(1)

Kritični subjekti imajo kot ponudniki bistvenih storitev v čedalje bolj soodvisnem gospodarstvu Unije nenadomestljivo vlogo pri ohranjanju ključnih družbenih funkcij ali gospodarskih dejavnosti na notranjem trgu. Zato je bistveno, da se vzpostavi okvir Unije, katerega namen bo okrepitev odpornosti kritičnih subjektov na notranjem trgu z določitvijo harmoniziranih minimalnih pravil, pa tudi pomoč kritičnim subjektom s skladnimi, namenskimi podpornimi in nadzornimi ukrepi.

(2)

Direktiva Sveta 2008/114/ES (4) določa postopek za določitev evropske kritične infrastrukture v energetskem in prometnem sektorju, pri katerih bi imela motnja v delovanju ali njihovo uničenje pomemben čezmejni vpliv na vsaj dve državi članici. Navedena direktiva je osredotočena izključno na zaščito take infrastrukture. Vendar je bilo v vrednotenju Direktive 2008/114/ES, opravljenem leta 2019, ugotovljeno, da zaščitni ukrepi, ki se nanašajo samo na posamezna sredstva, zaradi čedalje bolj medsebojno povezane in čezmejne narave operacij, pri katerih se uporablja kritična infrastruktura, ne zadostujejo za preprečitev vseh motenj. Zato je treba pristop preusmeriti k zagotavljanju boljšega upoštevanja tveganj, boljše opredelitve in usklajenosti vloge in nalog kritičnih subjektov kot ponudnikov storitev, ki so bistvene za delovanje notranjega trga, ter sprejetju pravil Unije za okrepitev odpornosti kritičnih subjektov. Kritični subjekti bi morali imeti možnost, da okrepijo svojo sposobnost, da preprečijo incidente, ki bi lahko povzročili motnje pri opravljanju bistvenih storitev, se pred njimi zavarujejo, se nanje odzovejo, se jim zoperstavijo, jih ublažijo, jih absorbirajo, se jim prilagodijo in po njih okrevajo.

(3)

Čeprav je več ukrepov na ravni Unije, kot je evropski program za zaščito kritične infrastrukture in nacionalni ravni namenjenih podpori zaščite kritične infrastrukture v Uniji, bi bilo treba storiti več, da bi subjekte, ki upravljajo tako infrastrukturo, bolje opremili za obravnavanje tveganj za njihovo delovanje, ki bi lahko povzročila motnje pri opravljanju bistvenih storitev. Storiti bi bilo treba več, da bi se take subjekte zaradi obstoja dinamičnega nabora groženj, ki vključuje tudi naraščajoče hibridne in teroristične grožnje, ter vedno večje soodvisnosti med infrastrukturo in sektorji bolje opremilo. Poleg tega obstaja povečano fizično tveganje zaradi naravnih nesreč in podnebnih sprememb, kar povečuje pogostost in obseg skrajnih vremenskih pojavov ter prinaša dolgoročne spremembe povprečnih podnebnih razmer, ki lahko zmanjšajo zmogljivost, učinkovitost in življenjsko dobo nekaterih vrst infrastrukture, če niso vzpostavljeni ukrepi za prilagajanje podnebnim spremembam. Poleg tega je za notranji trg značilna razdrobljenost, kar zadeva identifikacijo kritičnih subjektov, ker ustrezni sektorji in kategorije subjektov niso enako priznani kot kritični v vseh državah članicah. S to direktivo bi bilo zato treba doseči dobro raven harmonizacije glede sektorjev in kategorij subjektov, ki spadajo na njeno področje uporabe.

