniosek Komisji lub co najmniej jednego państwa członkowskiego, na rzecz którego lub w którym świadczona jest usługa kluczowa, państwo członkowskie, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1, dostarcza Komisji:
a) odpowiednie części oceny ryzyka podmiotu krytycznego;
b) wykaz odnośnych środków wprowadzonych zgodnie z art. 13;
c) informacje o działaniach z zakresu nadzoru lub egzekwowania przepisów, które zgodnie z art. 21 i 22 podjął wobec tego podmiotu krytycznego jego właściwy organ, w tym na temat przeprowadzonych ocen zgodności lub wydanych nakazów.
4. Misja doradcza przedkłada sprawozdanie ze swoich ustaleń Komisji, państwu członkowskiemu, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1, państwom członkowskim, na rzecz których lub w których świadczona jest usługa kluczowa, oraz podmiotowi krytycznemu, którego dotyczy misja, w terminie trzech miesięcy od zakończenia misji doradczej.
Państwa członkowskie, na rzecz których lub w których świadczona jest usługa kluczowa, analizują sprawozdanie, o którym mowa w akapicie pierwszym, i w stosownych przypadkach doradzają Komisji w kwestii tego, czy dany podmiot krytyczny o szczególnym znaczeniu europejskim wywiązuje się z obowiązków spoczywających na nim na podstawie rozdziału III, oraz - w stosownych przypadkach - w kwestii tego, jakie środki można wprowadzić, aby zwiększyć odporność tego podmiotu krytycznego.
Na podstawie porad, o których mowa w akapicie drugim niniejszego ustępu, Komisja przekazuje państwu członkowskiemu, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1, państwom członkowskim, na rzecz których lub w których świadczona jest usługa kluczowa, oraz temu podmiotowi krytycznemu swoją opinię na temat tego, czy ten podmiot krytyczny wywiązuje się z obowiązków spoczywających na nim na podstawie rozdziału III, oraz - w stosownych przypadkach - jakie środki można wprowadzić, aby zwiększyć odporność tego podmiotu krytycznego.
Państwo członkowskie, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1, zapewnia, by jego właściwy organ i odnośny podmiot krytyczny uwzględniły opinię, o której mowa w akapicie trzecim niniejszego ustępu, i przekazuje Komisji oraz państwom członkowskim, na rzecz których lub w których świadczona jest usługa kluczowa, informacje na temat środków, jakie podjęło na podstawie tej opinii.
5. Każda misja doradcza składa się z ekspertów z państwa członkowskiego, w którym znajduje się podmiot krytyczny o szczególnym znaczeniu europejskim, ekspertów z państw członkowskich, na rzecz których lub w których świadczona jest usługa kluczowa, oraz z przedstawicieli Komisji. Te państwa członkowskie mogą proponować kandydatów do uczestnictwa w misji doradczej. Komisja, po konsultacji z państwem członkowskim, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1, wybiera i powołuje członków każdej misji doradczej zgodnie z ich kwalifikacjami zawodowymi, zapewniając, w miarę możliwości, aby reprezentowali wszystkie te państwa członkowskie w sposób zrównoważony pod względem geograficznym. W razie potrzeby członkowie misji doradczej muszą posiadać ważne i odpowiednie poświadczenie bezpieczeństwa osobowego. Komisja ponosi koszty związane z uczestnictwem w misjach doradczych.
Komisja organizuje program każdej misji doradczej po konsultacji z członkami danej misji doradczej oraz w porozumieniu z państwem członkowskim, które zidentyfikowało podmiot krytyczny o szczególnym znaczeniu europejskim jako podmiot krytyczny zgodnie z art. 6 ust. 1.
6. Komisja przyjmuje akt wykonawczy, w którym ustanawia przepisy dotyczące rozwiązań proceduralnych w zakresie wniosków o organizację misji doradczych, rozpatrywania takich wniosków, prowadzenia misji doradczych i opracowywania sprawozdań z tych misji oraz postępowania w zakresie przekazywania opinii Komisji, o której to opinii mowa w ust. 4 akapit trzeci niniejszego artykułu, i informowania o podjętych środkach, z należytym uwzględnieniem poufności i ochrony tajemnicy handlowej w zakresie odnośnych informacji. Ten akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 24 ust. 2.
7. Państwa członkowskie zapewniają, aby podmioty krytyczne o szczególnym znaczeniu europejskim zapewniały misjom doradczym dostęp do informacji, systemów i obiektów związanych ze świadczeniem ich usług kluczowych, które są niezbędne do prowadzenia danej misji doradczej.
8. Misje doradcze realizowane są zgodnie z obowiązującym prawem krajowym państwa członkowskiego, na terytorium którego się odbywają, z poszanowaniem odpowiedzialności tego państwa członkowskiego za bezpieczeństwo narodowe i ochronę jego interesów w zakresie bezpieczeństwa.
