(1)

Kritični subjekti kao pružatelji ključnih usluga u gospodarstvu Unije koje je sve više međuovisno imaju neizostavnu ulogu u održavanju vitalnih društvenih funkcija ili gospodarskih djelatnosti na unutarnjem tržištu. Stoga je ključno uspostaviti okvir Unije čiji bi cilj bilo jačanje otpornosti kritičnih subjekata na unutarnjem tržištu utvrđivanjem usklađenih minimalnih pravila te pružanje pomoći tim subjektima koherentnim i namjenskim mjerama potpore i nadzora.

(2)

Direktivom Vijeća 2008/114/EZ (4) utvrđuje se postupak za označivanje europske kritične infrastrukture u sektoru energije i prometa čiji bi poremećaj u radu ili uništenje imali znatne prekogranične učinke na najmanje dvije države članice. Ta je direktiva usmjerena isključivo na zaštitu takve infrastrukture. Međutim, evaluacijom Direktive 2008/114/EZ koja je provedena 2019. utvrđeno je da zaštitne mjere koje se odnose samo na pojedinačnu imovinu nisu dovoljne da spriječe nastanak svih poremećaja zbog sve veće međupovezanosti i prekogranične prirode aktivnosti u kojima se upotrebljava kritična infrastruktura. Stoga je pristup potrebno preusmjeriti na osiguravanje boljeg uvažavanja rizika, boljeg definiranja i koherentnosti uloge i dužnosti kritičnih subjekata kao pružatelja usluga koje su ključne za funkcioniranje unutarnjeg tržišta te na donošenje pravila Unije za jačanje otpornosti kritičnih subjekata. Kritični subjekti trebali bi moći ojačati svoju sposobnost sprečavanja incidenata koji mogu poremetiti pružanje ključnih usluga, zaštite od njih, odgovora na njih, odupiranja njima, njihova ublažavanja i apsorpcije, prilagodbe njima te oporavka od njih.

(3)

Iako se nizom mjera na razini Unije kao što je Europski program zaštite kritične infrastrukture, te na nacionalnoj razini nastoji poduprijeti zaštita kritične infrastrukture u Uniji, trebalo bi učiniti više kako bi se subjekti koji upravljaju tom infrastrukturom bolje opremili za odgovor na rizike za njihov rad koji bi mogli dovesti do poremećaja u pružanju ključnih usluga. Trebalo bi također učiniti više za bolju opremu takvih subjekata zbog dinamičnog okruženja prijetnji, koje uključuje hibridne i terorističke prijetnje koje se razvijaju, te sve veće međuovisnosti između infrastrukture i sektora. Osim toga, zbog prirodnih katastrofa i klimatskih promjena povećan je fizički rizik, što povećava učestalost i razmjere ekstremnih vremenskih pojava i dovodi do dugoročnih promjena u prosječnim klimatskim uvjetima koje mogu smanjiti kapacitet, učinkovitost i životni vijek određenih vrsta infrastrukture ako se ne uvedu mjere za prilagodbu klimatskim promjenama. Osim toga, unutarnje tržište obilježeno je fragmentacijom u pogledu utvrđivanja kritičnih subjekata jer relevantni sektori i kategorije subjekata nisu u svim državama članicama dosljedno prepoznati kao kritični. Stoga bi se ovom Direktivom trebala postići dobra razina usklađenosti u pogledu sektora i kategorija subjekata obuhvaćenih njezinim područjem primjene.

(4)

Iako su određeni sektori gospodarstva, kao što su sektori energetike i prometa, već uređeni sektorskim pravnim aktima Unije, ti pravni akti sadržavaju odredbe koje se odnose samo na određene aspekte otpornosti subjekata koji djeluju u tim sektorima. Kako bi se na sveobuhvatan način riješilo pitanje otpornosti tih subjekata koji su kritični za pravilno funkcioniranje unutarnjeg tržišta, ovom Direktivom uspostavlja se sveobuhvatan okvir koji se odnosi na otpornost kritičnih subjekata u pogledu svih opasnosti, bilo prirodnih ili uzrokovanih ljudskim djelovanjem, uzrokovanih slučajno ili namjerno.

(5)

Rastuće međuovisnosti infrastrukture i sektora ishod su sve veće prekogranične i međuovisne mreže pružanja usluga koja se koristi ključnom infrastrukturom širom Unije u energetskom sektoru, sektorima prometa, bankarstva, vode za piće, otpadnih voda, proizvodnje, prerade i distribucije hrane, zdravstva, svemira, infrastrukture financijskog tržišta i digitalne infrastrukture te u određenim aspektima sektora javne uprave. Svemirski sektor obuhvaćen je područjem primjene ove Direktive u odnosu na pružanje određenih usluga koje ovise o zemaljskoj infrastrukturi koja je u vlasništvu država članica ili privatnih strana, koju vode država članica ili privatne strane i čijim radom upravljaju države članice ili privatne strane; stoga područjem primjene ove Direktive nije obuhvaćena infrastruktura koja je u vlasništvu Unije, koju Unija vodi ili koja se vodi u ime Unije, ili kojom Unija upravlja ili kojom se upravlja u ime Unije u okviru njezinog svemirskog programa.