(4)

Določeni gospodarski sektorji, kot sta sektorja energetike in prometa, so sicer že regulirani s sektorskimi pravnimi akti Unije, vendar ti vsebujejo določbe, ki se nanašajo samo na določene vidike odpornosti subjektov, ki delujejo v teh sektorjih. Da bi celovito obravnavali odpornost tistih subjektov, ki so kritičnega pomena za pravilno delovanje notranjega trga, se s to direktivo vzpostavlja krovni okvir za obravnavanje odpornosti kritičnih subjektov v zvezi z vsemi nevarnostmi, bodisi naravnimi bodisi tistimi, ki jih namerno ali nenamerno povzroči človek.

(5)

Vedno večja soodvisnost med infrastrukturo in sektorji je posledica čedalje bolj čezmejne in soodvisne mreže opravljanja storitev, ki uporablja ključno infrastrukturo po vsej Uniji v sektorjih energetike, prometa, bančništva, pitne vode, odpadne vode, pridelave, predelave in distribucije živil, zdravja, vesolja, infrastrukture finančnega trga in digitalne infrastrukture, ter v nekaterih vidikih sektorja javne uprave. Sektor vesolja spada na področje uporabe te direktive, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jo imajo v lasti, vodijo in upravljajo države članice ali zasebne strani, zato infrastruktura, ki jo ima v lasti, vodi ali upravlja Unija ali se vodi ali upravlja v njenem imenu kot del njenega vesoljskega programa, ne spada na področje uporabe te direktive.

Za energetski sektor, zlasti za načine proizvodnje in prenosa električne energije (za oskrbo z električno energijo), se razume, da lahko proizvodnja električne energije – kadar je to ustrezno – vključuje dele jedrskih elektrarn, ki se uporabljajo za prenos električne energije, izključeni pa so specifično jedrski vidiki, zajeti v mednarodnih pogodbah in pravu Unije, vključno z ustreznimi pravnimi akti Unije o jedrski energiji. V postopku identifikacije kritičnih subjektov v živilskem sektorju bi bilo treba ustrezno upoštevati naravo notranjega trga v tem sektorju in obsežna pravila Unije o splošnih načelih in zahtevah živilske zakonodaje in varnosti hrane. Zaradi zagotovitve sorazmernega pristopa in ustreznega upoštevanja vloge in pomena teh subjektov na nacionalni ravni, bi bilo treba kritične subjekte identificirati le med izvajalci živilske dejavnosti, tako pridobitnimi kot nepridobitnimi ter javnimi in zasebnimi, ki se ukvarjajo izključno z logistiko in veleprodajo ter industrijsko proizvodnjo in predelavo v velikem obsegu ter imajo z nacionalnega vidika znaten tržni delež. Ta soodvisnost pomeni, da ima lahko vsaka motnja pri bistvenih storitvah, tudi tista, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, kar bi lahko imelo daljnosežen in dolgotrajen negativen vpliv na zagotavljanje storitev na notranjem trgu. Velike krize, kot je pandemija COVID-19, razkrivajo ranljivost naših čedalje bolj soodvisnih družb ob soočenju s tveganji z majhno verjetnostjo, a velikim vplivom.

(6)

Za subjekte, ki sodelujejo pri opravljanju bistvenih storitev, čedalje bolj veljajo različne zahteve, naložene z nacionalnim pravom. Dejstvo, da imajo nekatere države članice manj stroge varnostne zahteve za te subjekte, ne povzroča samo različnih ravni odpornosti, temveč tudi tvega, da negativno vpliva na ohranjanje ključnih družbenih funkcij ali gospodarskih dejavnosti po vsej Uniji in povzroča ovire za pravilno delovanje notranjega trga. Vlagatelji in podjetja se lahko zanesejo na kritične subjekte, ki so odporni, in takim subjektom zaupajo, zanesljivost in zaupanje pa sta temelja dobro delujočega notranjega trga. Podobne vrste subjektov se v nekaterih državah članicah štejejo za kritične, v drugih pa ne, za tiste, ki so identificirani kot kritični, pa veljajo različne zahteve v različnih državah članicah. To povzroča dodatno in nepotrebno upravno breme za podjetja, ki poslujejo čezmejno, zlasti za podjetja, ki delujejo v državah članicah s strožjimi zahtevami. Okvir Unije bi zato vplival tudi na zagotavljanje enakih konkurenčnih pogojev za kritične subjekte po vsej Uniji.