9. Organizując misje doradcze, Komisja bierze pod uwagę sprawozdania z inspekcji przeprowadzonych przez Komisję na podstawie rozporządzeń (WE) nr 725/2004 i (WE) nr 300/2008 oraz sprawozdania z monitorowania przeprowadzonego przez Komisję na podstawie dyrektywy 2005/65/WE w odniesieniu do odnośnego podmiotu krytycznego.
10. Komisja informuje Grupę ds. Odporności Podmiotów Krytycznych, o której mowa w art. 19, o każdym przypadku zorganizowania misji doradczej. Państwo członkowskie, na terenie którego odbyła się misja doradcza, oraz Komisja informują również Grupę ds. Odporności Podmiotów Krytycznych o głównych wnioskach misji doradczej i zebranych doświadczeniach w celu promowania wzajemnego uczenia się.
ROZDZIAŁ V
WSPÓŁPRACA I SPRAWOZDAWCZOŚĆ
Artykuł 19
Grupa ds. Odporności Podmiotów Krytycznych
1. Niniejszym ustanawia się Grupę ds. Odporności Podmiotów Krytycznych. Grupa ds. Odporności Podmiotów Krytycznych wspiera Komisję i ułatwia współpracę między państwami członkowskimi oraz wymianę informacji na temat kwestii związanych z niniejszą dyrektywą.
2. Grupa ds. Odporności Podmiotów Krytycznych składa się z przedstawicieli państw członkowskich i Komisji posiadających, w stosownych przypadkach, poświadczenie bezpieczeństwa osobowego. Jeżeli jest to istotne dla wykonywania powierzonych jej zadań, Grupa ds. Odporności Podmiotów Krytycznych może zaprosić do udziału w swoich pracach odpowiednie zainteresowane strony. Na wniosek Parlamentu Europejskiego Komisja może zaprosić ekspertów z Parlamentu Europejskiego do udziału w posiedzeniach Grupy ds. Odporności Podmiotów Krytycznych.
Grupie ds. Odporności Podmiotów Krytycznych przewodniczy przedstawiciel Komisji.
3. Zadania Grupy ds. Odporności Podmiotów Krytycznych są następujące:
a) wspieranie Komisji w pomocy państwom członkowskim w zwiększaniu ich zdolności do zapewniania odporności podmiotów krytycznych zgodnie z niniejszą dyrektywą;
b) analizowanie strategii w celu określenia najlepszych praktyk w odniesieniu do tych strategii;
c) ułatwianie wymiany najlepszych praktyk w odniesieniu do identyfikacji podmiotów krytycznych przez państwa członkowskie zgodnie z art. 6 ust. 1, w tym w odniesieniu do transgranicznych i międzysektorowych zależności oraz czynników ryzyka i incydentów;
d) w stosownych przypadkach wnoszenie wkładu w przygotowywanie dokumentów dotyczących odporności na poziomie Unii odnośnie do kwestii związanych z niniejszą dyrektywą;
e) wnoszenie wkładu w przygotowywanie wytycznych, o których mowa w art. 7 ust. 3 i art. 13 ust. 5, oraz, na wniosek, wszelkich aktów delegowanych lub wykonawczych przyjętych zgodnie z niniejszą dyrektywą;
f) analizowanie sprawozdań podsumowujących, o których mowa w art. 9 ust. 3 z myślą o promowaniu wymiany najlepszych praktyk co do działań podejmowanych zgodnie z art. 15 ust. 3;
g) wymiana najlepszych praktyk dotyczących zgłaszania incydentów, o którym mowa w art. 15;
h) omawianie sprawozdań podsumowujących misji doradczych i zebranych doświadczeń zgodnie z art. 18 ust. 10;
i) wymiana informacji i najlepszych praktyk dotyczących innowacji, badań i rozwoju w zakresie odporności podmiotów krytycznych zgodnie z niniejszą dyrektywą;
j) w stosownych przypadkach, wymiana informacji w sprawach dotyczących odporności podmiotów krytycznych z odpowiednimi instytucjami, organami i jednostkami organizacyjnymi Unii.
4. W terminie do dnia 17 stycznia 2025 r., a następnie co dwa lata, Grupa ds. Odporności Podmiotów Krytycznych opracowuje program prac w odniesieniu do działań, jakie mają zostać podjęte na rzecz realizacji jej celów i zadań. Ten program prac musi być spójny z wymogami i celami niniejszej dyrektywy.
5. Grupa ds. Odporności Podmiotów Krytycznych spotyka się regularnie, w każdym razie co najmniej raz w roku, z Grupą Współpracy ustanowioną na podstawie dyrektywy (UE) 2022/2555 w celu propagowania i ułatwiania współpracy i wymiany informacji.
6. Komisja może przyjmować akty wykonawcze określające rozwiązania proceduralne niezbędne do funkcjonowania Grupy ds. Odporności Podmiotów Krytycznych, z poszanowaniem art. 1 ust. 4. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 24 ust. 2.
