(1)

Критичните субекти, като доставчици на основни услуги, имат незаменима роля за поддържането на жизненоважни обществени функции или икономически дейности на вътрешния пазар в условията на все по-взаимносвързана икономика на Съюза. Поради това е изключително важно да се установи рамка на Съюза с цел, от една страна, да се укрепи устойчивостта на критичните субекти на вътрешния пазар чрез установяване на хармонизирани минимални правила, а от друга, да им се окаже съдействие чрез последователни и целенасочени мерки за подкрепа и надзор.

(2)

Директива 2008/114/ЕО на Съвета (4) предвижда процедура за означаване на европейски критични инфраструктури в секторите на енергетиката и на транспорта, чието нарушаване или унищожаване би довело до значителни трансгранични последици за две или повече държави членки. Посочената директива е съсредоточена изключително върху защитата на такива инфраструктури. Въпреки това при оценката на Директива 2008/114/ЕО, извършена през 2019 г., беше установено, че поради все по-взаимносвързания и трансграничен характер на дейностите, при които се използват критични инфраструктури, защитните мерки, свързани само с отделни активи, не са достатъчни, за да се предотврати възникването на всички видове нарушавания. Поради това е необходимо подходът да се преориентира така, че да се гарантира по-добро отчитане на рисковете, по-добро определяне и по-голяма последователност в ролята и задълженията на критичните субекти като доставчици на услуги от основно значение за функционирането на вътрешния пазар и приемане на правила на Съюза за засилване на устойчивостта на критичните субекти. Критичните субекти следва да бъдат в състояние да засилят способността си да предотвратяват инциденти, които могат да нарушат предоставянето на основни услуги, да се защитават от тях, да реагират при такива, да им устояват, да ги смекчават, да ги поемат, да се приспособяват към тях и да се възстановяват от такива инциденти.

(3)

Независимо че редица мерки на равнището на Съюза, като Европейската програма за защита на критичната инфраструктура, и на национално равнище целят оказване на подкрепа за защитата на критичните инфраструктури в Съюза, следва да се направи повече, за да се повиши подготвеността на субектите, които експлоатират такива инфраструктури, за да се справят с рисковете за тяхната дейност, които могат да доведат до нарушаване на предоставянето на основни услуги. Следва да се направи повече, за да се повиши подготвеността на субектите поради динамичния спектър на заплахите, който включва променящите се хибридни и терористични заплахи, и на нарастващата взаимнозависимост между инфраструктурата и секторите. Наред с това съществува повишен физически риск, дължащ се на природни бедствия и климатични промени, който увеличава честотата и мащаба на екстремните метеорологични явления и предизвиква дългосрочни промени в средните климатични условия, което може да намали капацитета, ефикасността и жизнения цикъл на определен вид инфраструктура, ако не бъдат въведени мерки за адаптиране към изменението на климата. В допълнение, вътрешният пазар се характеризира с разпокъсаност по отношение на установяването на критичните субекти, тъй като липсва последователност при признаването на съответните сектори и категории субекти като критични във всички държави членки. Ето защо с настоящата директива следва да се постигне значимо равнище на хармонизация по отношение на попадащите в обхвата ѝ сектори и категории субекти.

(4)

Независимо че някои сектори на икономиката, например секторите на енергетиката и транспорта, вече са регулирани със специални секторни правни актове на Съюза, тези правни актове съдържат разпоредби, които се отнасят само до някои аспекти на устойчивостта на субектите, извършващи дейност в тези сектори. За да се подходи по всеобхватен начин към въпроса с устойчивостта на субектите, които са от критично значение за правилното функциониране на вътрешния пазар, с настоящата директива се създава цялостна рамка, насочена към устойчивостта на критичните субекти по отношение на всички опасности, независимо дали са природни или антропогенни, случайни или умишлени.

(5)

Нарастващите взаимнозависимости между инфраструктурите и секторите са резултат от все по-трансгранична и взаимнозависима мрежа за предоставяне на услуги, използваща ключови инфраструктури в целия Съюз в секторите на енергетиката, транспорта, банковото дело, питейната вода, отпадъчните води, производството, преработката и дистрибуцията на храни, здравеопазването, космическото пространство, инфраструктурата на финансовите пазари и цифровата инфраструктура, както и в някои аспекти на сектора на публичната администрация. Секторът на космическото пространство попада в обхвата на настоящата директива във връзка с предоставянето на определени услуги, зависими от наземна инфраструктура, която е притежавана, управлявана и експлоатирана от държавите членки или от частни лица, и следователно инфраструктурата, притежавана, управлявана или експлоатирана от Съюза или от негово име като част от неговата космическа програма, не попада в обхвата на настоящата директива.

