(1)

În calitatea lor de furnizoare de servicii esențiale, entitățile critice joacă un rol indispensabil în menținerea funcțiilor societale sau a activităților economice vitale pe piața internă, într-o economie a Uniunii din ce în ce mai interdependentă. Prin urmare, este esențial să se stabilească un cadru la nivelul Uniunii, care să urmărească atât consolidarea rezilienței entităților critice de pe piața internă prin stabilirea unor norme minime armonizate, cât și sprijinirea acestora prin intermediul unor măsuri coerente și specifice de sprijin și supraveghere.

(2)

Directiva 2008/114/CE a Consiliului (4) prevede o procedură de desemnare a infrastructurilor critice europene din sectoarele energiei și transporturilor a căror perturbare sau distrugere ar avea efecte transfrontaliere semnificative asupra a cel puțin două state membre. Directiva menționată se axează exclusiv pe protecția unor astfel de infrastructuri. Cu toate acestea, în cadrul evaluării Directivei 2008/114/CE efectuate în 2019 s-a constatat că, dat fiind faptul că operațiunile care utilizează infrastructura critică sunt tot mai interconectate și au din ce în ce mai mult un caracter transfrontalier, măsurile de protecție care se referă numai la elemente individuale sunt insuficiente pentru a preveni producerea tuturor perturbărilor. Prin urmare, este necesar ca abordarea să fie reorientată către asigurarea faptului că riscurile sunt mai bine luate în considerare, că rolul și sarcinile entităților critice în calitate de furnizori de servicii esențiale pentru funcționarea pieței interne sunt mai bine definite și sunt coerente, precum și că se adoptă norme ale Uniunii pentru a consolida reziliența entităților critice. Entitățile critice ar trebui să fie în măsură să își consolideze capacitatea de a preveni incidente care pot să perturbe furnizarea de servicii esențiale, de a oferi protecție și de a rezista în cazul producerii incidentelor respective, de a răspunde la acestea, de a le atenua și a le absorbi, de a se adapta la ele și de a se redresa în urma lor.

(3)

Deși o serie de măsuri la nivelul Uniunii, precum programul european privind protecția infrastructurilor critice, și la nivel național urmăresc să sprijine protecția infrastructurilor critice din Uniune, ar trebui depuse mai multe eforturi pentru a pregăti mai bine entitățile care operează astfel de infrastructuri pentru a aborda riscurile la adresa operațiunilor lor care ar putea conduce la perturbarea furnizării de servicii esențiale. Ar trebui depuse mai multe eforturi pentru a pregăti mai bine entitățile menționate dată fiind dinamica amenințărilor, care include amenințări hibride și teroriste aflate în evoluție, precum și interdependențele tot mai accentuate între infrastructură și sectoare. În plus, există un risc fizic sporit din cauza dezastrelor naturale și a schimbărilor climatice, care intensifică frecvența și amploarea fenomenelor meteorologice extreme și aduce schimbări pe termen lung în privința condițiilor climatice medii care pot reduce capacitatea,, eficiența și durata de viață a anumitor tipuri de infrastructură dacă nu se instituie măsuri de adaptare la schimbările climatice. În plus, piața internă este caracterizată de fragmentare în ceea ce privește identificarea entităților critice, întrucât sectoarele și categoriile de entități relevante nu sunt recunoscute în mod consecvent ca fiind critice în toate statele membre. Prin urmare, prezenta directivă ar trebui să ofere un nivel solid de armonizare în ceea ce privește sectoarele și categoriile de entități care intră sub incidența sa.

(4)

Deși anumite sectoare ale economiei, cum ar fi sectoarele energiei și transporturilor, sunt deja reglementate prin acte sectoriale din dreptul Uniunii, actele respective conțin norme care se referă numai la anumite aspecte ale rezilienței entităților care își desfășoară activitatea în sectoarele respective. Pentru a aborda în mod cuprinzător reziliența entităților care sunt critice pentru buna funcționare a pieței interne, prezenta directivă creează un cadru global care abordează reziliența entităților critice în ceea ce privește toate pericolele, indiferent dacă sunt naturale sau provocate de om, accidentale sau intenționate.

(5)

Interdependențele tot mai accentuate între infrastructură și sectoare sunt rezultatul unei rețele de furnizare de servicii al cărei caracter transfrontalier și interdependent devine tot mai pregnant, care utilizează infrastructuri-cheie în întreaga Uniune în sectorul energiei, al transporturilor, bancar, al apei potabile, al apelor uzate, al producției, prelucrării și distribuției de produse alimentare, al sănătății, în sectorul spațial, al infrastructurii pieței financiare, al infrastructurii digitale, precum și în anumite aspecte ale administrației publice. Sectorul spațial intră sub incidența prezentei directive în ceea ce privește furnizarea anumitor servicii care depind de infrastructura terestră deținută, gestionată și operată fie de statele membre, fie de părți private; prin urmare, infrastructura deținută, gestionată sau operată de Uniune sau în numele acesteia în cadrul programului său spațial nu intră sub incidența prezentei directive.

În ceea ce privește sectorul energetic și, în special, metodele de producere și transport a energiei electrice (din punctul de vedere al furnizării acesteia), se înțelege că, atunci când se consideră adecvat, producerea de energie electrică poate include părți ale transportului de energie electrică din centralele nucleare, cu excepția însă a elementelor strict nucleare care intră sub incidența tratatelor și a dreptului Uniunii, inclusiv a actelor din dreptul Uniunii relevante în domeniul nuclear. Procesul de identificare a entităților critice din sectorul alimentar ar trebui să reflecte în mod adecvat natura pieței interne din sectorul respectiv, precum și normele cuprinzătoare ale Uniunii referitoare la principiile și cerințele generale ale legislației alimentare și ale siguranței alimentare. Prin urmare, pentru a asigura existența unei abordări proporționale și pentru a reflecta în mod adecvat rolul și importanța acestor entități la nivel național, ar trebui să fie identificate entități critice numai în rândul acelor întreprinderi din sectorul alimentar, indiferent dacă au sau nu un scop lucrativ sau dacă sunt publice sau private, care își desfășoară activitatea exclusiv în domeniul logisticii, al distribuției angro și al producției și prelucrării industriale la scară largă, cu o cotă de piață semnificativă observată la nivel național. Aceste interdependențe înseamnă că orice perturbare a serviciilor esențiale, chiar și cele care inițial sunt limitate la o singură entitate sau la un singur sector, poate avea efecte în cascadă mai ample, ceea ce ar putea avea efecte negative considerabile și pe termen lung asupra furnizării de servicii pe piața internă. Crizele majore, precum pandemia de COVID-19, au demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere dar cu efect major.