7. Komisja przekazuje Grupie ds. Odporności Podmiotów Krytycznych sprawozdanie podsumowujące dotyczące informacji przekazanych przez państwa członkowskie zgodnie z art. 4 ust. 3 i art. 5 ust. 4 w terminie do dnia 17 stycznia 2027 r., a następnie w razie potrzeby i co najmniej raz na cztery lata.
Artykuł 20
Wsparcie Komisji na rzecz właściwych organów i podmiotów krytycznych
1. Komisja wspiera w stosownych przypadkach państwa członkowskie i podmioty krytyczne w wypełnianiu ich obowiązków przewidzianych w niniejszej dyrektywie. Komisja przygotowuje ogólnounijny przegląd transgranicznych i między-sektorowych czynników ryzyka związanych ze świadczeniem usług kluczowych, organizuje misje doradcze, o których mowa w art. 13 ust. 4 i art. 18, oraz ułatwia wymianę informacji między państwami członkowskimi i ekspertami w całej Unii.
2. Komisja uzupełnia działania państw członkowskich, o których mowa w art. 10, opracowując najlepsze praktyki, materiały zawierające wytyczne i metodyki oraz organizując transgraniczne działania szkoleniowe i ćwiczenia w celu sprawdzania odporności podmiotów krytycznych.
3. Komisja informuje państwa członkowskie o dostępnych dla nich na poziomie Unii zasobach finansowych przeznaczonych na zwiększanie odporności podmiotów krytycznych.
ROZDZIAŁ VI
NADZÓR I EGZEKWOWANIE PRZEPISÓW
Artykuł 21
Nadzór i egzekwowanie przepisów
1. W celu ocenienia, czy podmioty zidentyfikowane przez państwa członkowskie, zgodnie z art. 6 ust. 1, jako podmioty krytyczne wypełniają obowiązki ustanowione w niniejszej dyrektywie, państwa członkowskie zapewniają właściwym organom uprawnienia i środki do:
a) przeprowadzania kontroli na miejscu w zakresie infrastruktury krytycznej oraz budynków i terenów wykorzystywanych przez podmiot krytyczny do świadczenia usług kluczowych, oraz prowadzenia zdalnego nadzoru nad środkami stosowanymi przez podmioty krytyczne zgodnie z art. 13;
b) przeprowadzania lub zlecania audytów dotyczących podmiotów krytycznych.
2. Państwa członkowskie zapewniają właściwym organom uprawnienia i środki, gdy jest to konieczne w celu wykonywania przez nie ich zadań określonych w niniejszej dyrektywie, umożliwiające zobowiązanie podmiotów na podstawie dyrektywy (UE) 2022/2555 zidentyfikowanych przez państwa członkowskie, na podstawie niniejszej dyrektywy, jako podmioty krytyczne, do przekazania w rozsądnym terminie ustalonym przez te organy:
a) informacji koniecznych do oceny, czy działania podjęte przez te podmioty w celu zapewniania ich odporności spełniają wymogi określone w art. 13;
b) dowodów potwierdzających skuteczne wdrożenie tych środków, w tym wyników audytu przeprowadzonego na koszt tego podmiotu przez wybranego przez niego niezależnego i wykwalifikowanego audytora.
Zwracając się o przekazanie tych informacji, właściwe organy podają cel tego żądania i określają, jakie informacje są wymagane.
3. Bez uszczerbku dla możliwości nakładania sankcji zgodnie z art. 22 właściwe organy mogą, po przeprowadzeniu działań nadzorczych, o których mowa w ust. 1 niniejszego artykułu, lub oceny informacji, o których mowa w ust. 2 niniejszego artykułu, nakazać odnośnym podmiotom krytycznym podjęcie koniecznych i proporcjonalnych działań w celu wyeliminowania wszelkiego stwierdzonego naruszenia niniejszej dyrektywy w rozsądnym terminie ustalonym przez te organy oraz poinformowanie tych organów o podjętych działaniach. Nakazy te musza uwzględniać w szczególności wagę naruszenia.
4. Państwo członkowskie zapewnia, aby uprawnienia określone w ust. 1, 2 i 3 mogły być wykonywane wyłącznie z zastrzeżeniem odpowiednich gwarancji prawnych. Takie gwarancje muszą zapewniać w szczególności wykonywanie tych uprawnień w sposób obiektywny, przejrzysty i proporcjonalny oraz należyte zabezpieczenie praw i prawnie uzasadnionych interesów, takich jak ochrona tajemnicy przedsiębiorstwa i tajemnicy handlowej, podmiotów krytycznych, których to dotyczy, w tym prawa do bycia wysłuchanym, prawa do obrony oraz prawa do skutecznego środka odwoławczego przed niezależnym sądem.