Kad je riječ o energetskom sektoru, a posebno o metodama za proizvodnju i prijenos električne energije (s obzirom na opskrbu električnom energijom), podrazumijeva se da, kada je to potrebno, proizvodnja električne energije može uključivati dijelove nuklearnih elektrana koji služe za prijenos električne energije, ali isključivati specifično nuklearne elemente obuhvaćene međunarodnim ugovorima i pravom Unije, uključujući relevantne pravne akte Unije koji se odnose na nuklearnu energiju. Postupak za utvrđivanje kritičnih subjekata u prehrambenom sektoru trebao bi na odgovarajući način odražavati prirodu unutarnjeg tržišta u tom sektoru i opsežna pravila Unije o općim načelima i zahtjevima propisâ o hrani i sigurnosti hrane. Kako bi se stoga osiguralo postojanje proporcionalnog pristupa i na odgovarajući način odrazila uloga i važnost tih subjekata na nacionalnoj razini, među poduzećima u prehrambenom sektoru, neovisno o tome jesu li osnovani radi ostvarivanja dobiti ili ne i bez obzira na to jesu li javna ili privatna, trebalo bi kao kritične subjekte utvrditi samo ona poduzeća koja se bave isključivo logistikom i veleprodajnom distribucijom i masovnom industrijskom proizvodnjom i preradom i koja imaju znatan tržišni udio kako je primijećeno na nacionalnoj razini. Te međuovisnosti znače da svaki poremećaj u ključnim uslugama, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što može imati dalekosežne i dugotrajne negativne učinke na pružanje usluga širom unutarnjeg tržišta. Velike krize, kao što je pandemija bolesti COVID-19, pokazuju ranjivost naših društava, koja su sve više međuovisna, kada se suoče s rizicima male vjerojatnosti, ali s velikim učinkom.

(6)

Subjekti koji sudjeluju u pružanju ključnih usluga sve više podliježu različitim zahtjevima koji su nametnuti nacionalnim pravom. Činjenica da neke države članice imaju blaže sigurnosne zahtjeve za te subjekte ne samo da dovodi do različitih razina otpornosti, nego i riskira da negativno utječe na održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti širom Unije te ujedno dovodi do prepreka pravilnom funkcioniranju unutarnjeg tržišta. Ulagatelji i poduzeća mogu se osloniti na otporne kritične subjekte i pouzdati se u njih, te su pouzdanost i povjerenje temelji unutarnjeg tržišta koje dobro funkcionira. Slične vrste subjekata smatraju se kritičnima u nekim državama članicama, ali ne i u drugima, a subjekti koji se utvrde kao kritični podliježu različitim zahtjevima u različitim državama članicama. To dovodi do dodatnog i nepotrebnog administrativnog opterećenja za poduzeća koja posluju prekogranično, osobito za poduzeća koja djeluju u državama članicama sa strožim zahtjevima. Okvir Unije stoga bi također imao učinak osiguravanja jednakih uvjeta za kritične subjekte širom Unije.

(7)

Potrebno je utvrditi usklađena minimalna pravila kako bi se osiguralo pružanje ključnih usluga na unutarnjem tržištu, ojačala otpornost kritičnih subjekata i poboljšala prekogranična suradnja među nadležnim tijelima. Važno je da ta pravila u smislu njihove koncepcije i provedbe budu prilagođena budućim potrebama istovremeno omogućavajući potrebnu fleksibilnost. Ključno je i poboljšati kapacitet kritičnih subjekata za pružanje ključnih usluga kada se suočavaju s različitom skupinom rizika.

(8)

Kako bi se postigla visoka razina otpornosti, države članice trebale bi utvrditi kritične subjekte koji će podlijegati posebnim zahtjevima i nadzoru i koji će primiti posebnu potporu i smjernice za suočavanje sa svim relevantnim rizicima.

(9)

S obzirom na važnost kibersigurnosti za otpornost kritičnih subjekata i radi dosljednosti, kad god je to moguće trebalo bi osigurati koherentan pristup između ove Direktive i Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća (5). S obzirom na veću učestalost i posebna obilježja kiberrizika, Direktivom (EU) 2022/2555 uvode se sveobuhvatni zahtjevi za velik broj subjekata kako bi se zajamčila njihova kibersigurnost. Budući da se kibersigurnost dostatno rješava Direktivom (EU) 2022/2555, pitanja koja su obuhvaćena tom direktivom trebala bi biti isključena iz područja primjene ove Direktive, pri čemu se ne dovodi u pitanje poseban režim za subjekte u sektoru digitalne infrastrukture.

(10)

Ako se odredbama sektorskih pravnih akata Unije od kritičnih subjekata zahtijeva poduzimanje mjera za jačanje njihove otpornosti i ako države članice priznaju te zahtjeve kao barem jednakovrijedne odgovarajućim obvezama utvrđenima u ovoj Direktivi, relevantne odredbe ove Direktive ne bi se trebale primjenjivati kako bi se izbjegli udvostručavanje i nepotrebno opterećenje. U tom bi se slučaju trebale primjenjivati relevantne odredbe takvih pravnih akata Unije. Ako se relevantne odredbe ove Direktive ne primjenjuju, ne bi se trebale primjenjivati ni odredbe o nadzoru i izvršavanju utvrđene ovom Direktivom.

(11)

Ova Direktiva ne utječe na nadležnosti država članica i njihovih tijela u smislu administrativne autonomije ni na njihovu odgovornost za zaštitu nacionalne sigurnosti i obrane ni na njihove ovlasti za zaštitu drugih ključnih državnih funkcija, posebice onih koje se odnose na javnu sigurnost, teritorijalnu cjelovitost i očuvanje javnog poretka. Isključenje subjekata javne uprave iz područja primjene ove Direktive trebalo bi se primjenjivati na subjekte čije se aktivnosti pretežno obavljaju u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela. Međutim, subjekti javne uprave čije su aktivnosti samo sporedno povezane s tim područjima trebali bi biti obuhvaćeni područjem primjene ove Direktive. Za potrebe ove Direktive ne smatra se da subjekti s regulatornim nadležnostima obavljaju aktivnosti u području izvršavanja zakonodavstva i stoga nisu isključeni iz područja primjene ove Direktive na temelju tog razloga. Subjekti javne uprave koji su uspostavljeni zajedno s trećom zemljom u skladu s međunarodnim sporazumom isključeni su iz područja primjene ove Direktive. Ova se Direktiva ne primjenjuje na diplomatske i konzularne misije država članica u trećim zemljama.