По отношение на сектора на енергетиката, и по-специално методите на производство и пренос на електроенергия (по отношение на доставката на електроенергия), е възприето схващането, че когато се счете за необходимо, производството на електроенергия може да включва елементите на атомни електроцентрали за пренос на електроенергия, но изключва специфично атомните елементи, обхванати от международните договори и правото на Съюза, включително и съответните правни актове на Съюза относно атомната енергия. Процесът на установяване на критичните субекти в хранително-вкусовия сектор следва да отразява по подходящ начин естеството на вътрешния пазар в този сектор и наличието на обстойни правила на Съюза, свързани с общите принципи и изисквания на законодателството в областта на храните и безопасността на храните. Следователно, с цел осигуряване на пропорционален подход и адекватното отразяване на ролята и значението на тези субекти на национално равнище, критични субекти следва да бъдат установени само сред предприятия в хранително-вкусовата – били те със стопанска или нестопанска цел, публични или частни - които се занимават изключително с логистика и дистрибуция на едро и с широкомащабно промишлено производство и преработка със значителен пазарен дял на национално равнище. Тези взаимнозависимости означават, че всяко нарушаване на основни услуги, дори такова, което е първоначално ограничено до един субект или един сектор, може да има каскадно въздействие в по-широк план, което може да доведе до широкообхватни и дълготрайни отрицателни последици върху предоставянето на услуги в рамките на вътрешния пазар. Мащабни кризи, като пандемията от COVID-19, показаха уязвимостта на нашите все по-взаимнозависими общества спрямо рискове с ниска вероятност и голямо въздействие.

(6)

Спрямо субектите, участващи в предоставянето на основни услуги, все по-често се прилагат различаващи се изисквания, наложени с националното з право. Фактът, че някои държави членки имат по-малко строги изисквания за сигурност по отношение на тези субекти, не само води до различни равнища на устойчивост, но може и да засегне по неблагоприятен начин поддържането на жизненоважни обществени функции или икономически дейности в целия Съюз, като наред с това поражда пречки пред правилното функциониране на вътрешния пазар. Инвеститорите и дружествата могат да разчитат и да се доверяват на критични субекти, които са устойчиви, а надеждността и доверието са основни елементи на добре функциониращ вътрешен пазар. Сходни видове субекти са считани за критични в някои държави членки, но не и в други, а към тези, които са установени като критични, се прилагат различни изисквания в различните държави членки. Това води до допълнителна и ненужна административна тежест за дружествата, извършващи трансгранична дейност, и по-специално за дружествата, осъществяващи дейност в държави членки с по-строги изисквания. Поради тази причина наличието на рамка на Съюза би довело и до осигуряване на равнопоставеност на критичните субекти в целия Съюз.

(7)

Необходимо е да се установят хармонизирани минимални правила, за да се гарантира предоставянето на основни услуги на вътрешния пазар, да се повиши устойчивостта на критичните субекти и да се подобри трансграничното сътрудничество между компетентните органи. Важно е бъдещите потребности да бъдат съобразени при разработването и прилагането на тези правила, като се осигури и необходимата гъвкавост. Изключително важно е също така да се подобри капацитетът на критичните субекти да предоставят основни услуги при наличието на разнообразен спектър от рискове.

(8)

За да се постигне високо ниво на устойчивост, държавите членки следва да установят критичните субекти, спрямо които ще се прилагат специални изисквания и надзор, но които също така ще получават специална подкрепа и насоки при възникването на всякакви съответни рискове.

(9)

Предвид значението на киберсигурността за устойчивостта на критичните субекти и в интерес на последователността следва да си осигури съгласуван подход, когато е възможно, между настоящата директива и Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета (5). С оглед на по-високата честота и специфичните характеристики на киберрисковете Директива (ЕС) 2022/2555 налага всеобхватни изисквания на широк кръг субекти, за да се гарантира тяхната киберсигурност. Като се има предвид, че Директива (ЕС) 2022/2555 урежда в достатъчна степен киберсигурността, обхванатите от посочената директива въпроси следва да бъдат изключени от обхвата на настоящата директива, без да се засяга особеният режим за субектите в сектора на цифровата инфраструктура.

(10)

Когато разпоредбите на специалните секторни правни актове на Съюза изискват от критични субекти да предприемат мерки, за да гарантират своята устойчивост, и когато тези изисквания се признават от държавите членки най-малко като равностойни на съответстващите задължения, предвидени в настоящата директива, съответните разпоредби на настоящата директива не следва да се прилагат, за да се избегне дублиране и ненужна тежест. В този случай следва да се прилагат съответните разпоредби на тези други правни актове на Съюза. Когато съответните разпоредби на настоящата директива не се прилагат, разпоредбите относно надзора и правоприлагането, предвидени в настоящата директива, също не следва да се прилагат.

(11)

Настоящата директива не засяга компетентността на държавите членки и на техните органи по отношение на административната автономност, нито тяхната отговорност да гарантират националната сигурност и отбрана или правомощията им да гарантират други основни държавни функции, по-специално свързани с обществената сигурност, териториалната цялост и поддържането на обществения ред. Изключването на органите на публичната администрация от обхвата на настоящата директива следва да се прилага за субектите, които извършват дейност предимно в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането, включително в областта на разследването, разкриването и наказателното преследване на престъпления. Въпреки това органите на публичната администрация, чиито дейности са свързани само в незначителна степен с тези области, следва да попадат в обхвата на настоящата директива. За целите на настоящата директива се счита, че субектите с регулаторна компетентност не извършват дейност в областта на правоприлагането, и следователно те не са изключени от обхвата на настоящата директива на това основание. Органите на публичната администрация, които са създадени съвместно с трета държава в съответствие с международно споразумение, са изключени от обхвата на настоящата директива. Настоящата директива не се прилага за дипломатическите представителства и консулските служби на държавите членки в трети държави.