5. Państwa członkowskie zapewniają, aby w przypadku, gdy właściwy organ na podstawie niniejszej dyrektywy przeprowadza, zgodnie z niniejszym artykułem, ocenę spełniania przez podmiot krytyczny jego obowiązków, ten właściwy organ informował właściwe organy odnośnych państw członkowskich na podstawie dyrektywy (UE) 2022/2555 W tym celu państwa członkowskie zapewniają, aby właściwe organy na podstawie niniejszej dyrektywy mogły zwracać się do właściwych organów na podstawie dyrektywy (UE) 2022/2555 o skorzystanie przez nie z ich uprawnień w zakresie nadzoru i egzekwowania przepisów w odniesieniu do podmiotu na podstawie tej dyrektywy, który to podmiot został zidentyfikowany jako podmiot krytyczny na podstawie niniejszej dyrektywy. W tym celu państwa członkowskie zapewniają, by właściwe organy na podstawie niniejszej dyrektywy współpracowały i prowadziły wymianę informacji z właściwymi organami na podstawie dyrektywy (UE) 2022/2555.
Artykuł 22
Sankcje
Państwa członkowskie ustanawiają przepisy dotyczące sankcji mających zastosowanie w przypadku naruszeń przepisów krajowych przyjętych na podstawie niniejszej dyrektywy i podejmują wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Przewidziane sankcje muszą być skuteczne, proporcjonalne i odstraszające. Państwa członkowskie powiadamiają Komisję o tych przepisach i środkach do dnia 17 października 2024 r., a także powiadamiają ją niezwłocznie o wszelkich późniejszych zmianach, które ich dotyczą.
ROZDZIAŁ VII
AKTY DELEGOWANE I AKTY WYKONAWCZE
Artykuł 23
Wykonywanie przekazanych uprawnień
1. Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.
2. Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 5 ust. 1, powierza się Komisji na okres pięciu lat od dnia 16 stycznia 2023 r.
3. Przekazanie uprawnień, o którym mowa w art. 5 ust. 1, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.
4. Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.
5. Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.
6. Akt delegowany przyjęty na podstawie art. 5 ust. 1 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.
Artykuł 24
Procedura komitetowa
1. Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.
2. W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.
ROZDZIAŁ VIII
PRZEPISY KOŃCOWE
Artykuł 25
Sprawozdawczość i przegląd
Do dnia 17 lipca 2027 r. Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym ocenia, w jakim zakresie każde państwo członkowskie przyjęło środki niezbędne do wykonania niniejszej dyrektywy.
Komisja dokonuje okresowego przeglądu funkcjonowania niniejszej dyrektywy i składa Parlamentowi Europejskiemu i Radzie sprawozdanie na ten temat. Sprawozdanie to zawiera w szczególności ocenę wartości dodanej niniejszej dyrektywy, jej wpływ na zapewnienie odporności podmiotów krytycznych, oraz ocenę konieczności zmiany załącznika do niniejszej dyrektywy. Komisja składa pierwsze takie sprawozdanie do dnia 17 czerwca 2029 r. W celu składania sprawozdań na podstawie niniejszego artykułu Komisja uwzględnia odpowiednie dokumenty Grupy ds. Odporności Podmiotów Krytycznych.
Artykuł 26
Transpozycja
1. Państwa członkowskie przyjmują i publikują do dnia 17 października 2024 r. przepisy niezbędne do wykonania niniejszej dyrektywy. Niezwłocznie powiadamiają o tym Komisję.
Państwa członkowskie stosują te przepisy od dnia 18 października 2024 r.
2. Przyjęte przez państwa członkowskie przepisy, o których mowa w ust. 1, zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Sposób dokonywania takiego odniesienia określany jest przez państwa członkowskie.
Artykuł 27
Uchylenie dyrektywy 2008/114/WE
Dyrektywa 2008/114/WE traci moc ze skutkiem od dnia 18 października 2024 r. Odesłania do uchylonej dyrektywy odczytuje się jako odesłania do niniejszej dyrektywy.
Artykuł 28
Wejście w życie
Niniejsza dyrektywa wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Artykuł 29
Adresaci
Niniejsza dyrektywa skierowana jest do państw członkowskich.
Sporządzono w Strasburgu dnia 14 grudnia 2022 r.
W imieniu Parlamentu Europejskiego | W imieniu Rady |
Przewodnicząca | Przewodniczący |
R. METSOLA | M. BEK |
|
(1) Dz.U. C 286 z 16.7.2021, s. 170.
(2) Dz.U. C 440 z 29.10.2021, s. 99.
(3) Stanowisko Parlamentu Europejskiego z dnia 22 listopada 2022 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 8 grudnia 2022 r.
(4) Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).
(5) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (zob. s. 80 niniejszego Dziennika Urzędowego).
(6) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).
(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 z dnia 19 marca 2019 r. ustanawiające ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii (Dz.U. L 79I z 21.3.2019, s. 1).
(8) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1).