(7)

Treba je določiti harmonizirana minimalna pravila, da se zagotovi opravljanje bistvenih storitev na notranjem trgu, okrepi odpornost kritičnih subjektov in izboljša čezmejno sodelovanje med pristojnimi organi. Pomembno je, da so ta pravila po svoji zasnovi in izvajanju primerna za prihodnost, obenem pa dopuščajo potrebno prožnost. Prav tako je ključno, da se izboljša zmogljivost kritičnih subjektov za opravljanje bistvenih storitev ob soočanju z različnimi tveganji.

(8)

Za dosego visoke ravni odpornosti bi morale države članice identificirati kritične subjekte, za katere bodo veljale posebne zahteve in nadzor ter bodo prejeli posebno podporo in vodila ob soočanju z vsemi relevantnimi tveganji.

(9)

Glede na pomen kibernetske varnosti za odpornost kritičnih subjektov in zaradi doslednosti bi bilo, kadar je mogoče, treba zagotoviti skladen pristop med to direktivo in Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta (5). Glede na večjo pogostost in posebne značilnosti kibernetskih tveganj Direktiva (EU) 2022/2555 nalaga celovite zahteve za velik sklop subjektov, da se zagotovi njihova kibernetska varnost. Glede na to, da je kibernetska varnost zadostno obravnavana v Direktivi (EU) 2022/2555, bi bilo treba zadeve, ki jih navedena direktiva zajema, izključiti s področja uporabe te direktive, brez poseganja v posebno ureditev za subjekte v sektorju digitalne infrastrukture.

(10)

Kadar določbe sektorskih pravnih aktov Unije zahtevajo, da kritični subjekti sprejmejo ukrepe za okrepitev svoje odpornosti, in kadar države članice priznavajo te zahteve kot vsaj enakovredne ustreznim obveznostim iz te direktive, se ustrezne določbe te direktive ne bi smele uporabljati, da bi se izognili podvajanju in nepotrebnemu bremenu. V tem primeru bi se morale uporabljati ustrezne določbe takih pravnih aktov Unije. Kadar se ustrezne določbe te direktive ne uporabljajo, se tudi določbe o nadzoru in izvrševanju iz te direktive ne bi smele uporabljati.

(11)

Ta direktiva ne vpliva na pristojnost držav članic in njihovih organov z vidika upravne samostojnosti ali na njihovo odgovornost za zaščito nacionalne varnosti in obrambe ali njihovo odgovornost za zaščito drugih bistvenih državnih funkcij, zlasti kar zadeva javno varnost, ozemeljsko celovitost ter vzdrževanje javnega reda in miru. Izključitev subjektov javne uprave s področja uporabe te direktive bi morala veljati za subjekte, katerih dejavnosti se izvajajo predvsem na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preiskovanjem, odkrivanjem in pregonom kaznivih dejanj. Subjekti javne uprave, katerih dejavnosti so le malo povezane s temi področji, pa bi morali spadati na področje uporabe te direktive. Za namene te direktive se za subjekte z regulativnimi pristojnostmi ne šteje, da opravljajo dejavnosti na področju kazenskega pregona, zato niso izključeni iz področja uporabe te direktive iz tega razloga. Subjekti javne uprave, ki so ustanovljeni skupaj s tretjo državo v skladu z mednarodnim sporazumom, so izključeni s področja uporabe te direktive. Ta direktiva se ne uporablja za diplomatska in konzularna predstavništva držav članic v tretjih državah.