Някои критични субекти извършват дейности в областта на националната сигурност, обществената сигурност, отбраната или правоприлагането, включително в областта на разследването, разкриването и наказателното преследване на престъпления, или предоставят услуги изключително на органи на публичната администрация, които извършват дейности предимно в тези области. С оглед на отговорността на държавите членки да гарантират националната сигурност и отбрана, държавите членки следва да могат да решат, че задълженията на критичните субекти, предвидени в настоящата директива, не се прилагат изцяло или частично за тези критични субекти, ако предоставяните от тях услуги или извършваните от тях дейности са свързани предимно с областите на националната сигурност, обществената сигурност, отбраната или правоприлагането, включително в областта на разследването, разкриването и наказателното преследване на престъпления. Критични субекти, чиито услуги или дейности са свързани само в незначителна степен с тези области, следва все пак да попадат в обхвата на настоящата директива. Никоя държава членка не следва да е задължена да предоставя информация, чието разкриване би противоречало на основните интереси на нейната национална сигурност. Приложими са правилата на Съюза или националните правила за защита на класифицираната информация и споразуменията за неразкриване на информация.

(12)

За да не се застрашава националната сигурност или сигурността и търговските интереси на критичните субекти, достъпът до чувствителна информация, обменът и обработката ѝ следва да се извършват предпазливо, като се обръща особено внимание на използваните канали за предаване и капацитет за съхранение.

(13)

За да се гарантира всеобхватен подход към устойчивостта на критичните субекти, всяка държава членка следва да въведе стратегия за повишаване на устойчивостта на критичните субекти (наричана по-долу „стратегията“)., В стратегията следва да се определят стратегическите цели и мерките на политиката, които трябва да бъдат изпълнени. От съображения за последователност и ефективност стратегията следва да се изготвя така, че безпрепятствено да интегрира съществуващите политики, като всеки път, когато е възможно, надгражда съответните съществуващи национални и секторни стратегии, планове или подобни документи. За да се постигне всеобхватен подход, държавите членки следва да гарантират, че техните стратегии предвиждат рамка на политиката за засилена координация между компетентните органи съгласно настоящата директива и компетентните органи съгласно Директива (ЕС) 2022/2555 в контекста на обмена на информация относно рискове за киберсигурността, киберзаплахи и киберинциденти и относно несвързани с киберпространството рискове, заплахи и инциденти и във връзка с изпълнението на надзорни задачи. При въвеждането на своите стратегии държавите членки следва надлежно да отчитат хибридния характер на заплахите за критичните субекти.

(14)

Държавите членки следва да съобщят на Комисията своите стратегии и съществените им актуализации, по-специално за да се даде възможност на Комисията да оцени правилното прилагане на настоящата директива по отношение на възприетите на национално равнище подходи на политиката към устойчивостта на критичните субекти. Когато е необходимо, стратегиите могат да бъдат съобщени като класифицирана информация. Комисията следва да изготви обобщаващ доклад за съобщените от държавите членки стратегии, който да послужи като основа за обмен с цел определяне на най-добрите практики и въпроси от общ интерес в рамките на Групата по въпросите на устойчивостта на критичните субекти. Поради чувствителния характер на обобщената информация, включена в обобщаващия доклад, било то класифицирана или не, Комисията следва да третира този обобщаващ доклад с необходимото ниво на осведоменост, що се отнася до сигурността на критичните субекти, държавите членки и Съюза. Обобщаващият доклад и стратегиите следва да бъдат защитени срещу незаконни или злонамерени действия и следва да бъдат достъпни само за оправомощени лица, за да се постигнат целите на настоящата директива. Съобщаването на стратегиите и съществените им актуализации следва да подпомогне Комисията и при разбирането на промените в подходите към устойчивостта на критичните субекти и да допринесе за наблюдението на въздействието и добавената стойност на настоящата директива, която трябва да подлежи на периодичен преглед от страна на Комисията.

(15)

Действията на държавите членки за установяването на критичните субекти и за подпомагане на гарантирането на устойчивостта им следва да се извършват при спазване на основан на риска подход, който насочва усилията към субекти, имащи най-голямо отношение към изпълнението на жизненоважни обществени функции или икономически дейности. За да се гарантира такъв целенасочен подход, всяка държава членка следва да извърши, в съответствие с хармонизирана рамка, оценка на съответните природни и антропогенни рискове, включително на тези от междусекторно и трансгранично естество, които могат да засегнат предоставянето на основни услуги, включително произшествия, природни бедствия, извънредни ситуации, свързани с общественото здраве, например пандемии и хибридни заплахи или други враждебни заплахи, включително терористични престъпления, проникване на престъпни елементи и саботаж (наричана по-долу „оценка на риска на държавата членка“). При извършването на оценките на риска на държавата членка държавите членки следва да вземат предвид други общи или специфични за сектора оценки на риска, извършвани съгласно други правни актове на Съюза, и следва да отчитат степента на зависимост на секторите един от друг, включително от секторите на други държави членки и трети държави. Резултатите от оценката на риска на държавата членка следва да се използват за целите на установяване на критичните субекти, а също и за подпомагане на тези субекти при изпълнението на приложимите за тях изисквания за устойчивост. Настоящата директива се прилага само за държави членки и критични субекти, които извършват дейност в рамките на Съюза. Въпреки това експертният опит и знанията, натрупани от компетентните органи, по-специално чрез оценки на риска, и от Комисията, по-специално чрез различни форми на подкрепа и сътрудничество, биха могли да се използват, когато е целесъобразно и в съответствие с приложимите правни инструменти, в полза на трети държави, по-специално тези, които са в непосредствено съседство със Съюза, чрез принос към съществуващото сътрудничество в областта на устойчивостта.