(9) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościo-wych dla instytucji kredytowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).
(10) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84).
(11) Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).
(12) Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.U. L 173 z 12.6.2014, s. 349).
(13) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/ 2014 oraz (UE) 2016/1011 (zob. s. 1 niniejszego Dziennika Urzędowego).
(14) Rozporządzenie (WE) nr 725/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie wzmocnienia ochrony statków i obiektów portowych (Dz.U. L 129 z 29.4.2004, s. 6).
(15) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z 9.4.2008, s. 72).
(16) Dyrektywa 2005/65/WE Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie wzmocnienia ochrony portów (Dz.U. L 310 z 25.11.2005, s. 28).
(17) Dyrektywa Parlamentu Europejskiego i Rady 2008/96/WE z dnia 19 listopada 2008 r. w sprawie zarządzania bezpieczeństwem infrastruktury drogowej (Dz.U. L 319 z 29.11.2008, s. 59).
(18) Decyzja Komisji z dnia 29 czerwca 2018 r. w sprawie utworzenia unijnej platformy bezpieczeństwa pasażerów w ruchu kolejowym, 2018/C 232/03 (Dz.U. C 232 z 3.7.2018, s. 10).
(19) Decyzja ramowa Rady 2009/315/WSiSW z dnia 26 lutego 2009 r. w sprawie organizacji wymiany informacji pochodzących z rejestru karnego pomiędzy państwami członkowskimi oraz treści tych informacji (Dz.U. L 93 z 7.4.2009, s. 23).
(20) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/816 z dnia 17 kwietnia 2019 r. ustanawiające scentralizowany system służący do ustalania państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) na potrzeby uzupełnienia europejskiego systemu przekazywania informacji z rejestrów karnych oraz zmieniające rozporządzenie (UE) 2018/1726 (Dz.U. L 135 z 22.5.2019, s. 1).
(21) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE (Dz.U. L 312 z 7.12.2018, s. 56).
(22) Decyzja Parlamentu Europejskiego i Rady nr 1313/2013/EU z dnia 17 grudnia 2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności (Dz.U. L 347 z 20.12.2013, s. 924).
(23) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/1149 z dnia 7 lipca 2021 r. ustanawiające Fundusz Bezpieczeństwa Wewnętrznego (Dz.U. L 251 z 15.7.2021, s. 94).
(24) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/695 z dnia 28 kwietnia 2021 r. ustanawiające program ramowy w zakresie badań naukowych i innowacji „Horyzont Europa" oraz zasady uczestnictwa i upowszechniania obowiązujące w tym programie oraz uchylające rozporządzenia (UE) nr 1290/2013 i (UE) nr 1291/2013 (Dz.U. L 170 z 12.5.2021, s. 1).
(25) Dz.U. L 123 z 12.5.2016, s. 1.
(26) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).
(27) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(28) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(29) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzana danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
(30) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12).
(31) Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).
(32) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6).
(33) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/1938 z dnia 25 października 2017 r. dotyczące środków zapewniających bezpieczeństwo dostaw gazu ziemnego i uchylające rozporządzenie (UE) nr 994/2010 (Dz.U. L 280 z 28.10.2017, s. 1).
(34) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/941 z dnia 5 czerwca 2019 r. w sprawie gotowości na wypadek zagrożeń w sektorze energii elektrycznej i uchylające dyrektywę 2005/89/WE (Dz.U. L 158 z 14.6.2019, s. 1).
(35) Dyrektywa 2007/60/WE Parlamentu Europejskiego i Rady z dnia 23 października 2007 r. w sprawie oceny ryzyka powodziowego i zarządzania nim (Dz.U. L 288 z 6.11.2007, s. 27).
(36) Dyrektywa Parlamentu Europejskiego i Rady 2012/18/UE z dnia 4 lipca 2012 r. w sprawie kontroli zagrożeń poważnymi awariami związanymi z substancjami niebezpiecznymi, zmieniająca, a następnie uchylająca dyrektywę Rady 96/82/WE (Dz.U. L 197 z 24.7.2012, s. 1).