(6)

Entitățile implicate în furnizarea serviciilor esențiale fac din ce în ce mai mult obiectul unor cerințe divergente impuse de dreptul intern. Faptul că unele state membre impun entităților respective cerințe de securitate mai puțin stricte nu numai că creează niveluri de reziliență diferite, ci riscă de asemenea să aibă un efect negativ asupra funcțiilor societale sau a activităților economice vitale în întreaga Uniune și creează obstacole în calea bunei funcționări a pieței interne. Investitorii și întreprinderile se pot baza pe entitățile critice care sunt reziliente și pot avea încredere în ele, iar fiabilitatea și încrederea constituie fundamentele unei piețe interne funcționale. Tipuri similare de entități sunt considerate critice în unele state membre, dar nu și în altele, iar cele care sunt identificate ca fiind critice fac obiectul unor cerințe divergente în diferite state membre. Acest lucru duce la o sarcină administrativă suplimentară și inutilă pentru întreprinderile care își desfășoară activitatea la nivel transfrontalier, în special pentru întreprinderile care își desfășoară activitatea în statele membre cu cerințe mai stricte. Un cadru la nivelul Uniunii ar avea, prin urmare, și efectul de a crea condiții de concurență echitabile pentru entitățile critice din întreaga Uniune.

(7)

Este necesar să se stabilească norme minime armonizate pentru a se asigura furnizarea serviciilor esențiale pe piața internă, pentru a consolida reziliența entităților critice și pentru a îmbunătăți cooperarea transfrontalieră între autoritățile competente. Este important ca normele respective să fie adaptate exigențelor viitorului în ceea ce privește conceperea și punerea lor în aplicare, permițând totodată flexibilitatea necesară. De asemenea, este esențial să se îmbunătățească capacitatea entităților critice de a furniza servicii esențiale atunci când sunt confruntate cu diverse riscuri.

(8)

Pentru a obține un nivel înalt de reziliență, statele membre ar trebui să identifice entitățile critice care vor face obiectul unor cerințe și al unei supravegheri specifice, dar cărora li se va acorda un sprijin special și orientări speciale în fața tuturor riscurilor relevante.

(9)

Având în vedere importanța securității cibernetice pentru reziliența entităților critice și din motive de consecvență, ar trebui să se asigure, ori de câte ori este posibil, o abordare coerentă între prezenta directivă și Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului (5). Având în vedere frecvența sporită și caracteristicile specifice ale riscurilor cibernetice, Directiva (UE) 2022/2555 impune cerințe cuprinzătoare unei game ample de entități pentru a garanta securitatea lor cibernetică. Dat fiind că securitatea cibernetică este abordată suficient de Directiva (UE) 2022/2555, aspectele reglementate de directiva respectivă ar trebui să fie excluse din domeniul de aplicare al prezentei directive, fără a aduce atingere regimului special al entităților din sectorul infrastructurii digitale.

(10)

În cazul în care dispozițiile actelor sectoriale din dreptul Uniunii impun entităților critice să ia măsuri menite pentru a-și spori reziliența, iar cerințele respective sunt recunoscute de statele membre ca fiind cel puțin echivalente cu obligațiile corespunzătoare prevăzute în prezenta directivă, dispozițiile relevante ale prezentei directive nu ar trebui să se aplice, pentru a se evita suprapunerile și sarcinile inutile. În acest caz, ar trebui să se aplice dispozițiile relevante ale unor astfel de acte din dreptul Uniunii. În cazul în care nu se aplică dispozițiile relevante ale prezentei directive, nu ar trebui să se aplice nici dispozițiile privind supravegherea și asigurarea respectării legislației stabilite prin prezenta directivă.

(11)

Prezenta directivă nu afectează competențele statelor membre și ale autorităților lor în materie de autonomie administrativă, sau responsabilitatea de a proteja securitatea și apărarea națională sau competența lor de a proteja alte funcții esențiale ale statului, în special în materie de siguranță publică, integritate teritorială și menținerea ordinii publice. Excluderea entităților administrației publice din domeniul de aplicare al prezentei directive ar trebui să se aplice entităților care desfășoară activități în principal în domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și pedepsirea infracțiunilor. Cu toate acestea, entitățile administrației publice ale căror activități sunt legate doar într-o mică măsură de domeniile menționate ar trebui să intre sub incidența prezentei directive. În sensul prezentei directive, entitățile cu competențe de reglementare nu sunt considerate ca desfășurând activități în domeniul asigurării respectării legii și, prin urmare, nu sunt excluse din aceste motive din domeniul de aplicare al prezentei directive. Entitățile administrației publice care sunt înființate în comun cu o țară terță în conformitate cu un acord internațional sunt excluse din domeniul de aplicare al prezentei directive. Prezenta directivă nu se aplică misiunilor diplomatice și consulare ale statelor membre în țări terțe.