(16)

За да се гарантира, че предвидените в настоящата директива изисквания за устойчивост се прилагат към всички съответни субекти, и за да се намалят различията в това отношение, е важно да се установят хармонизирани правила, които да осигурят съгласуваност при установяването на критични субекти в целия Съюз, като същевременно се даде възможност на държавите членки да отразят по подходящ начин ролята и значението на тези субекти на национално равнище. Когато прилага критериите, предвидени в настоящата директива, всяка държава членка следва да установи субекти, които предоставят една или повече основни услуги и които разполагат със и експлоатират критична инфраструктура, разположена на територията на тази държава членка. Следва да се счита, че даден субект извършва експлоатацията на територията на държавата членка, в която извършва дейности, необходими за въпросната основна услуга или услуги, и в която се намира критичната инфраструктура на този субект, използвана за предоставянето на тази услуга или услуги. Когато в дадена държава членка няма субект, отговарящ на тези критерии, тази държава членка не следва да има задължението да установи критичен субект в съответния сектор или подсектор. От съображения за ефективност, ефикасност, последователност и правна сигурност следва да се предвидят и подходящи правила относно нотифицирането на субекти, които не са били установени като критични субекти.

(17)

Държавите членки следва да представят на Комисията по начин, съответстващ на постигането на целите на настоящата директива, списък на основните услуги, брой установени критични субекти за секторите и подсекторите, посочени в приложението, и за основната услуга или услуги, предоставяни от отделните субекти, както и, ако е приложимо, прагове. Следва да е възможно праговете да бъдат предоставяни в суров или обобщен вид, т.е. информацията може да бъде осреднена по географска област, по година, по сектор, по подсектор или по друг начин и може да включва информация относно поредицата представени показатели.

(18)

Следва да се установят критерии за определяне на значимостта на нарушаващото въздействие, предизвикано от даден инцидент. Тези критерии следва да се основават на критериите, предвидени в Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (6), за да се извлекат ползи от усилията, положени от държавите членки за установяване на операторите на основни услуги съгласно определението в посочената директива, и от опита, натрупан в това отношение. Мащабни кризи, като пандемията от COVID-19, показаха колко е важно да се гарантира сигурността на веригата на доставки и онагледиха как нарушаването ѝ може да породи отрицателни икономически и обществени последици в голям брой сектори и в трансграничен план. Поради тази причина, когато определят степента на зависимост на други сектори и подсектори от основната услуга, предоставяна от критичен субект, държавите членки следва да отчитат също, доколкото е възможно, въздействието върху веригата на доставка.

(19)

В съответствие с приложимото право на Съюза и приложимото национално право, включително Регламент (ЕС) 2019/452 на Европейския парламента и на Съвета (7), с който се създава рамка за скрининг на преки чуждестранни инвестиции в Съюза, трябва да се отчита потенциалната заплаха, която представлява чуждестранната собственост на критична инфраструктура в рамките на Съюза, тъй като услугите, икономиката, свободното движение и безопасността на гражданите на Съюза зависят от правилното функциониране на критичните инфраструктури.

(20)

Директива (ЕС) 2022/2555 изисква от субектите от сектора на цифровата инфраструктура, които биха могли да бъдат установени като критични субекти съгласно настоящата директива, да предприемат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи и да уведомяват за значителни инциденти и киберзаплахи. Тъй като заплахите за сигурността на мрежовите и информационните системи могат да имат различен произход, Директива (ЕС) 2022/2555 използва подход, обхващащ „всички опасности“, който включва устойчивостта на мрежовите и информационните системи, както и физическите компоненти и средата на тези системи.

Като се има предвид, че изискванията, предвидени в Директива (ЕС) 2022/2555 в това отношение, са най-малко равностойни на съответните им задължения, предвидени в настоящата директива, задълженията, предвидени в член 11 и глави III, IV и VI от настоящата директива, следва да не се прилагат за субектите от сектора на цифровата инфраструктура, за да се избегне дублиране и ненужна административна тежест. Въпреки това, като се има предвид значението на услугите, предоставяни от субекти от сектора на цифровата инфраструктура на критични субекти от всякакви други сектори, държавите членки следва да установят, като прилагат критериите и процедурата, предвидени в настоящата директива, субекти от сектора на цифровата инфраструктура като критични субекти. Вследствие на това следва да са приложими стратегиите, оценките на риска на държавата членка и мерките за подкрепа, предвидени в глава II от настоящата директива. Държавите членки следва да могат да приемат или запазят разпоредби на националното право с цел постигане на по-високо равнище на устойчивост за тези критични субекти, при условие че тези разпоредби са в съответствие с приложимото право на Съюза.

(21)

Правото на Съюза в областта на финансовите услуги установява всеобхватни изисквания към финансовите субекти за управление на всички рискове, пред които те са изправени, включително операционните рискове, и за гарантиране на непрекъснатост на дейността. Тази правна рамка включва регламенти (ЕС) № 648/2012 (8), (ЕС) № 575/2013 (9) и (ЕС) № 600/2014 (10) на Европейския парламент и на Съвета и директиви 2013/36/ЕС (11) и 2014/65/ЕС (12) на Европейския парламент и на Съвета. Правната уредба е допълнена с Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (13), в който се определят изискванията, които се прилагат към финансовите субекти за управление на рисковете, свързани с информационните и комуникационните технологии (ИКТ), включително относно защитата на физическите инфраструктури за ИКТ. Тъй като в резултат на това устойчивостта на субектите е изцяло обхваната, член 11 и глави III, IV и VI от настоящата директива следва да не се прилагат за тези субекти, за да се избегне дублиране и ненужна административна тежест.