Nekateri kritični subjekti izvajajo dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preiskovanjem, odkrivanjem in pregonom kaznivih dejanj, ali opravljajo storitve izključno za subjekte javne uprave, ki izvajajo dejavnosti predvsem na teh področjih. Ker so države članice odgovorne za zaščito nacionalne varnosti in obrambe, bi morale imeti možnost odločiti, da se obveznosti za kritične subjekte iz te direktive v celoti ali delno ne uporabljajo, če ti kritični subjekti opravljajo storitve ali izvajajo dejavnosti, ki so povezane predvsem s področjem nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preiskovanjem, odkrivanjem in pregonom kaznivih dejanj. Kritični subjekti, katerih storitve ali dejavnosti so le malo povezane s temi področji, bi morali spadati na področje uporabe te direktive. Od nobene države članice se ne bi smelo zahtevati, da daje informacije, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene nacionalne varnosti. Pomembna so pravila Unije oziroma nacionalna pravila za varovanje tajnih podatkov in sporazumi o zaupnosti.

(12)

Da ne bi bila ogrožena nacionalna varnost ali varnost in poslovni interesi kritičnih subjektov, bi bilo treba do občutljivih informacij dostopati, jih izmenjevati in z njimi ravnati previdno, pri tem pa posebno pozornost nameniti načinom prenosa in uporabljenim zmogljivostim shranjevanja.

(13)

Za zagotovitev celovitega pristopa k odpornosti kritičnih subjektov bi morala imeti vsaka država članica vzpostavljeno strategijo za okrepitev odpornosti kritičnih subjektov (v nadaljnjem besedilu: strategija). V strategiji bi bilo treba določiti strateške cilje in ukrepe politike, ki jih je treba izvesti. Zaradi skladnosti in učinkovitosti bi strategija morala biti zasnovana tako, da bi zlahka vključila obstoječe politike, pri tem pa, kadar je mogoče, temeljila na ustreznih obstoječih nacionalnih in sektorskih strategijah, načrtih ali podobnih dokumentih. Da bi se dosegel celovit pristop, bi morale države članice zagotoviti, da njihove strategije zagotavljajo okvir politike za okrepljeno usklajevanje med pristojnimi organi na podlagi te direktive in pristojnimi organi na podlagi Direktive (EU) 2022/2555 v okviru izmenjave informacij o tveganjih za kibernetsko varnost, kibernetskih grožnjah in kibernetskih incidentih ter nekibernetskih tveganjih, grožnjah in incidentih ter v okviru izvajanja nadzornih nalog. Pri vzpostavljanju svojih strategij bi morale države članice ustrezno upoštevati hibridno naravo groženj za kritične subjekte.

(14)

Države članice bi morale Komisiji sporočiti svoje strategije in njihove bistvene posodobitve, zlasti da bi ji tako omogočile, da oceni pravilno uporabo te direktive glede pristopov k odpornosti kritičnih subjektov v okviru politik na nacionalni ravni. Kadar je potrebno, bi se strategije lahko sporočale kot tajne informacije. Komisija bi morala pripraviti zbirno poročilo o strategijah, ki jih sporočijo države članice, ki bi služilo kot podlaga za izmenjave, da se določijo najboljše prakse in vprašanja skupnega interesa v okviru skupine za odpornost kritičnih subjektov. Zaradi občutljive narave zbirnih informacij iz zbirnega poročila – ne glede na to, ali so tajne ali ne – bi morala Komisija z zbirnim poročilom ravnati z ustrezno ravnjo zavesti o varnosti kritičnih subjektov, držav članic in Unije. Zbirno poročilo in strategije bi bilo treba zaščititi pred nezakonitim ali zlonamernim delovanjem, do njih pa bi morale imeti dostop samo pooblaščene osebe za izpolnitev ciljev te direktive. Sporočanje strategij in njihovih bistvenih posodobitev bi moralo Komisiji pomagati tudi pri razumevanju razvijanja pristopov k odpornosti kritičnih subjektov ter prispevati k spremljanju vpliva in dodane vrednosti te direktive, ki ju bo Komisija redno pregledovala.