Anumite entități critice desfășoară activități în domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și pedepsirea infracțiunilor sau furnizează servicii exclusiv pentru entități ale administrației publice care desfășoară activități în principal în domeniile menționate. Având în vedere responsabilitatea statelor membre de a proteja securitatea și apărarea națională, statele membre ar trebui să poată decide că obligațiile stabilite prin prezenta directivă entităților critice nu se aplică, integral sau parțial, respectivelor entități critice în cazul în care serviciile pe care acestea le furnizează sau activitățile pe care le desfășoară sunt legate în principal de domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și pedepsirea infracțiunilor. Entitățile critice ale căror servicii sau activități sunt legate doar într-o mică măsură de domeniile menționate ar trebui să intre sub incidența prezentei directive. Niciun stat membru nu ar trebui să aibă obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale naționale. Sunt relevante normele din dreptul Uniunii sau cele de drept intern privind protecția informațiilor clasificate și acordurile de nedivulgare.

(12)

Pentru a nu pune în pericol securitatea națională sau securitatea și interesele comerciale ale entităților critice, accesul la informații sensibile, schimbul de astfel de informații și prelucrarea acestora ar trebui realizate cu grijă, acordând o atenție deosebită canalelor de transmitere și capacităților de stocare utilizate.

(13)

În vederea asigurării unei abordări cuprinzătoare în ce privește reziliența entităților critice, fiecare stat membru ar trebui să dispună de o strategie pentru sporirea rezilienței entităților critice (denumită în continuare „strategia”). Strategia respectivă ar trebui să stabilească obiective strategice și măsuri de politică care să fie puse în aplicare. Din motive de coerență și eficiență, strategia ar trebui să fie concepută pentru a integra fără probleme politicile existente, bazându-se, ori de câte ori este posibil, pe strategii, planuri ori documente similare existente relevante la nivel național sau sectorial. Pentru a realiza o abordare cuprinzătoare, statele membre ar trebui să se asigure că strategiile lor oferă un cadru de politică pentru o coordonare consolidată între autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 în contextul schimbului de informații privind riscurile de securitate cibernetică, amenințările cibernetice și incidentele cibernetice și riscurile, amenințările și incidentele non-cibernetice, precum și în contextul exercitării sarcinilor de supraveghere. Atunci când își pun în aplicare strategiile, statele membre ar trebui să țină seama în mod corespunzător de natura hibridă a amenințărilor la adresa entităților critice.

(14)

Statele membre ar trebui să comunice Comisiei strategiile lor și toate actualizările substanțiale ale acestora, în special pentru a permite Comisiei să evalueze aplicarea corectă a prezentei directive în materie de abordări de politică privind reziliența entităților critice la nivel național. Strategiile ar putea fi comunicate sub formă de informații clasificate, dacă este necesar. Comisia ar trebui să elaboreze un raport de sinteză privind strategiile comunicate de statele membre pentru a servi drept bază pentru schimburi în vederea identificării bunelor practici și a aspectelor de interes comun în cadrul Grupului privind reziliența entităților critice. Având în vedere caracterul sensibil al informațiilor agregate incluse în raportul de sinteză – indiferent dacă sunt sau nu clasificate – Comisia ar trebui să gestioneze acest raport de sinteză cu un nivel de sensibilizare adecvat în ceea ce privește securitatea entităților critice, a statelor membre și a Uniunii. Raportul de sinteză și strategiile ar trebui să fie protejate împotriva acțiunilor ilegale sau răuvoitoare și ar trebui să fie accesibile numai persoanelor autorizate pentru a îndeplini obiectivele prezentei directive. Comunicarea strategiilor și a actualizărilor substanțiale ale acestora ar trebui, de asemenea, să contribuie la înțelegerea de către Comisie a evoluțiilor privind abordările în materie de reziliență a entităților critice și să contribuie la monitorizarea impactului și a valorii adăugate a prezentei directive, pe care Comisia urmează să o revizuiască periodic.

(15)

Acțiunile întreprinse de statele membre pentru a identifica și a contribui la asigurarea rezilienței entităților critice ar trebui să urmeze o abordare bazată pe riscuri, care se concentrează pe entitățile cele mai relevante pentru îndeplinirea funcțiilor societale sau a activităților economice vitale. Pentru a se asigura o astfel de abordare direcționată, fiecare stat membru ar trebui să efectueze, într-un cadru armonizat, o evaluare a riscurilor naturale și provocate de om relevante, inclusiv a celor intersectoriale și transfrontaliere, care ar putea să afecteze furnizarea serviciilor esențiale, inclusiv a accidentelor, a dezastrelor naturale, a situațiilor de urgență din domeniul sănătății publice, cum ar fi pandemiile și amenințările hibride sau alte amenințări antagoniste, printre care infracțiunile de terorism, infiltrarea unor elemente infracționale și sabotajul (denumită în continuare „evaluarea riscurilor de către statul membru”). Atunci când efectuează evaluări ale riscurilor de către statul membru, statele membre ar trebui să țină seama de alte evaluări generale sau sectoriale ale riscurilor efectuate în temeiul altor acte din dreptul Uniunii și ar trebui să ia în considerare gradul de dependență între sectoare, inclusiv între sectoarele din alte state membre și țări terțe. Rezultatele evaluării riscurilor de către statul membru ar trebui utilizate în scopul de identificare a entităților critice și de a sprijini aceste entități în îndeplinirea cerințelor care le revin în materie de reziliență. Prezenta directivă se aplică numai statelor membre și entităților critice care își desfășoară activitatea în Uniune. Cu toate acestea, expertiza și cunoștințele generate de autoritățile competente, în special prin evaluări ale riscurilor, precum și de Comisie, în special prin diverse forme de sprijin și cooperare, ar putea fi utilizate, după caz și în conformitate cu instrumentele juridice aplicabile, în beneficiul țărilor terțe, în special al celor din vecinătatea directă a Uniunii, alimentând cooperarea existentă în materie de reziliență.