Въпреки това, като се има предвид значението на услугите, предоставяни от субекти във финансовия сектор на критични субекти от всякакви други сектори, държавите членки следва да установят като критични субекти субекти във финансовия сектор, като прилагат критериите и процедурата, предвидени в настоящата директива. Вследствие на това следва да са приложими стратегиите, оценките на риска на държавата членка и мерките за подкрепа, предвидени в глава II от настоящата директива. Държавите членки следва да могат да приемат или запазват разпоредби на националното право с цел постигане на по-високо равнище на устойчивост за тези критични субекти, при условие че тези разпоредби са в съответствие с приложимото право на Съюза.

(22)

Държавите членки следва да определят или да създадат органи, компетентни да упражняват надзор върху прилагането и когато е необходимо, да осигуряват спазването на правилата на настоящата директива и да гарантират, че тези органи разполагат с подходящи правомощия и ресурси. С оглед на различията в националните структури на управление и с цел да се защитят вече съществуващи секторни правила или надзорните и регулаторни органи на Съюза, както и да се избегне дублирането, държавите членки следва да могат да определят повече от един национален компетентен орган. Когато държавите членки определят или създадат повече от един компетентен орган, те следва ясно да очертаят съответните задачи на съответните органи и да гарантират, че те си сътрудничат гладко и ефективно. Всички компетентни органи следва също така да си сътрудничат в по-общ план с други имащи отношение органи, както на равнището на Съюза, така и на национално равнище.

(23)

С цел да се улеснят трансграничното сътрудничество и комуникация и да се даде възможност за ефективно прилагане на настоящата директива, всяка държава членка следва, без да се засягат изискванията за специалните секторни правни актове на Съюза, да определи едно единно звено за контакт, отговарящо за координирането на въпросите, свързани с устойчивостта на критичните субекти и трансграничното сътрудничество на равнището на Съюза в това отношение (наричана по-долу „единното звено за контакт“), когато е целесъобразно - в рамките на компетентен орган. Всяко единно звено за контакт следва да поддържа връзка и да координира, когато е приложимо, комуникацията с компетентните органи на своята държава членка, с единните звена за контакт на другите държави членки и с Групата по въпросите на устойчивостта на критичните субекти.

(24)

Компетентните органи по настоящата директива и компетентните органи по Директива (ЕС) 2022/2555 следва да си сътрудничат и да обменят информация относно рискове за киберсигурността, киберзаплахи и киберинциденти и относно несвързани с киберпространството рискове, заплахи и инциденти, които засягат критични субекти, както и във връзка със съответните мерки, предприети от компетентните органи по настоящата директива и компетентните органи по Директива (ЕС) 2022/2555. Важно е държавите членки да гарантират, че изискванията, предвидени в настоящата директива и в Директива (ЕС) 2022/2555, се прилагат по допълващ се начин и че на критичните субекти не се налага административна тежест, която надхвърля необходимото за постигане на целите на настоящата директива и на посочената директива.

(25)

Държавите членки следва да подкрепят критичните субекти, включително тези, които отговорят на критериите за малки или средни предприятия, при укрепването на тяхната устойчивост в съответствие със задълженията на държавите членки, предвидени в настоящата директива, без да се засяга собствената правна отговорност на субектите да гарантират такова спазване, като при предприемането на подобни действия се избягва налагането на прекомерна административна тежест. Държавите членки биха могли по-специално да разработят насоки и методологии, да подкрепят организирането на учения за изпитване на устойчивостта на критичните субекти и да консултират и обучават служителите на критичните субекти. Когато това е необходимо и обосновано от цели от обществен интерес, държавите членки могат да предоставят финансови ресурси и следва да улесняват доброволния обмен на информация и на добри практики между критичните субекти, без да се засяга прилагането на правилата за конкуренция, предвидени в Договора за функционирането на Европейския съюз (ДФЕС).

(26)

С цел да се повиши устойчивостта на критичните субекти, установени от държавите членки, и да се намали административната тежест за тези критични субекти, компетентните органи следва, когато е целесъобразно, да провеждат консултации помежду си, за да се гарантира последователното прилагане на настоящата директива. Тези консултации следва да започват по искане на всеки заинтересован компетентен орган и следва да са съсредоточени върху осигуряването на съгласуван подход по отношение на взаимносвързаните критични субекти, които използват критична инфраструктура, физически свързана между две или повече държави членки, които са част от едни и същи групи или корпоративни структури или които са установени в една държава членка и предоставят основни услуги на или във други държави членки.

(27)

Когато разпоредбите на правото на Съюза или националното право изискват критичните субекти да оценяват рисковете, които имат отношение към целите на настоящата директива, и да предприемат мерки, за да гарантират собствената си устойчивост, тези изисквания следва да бъдат взети предвид по подходящ начин за целите на надзора върху спазването на настоящата директива от страна на критичните субекти.