Određeni kritični subjekti obavljaju aktivnosti u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela, ili pružaju usluge isključivo subjektima javne uprave koji obavljaju aktivnosti pretežno u tim područjima. S obzirom na odgovornost država članica za zaštitu nacionalne sigurnosti i obrane, države članice trebale bi moći odlučiti da se obveze kritičnih subjekata iz ove Direktive ne primjenjuju u cijelosti ili djelomično na te kritične subjekte ako su usluge koje pružaju ili aktivnosti koje oni obavljaju pretežno povezane s područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela. Kritični subjekti čije su usluge ili aktivnosti samo sporedno povezane s tim područjima trebali bi biti obuhvaćeni područjem primjene ove Direktive. Ni od jedne države članice ne bi trebalo zahtijevati dostavljanje informacija čije bi otkrivanje bilo suprotno ključnim interesima njezine nacionalne sigurnosti. Relevantna su pravila Unije ili nacionalna pravila za zaštitu klasificiranih podataka i sporazumi o povjerljivosti podataka.

(12)

Kako se ne bi ugrozila nacionalna sigurnost ili sigurnost i komercijalni interesi kritičnih subjekata, pristup osjetljivim informacijama, njihova razmjena i postupanje s njima trebali bi se provoditi razborito i uz posvećivanje posebne pozornosti kanalima za prijenos i kapacitetima za pohranu koji se upotrebljavaju.

(13)

Kako bi se osigurao sveobuhvatan pristup otpornosti kritičnih subjekata, svaka država članica trebala bi uspostaviti strategiju jačanja otpornosti kritičnih subjekata („strategija”). Strategija bi trebala utvrditi strateške ciljeve i mjere politike koje treba provesti. Strategija bi, u interesu koherentnosti i učinkovitosti, trebala biti osmišljena za neometano integriranje postojećih politika te se temeljiti, kad god je to moguće, na relevantnim postojećim nacionalnim i sektorskim strategijama, na planovima ili na sličnim dokumentima. Radi postizanja sveobuhvatnog pristupa države članice trebale bi osigurati da se njihovim strategijama osigurava okvir politika za pojačanu koordinaciju između nadležnih tijela na temelju ove Direktive i nadležnih tijela na temelju Direktive (EU) 2022/2555 u kontekstu dijeljenja informacija o kibersigurnosnim rizicima, kiberprijetnjama i kiberincidentima te rizicima, prijetnjama i incidentima izvan kiberprostora i u kontekstu izvršavanja nadzornih zadaća. Pri uspostavi svojih strategija države članice trebale bi na odgovarajući način uzeti u obzir hibridnu prirodu prijetnji kritičnim subjektima.

(14)

Države članice trebale bi priopćiti Komisiji svoje strategije i znatna ažuriranja tih strategija, posebice kako bi se Komisiji omogućilo da procijeni pravilnu primjenu ove Direktive u pogledu pristupa politika otpornosti kritičnih subjekata na nacionalnoj razini. Prema potrebi, strategije bi se mogle priopćiti kao klasificirani podaci. Komisija bi trebala sastaviti sažeto izvješće strategija koje su priopćile države članice koje bi poslužilo kao osnova za razmjene radi utvrđivanja najboljih praksi i pitanja od zajedničkog interesa u okviru Skupine za otpornost kritičnih subjekata. Zbog osjetljive prirode agregiranih podataka uključenih u sažeto izvješće, bez obzira na to jesu li klasificirani ili ne, Komisija bi sažetim izvješćem trebala upravljati uz odgovarajuću razinu osviještenosti poštujući sigurnost kritičnih subjekata, država članica i Unije. Sažeto izvješće i strategije trebali bi biti zaštićeni od nezakonitih ili zlonamjernih radnji te bi trebali biti dostupni samo ovlaštenim osobama kako bi se ispunili ciljevi ove Direktive. Priopćavanje strategija i njihovih znatnih ažuriranja trebalo bi također pomoći Komisiji u razumijevanju događanja u pristupima otpornosti kritičnih subjekata i doprinijeti praćenju učinka i dodane vrijednosti ove Direktive, koju Komisija treba periodično preispitivati.

(15)

Mjere država članica za utvrđivanje i pomoć u osiguravanju otpornosti kritičnih subjekata trebale bi slijediti pristup utemeljen na riziku koji je usmjeren na subjekte koji su najvažniji za obavljanje vitalnih društvenih funkcija ili gospodarskih djelatnosti. Kako bi se osigurao takav ciljani pristup, svaka bi država članica trebala u kontekstu usklađenog okvira provesti procjenu relevantnih prirodnih i ljudskim djelovanjem uzrokovanih rizika, među ostalim rizika međusektorske ili prekogranične prirode, koji bi mogli utjecati na pružanje ključnih usluga, kao što su nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja poput pandemija i hibridnih ili drugih neprijateljskih prijetnji, uključujući kaznena djela terorizma, infiltraciju kriminala i sabotažu („procjena rizika države članice”). Pri provedbi procjene rizika države članice, države članice trebale bi uzeti u obzir druge opće ili sektorske procjene rizika provedene na temelju drugih pravnih akata Unije te bi trebale razmotriti u kojoj mjeri sektori ovise jedni o drugima, među ostalim i o sektorima u drugim državama članicama i trećim zemljama. Ishod procjena rizika države članice trebao bi poslužiti u svrhe utvrđivanja kritičnih subjekata i pomoći tim subjektima u ispunjavanju njihovih zahtjeva u pogledu otpornosti. Ova se Direktiva primjenjuje samo na države članice i kritične subjekte koji posluju unutar Unije. Međutim, stručnost i znanje koje su stekla nadležna tijela, posebno putem procjena rizika, te Komisija, posebno putem različitih oblika potpore i suradnje, mogli bi se upotrebljavati, prema potrebi i u skladu s primjenjivim pravnim instrumentima, u korist trećih zemalja, posebno onih u izravnom susjedstvu Unije, uključivanjem takvih stručnosti i znanja u postojeću suradnju u području otpornosti.