(16)

Pentru a se asigura faptul că toate entitățile relevante fac obiectul cerințelor în materie de reziliență ale prezentei directive și pentru a se reduce divergențele în această privință, este important să se stabilească norme armonizate care să permită identificarea consecventă a entităților critice în întreaga Uniune, permițând totodată statelor membre să reflecte în mod adecvat rolul și importanța acestor entități la nivel național. Atunci când aplică criteriile prevăzute în prezenta directivă, fiecare stat membru ar trebui să identifice entitățile care furnizează unul sau mai multe servicii esențiale și care operează și dețin infrastructuri critice situate pe teritoriul său. Ar trebui să se considere că o entitate operează pe teritoriul unui stat membru atunci când în acel stat membru își desfășoară activitățile necesare pentru serviciul sau serviciile esențiale în cauză și infrastructura sa critică, care este utilizată pentru a furniza serviciul sau serviciile respective, se găsește în acel stat membru. În cazul în care nu există nicio entitate care să îndeplinească criteriile respective într-un stat membru, statul membru respectiv nu ar trebui să aibă obligația de a identifica o entitate critică în sectorul sau subsectorul corespunzător. Din motive de eficacitate, eficiență, consecvență și securitate juridică, ar trebui să se stabilească, de asemenea, norme corespunzătoare privind notificarea entităților care au fost identificate drept entități critice.

(17)

Statele membre ar trebui să transmită Comisiei, într-un mod care îndeplinește obiectivele prezentei directive, o listă privind serviciile esențiale, numărul de entități critice identificate pentru fiecare sector și subsector prevăzut în anexă, precum și, în cazul serviciului sau serviciilor esențiale furnizate de fiecare entitate, dacă acest lucru se aplică, pragurile. Pragurile ar trebui să poată fi prezentate ca atare sau în formă agregată, adică informațiile pot fi prezentate ca valori medii pe zonă geografică, pe an, pe sector, pe subsector sau prin alte mijloace și pot include informații privind gama de indicatori furnizați.

(18)

Ar trebui să se stabilească criterii pentru determinarea importanței unui efect perturbator produs de un incident. Respectivele criterii ar trebui să se bazeze pe criteriile prevăzute în Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (6) pentru a valorifica eforturile depuse de statele membre în vederea identificării operatorilor de servicii esențiale definite în directiva menționată, precum și experiența dobândită în această privință. Crizele majore, cum ar fi pandemia de COVID-19, au demonstrat importanța asigurării securității lanțului de aprovizionare și au demonstrat modul în care perturbarea acestuia poate avea efecte economice și societale negative asupra unui număr mare de sectoare, precum și la nivel transfrontalier. Prin urmare, statele membre ar trebui, de asemenea, să ia în considerare efectele asupra lanțului de aprovizionare, în măsura posibilului, atunci când determină gradul de dependență al altor sectoare și subsectoare față de serviciul esențial furnizat de o entitate critică.

(19)

În conformitate cu dreptul Uniunii și cu dreptul intern aplicabile, inclusiv cu Regulamentul (UE) 2019/452 al Parlamentului European și al Consiliului (7) care stabilește un cadru pentru examinarea investițiilor străine directe în Uniune, trebuie recunoscută amenințarea potențială reprezentată de controlul străin asupra infrastructurilor critice din Uniune, deoarece serviciile, economia, libera circulație și siguranța cetățenilor Uniunii depind de buna funcționare a infrastructurii critice.

(20)

Directiva (UE) 2022/2555 impune entităților din sectorul infrastructurii digitale, care ar putea fi identificate ca fiind entități critice în temeiul prezentei directive, să ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice, precum și pentru a notifica incidentele și amenințările cibernetice semnificative. Întrucât amenințările la adresa securității rețelelor și a sistemelor informatice pot avea origini diferite, Directiva (UE) 2022/2555 aplică o abordare care ține seama de toate riscurile, care include reziliența rețelelor și a sistemelor informatice, precum și a componentelor lor fizice și a mediului sistemelor respective.

Având în vedere că cerințele stabilite prin Directiva (UE) 2022/2555 în acest sens sunt cel puțin echivalente cu obligațiile corespunzătoare stabilite prin prezenta directivă, obligațiile stabilite la articolul 11 și în capitolele III, IV și VI din prezenta directivă nu ar trebui să se aplice entităților din sectorul infrastructurii digitale, pentru a se evita suprapunerile și sarcinile administrative inutile. Cu toate acestea, având în vedere importanța serviciilor furnizate de entitățile din sectorul infrastructurii digitale unor entități critice care aparțin tuturor celorlalte sectoare, statele membre ar trebui să identifice, pe baza criteriilor și utilizând procedura prevăzută în prezenta directivă, entitățile din sectorul infrastructurii digitale ca fiind entități critice. În consecință, ar trebui să se aplice strategiile, evaluările riscurilor de către statele membre și măsurile de sprijin prevăzute în capitolul II din prezenta directivă. Statele membre ar trebui să poată adopta sau menține dispoziții de drept intern pentru a atinge un nivel mai ridicat de reziliență pentru entitățile critice respective, cu condiția ca respectivele dispoziții să fie coerente cu dreptul aplicabil al Uniunii.

(21)

Dreptul Uniunii în domeniul serviciilor financiare instituie cerințe cuprinzătoare pentru entitățile financiare de a gestiona toate riscurile cu care se confruntă acestea, inclusiv riscurile operaționale, și de a asigura continuitatea activității. Dreptul respectiv include Regulamentele (UE) nr. 648/2012 (8), (UE) nr. 575/2013 (9) și (UE) nr. 600/2014 (10) ale Parlamentului European și ale Consiliului și Directivele 2013/36/UE (11) și 2014/65/UE (12) ale Parlamentului European și ale Consiliului. Cadrul juridic menționat este completat de Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului (13), care stabilește cerințele aplicabile entităților financiare în ceea ce privește gestionarea riscurilor TIC, inclusiv protecția infrastructurilor TIC fizice. Întrucât reziliența entităților respective este, prin urmare, reglementată în mod cuprinzător, articolul 11 și capitolele III, IV și VI din prezenta directivă nu ar trebui să se aplice entităților respective, pentru a evita suprapunerile și sarcinile administrative inutile.