(28)

Критичните субекти следва да имат цялостно разбиране за съответните рискове, на които са изложени, и задължение да анализират тези рискове. За тази цел те следва да извършват оценки на рисковете, когато това е необходимо с оглед на конкретните обстоятелства и на промените в тези рискове, и във всеки случай най-малко веднъж на всеки четири години, за да се оценят всички съответни рискове, които могат да нарушат предоставянето на основните им услуги (наричани по-долу „оценка на риска на критичния субект“). Когато критични субекти са извършили оценки на риска или са изготвили документи в изпълнение на задължения, предвидени в други правни актове, които имат отношение към оценката на риска на критичния субект съгласно настоящата директива, те следва да могат да използват тези оценки и документи за целите на спазването на установените в настоящата директива изисквания във връзка с оценката на риска на критичния субект. Даден компетентен орган следва да може да заяви, че извършена от критичен субект оценка на риска, в която са разгледани съответните рискове и съответната степен на зависимост, отговаря изцяло или частично на изискванията, предвидени в настоящата директива.

(29)

Критичните субекти следва да предприемат технически мерки, мерки за сигурност и организационни мерки, които са подходящи и пропорционални на рисковете, пред които са изправени, така че да могат да предотвратяват инциденти, да се защитават от тях, да реагират при такива, да им устояват, да ги смекчават, да ги поемат, да се приспособяват към тях и да се възстановяват от такива инциденти. Въпреки че критичните субекти следва да предприемат тези мерки в съответствие с настоящата директива, конкретните характеристики и обхватът на мерките следва да отразяват по подходящ и пропорционален начин различните рискове, които всеки критичен субект е идентифицирал като част от своята оценка на риска на критичния субект, както и особеностите на този субект. С цел насърчаване на съгласуван подход в целия Съюз, след консултация с Групата по въпросите на устойчивостта на критичните субекти, Комисията следва да приеме необвързващи насоки за допълнително конкретизиране на тези технически мерки, мерки за сигурност и организационни мерки. Държавите членки следва да гарантират, че всеки критичен субект определя служител за връзка или равностойно лице като звено за контакт с компетентните органи.

(30)

В интерес на ефективността и отчетността критичните субекти следва да опишат мерките, които предприемат, с достатъчно подробности за постигането на целите за ефективност и отчетност, като вземат предвид идентифицираните рискове, в план за устойчивост или в документ или документи, които са равностойни на плана за устойчивост, и да прилагат този план на практика. Когато критичните субекти вече са предприели технически мерки, мерки за сигурност и организационни мерки и са изготвили документи съгласно други правни актове, които имат отношение към мерките за повишаване на устойчивостта съгласно настоящата директива, с цел да се избегне дублиране те следва да могат да използват тези мерки и документи за целите на спазването на установените в настоящата директива изисквани във връзка с мерките за повишаване на устойчивостта. С цел да се избегне дублиране даден компетентен орган може да заяви, че с взети от критичен субект мерки за устойчивост в изпълнение на задължението му за предприемане на технически мерки, мерки за сигурност и организационни мерки в изпълнение на настоящата директива, са спазени изцяло или частично задълженията, предвидени в настоящата директива.

(31)

С регламенти (ЕО) № 725/2004 (14) и (ЕО) № 300/2008 (15) на Европейския парламент и на Съвета и с Директива 2005/65/ЕО на Европейския парламент и на Съвета (16) се определят изискванията, приложими за субектите в секторите на въздухоплаването и морския транспорт за предотвратяване на инциденти, причинени от незаконни действия, и за противодействие и смекчаване на последиците от такива инциденти. Въпреки че мерките, изисквани по настоящата директива, са по-широки по отношение на рисковете и видовете мерки, които трябва да бъдат предприети, критичните субекти в тези сектори следва да отразят в своя план за устойчивост или в равностойните документи мерките, предприети съгласно посочените други правни актове на Съюза. Критичните субекти следва също така да вземат предвид Директива 2008/96/ЕО на Европейския парламент и на Съвета (17), с която се въвежда цялостна оценка на пътната мрежа за установяване на рисковете от произшествия и целенасочена инспекция за пътна безопасност за установяване на опасните условия, недостатъците и проблемите, които увеличават риска от произшествия и наранявания, въз основа на посещенията на място на съществуващи пътища или пътни участъци. Гарантирането на защитата и устойчивостта на критичните субекти е от изключително значение за железопътния сектор и когато прилагат мерките за повишаване на устойчивостта съгласно настоящата директива, критичните субекти се насърчават да се основават на необвързващи насоки и документи за добри практики, разработени в рамките на секторни работни направления, като например платформата на ЕС за сигурност на пътниците в железопътния транспорт, създадена с Решение 2018/С 232/03 на Комисията (18).

(32)

Рискът служителите на критични субекти или лица, с които са сключили договори за изпълнение, да злоупотребят например с правата си за достъп в рамките на организацията на критичния субект, за да навредят и да причинят щети, буди все повече загриженост. Поради това държавите членки следва да определят условията, при които критичните субекти имат право, в надлежно обосновани случаи и при отчитане на оценките на риска на държавата членка, да подават искания за цялостни проверки на лица, попадащи в определени категории персонал. Следва да се гарантира, че исканията се оценяват от компетентните органи в рамките на разумен срок и се разглеждат в съответствие с националното право и процедури, както и със съответното и приложимо право на Съюза, включително относно защитата на личните данни. За да се потвърди самоличността на лице, което е обект на цялостна проверка, е целесъобразно държавите членки да изискват доказателство за самоличност, като паспорт, национална лична карта или цифрови форми на идентификация, в съответствие с приложимото право.