(37) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
ZAŁĄCZNIK
SEKTORY, PODSEKTORY I KATEGORIE PODMIOTÓW
Sektory | Podsektory | Kategorie podmiotów |
1. Energia | a) Energia elektryczna | - Przedsiębiorstwa energetyczne zdefiniowane w art. 2 pkt 57 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/944 (1), które wykonują funkcję „dostawy" zdefiniowaną w art. 2 pkt 12 tej dyrektywy |
- Operatorzy systemów dystrybucyjnych zdefiniowani w art. 2 pkt 29 dyrektywy (UE) 2019/944 | ||
- Operatorzy systemów przesyłowych zdefiniowani w art. 2 pkt 35 dyrektywy (UE) 2019/944 | ||
- Wytwórcy zdefiniowani w art. 2 pkt 38 dyrektywy (UE) 2019/944 | ||
- Wyznaczeni operatorzy rynku energii elektrycznej zdefiniowani w art. 2 pkt 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/943 (2) | ||
|
| - Uczestnicy rynku zdefiniowani w art. 2 pkt 25 rozporządzenia (UE) 2019/943, świadczący usługi w zakresie agregacji, odpowiedzi odbioru lub magazynowania energii zdefiniowane w art. 2 pkt 18, 20 i 59 dyrektywy (UE) 2019/944 |
b) System ciepłowniczy i chłodniczy | - Operatorzy systemów ciepłowniczych lub systemów chłodniczych zdefiniowanych w art. 2 pkt 19 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/2001 (3) | |
c) Ropa naftowa | - Operatorzy ropociągów | |
- Operatorzy instalacji służących do produkcji, rafinacji, przetwarzania ropy naftowej, magazynowania i przesyłu | ||
- Krajowe centrale zapasów zdefiniowane w art. 2 lit. f) dyrektywy Rady 2009/119/WE (4) | ||
d) Gaz | - Przedsiębiorstwa dostarczające gaz zdefiniowane w art. 2 pkt 8 dyrektywy Parlamentu Europejskiego i Rady 2009/73/WE (5) | |
- Operatorzy systemów dystrybucyjnych zdefiniowani w art. 2 pkt 6 dyrektywy 2009/73/WE | ||
- Operatorzy systemów przesyłowych zdefiniowani w art. 2 pkt 4 dyrektywy 2009/73/WE | ||
- Operatorzy systemów magazynowania zdefiniowani w art. 2 pkt 10 dyrektywy 2009/73/WE | ||
- Operatorzy systemów LNG zdefiniowani w art. 2 pkt 12 dyrektywy 2009/73/WE | ||
- Przedsiębiorstwa gazowe zdefiniowane w art. 2 pkt 1 dyrektywy 2009/73/WE | ||
- Operatorzy instalacji służących do rafinacji i przetwarzania gazu ziemnego | ||
e) Wodór | - Operatorzy produkcji, magazynowania i przesyłu wodoru | |
2. Transport | a) Transport lotniczy | - Przewoźnicy lotniczy zdefiniowani w art. 3 pkt 4 rozporządzenia (WE) nr 300/2008, wykorzystywani do celów handlowych |
- Zarządzający portem lotniczym zdefiniowani w art. 2 pkt 2 dyrektywy Parlamentu Europejskiego i Rady 2009/12/WE (6), porty lotnicze zdefiniowane w art. 2 pkt 1 tej dyrektywy, w tym porty lotnicze sieci bazowej wymienione w sekcji 2 załącznika II do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1315/2013 (7), oraz jednostki obsługujące urządzenia pomocnicze znajdujące się w portach lotniczych | ||
- Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC) zdefiniowaną w art. 2 pkt 1 rozporządzenia (WE) nr 549/2004 Parlamentu Europejskiego i Rady (8) | ||
| b) Transport kolejowy | - Zarządcy infrastruktury zdefiniowani w art. 3 pkt 2 dyrektywy Parlamentu Europejskiego i Rady 2012/34/UE (9) |
- Przedsiębiorstwa kolejowe zdefiniowane w art. 3 pkt 1 dyrektywy 2012/34/UE oraz operatorzy obiektów infrastruktury usługowej zdefiniowani w art. 3 pkt 12 tej dyrektywy | ||
| c) Transport wodny | - Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów zdefiniowani w odniesieniu do transportu morskiego w załączniku I do rozporządzenia (WE) nr 725/2004, z wyłączeniem poszczególnych statków eksploatowanych przez tych armatorów |
|
| - Organy zarządzające portami zdefiniowanymi w art. 3 pkt 1 dyrektywy 2005/65/WE, w tym ich obiekty portowe zdefiniowane w art. 2 pkt 11 rozporządzenia (WE) nr 725/2004, oraz podmioty wykonujące prace i operujące sprzętem znajdującym się w portach |
- Operatorzy systemów ruchu statków SRS zdefiniowanych w art. 3 lit. o) dyrektywy 2002/59/WE (10) Parlamentu Europejskiego i Rady | ||
| d) Transport drogowy | - Organy administracji drogowej zdefiniowane w art. 2 pkt 12 rozporządzenia delegowanego Komisji (UE) 2015/962 (11), odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych stanowią inną niż istotna część ich ogólnej działalności |
- Operatorzy inteligentnych systemów transportowych zdefiniowanych w art. 4 pkt 1 dyrektywy Parlamentu Europejskiego i Rady 2010/40/UE (12) | ||