Cu toate acestea, având în vedere importanța serviciilor furnizate de entitățile din sectorul financiar unor entități critice care aparțin tuturor celorlalte sectoare, statele membre ar trebui să identifice, pe baza criteriilor și utilizând procedura prevăzută în prezenta directivă, entitățile din sectorul financiar ca fiind entități critice. În consecință, ar trebui să se aplice strategiile, evaluările riscurilor de către statele membre și măsurile de sprijin prevăzute în capitolul II din prezenta directivă. Statele membre ar trebui să poată adopta sau menține dispoziții de drept intern pentru a atinge un nivel mai ridicat de reziliență pentru entitățile critice respective, cu condiția ca respectivele dispoziții să fie coerente cu dreptul aplicabil al Uniunii.

(22)

Statele membre ar trebui să desemneze sau să înființeze autorități competente care să supravegheze aplicarea și, dacă este necesar, să asigure respectarea normelor prezentei directive și să garanteze faptul că aceste autorități dispun de competențele și de resursele adecvate. Având în vedere diferențele dintre structurile naționale de guvernanță, pentru a salvgarda dispozițiile sectoriale existente sau organismele de supraveghere și de reglementare ale Uniunii, precum și pentru a evita suprapunerile, statele membre ar trebui să poată desemna sau înființa una sau mai multe autorități competente. Atunci când desemnează sau înființează mai multe autorități competente, statele membre ar trebui să delimiteze în mod clar sarcinile care le revin autorităților în cauză și să se asigure că acestea cooperează în mod armonios și eficace. Toate autoritățile competente ar trebui, de asemenea, să coopereze pe un plan mai general cu alte autorități relevante, la nivelul Uniunii și la nivel național.

(23)

Pentru a facilita cooperarea și comunicarea la nivel transfrontalier și pentru a permite punerea în aplicare eficace a prezentei directive, fiecare stat membru ar trebui, fără a aduce atingere actelor sectoriale din dreptul Uniunii, să desemneze un punct unic de contact responsabil cu coordonarea aspectelor legate de reziliența entităților critice și de cooperarea transfrontalieră la nivelul Uniunii (denumit în continuare „punct unic de contact”), după caz în cadrul unei autorități competente. Fiecare punct unic de contact ar trebui să asigure legăturile și să coordoneze comunicarea, atunci când acest lucru este relevant, cu autoritățile competente din statul său membru, cu punctele unice de contact din alte state membre și cu Grupul privind reziliența entităților critice.

(24)

Autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 ar trebui să coopereze și să facă schimb de informații în ceea ce privește riscurile de securitate cibernetică, amenințările cibernetice și incidentele cibernetice și riscurile, amenințările și incidentele non-cibernetice care afectează entitățile critice, precum și în ceea ce privește măsurile relevante luate de autoritățile competente în temeiul prezentei directive și de autoritățile competente în temeiul Directivei (UE) 2022/2555. Este important ca statele membre să se asigure că cerințele prevăzute în prezenta directivă și în Directiva (UE) 2022/2555 sunt puse în aplicare în mod complementar și că entitățile critice nu sunt supuse unei sarcini administrative mai mari decât cea necesară pentru a atinge obiectivele prezentei directive și pe cele ale directivei menționate.

(25)

Statele membre ar trebui să sprijine entitățile critice, inclusiv pe cele care pot fi considerate întreprinderi mici sau mijlocii, să își consolideze reziliența, în conformitate cu obligațiile care le revin statelor membre în temeiul prezentei directive, fără a aduce atingere responsabilității juridice a entităților critice de a asigura această conformitate, iar în cadrul demersurilor lor, ar trebui să evite sarcinile administrative excesive. Statele membre ar putea, în special, să elaboreze materiale de orientare și metodologii, să sprijine organizarea de exerciții pentru a testa reziliența entităților critice și să asigure furnizarea de consiliere și formarea personalului acestora. Atunci când acest lucru este necesar și justificat de obiective de interes public, statele membre ar putea furniza resurse financiare și ar trebui să faciliteze schimbul voluntar de informații și de bune practici între entitățile critice, fără a aduce atingere aplicării normelor în materie de concurență prevăzute în Tratatul privind funcționarea Uniunii Europene (TFUE).

(26)

Pentru a consolida reziliența entităților critice identificate de statele membre și pentru a reduce sarcinile administrative ale acestor entități critice, autoritățile competente ar trebui să se consulte reciproc ori de câte ori acest lucru este oportun pentru a asigura aplicarea în mod coerent a prezentei directive. Consultările respective ar trebui să fie inițiate la cererea oricărei autorități competente interesate și ar trebui să se axeze pe asigurarea unei abordări convergente în ceea ce privește entitățile critice interconectate care utilizează infrastructuri critice conectate fizic între două sau mai multe state membre, care aparțin acelorași grupuri sau structuri corporative sau care au fost identificate într-un stat membru și furnizează servicii esențiale pentru alte state membre sau pe teritoriul acestora.

(27)

În cazul în care dispoziții din dreptul Uniunii sau dreptul intern impun entităților critice să evalueze riscuri relevante în sensul prezentei directive și să ia măsuri pentru a asigura propria lor reziliență, cerințele respective ar trebui să fie luate în considerare în mod adecvat în scopul supravegherii respectării de către entitățile critice a prezentei directive.