(16)

Kako bi se osiguralo da svi relevantni subjekti podliježu zahtjevima za otpornost iz ove Direktive i kako bi se smanjile razlike u tom pogledu, važno je odrediti usklađena pravila kojima se jamči dosljedno utvrđivanje kritičnih subjekata širom Unije te istodobno omogućiti državama članicama da na odgovarajući način uvaže ulogu i važnost tih subjekata na nacionalnoj razini. Pri primjeni kriterija utvrđenih u ovoj Direktivi svaka država članica trebala bi utvrditi subjekte koji pružaju jednu ili više ključnih usluga te koji upravljaju radom kritične infrastrukture smještene na njezinom državnom području odnosno imaju kritičnu infrastrukturu smještenu na njezinom državnom području. Trebalo bi se smatrati da određeni subjekt djeluje na državnom području države članice u kojoj obavlja aktivnosti potrebne za dotičnu ključnu uslugu ili usluge i u kojoj je smještena kritična infrastruktura tog subjekta koja se upotrebljava za pružanje te usluge ili tih usluga. Ako u državi članici ne postoji subjekt koji ispunjava te kriterije, ta država članica ne bi trebala biti obvezna utvrditi kritični subjekt u povezanom sektoru ili podsektoru. Radi djelotvornosti, učinkovitosti, dosljednosti i pravne sigurnosti trebalo bi utvrditi odgovarajuća pravila o obavješćivanju subjekata da su utvrđeni kao kritični subjekti.

(17)

Države članice trebale bi Komisiji dostaviti, na način kojim se ispunjavaju ciljevi ove Direktive, popis ključnih usluga, broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu i za ključnu uslugu ili usluge koje svaki subjekt pruža te, ako se primjenjuju, pragove. Trebalo bi biti moguće pragove prikazati u nepromijenjenom ili u agregiranom obliku, što znači da se može odrediti prosječna vrijednost informacija prema zemljopisnom području, godini, sektoru, podsektoru ili na drugi način, te da se mogu uključiti informacije o rasponu dostavljenih pokazatelja.

(18)

Trebali bi se uspostaviti kriteriji za utvrđivanje značaja negativnog učinka uzrokovanog incidentom. Ti bi se kriteriji trebali temeljiti na kriterijima predviđenima Direktivom (EU) 2016/1148 Europskog parlamenta i Vijeća (6) kako bi se iskoristili napori država članica uloženi u utvrđivanje operatora ključnih usluga kako su definirani tom direktivom i iskustvo stečeno u tom pogledu. Velike krize, kao što je pandemija bolesti COVID-19, pokazale su važnost osiguravanja sigurnosti lanca opskrbe i pokazale kako njegov poremećaj može imati negativni gospodarski i društveni učinak u velikom broju sektora i prekogranično. Stoga bi države članice, u mjeri u kojoj je to moguće, trebale uzeti u obzir i učinke na lanac opskrbe pri utvrđivanju mjere do koje drugi sektori i podsektori ovise o ključnoj usluzi koju pruža kritični subjekt.

(19)

U skladu s primjenjivim pravom Unije i nacionalnim pravom, uključujući Uredbu (EU) 2019/452 Europskog parlamenta i Vijeća (7), kojom se uspostavlja okvir za provjeru izravnih stranih ulaganja u Uniji, potrebno je priznati potencijalnu prijetnju koju predstavlja strano vlasništvo nad kritičnom infrastrukturom u Uniji jer usluge, gospodarstvo te slobodno kretanje i sigurnost građana Unije ovise o pravilnom funkcioniranju kritične infrastrukture.

(20)

Direktivom (EU) 2022/2555 zahtijeva se od subjekata koji pripadaju sektoru digitalne infrastrukture, koji bi se mogli utvrditi kao kritični subjekti na temelju ove Direktive, da poduzmu odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima za sigurnost mrežnih i informacijskih sustava te da obavijeste o značajnim incidentima i kiberprijetnjama. Budući da prijetnje sigurnosti mrežnih i informacijskih sustava mogu biti različitog podrijetla, Direktivom (EU) 2022/2555 primjenjuje se pristup kojim se uzimaju u obzir sve opasnosti, a koji uključuje otpornost mrežnih i informacijskih sustava kao i fizičkih komponenti i okruženja tih sustava.

S obzirom na to da su zahtjevi utvrđeni Direktivom (EU) 2022/2555 u tom pogledu barem jednakovrijedni odgovarajućim obvezama utvrđenima u ovoj Direktivi, obveze utvrđene u članku 11. i u poglavljima III., IV. i VI. ove Direktive ne bi se trebale primjenjivati na subjekte koji pripadaju sektoru digitalne infrastrukture kako bi se izbjeglo udvostručavanje i nepotrebno administrativno opterećenje. Međutim, uzimajući u obzir važnost usluga koje pružaju subjekti koji pripadaju sektoru digitalne infrastrukture kritičnim subjektima koji pripadaju svim drugim sektorima, države članice trebale bi utvrditi na temelju kriterija i primjenom postupka predviđenog ovom Direktivom subjekte koji pripadaju sektoru digitalne infrastrukture kao kritične subjekte. Stoga bi se trebale primjenjivati strategije, procjene rizika države članice i mjere potpore navedene u poglavlju II. ove Direktive. Države članice trebale bi moći donijeti ili zadržati odredbe nacionalnog prava kako bi postigle veću razinu otpornosti tih kritičnih subjekata, pod uvjetom da su te odredbe usklađene s primjenjivim pravom Unije.