| e) Transport publiczny | - Podmioty świadczące usługi publiczne zdefiniowane w art. 2 lit. d) rozporządzenia (WE) nr 1370/2007 (13) Parlamentu Europejskiego i Rady |
3. Bankowość |
| - Instytucje kredytowe zdefiniowane w art. 4 ust. 1 pkt 1 rozporządzenia (UE) nr 575/2013 |
4. Infrastruktura rynków finansowych |
| - Operatorzy systemów obrotu zdefiniowanych w art. 4 ust. 1 pkt 24 dyrektywy 2014/65/UE |
- Kontrahenci centralni (CCP) zdefiniowani w art. 2 pkt 1 rozporządzenia (UE) nr 648/2012 | ||
5. Zdrowie |
| - Świadczeniodawcy zdefiniowani w art. 3 lit. g) dyrektywy Parlamentu Europejskiego i Rady 2011/24/UE (14) |
- Laboratoria referencyjne UE, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2371 (15) | ||
- Podmioty prowadzące działania badawczo-rozwojowe w zakresie produktów leczniczych zdefiniowanych w art. 1 pkt 2 dyrektywy 2001/83/WE Parlamentu Europejskiego i Rady (16) | ||
|
| - Podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2 |
- Podmioty produkujące wyroby medyczne, w odniesieniu do których uznano, że mają one krytyczne znaczenie podczas stanu zagrożenia zdrowia publicznego („wykaz wyrobów medycznych o krytycznym znaczeniu w przypadku stanu zagrożenia zdrowia publicznego") w rozumieniu art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/123 (17) | ||
- Podmioty posiadające pozwolenie na dystrybucję, o którym mowa w art. 79 dyrektywy 2001/83/WE | ||
6. Woda pitna |
| - Dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi zdefiniowanej w art. 2 pkt 1 lit. a) dyrektywy Parlamentu Europejskiego i Rady (UE) 2020/2184 (18), z wyłączeniem dystrybutorów, dla których dystrybucja wody przeznaczonej do spożycia przez ludzi stanowi jedynie inną niż istotna część ich ogólnej działalności polegającej na dystrybucji innych produktów i towarów |
7. Ścieki |
| - Przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne, ścieki bytowe i ścieki przemysłowe zdefiniowane w art. 2 pkt 1, 2 i 3 dyrektywy Rady 91/271/EWG (19), z wyłączeniem przedsiębiorstw, dla których zbieranie, odprowadzanie lub oczyszczanie ścieków komunalnych, ścieków bytowych i ścieków przemysłowych stanowi inną niż istotna część ich ogólnej działalności |
8. Infrastruktura cyfrowa |
| - Dostawcy punktów wymiany ruchu internetowego zdefiniowanych w art. 6 pkt 18 dyrektywy (UE) 2022/2555 |
- Dostawcy usług DNS zdefiniowani w art. 6 pkt 20 dyrektywy (UE) 2022/2555, z wyłączeniem operatorów głównych serwerów nazw | ||
- Rejestry nazw domen najwyższego poziomu zdefiniowane w art. 6 pkt 21 dyrektywy (UE) 2022/2555 | ||
- Dostawcy usług chmurowych zdefiniowanych w art. 6 pkt 30 dyrektywy (UE) 2022/2555 | ||
- Dostawcy usług przetwarzania danych zdefiniowanych w art. 6 pkt 31 dyrektywy (UE) 2022/ 2555 | ||
|
| - Dostawcy sieci dostarczania treści/danych/ zawartości zdefiniowanej w art. 6 pkt 32 dyrektywy (UE) 2022/2555 |
- Dostawcy usług zaufania zdefiniowani w art. 3 pkt 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 (20) | ||
- Dostawcy publicznych sieci łączności elektronicznej zdefiniowanych w art. 2 pkt 8 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 (21) | ||
- Dostawcy usług łączności elektronicznej zdefiniowani w art. 2 pkt 4 dyrektywy (UE) 2018/1972, o ile ich usługi są publicznie dostępne | ||
9. Administracja publiczna |
| - Podmioty administracji publicznej w ramach instytucji rządowych na szczeblu centralnym zdefiniowane przez państwa członkowskie zgodnie z prawem krajowym |
10. Przestrzeń kosmiczna |
| - Operatorzy infrastruktury naziemnej będącej własnością państw członkowskich lub podmiotów prywatnych i przez nie zarządzanej i obsługiwanej, którzy wspierają świadczenie usług kosmicznych, z wyłączeniem dostawców publicznych sieci łączności elektronicznej zdefiniowanych w art. 2 pkt 8 dyrektywy (UE) 2018/1972 |
11. Produkcja, przetwarzanie i dystrybucja żywności |
| - Przedsiębiorstwa spożywcze zdefiniowane w art. 3 pkt 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady (22), zajmujące się wyłącznie logistyką i dystrybucją hurtową oraz produkcją przemysłową i przetwórstwem przemysłowym na dużą skalę |