(28)

Entitățile critice ar trebui să aibă o înțelegere cuprinzătoare a riscurilor relevante la care sunt expuse, precum și sarcina de a le analiza. În acest scop, entitățile critice ar trebui să efectueze evaluări ale riscurilor, ori de câte ori este necesar, având în vedere situația lor specifică și evoluția respectivelor riscuri, și, în orice caz, o dată la patru ani, în vederea evaluării tuturor riscurilor relevante care ar putea întrerupe furnizarea serviciilor lor esențiale (denumită în continuare „evaluarea riscurilor de către entitatea critică”). Atunci când au efectuat alte evaluări ale riscurilor sau au întocmit documente în temeiul obligațiilor prevăzute în alte acte de drept care sunt relevante pentru evaluarea riscurilor de către entitatea critică, entitățile critice ar trebui să poată utiliza evaluările și documentele respective pentru a îndeplini cerințele prevăzute în prezenta directivă referitoare la evaluarea riscurilor de către entitatea critică. O autoritate competentă ar trebui să poată declara o evaluare existentă a riscurilor efectuată de o entitate critică, care abordează riscurile relevante și gradul de dependență existent, ca fiind conformă, integral sau parțial, cu obligațiile stabilite prin prezenta directivă.

(29)

Entitățile critice ar trebui să ia măsuri tehnice, de securitate și organizatorice corespunzătoare și proporționale cu riscurile cu care se confruntă, astfel încât să prevină incidentele, să ofere protecție și să reziste în cazul producerii acestora, să răspundă și să reziste la ele, să le atenueze, să le absoarbă, să se adapteze la ele și să se redreseze în urma lor. În măsura în care entitățile critice ar trebui să ia măsurile menționate în conformitate cu prezenta directivă, detaliile și amploarea măsurilor respective ar trebui să reflecte, într-un mod adecvat și proporțional, diferitele riscuri pe care fiecare entitate critică le-a identificat în cadrul evaluării riscurilor de către entitatea critică, precum și specificitățile respectivei entități. Pentru a promova o abordare coerentă la nivelul Uniunii, Comisia ar trebui, după consultarea Grupului privind reziliența entităților critice, să adopte orientări fără caracter obligatoriu pentru a detalia măsurile tehnice, de securitate și organizatorice respective. Statele membre ar trebui să se asigure că fiecare entitate critică desemnează un ofițer de legătură sau un echivalent al acestuia ca punct de contact în relația cu autoritățile competente.

(30)

Din motive de eficacitate și de asigurare a asumării răspunderii, entitățile critice ar trebui să descrie măsurile pe care le adoptă, cu un nivel de detaliere care permite realizarea într-o măsură suficientă a obiectivelor de eficacitate și de asigurare a asumării răspunderii, ținând seama de riscurile identificate, într-un plan de reziliență sau într-un document echivalent sau în documente echivalente cu un plan de reziliență, și să aplice în practică respectivul plan. În scopul de a evita suprapunerile, atunci când o entitate critică a adoptat deja măsuri tehnice, de securitate și organizatorice și a întocmit documente în temeiul altor acte de drept care sunt relevante pentru măsurile de consolidare a rezilienței în temeiul prezentei directive, entitatea critică în cauză ar trebui să poată utiliza măsurile și documentele respective pentru a-și îndeplini obligațiile în ceea ce privește măsurile de reziliență în temeiul prezentei directive. În scopul de a evita suprapunerile, o autoritate competentă ar trebui să poată declara măsurile de reziliență existente adoptate de o entitate critică pentru a-și îndeplini obligația de a adopta măsuri tehnice, de securitate și organizatorice în temeiul prezentei directive, ca fiind integral sau parțial conforme cu cerințele prezentei directive.

(31)

Regulamentele (CE) nr. 725/2004 (14) și (CE) nr. 300/2008 (15) ale Parlamentului European și ale Consiliului și Directiva 2005/65/CE a Parlamentului European și a Consiliului (16) stabilesc cerințe aplicabile entităților din sectoarele aviației și transportului maritim pentru a preveni incidentele cauzate de acte ilegale, a rezista în cazul producerii unor astfel de incidente și a le atenua consecințele. Cu toate că măsurile necesare în temeiul prezentei directive sunt mai ample în ceea ce privește riscurile abordate și tipurile de măsuri care urmează să fie adoptate, entitățile critice din aceste sectoare ar trebui să reflecte în planul lor de reziliență sau în documente echivalente măsurile luate în temeiul altor acte de drept al Uniunii. Entitățile critice trebuie să ia în considerare și Directiva 2008/96/CE a Parlamentului European și a Consiliului (17), care introduce o evaluare la nivelul întregii rețele rutiere pentru a inventaria riscurile de accidente și o inspecție specifică în materie de siguranță rutieră pentru a identifica condițiile periculoase, defectele și problemele care sporesc riscul de accidente și de vătămare corporală, prin vizitarea la fața locului a drumurilor existente sau a tronsoanelor de drum. Asigurarea protecției și rezilienței entităților critice este extrem de importantă pentru sectorul feroviar și, atunci când pun în aplicare măsuri de reziliență în temeiul prezentei directive, entitățile critice sunt încurajate să ia în considerare orientările fără caracter obligatoriu și documentele de bune practici elaborate în cadrul unor fluxuri de lucru sectoriale, cum ar fi Platforma UE pentru securitatea călătorilor din transportul feroviar instituită prin Decizia 2018/C 232/03 a Comisiei (18).

(32)

Riscul ca angajații sau contractanții entităților critice să abuzeze, de exemplu, de drepturile lor de acces în cadrul organizației entității critice pentru a provoca daune și a aduce prejudicii este din ce în ce mai îngrijorător. Prin urmare, statele membre ar trebui să precizeze condițiile în care entităților critice li se permite, în cazuri justificate în mod corespunzător și ținând seama de evaluarea riscurilor de către statul membru, să depună cereri de verificare a antecedentelor persoanelor aparținând unor categorii de personal propriu. Ar trebui să se asigure faptul că autoritățile relevante analizează astfel de cereri într-un termen rezonabil și le prelucrează în conformitate cu dreptul intern și procedurile naționale, precum și cu dreptul relevant și aplicabil al Uniunii, inclusiv în ceea ce privește protecția datelor cu caracter personal. Pentru a confirma identitatea unei persoane care face obiectul unei verificări a antecedentelor, statele membre pot solicita o dovadă a identității, precum un pașaport, o carte națională de identitate sau o formă digitală de identificare, în conformitate cu dreptul aplicabil.