(21)

Pravom Unije o financijskim uslugama uspostavljaju se sveobuhvatni zahtjevi za financijske subjekte u pogledu upravljanja svim rizicima s kojima se suočavaju, uključujući operativne rizike i u pogledu osiguravanja kontinuiteta poslovanja. To pravo uključuje uredbe (EU) br. 648/2012 (8), (EU) br. 575/2013 (9) i (EU) br. 600/2014 (10) Europskog parlamenta i Vijeća te direktive 2013/36/EU (11) i 2014/65/EU (12) Europskog parlamenta i Vijeća. Taj pravni okvir dopunjuje se Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (13), kojom se utvrđuju zahtjevi primjenjivi na financijske subjekte za upravljanje rizicima u području informacijske i komunikacijske tehnologije (IKT), uključujući u pogledu zaštite fizičke infrastrukture IKT-a. S obzirom na to da je otpornost tih subjekata stoga u potpunosti obuhvaćena, članak 11. i poglavlja III., IV. i VI. ove Direktive ne bi se trebali primjenjivati na te subjekte kako bi se izbjeglo udvostručavanje i nepotrebno administrativno opterećenje.

Međutim, uzimajući u obzir važnost usluga koje subjekti u financijskom sektoru pružaju kritičnim subjektima koji pripadaju svim drugim sektorima, države članice trebale bi utvrditi na temelju kriterija i primjenom postupka predviđenog ovom Direktivom subjekte u financijskom sektoru kao kritične subjekte. Stoga bi se trebale primjenjivati strategije, procjene rizika države članice i mjere potpore navedene u poglavlju II. ove Direktive. Države članice trebale bi moći donijeti ili zadržati odredbe nacionalnog prava kako bi postigle veću razinu otpornosti tih kritičnih subjekata, pod uvjetom da su te odredbe usklađene s primjenjivim pravom Unije.

(22)

Države članice trebale bi imenovati ili uspostaviti tijela nadležna za nadzor primjene i, prema potrebi, za izvršavanje pravila ove Direktive te bi trebale osigurati da ona budu prikladno ovlaštena i da raspolažu potrebnim resursima. S obzirom na razlike u nacionalnim upravljačkim strukturama, kako bi se zaštitila postojeća sektorska rješenja ili nadzorna i regulatorna tijela Unije te kako bi se izbjeglo udvostručavanje, države članice trebale bi moći imenovati ili uspostaviti više od jednog nadležnog tijela. Ako države članice imenuju ili uspostave više od jednog nadležnog tijela trebale bi jasno razgraničiti zadaće dotičnih tijela i osigurati njihovu neometanu i djelotvornu suradnju. Sva bi nadležna tijela trebala i općenitije surađivati s drugim relevantnim tijelima, na razini Unije i na nacionalnoj razini.

(23)

Kako bi se olakšala prekogranična suradnja i komunikacija te kako bi se omogućila djelotvorna provedba ove Direktive, svaka bi država članica trebala, ne dovodeći u pitanje zahtjeve sektorskih pravnih akata Unije, imenovati jedinstvenu kontaktnu točku, prema potrebi unutar nadležnog tijela , odgovornu za koordinaciju pitanja povezanih s otpornošću kritičnih subjekata i prekograničnom suradnjom na razini Unije („jedinstvena kontaktna točka”). Svaka jedinstvena kontaktna točka trebala bi se povezati i koordinirati komunikaciju, prema potrebi, s nadležnim tijelima svoje države članice, jedinstvenim kontaktnim točkama drugih država članica i sa Skupinom za otpornost kritičnih subjekata.

(24)

Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2555 trebala bi surađivati i razmjenjivati informacije u vezi s kibersigurnosnim rizicima, kiberprijetnjama i kiberincidentima te rizicima, prijetnjama i incidentima izvan kiberprostora koji utječu na kritične subjekte, kao i u vezi s relevantnim mjerama koje poduzimaju nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2555. Važno je da države članice osiguraju da se zahtjevi predviđeni ovom Direktivom i Direktivom (EU) 2022/2555 provode na komplementaran način i da kritični subjekti ne podliježu administrativnom opterećenju koje prelazi ono što je potrebno za postizanje ciljeva ove Direktive i te direktive.

(25)

Države članice trebale bi podupirati kritične subjekte, uključujući one koji se smatraju malim ili srednjim poduzećima, u jačanju njihove otpornosti, u skladu s obvezama država članica iz ove Direktive, ne dovodeći u pitanje pravnu odgovornost samih kritičnih subjekata da osiguraju takvu usklađenost, i pritom spriječiti prekomjerno administrativno opterećenje. Države članice mogle bi posebice izraditi smjernice i metodologije, poduprijeti organizaciju vježbi za testiranje otpornosti kritičnih subjekata i pružiti savjetovanje i osposobljavanje za osoblje kritičnih subjekata. Ako je to potrebno i opravdano ciljevima od javnog interesa, države članice mogle bi pružiti financijska sredstva te bi trebale olakšati dobrovoljno dijeljenje informacija i razmjenu dobre prakse među kritičnim subjektima, ne dovodeći u pitanje primjenu pravila o tržišnom natjecanju utvrđenih u Ugovoru o funkcioniranju Europske unije (UFEU).

(26)

U cilju jačanja otpornosti kritičnih subjekata koje su utvrdile države članice i kako bi se smanjilo administrativno opterećenje za te kritične subjekte, nadležna tijela trebala bi se međusobno savjetovati kad god je to primjereno u svrhu osiguravanja dosljedne primjene ove Direktive. Ta bi savjetovanja trebalo započeti na zahtjev bilo kojeg zainteresiranog nadležnog tijela te bi trebala biti usmjerena na osiguravanje konvergentnog pristupa u pogledu međusobno povezanih kritičnih subjekata koji upotrebljavaju kritičnu infrastrukturu koja je fizički povezana između dviju ili više država članica, koji pripadaju istim skupinama ili korporativnim strukturama ili koji su utvrđeni u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama.

(27)

Ako se odredbama prava Unije ili nacionalnog prava od kritičnih subjekata zahtijeva procjena rizika relevantnih za potrebe ove Direktive i poduzimanje mjera za osiguravanje vlastite otpornosti, te bi zahtjeve trebalo na odgovarajući način uzeti u obzir za potrebu nadzora usklađenosti kritičnih subjekata s ovom Direktivom.