(1) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/944 z dnia 5 czerwca 2019 r. w sprawie wspólnych zasad rynku wewnętrznego energii elektrycznej oraz zmieniająca dyrektywę 2012/27/UE (Dz.U. L 158 z 14.6.2019, s. 125). (2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 z dnia 5 czerwca 2019 r. w sprawie rynku wewnętrznego energii elektrycznej (Dz.U. L 158 z 14.6.2019, s. 54). (3) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/2001 z dnia 11 grudnia 2018 r. w sprawie promowania stosowania energii ze źródeł odnawialnych (Dz.U. L 328 z 21.12.2018, s. 82). (4) Dyrektywa Rady 2009/119/WE z dnia 14 września 2009 r. nakładająca na państwa członkowskie obowiązek utrzymywania minimalnych zapasów ropy naftowej lub produktów ropopochodnych (Dz.U. L 265 z 9.10.2009, s. 9). (5) Dyrektywa Parlamentu Europejskiego i Rady 2009/73/WE z dnia 13 lipca 2009 r. dotycząca wspólnych zasad rynku wewnętrznego gazu ziemnego i uchylająca dyrektywę 2003/55/WE (Dz.U. L 211 z 14.8.2009, s. 94). (6) Dyrektywa Parlamentu Europejskiego i Rady 2009/12/WE z dnia 11 marca 2009 r. w sprawie opłat lotniskowych (Dz.U. L 70 z 14.3.2009, s. 11). (7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1315/2013 z dnia 11 grudnia 2013 r. w sprawie unijnych wytycznych dotyczących rozwoju transeuropejskiej sieci transportowej i uchylające decyzję nr 661/2010/UE (Dz.U. L 348 z 20.12.2013, s. 1). (8) Rozporządzenie (WE) nr 549/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. ustanawiające ramy tworzenia Jednolitej Europejskiej Przestrzeni Powietrznej (Rozporządzenie ramowe) (Dz.U. L 96 z 31.3.2004, s. 1). (9) Dyrektywa Parlamentu Europejskiego i Rady 2012/34/UE z dnia 21 listopada 2012 r. w sprawie utworzenia jednolitego europejskiego obszaru kolejowego (Dz.U. L 343 z 14.12.2012, s. 32). (10) Dyrektywa 2002/59/WE Parlamentu Europejskiego i Rady z dnia 27 czerwca 2002 r. ustanawiająca wspólnotowy system monitorowania i informacji o ruchu statków i uchylająca dyrektywę Rady 93/75/EWG (Dz.U. L 208 z 5.8.2002, s. 10). (11) Rozporządzenie delegowane Komisji (UE) 2015/962 z dnia 18 grudnia 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2010/40/UE w odniesieniu do świadczenia ogólnounijnych usług informacyjnych w czasie rzeczywistym dotyczących ruchu (Dz.U. L 157 z 23.6.2015, s. 21). (12) Dyrektywa Parlamentu Europejskiego i Rady 2010/40/UE z dnia 7 lipca 2010 r. w sprawie ram wdrażania inteligentnych systemów transportowych w obszarze transportu drogowego oraz interfejsów z innymi rodzajami transportu (Dz.U. L 207 z 6.8.2010, s. 1). (13) Rozporządzenie (WE) nr 1370/2007 Parlamentu Europejskiego i Rady z dnia 23 października 2007 r. dotyczące usług publicznych w zakresie kolejowego i drogowego transportu pasażerskiego oraz uchylające rozporządzenia Rady (EWG) nr 1191/69 i (EWG) nr 1107/70 (Dz.U. L 315 z 3.12.2007, s. 1). (14) Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45). (15) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2371 z dnia 23 listopada 2022 r. w sprawie poważnych transgranicznych zagrożeń zdrowia oraz uchylenia decyzji nr 1082/2013/UE (Dz.U. L 314 z 6.12.2022, s. 26). (16) Dyrektywa 2001/83/WE Parlamentu Europejskiego i Rady z dnia 6 listopada 2001 r. w sprawie wspólnotowego kodeksu odnoszącego się do produktów leczniczych stosowanych u ludzi (Dz.U. L 311 z 28.11.2001, s. 67). (17) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/123 z dnia 25 stycznia 2022 r. w sprawie wzmocnienia roli Europejskiej Agencji Leków w zakresie gotowości na wypadek sytuacji kryzysowej i zarządzania kryzysowego w odniesieniu do produktów leczniczych i wyrobów medycznych (Dz.U. L 20 z 31.1.2022, s. 1). (18) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2020/2184 z dnia 16 grudnia 2020 r. w sprawie jakości wody przeznaczonej do spożycia przez ludzi (Dz.U. L 435 z 23.12.2020, s. 1). (19) Dyrektywa Rady 91/271/EWG z dnia 21 maja 1991 r. dotycząca oczyszczania ścieków komunalnych (Dz.U. L 135 z 30.5.1991, s. 40). (20) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73). (21) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (Dz.U. L 321 z 17.12.2018, s. 36). (22) Rozporządzenie (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności (Dz.U. L 31 z 1.2.2002, s. 1). |
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00