Цялостните проверки следва да включват също така проверка за съдимост на съответното лице. Държавите членки следва да използват Европейската информационна система за съдимост в съответствие с процедурите, предвидени в Рамково решение 2009/315/ПВР на Съвета (19), а когато е целесъобразно и приложимо, в Регламент (ЕС) 2019/816 на Европейския парламент и на Съвета (20), за целите на получаването на информация от регистрите за съдимост на други държави членки. Когато е целесъобразно и приложимо, държавите членки могат да използват и Шенгенската информационна система от второ поколение (ШИС II), създадена с Регламент (ЕС) 2018/1862 на Европейския парламент и на Съвета (21), разузнавателни данни, както и всяка друга налична обективна информация, които може да са необходими, за да се определи пригодността на съответното лице да работи на длъжността, по отношение на която критичният субект е поискал цялостна проверка.

(33)

Следва да се създаде механизъм за уведомяване за определени инциденти, което да позволи на компетентните органи да реагират бързо и адекватно на инцидентите и да получат цялостна представа за въздействието, естеството, причините и възможните последици от даден инцидент, пред който са изправени критичните субекти. Критичните субекти следва да уведомяват без необосновано забавяне компетентните органи за инциденти, които значително нарушават или могат да нарушат значително предоставянето на основни услуги. Освен ако не е оперативно невъзможно, критичните субекти следва да подадат първоначално уведомление не по-късно от 24 часа след като узнаят за инцидента. В първоначалното уведомление следва да се посочи само информацията, която е строго необходима на компетентния орган и позволява на критичния субект да потърси подкрепа, ако е нужно. В уведомлението следва да се посочи по възможност предполагаемата причина за инцидента. Държавите членки следва да гарантират, че изискването за подаване на такова първоначално уведомление не отклонява ресурсите на критичния субект от дейностите по справяне с инцидента, които следва да имат приоритет. Първоначалното уведомление следва да бъде последвано, когато е приложимо, от подробен доклад не по-късно от един месец след инцидента. Подробният доклад следва да допълва първоначалното уведомление и да дава по-пълна представа за инцидента.

(34)

Стандартизацията следва да остане преди всичко обусловен от пазара процес. Въпреки това все още може да има ситуации, при които е целесъобразно да се изисква спазване на конкретни стандарти. Държавите членки следва, когато това е от полза, да насърчават използването на европейски и международни стандарти и технически спецификации, свързани с мерките за сигурност и мерките за повишаване на устойчивостта, приложими за критичните субекти.

(35)

Въпреки че критичните субекти обикновено работят като част от все по-взаимносвързана мрежа за предоставяне на услуги и инфраструктура и често предоставят основни услуги в повече от една държава членка, някои от тези критични субекти са от особено значение за Съюза и за вътрешния пазар, тъй като предоставят основни услуги на или във шест или повече държави членки и поради тази причина биха имали полза от особена подкрепа на равнището на Съюза. Поради това следва да се установят правила за консултативни мисии по отношение на такива критични субекти от особено европейско значение. Тези правила не засягат правилата за надзор и правоприлагане, установени в настоящата директива.

(36)

По мотивирано искане на Комисията или на една или повече държави членки, на които или в които се предоставя основната услуга, когато е необходима допълнителна информация, за да се предоставят консултации на критичен субект във връзка с изпълнението на задълженията му по настоящата директива или да се оцени спазването на тези задължения от критичен субект от особено европейско значение, държавата членка, която е установила критичен субект от особено европейско значение като критичен субект, следва да предостави на Комисията определена информация, посочена в настоящата директива. Със съгласието на държавата членка, която е установила критичния субект от особено европейско значение като критичен субект, Комисията следва да може да организира консултативна мисия за оценка на въведените от този субект мерки. За да се гарантира правилното провеждане на такива консултативни мисии, следва да се установят допълнителни правила, по-специално относно организацията и провеждането на консултативните мисии, последващите действия, които трябва да се предприемат, и задълженията на съответните критични субекти от особено европейско значение. Консултативните мисии следва да се провеждат при спазване на подробните правни норми на тази държава членка, например относно точните условия, които трябва да бъдат изпълнени за получаване на достъп до съответните помещения или документи, и относно средствата за правна защита пред съд, без при това да се засяга задължението на държавата членка, в която се провежда консултативната мисия, и на съответния критичен субект да спазват правилата, предвидени в настоящата директива. Необходимият във връзка с такива консултативни мисии специален експертен опит може, когато е целесъобразно, да бъде потърсен чрез Координационния център за реагиране при извънредни ситуации, създаден с Решение № 1313/2013/ЕС на Европейския парламент и на Съвета (22).

(37)

С цел да се подкрепи Комисията и да се улеснят сътрудничеството между държавите членки и обменът на информация, включително най-добри практики, по въпроси, свързани с настоящата директива, следва да бъде създадена Група по въпросите на устойчивостта на критичните субекти като експертна група на Комисията. Държавите членки следва да се стремят да осигурят ефективно и ефикасно сътрудничество между определените представители на своите компетентни органи в Групата по въпросите на устойчивостта на критичните субекти, включително чрез определяне на представители, притежаващи разрешение за достъп до класифицирана информация, когато е целесъобразно. Групата по въпросите на устойчивостта на критичните субекти следва да започне да изпълнява задачите си възможно най-скоро, така че да се осигурят допълнителни средства за подходящо сътрудничество по време на срока за транспониране на настоящата директива. Групата по въпросите на устойчивостта на критичните субекти следва да си взаимодейства с други имащи отношение и специфични за отделни сектори експертни работни групи.