(28)

Kritični subjekti trebali bi biti sveobuhvatno upoznati s relevantnim rizicima kojima su izloženi te bi trebali biti dužni analizirati te rizike. U tu bi svrhu prema potrebi trebali provoditi procjene rizika s obzirom na posebne okolnosti tih rizika i njihov razvoj, a u svakom slučaju svake četiri godine kako bi se procijenili svi relevantni rizici koji bi mogli poremetiti pružanje njihovih kritičnih usluga („procjena rizika kritičnog subjekta”). Ako su kritični subjekti proveli druge procjene rizika ili izradili dokumente na temelju obveza iz drugih pravnih akata koji su relevantni za njihovu procjenu rizika kritičnog subjekta, trebali bi se moći koristiti tim procjenama i dokumentima kako bi ispunili zahtjeve iz ove Direktive u vezi procjene rizika kritičnog subjekta. Nadležno tijelo trebalo bi moći proglasiti da je postojeća procjena rizika koju je proveo kritični subjekt, a koja se odnosi na relevantne rizike i relevantnu mjeru ovisnosti usklađena u cijelosti ili djelomično s obvezama utvrđenim u ovoj Direktivi.

(29)

Kritični subjekti trebali bi poduzeti tehničke, sigurnosne i organizacijske mjere koje su odgovarajuće i razmjerne rizicima s kojima se suočavaju kako bi mogli spriječiti incident, zaštititi se od njega, odgovoriti na njega, oduprijeti mu se, ublažiti ga, apsorbirati ga, prilagoditi mu se i oporaviti se od njega. Iako bi kritični subjekti trebali poduzimati te mjere u skladu s ovom Direktivom, pojedinosti i opseg takvih mjera trebali bi na odgovarajući i razmjeran način odražavati različite rizike koje je svaki kritični subjekt utvrdio u okviru svoje procjene rizika kritičnog subjekta i posebnosti takvog subjekta. Kako bi se promicao dosljedan pristup Unije, Komisija bi, nakon savjetovanja sa Skupinom za otpornost kritičnih subjekata, trebala donijeti neobvezujuće smjernice za dodatno određivanje tih tehničkih, sigurnosnih i organizacijskih mjera. Države članice trebale bi osigurati da svaki kritični subjekt imenuje časnika za vezu ili ekvivalentnu osobu kao točku za kontakt s nadležnim tijelima.

(30)

Radi djelotvornosti i odgovornosti, kritični subjekti trebali bi opisati mjere koje poduzimaju, s dovoljno detalja kojima se dostatno ostvaruju ciljevi djelotvornosti i odgovornosti, u planu za otpornost ili u dokumentu ili dokumentima koji su jednakovrijedni planu za otpornost, uzimajući u obzir utvrđene rizike, te bi trebali primjenjivati taj plan u praksi. Ako su već poduzeli tehničke, sigurnosne i organizacijske mjere i sastavili dokumente na temelju drugih pravnih akata relevantnih za mjere jačanja otpornosti na temelju ove Direktive, kritični subjekti trebali bi se moći koristiti tim mjerama i dokumentima kako bi se izbjeglo udvostručavanje te kako bi ispunili zahtjeve u pogledu mjera otpornosti na temelju ove Direktive. Kako bi se izbjeglo udvostručavanje, nadležno tijelo trebalo bi moći proglasiti da su postojeće mjere otpornosti koje je poduzeo kritični subjekt, a kojima se ispunjava njegova obveza da poduzme tehničke, sigurnosne i organizacijske mjere na temelju ove Direktive, u cijelosti ili djelomično usklađene sa zahtjevima iz ove Direktive.

(31)

Uredbama (EZ) br. 725/2004 (14) i (EZ) br. 300/2008 (15) Europskog parlamenta i Vijeća i Direktivom 2005/65/EZ Europskog parlamenta i Vijeća (16) utvrđuju se zahtjevi koji se primjenjuju na subjekte u zrakoplovnom sektoru i u sektoru pomorskog prometa kako bi se spriječili incidenti uzrokovani nezakonitim djelovanjem, kako bi se moglo oduprijeti posljedicama tih incidenata te kako bi se ublažile posljedice tih incidenata. Iako su mjere koje se zahtijevaju na temelju ove Direktive šireg opsega u smislu rizika na koje se odnose i vrsta mjera koje je potrebno poduzeti, kritični subjekti u tim sektorima trebali bi u svojem planu za otpornost ili jednakovrijednim dokumentima navesti mjere poduzete na temelju tih drugih pravnih akata Unije. Kritični subjekti trebaju uzeti u obzir i Direktivu 2008/96/EZ Europskog parlamenta i Vijeća (17), kojom se uvodi procjena sigurnosti na cestama na razini cijele mreže radi mapiranja rizika od nesreća i ciljana provjera sigurnosti na cestama kako bi se utvrdili opasni uvjeti, nedostaci i problemi koji povećavaju rizik od nesreća i ozljeda, na temelju terenskih obilazaka postojećih cesta ili dionica cesta. Osiguravanje zaštite i otpornosti kritičnih subjekata od iznimne je važnosti za željeznički sektor, a kritične subjekte potiče se da se pri provedbi mjera otpornosti na temelju ove Direktive oslanjaju na neobvezujuće smjernice i dokumente o dobrim praksama izrađene u okviru sektorskih područja rada, kao što je Platforma za sigurnost putnika u željezničkom prometu u EU-u uspostavljena Odlukom Komisije 2018/C 232/03 (18).