Verificarea antecedentelor ar trebui să includă verificarea cazierului judiciar al persoanei vizate. Statele membre ar trebui să folosească Sistemul european de informații cu privire la cazierele judiciare, în conformitate cu procedurile prevăzute în Decizia-cadru 2009/315/JAI a Consiliului (19) și, dacă este relevant și aplicabil, în Regulamentul (UE) 2019/816 al Parlamentului European și al Consiliului (20), pentru a obține informații din cazierele judiciare păstrate în alte state membre. Statele membre ar putea, de asemenea, dacă este relevant și aplicabil, să utilizeze Sistemul de informații Schengen de a doua generație (SIS II) instituit prin Regulamentul (UE) 2018/1862 al Parlamentului European și al Consiliului (21), informații operative și orice alte informații obiective disponibile care ar putea fi necesare pentru a stabili dacă persoana în cauză este adecvată pentru a ocupa postul în legătură cu care entitatea critică a solicitat o verificare a antecedentelor.

(33)

Ar trebui să se stabilească un mecanism de notificare a anumitor incidente care să permită autorităților competente să reacționeze rapid și în mod adecvat la incidente și să aibă o imagine de ansamblu cuprinzătoare asupra efectelor, naturii, cauzei și posibilelor consecințe ale incidentelor cu care se confruntă entitățile critice. Entitățile critice ar trebui să notifice autorităților competente, fără întârzieri nejustificate, incidentele care perturbă în mod semnificativ sau care au potențialul de a perturba în mod semnificativ furnizarea serviciilor esențiale. Cu excepția cazului în care nu pot face acest lucru din motive operaționale, entitățile critice ar trebui să transmită o notificare inițială în termen de cel mult 24 de ore de la data la care au luat cunoștință de un incident. Notificarea inițială ar trebui să includă numai informațiile absolut necesare pentru a informa autoritatea competentă cu privire la incident și pentru a permite entității critice să solicite asistență, dacă este necesar. O astfel de notificare ar trebui să indice, dacă este posibil, cauza presupusă a incidentului. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității critice raportoare de la activitățile legate de gestionarea incidentelor, care ar trebui să aibă prioritate. Notificarea inițială ar trebui să fie urmată, după caz, de un raport detaliat în termen de cel mult o lună de la incident. Raportul detaliat ar trebui să completeze notificarea inițială și să ofere o imagine de ansamblu mai completă a incidentului.

(34)

Standardizarea ar trebui să rămână, în principal, un proces bazat pe piață. Cu toate acestea, ar mai putea exista situații în care este oportun să se impună respectarea unor standarde specificate. Atunci când acest lucru este util, statele membre ar trebui să încurajeze utilizarea standardelor și specificațiilor tehnice europene și a celor internaționale care sunt pertinente pentru măsurile de securitate și de reziliență aplicabile entităților critice.

(35)

Cu toate că entitățile critice își desfășoară în general activitatea în cadrul unei rețele tot mai interconectate de furnizare de servicii și de infrastructură și furnizează adesea servicii esențiale în mai multe state membre, unele dintre aceste entități critice au o importanță deosebită pentru Uniune și pentru piața internă a acesteia, deoarece furnizează servicii esențiale pentru șase sau mai multe state membre sau pe teritoriul acestora și, prin urmare, ar putea să beneficieze de sprijin specific la nivelul Uniunii. Prin urmare, ar trebui să se instituie norme privind misiuni de consiliere în ceea ce privește astfel de entități critice de importanță europeană deosebită. Normele respective nu aduc atingere normelor privind supravegherea și asigurarea respectării legislației, prevăzute în prezenta directivă.

(36)

La cererea motivată din partea Comisiei sau din partea unuia sau a mai multor state membre cărora sau pe teritoriul cărora se furnizează serviciul esențial, în cazul în care sunt necesare informații suplimentare pentru a putea consilia o entitate critică în îndeplinirea obligațiilor care îi revin în temeiul prezentei directive sau pentru a evalua respectarea acestor obligații de către o entitate critică de importanță europeană deosebită, statul membru care a identificat o entitate critică de importanță europeană deosebită ca fiind o entitate critică ar trebui să pună la dispoziția Comisiei anumite informații astfel cum se prevede în prezenta directivă. De comun acord cu statul membru care a identificat entitatea critică de importanță europeană deosebită ca fiind o entitate critică, Comisia ar trebui să aibă posibilitatea de a organiza o misiune de consiliere pentru a evalua măsurile instituite de entitatea în cauză. Pentru a se asigura buna desfășurare a acestor misiuni de consiliere, ar trebui să se instituie norme complementare, în special în ceea ce privește organizarea și desfășurarea misiunilor de consiliere, acțiunile subsecvente desfășurate și obligațiile care le revin entităților critice de importanță europeană deosebită vizate. Fără a aduce atingere necesității ca statul membru în care se efectuează misiunea de consiliere și entitatea critică în cauză să respecte normele stabilite prin prezenta directivă, misiunea de consiliere ar trebui să se desfășoare cu respectarea normelor de drept detaliate ale respectivului stat membru, de exemplu cele privind condițiile exacte care trebuie să fie îndeplinite pentru a avea acces la sediile sau la documentele relevante și cele privind căile de atac. Expertiza specifică necesară pentru aceste misiuni de consiliere ar putea fi solicitată, după caz, prin intermediul Centrului de coordonare a răspunsului la situații de urgență instituit prin Decizia nr. 1313/2013/UE a Parlamentului European și a Consiliului (22).