(38)

Групата по въпросите на устойчивостта на критичните субекти следва да си сътрудничи с групата за сътрудничество, създадена съгласно Директива (ЕС) 2022/2555, с цел да се подкрепи всеобхватна рамка за киберустойчивостта и устойчивостта, която не е свързана с киберпространството, на критичните субекти. Групата по въпросите на устойчивостта на критичните субекти и групата за сътрудничество, създадена съгласно Директива (ЕС) 2022/2555, следва да провеждат редовен диалог за насърчаване на сътрудничеството между компетентните органи по настоящата директива и компетентните органи по Директива (ЕС) 2022/2555 и за улесняване на обмена на информация, по-специално по теми от значение за двете групи.

(39)

За да се постигнат целите на настоящата директива и без да се засяга правната отговорност на държавите членки и на критичните субекти да гарантират изпълнението на съответните им задължения, предвидени в нея, Комисията следва, когато счете за целесъобразно, да оказва подкрепа на компетентните органи и критичните субекти с цел улесняване на спазването на техните съответни задължения. Когато оказва подкрепа на държавите членки и на критичните субекти при изпълнението на задълженията им по настоящата директива, Комисията следва да се основава на съществуващите структури и инструменти, като например тези в рамките на механизма на Съюза за гражданска защита, създаден с Решение № 1313/2013/ЕС, и Европейската референтна мрежа за защита на критичната инфраструктура. Освен това тя следва да информира държавите членки за наличните ресурси на равнището на Съюза, като например в рамките на фонд „Вътрешна сигурност“, създаден с Регламент (ЕС) 2021/1149 на Европейския парламент и на Съвета (23), рамковата програма „Хоризонт Европа“, създадена с Регламент (ЕС) 2021/695 на Европейския парламент и на Съвета (24), или други инструменти, които имат отношение към устойчивостта на критичните субекти.

(40)

Държавите членки следва да гарантират, че техните компетентни органи разполагат с определени специални правомощия за правилното прилагане и изпълнение на настоящата директива по отношение на критични субекти, когато тези субекти попадат под тяхната юрисдикция, както е посочено в настоящата директива. Тези правомощия следва да включват по-специално правомощието да извършват проверки и одити, правомощието да упражняват надзор, правомощието да изискват от критичните субекти да предоставят информация и доказателства, свързани с мерките, които са предприели за изпълнение на задълженията си, и при необходимост, правомощието да издават заповеди за отстраняване на установените нарушения. При издаването на такива заповеди държавите членки не следва да изискват мерки, които надхвърлят това, което е необходимо и пропорционално, за да се гарантира спазването на изискванията от страна на съответния критичен субект, като се вземат предвид по-специално тежестта на нарушението и икономическият капацитет на съответния критичен субект. В по-общ план тези правомощия следва да бъдат придружени от подходящи и ефективни гаранции, които да бъдат посочени в националното право, в съответствие с Хартата на основните права на Европейския съюз. Когато оценяват изпълнението на задълженията на даден критичен субект, предвидени в настоящата директива, компетентните органи по настоящата директива, следва да могат да поискат от компетентните органи по Директива (ЕС) 2022/2555 да упражнят своите правомощия за надзор и правоприлагане по отношение на субект съгласно посочената директива, който е установен и като критичен субект съгласно настоящата директива. Компетентните органи по настоящата директива и компетентните органи по Директива (ЕС) 2022/2555 следва да си сътрудничат и да обменят информация за тази цел.

(41)

За ефективното и последователно прилагане на настоящата директива на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 ДФЕС за допълване на настоящата директива чрез изготвяне на списък на основни услуги. Този списък следва да се използва от компетентните органи за целите на извършването на оценки на риска на държавата членка и за установяването на критични субекти съгласно настоящата директива. В контекста на възприетия в настоящата директива подход за минимална хармонизация, този списък е неизчерпателен и държавите членки биха могли да го допълват с други основни услуги на национално равнище, за да се отчетат националните особености при предоставянето на основни услуги. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище, и тези консултации да бъдат проведени в съответствие с принципите, заложени в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество (25). По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове, Европейският парламент и Съветът получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.

(42)

За да се гарантират еднакви условия за прилагането на настоящата директива, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (26).

(43)

Тъй като целите на настоящата директива, а именно да се осигури непрекъснатото предоставяне в рамките на вътрешния пазар на услуги, които са от основно значение за поддържането на жизненоважни обществени функции или икономически дейности, и да се повиши устойчивостта на критичните субекти, предоставящи такива услуги, не могат да бъдат постигнати в достатъчна степен от държавите членки, а поради последиците на предвиденото действие могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейски съюз. В съответствие с принципа на пропорционалност, уреден в същия член 5, настоящата директива не надхвърля необходимото за постигането на тези цели.

(44)

В съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (27) Европейският надзорен орган по защита на данните беше консултиран и представи становище на 11 август 2021 г.

(45)

Поради това Директива 2008/114/ЕО следва да бъде отменена,