(32)

Sve više zabrinjava rizik da bi zaposlenici kritičnih subjekata ili njihovi ugovaratelji zloupotrebljavali primjerice svoja prava pristupa unutar organizacije kritičnog subjekta radi povrede i nanošenja štete. Stoga bi države članice trebale utvrditi uvjete u skladu s kojima je kritičnim subjektima dopušteno, u propisno obrazloženim slučajevima i uz uvažavanje procjena rizika države članice, podnijeti zahtjeve za provjeru podobnosti osoba koje pripadaju određenim kategorijama njihova osoblja . Trebalo bi osigurati da relevantna tijela procjenjuju takve zahtjeve u razumnom roku i obrađuju ih u skladu s nacionalnim pravom i postupcima te relevantnim i primjenjivim pravom Unije, među ostalim onim o zaštiti osobnih podataka. Radi potvrde identiteta osobe koja podliježe provjeri podobnosti primjereno je da države članice zahtijevaju dokaz o identitetu, primjerice putovnicu, nacionalnu osobnu iskaznicu ili digitalni oblik identifikacije, u skladu s primjenjivim pravom.

Provjere podobnosti trebale bi uključivati provjeru kaznene evidencije dotične osobe. Države članice trebale bi koristiti Europski informacijski sustav kaznene evidencije u skladu s postupcima utvrđenima u Okvirnoj odluci Vijeća 2009/315/PUP (19) te, ako je to relevantno i primjenjivo, u Uredbi (EU) 2019/816 Europskog parlamenta i Vijeća (20) za potrebe dobivanja podataka iz kaznenih evidencija drugih država članica. Države članice mogu se, ako je to relevantno i primjenjivo, osloniti i na Schengenski informacijski sustav druge generacije (SIS II) uspostavljen Uredbom (EU) 2018/1862 Europskog parlamenta i Vijeća (21), obavještajne podatke i sve druge dostupne objektivne informacije koje bi mogle biti potrebne za utvrđivanje prikladnosti dotične osobe za rad na radnom mjestu za koje je kritični subjekt zatražio provjeru podobnosti.

(33)

Trebalo bi uspostaviti mehanizam za obavješćivanje o određenim incidentima kako bi se nadležnim tijelima omogućio brz i primjeren odgovor na incidente te radi sveobuhvatnog pregleda učinka, prirode, uzroka i mogućih posljedica incidenata s kojim se suočavaju kritični subjekti. Kritični subjekti trebali bi bez nepotrebne odgode obavijestiti nadležna tijela o incidentima koji znatno poremete ili bi mogli znatno poremetiti pružanje ključnih usluga. Osim ako to operativno nije moguće, kritični subjekti trebali bi početnu obavijest dostaviti najkasnije 24 sata nakon što saznaju za incident. Prva obavijest trebala bi sadržavati samo informacije koje su nužne za upoznavanje nadležnog tijela s incidentom i kako bi se kritičnom subjektu omogućilo da, prema potrebi, zatraži pomoć. U takvoj obavijesti trebalo bi, ako je to moguće, navesti pretpostavljeni uzrok incidenta. Države članice trebale bi osigurati da se zahtjevom za dostavu te prve obavijesti resursi kritičnog subjekta ne preusmjere s aktivnosti povezanih s rješavanjem incidenata kojima bi trebalo dati prioritet. Nakon prve obavijesti trebalo bi, prema potrebi, uslijediti podrobno izvješće najkasnije mjesec dana nakon incidenta. Podrobno izvješće trebalo bi dopuniti prvu obavijest i pružiti potpuniji pregled incidenta.

(34)

Normizacija bi i dalje trebala biti prvenstveno proces koji ovisi o kretanjima na tržištu. Međutim, još mogu postojati situacije u kojima je primjereno zahtijevati usklađenost s određenim normama. Države članice trebale bi, ako je to korisno, poticati primjenu europskih i međunarodnih normi i tehničkih specifikacija relevantnih za mjere sigurnosti i mjere otpornosti koje se primjenjuju na kritične subjekte.

(35)

Iako kritični subjekti općenito djeluju kao dio sve više međusobno povezane mreže pružanja usluga i infrastrukture i često pružaju ključne usluge u više država članica, neki od tih kritičnih subjekata od posebnog su značaja za Uniju i njezino unutarnje tržište jer pružaju ključne usluge za šest ili više država članica odnosno u šest ili više država članica te bi stoga mogli imati koristi od posebne potpore na razini Unije. Stoga bi se trebala utvrditi pravila o savjetodavnim misijama u pogledu takvih kritičnih subjekata od posebnog europskog značaja. Ta pravila ne dovode u pitanje pravila o nadzoru i izvršavanju utvrđena ovom Direktivom.

(36)

Ako su potrebne dodatne informacije za savjetovanje kritičnog subjekta u ispunjavanju njegovih obveza na temelju ove Direktive ili za procjenu usklađenosti kritičnog subjekta od posebnog europskog značaja s takvim obvezama, država članica koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt treba dostaviti Komisiji određene informacije kako je određeno u ovoj Direktivi na obrazloženi zahtjev Komisije ili države članice kojoj se pruža ili u kojoj se pruža ključna usluga, ili više takvih država članica. U dogovoru s državom članicom koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt , Komisija bi trebala moći organizirati savjetodavnu misiju za procjenu mjera koje je taj subjekt uspostavio. Kako bi se osiguralo pravilno provođenje takvih savjetodavnih misija, trebalo bi utvrditi dodatna pravila, posebno o organizaciji i provođenju savjetodavnih misija, potrebnim daljnjim mjerama i obvezama dotičnih kritičnih subjekata od posebnog europskog značaja. Savjetodavna misija trebala bi se provoditi, ne dovodeći u pitanje činjenicu da se država članica u kojoj se provodi savjetodavna misija i dotični kritični subjekt trebaju pridržavati pravila ove Direktive, u skladu s detaljnim pravilima prava te države članice, primjerice o točnim uvjetima koje je potrebno ispuniti za pristup relevantnim prostorima ili dokumentima te o sudskoj zaštiti. Posebno stručno znanje potrebno za takve savjetodavne misije moglo bi se, prema potrebi, zatražiti putem Koordinacijskog centra za odgovor na hitne situacije uspostavljenog Odlukom br. 1313/2013/EU Europskog parlamenta i Vijeća (22).