(37)

Pentru a sprijini Comisia și pentru a facilita cooperarea între statele membre și schimbul de informații, inclusiv de bune practici, cu privire la aspectele referitoare la prezenta directivă, ar trebui să se constituie Grupul privind reziliența entităților critice, ca grup de experți al Comisiei. Statele membre ar trebui să depună eforturi pentru a asigura o cooperare eficace și eficientă a reprezentanților desemnați ai autorităților lor competente în cadrul Grupului privind reziliența entităților critice, inclusiv prin desemnarea unor reprezentanți care să dețină autorizarea de securitate adecvată, atunci când este cazul. Grupul privind reziliența entităților critice ar trebui să înceapă să își îndeplinească sarcinile cât mai curând posibil, astfel încât să pună la dispoziție mijloace suplimentare pentru o cooperare corespunzătoare pe parcursul perioadei de transpunere a prezentei directive. Grupul privind reziliența entităților critice ar trebui să interacționeze cu alte grupuri de lucru relevante la nivel de experți, specifice sectorului.

(38)

Grupul privind reziliența entităților critice ar trebui să coopereze cu Grupul de cooperare constituit în temeiul Directivei (UE) 2022/2555 în vederea sprijinirii unui cadru cuprinzător pentru reziliența cibernetică și non-cibernetică a entităților critice. Grupul privind reziliența entităților critice și Grupul de cooperare constituit în temeiul Directivei (UE) 2022/2555 ar trebui să se angajeze într-un dialog periodic pentru a promova cooperarea dintre autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 și pentru a facilita schimbul de informații, în special cu privire la subiecte relevante pentru ambele grupuri.

(39)

Pentru a realiza obiectivele prezentei directive și fără a aduce atingere responsabilității juridice a statelor membre și a entităților critice de a asigura respectarea obligațiilor care le revin în temeiul prezentei directive, Comisia ar trebui, atunci când consideră oportun, să sprijine autoritățile competente și entitățile critice în vederea facilitării respectării de către acestea a obligațiilor care le revin. Atunci când acordă sprijin statelor membre și entităților critice în punerea în aplicare a obligațiilor care le revin în temeiul prezentei directive, Comisia ar trebui să se bazeze pe structurile și instrumentele existente, cum ar fi cele din cadrul mecanismului de protecție civilă al Uniunii, instituit prin Decizia nr. 1313/2013/UE și al Rețelei europene de referință pentru protecția infrastructurii critice. În plus, Comisia ar trebui să informeze statele membre cu privire la resursele disponibile la nivelul Uniunii, cum ar fi cele din cadrul Fondului pentru securitate internă instituit prin Regulamentul (UE) 2021/1149 al Parlamentului European și al Consiliului (23), al programului Orizont Europa instituit prin Regulamentul (UE) 2021/695 al Parlamentului European și al Consiliului (24), sau al altor instrumente relevante pentru reziliența entităților critice.

(40)

Statele membre ar trebui să asigure faptul că autoritățile lor competente dispun de anumite competențe specifice pentru aplicarea și asigurarea respectării în mod corespunzător a prezentei directive în ceea ce privește entitățile critice, în cazul în care aceste entități țin de jurisdicția lor, astfel cum se specifică în prezenta directivă. Printre aceste competențe ar trebui să se numere, în special, competența de a efectua inspecții și audituri, competența de a supraveghea, competența de a solicita entităților critice să furnizeze informații și dovezi cu privire la măsurile pe care le-au luat pentru a-și îndeplini obligațiile și, dacă este necesar, competența de a emite ordine pentru a remedia încălcările identificate. Atunci când emit astfel de ordine, statele membre nu ar trebui să impună măsuri care să depășească ceea ce este necesar și proporțional pentru a asigura respectarea normelor de către entitatea critică în cauză, ținând seama în special de gravitatea încălcării și de capacitatea economică a entității critice în cauză. La un nivel mai general, aceste competențe ar trebui să fie însoțite de garanții corespunzătoare și eficace care să fie specificate în dreptul intern în conformitate cu Carta drepturilor fundamentale a Uniunii Europene. Atunci când analizează respectarea de către o entitate critică a obligațiilor care îi revin în temeiul prezentei directive, autoritățile competente în temeiul prezentei directive ar trebui să poată solicita autorităților competente în temeiul Directivei (UE) 2022/2555 să își exercite competențele de supraveghere și de asigurare a respectării legislației în legătură cu o entitate care intră sub incidența respectivei directive și care a fost identificată drept o entitate critică în temeiul prezentei directive. Autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 ar trebui să coopereze și să facă schimb de informații în acest scop.

(41)

Pentru a aplica prezenta directivă într-un mod eficace și consecvent, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei pentru a completa prezenta directivă prin elaborarea unei liste de servicii esențiale. Lista respectivă ar trebui să fie utilizată de autoritățile competente în scopul efectuării evaluării riscurilor de către statul membru și al identificării entităților critice în temeiul prezentei directive. În conformitate cu abordarea armonizării minime din prezenta directivă, lista menționată nu este exhaustivă, iar statele membre ar putea să o completeze cu servicii esențiale suplimentare la nivel național pentru a ține seama de particularitățile naționale în furnizarea serviciilor esențiale. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (25). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(42)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentei directive, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (26).

(43)

Întrucât obiectivele prezentei directive, și anume de a asigura că serviciile esențiale pentru menținerea funcțiilor societale sau a activităților economice vitale sunt furnizate pe piața internă fără a fi obstrucționate și de a consolida reziliența entităților critice care furnizează astfel de servicii, nu pot fi realizate în mod satisfăcător de către statele membre și, având în vedere efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul 5 menționat, prezenta directivă nu depășește ceea ce este necesar pentru realizarea acestor obiective.

(44)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (27) și a emis un aviz la 11 august 2021.

(45)

Prin urmare, Directiva 2008/114/CE ar trebui să fie abrogată,