(37)

Kako bi se pružila potpora Komisiji i olakšala suradnja među državama članicama i razmjena informacija, uključujući najbolje prakse, u vezi s pitanjima koja se odnose na ovu Direktivu, trebalo bi uspostaviti Skupinu za otpornost kritičnih subjekata kao stručnu skupinu Komisije. Države članice trebale bi nastojati osigurati djelotvornu i učinkovitu suradnju imenovanih predstavnika svojih nadležnih tijela u Skupini za otpornost kritičnih subjekata, među ostalim imenovanjem predstavnika koji, prema potrebi, imaju uvjerenje o sigurnosnoj provjeri. Skupina za otpornost kritičnih subjekata trebala bi početi obavljati svoje zadaće što je prije moguće kako bi se osigurali dodatni načini za odgovarajuću suradnju tijekom razdoblja prenošenja Direktive. Skupina za otpornost kritičnih subjekata trebala bi surađivati s drugim relevantnim sektorskim stručnim radnim skupinama.

(38)

Skupina za otpornost kritičnih subjekata trebala bi surađivati sa Skupinom za suradnju uspostavljenom na temelju Direktive (EU) 2022/2555 u cilju podupiranja sveobuhvatnog okvira za kiberotpornost i otpornost izvan kiberprostora kritičnih subjekata. Skupina za otpornost kritičnih subjekata i Skupina za suradnju uspostavljena na temelju Direktive (EU) 2022/2555 trebale bi uspostaviti redovit dijalog radi promicanja suradnje između nadležnih tijela iz ove Direktive i nadležnih tijela iz Direktive (EU) 2022/2555 i radi olakšavanja razmjene informacija, osobito o temama koje su važne za obje skupine.

(39)

Kako bi se ostvarili ciljevi ove Direktive i ne dovodeći u pitanje pravnu odgovornost država članica i kritičnih subjekata da osiguravaju poštovanje njihovih obveza utvrđenih ovom Direktivom, Komisija bi prema potrebi trebala poduprijeti nadležna tijela i kritične subjekte s ciljem olakšavanja ostvarivanja njihove usklađenosti s njihovim obvezama. Pri pružanju potpore državama članicama i kritičnim subjektima u provedbi obveza na temelju ove Direktive Komisija bi se trebala oslanjati na postojeće strukture i alate, kao što su oni u okviru Mehanizma Unije za civilnu zaštitu, uspostavljenog Odlukom br. 1313/2013/EU, i Europske referentne mreže za zaštitu kritične infrastrukture. Osim toga, trebala bi obavijestiti države članice o resursima dostupnima na razini Unije, primjerice u okviru Fonda za unutarnju sigurnost uspostavljenog Uredbom (EU) 2021/1149 Europskog parlamenta i Vijeća (23), programa Obzor Europa, uspostavljenog Uredbom (EU) 2021/695 Europskog parlamenta i Vijeća (24), ili drugih instrumenata relevantnih za otpornost kritičnih subjekata.

(40)

Države članice trebale bi osigurati da njihova nadležna tijela imaju određene posebne ovlasti za pravilnu primjenu i izvršavanje ove Direktive u odnosu na kritične subjekte ako ti subjekti potpadaju pod njihovu nadležnost kako je navedeno u ovoj Direktivi. Te bi ovlasti posebice trebale uključivati ovlast provođenja inspekcija i revizija, ovlast nadzora te ovlast zahtijevanja od kritičnih subjekata da dostave informacije i dokaze koji se odnose na mjere koje su poduzeli kako bi ispunili svoje obveze te prema potrebi ovlast izdavanja naloga za otklanjanje utvrđenih povreda. Pri izdavanju takvih naloga države članice ne bi trebale zahtijevati mjere koje prelaze ono što je potrebno i razmjerno kako bi se osigurala usklađenost dotičnog kritičnog subjekta, osobito uzimajući u obzir ozbiljnost povrede i gospodarski kapacitet dotičnog kritičnog subjekta. Općenito, te bi ovlasti trebale biti popraćene odgovarajućim i djelotvornim zaštitnim mjerama koje se utvrđuju nacionalnim pravom, u skladu s Poveljom Europske unije o temeljnim pravima. Pri procjeni usklađenosti kritičnog subjekta s njegovim obvezama iz ove Direktive nadležna tijela na temelju ove Direktive trebala bi moći zatražiti od nadležnih tijela na temelju Direktive (EU) 2022/2555 da izvršavaju svoje nadzorne ovlasti i ovlasti izvršavanja u odnosu na subjekt iz te direktive koji je utvrđen kao kritični subjekt na temelju ove Direktive. Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2555 trebala bi surađivati i razmjenjivati informacije u tu svrhu.

(41)

Kako bi se ova Direktiva primjenjivala na djelotvoran i dosljedan način, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a radi dopune ove Direktive sastavljanjem popisa ključnih usluga. Nadležna tijela trebala bi se koristiti tim popisom za potrebe provedbe procjena rizika države članice i za utvrđivanje kritičnih subjekata na temelju ove Direktive. S obzirom na pristup minimalnog usklađivanja iz ove Direktive, taj popis nije iscrpan te bi ga države članice mogle dopuniti dodatnim ključnim uslugama na nacionalnoj razini radi uvažavanja nacionalnih posebnosti u pružanju ključnih usluga. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (25) Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(42)

Radi osiguravanja jedinstvenih uvjeta za provedbu ove Direktive provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (26).

(43)

S obzirom na to da ciljeve ove Direktive, a to su osiguravanje da se usluge koje su ključne za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti pružaju neometano na unutarnjem tržištu i jačanje otpornosti kritičnih subjekata koji pružaju takve usluge, ne mogu dostatno ostvariti države članice, nego se zbog učinaka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku 5., ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(44)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (27) te je on dao mišljenje 11. kolovoza 2021.

(45)

Direktivu 2008/114/EZ stoga bi trebalo staviti izvan snage,