(15)

Ukrepi držav članic za identifikacijo in pomoč pri zagotavljanju odpornosti kritičnih subjektov bi morali slediti pristopu, ki temelji na tveganju in je osredotočen na subjekte, ki so najpomembnejši za izvajanje ključnih družbenih funkcij ali gospodarskih dejavnosti. Za zagotovitev takega ciljno usmerjenega pristopa bi morala vsaka država članica v harmoniziranem okviru izvesti oceno relevantnih naravnih tveganj in tveganj, ki jih povzroči človek, vključno s tveganji medsektorske in čezmejne narave, ki bi lahko vplivala na opravljanje bistvenih storitev, vključno z nesrečami, naravnimi nesrečami, izrednimi razmerami v javnem zdravju, kot so pandemije, in hibridnimi grožnjami ali drugimi antagonističnimi grožnjami, vključno s terorističnimi kaznivimi dejanji, infiltracijo kriminala in sabotažo (v nadaljnjem besedilu: ocena tveganja države članice). Države članice bi morale pri izvajanju ocen tveganja držav članic upoštevati druge splošne ali sektorske ocene tveganja, izvedene na podlagi drugih pravnih aktov Unije, in upoštevati, v kolikšni meri so sektorji soodvisni, tudi tisti iz drugih držav članic in tretjih držav. Rezultat ocen tveganja držav članic bi bilo treba uporabiti za namene identifikacije kritičnih subjektov in za pomoč tem subjektom pri izpolnjevanju zahtev glede njihovih odpornosti. Ta direktiva se uporablja samo za države članice in kritične subjekte, ki delujejo v Uniji. Kljub temu pa bi se lahko strokovnost in znanje, ki ju zlasti z ocenami tveganja pridobijo pristojni organi, Komisija pa zlasti z različnimi oblikami podpore in sodelovanja, kadar je ustrezno in v skladu z ustreznimi pravnimi instrumenti v okviru obstoječega sodelovanja glede odpornosti uporabila v korist tretjih držav, zlasti tistih v neposredni soseščini Unije.

(16)

Da se zagotovi, da zahteve glede odpornosti iz te direktive veljajo za vse zadevne subjekte, in da se zmanjšajo razlike v zvezi s tem, je pomembno določiti harmonizirana pravila, ki omogočajo dosledno identifikacijo kritičnih subjektov po vsej Uniji, hkrati pa državam članicam omogočajo tudi, da ustrezno odrazijo vlogo in pomen teh subjektov na nacionalni ravni. Vsaka država članica bi morala pri uporabi meril, določenih v tej direktivi, identificirati subjekte, ki opravljajo eno ali več bistvenih storitev ter delujejo in imajo kritično infrastrukturo na njenem ozemlju. Za subjekt bi se moralo šteti, da deluje na ozemlju države članice, v kateri izvaja dejavnosti, ki so nujne za zadevno bistveno storitev ali storitve in v kateri se nahaja kritična infrastruktura, ki se uporablja za opravljanje zadevne storitve ali storitev. Kadar noben subjekt v državi članici ne izpolnjuje navedenih meril, ta država članica ne bi smela biti obvezana, da identificira kritični subjekt v zadevnem sektorju ali podsektorju. Zaradi uspešnosti, učinkovitosti, doslednosti in pravne varnosti bi bilo treba določiti ustrezna pravila o uradnem obveščanju subjektov, da so bili identificirani kot kritični subjekt.

(17)

Države članice bi morale Komisiji na način, ki izpolnjuje cilje te direktive, predložiti seznam bistvenih storitev, število kritičnih subjektov, identificiranih za vsak sektor in podsektor iz Priloge ter za bistveno storitev ali storitve, ki jih opravlja vsak subjekt, ter, če se uporabljajo, mejne vrednosti. Mejne vrednosti bi moralo biti možno predstaviti kot take ali v zbirni obliki, kar pomeni, da se lahko za informacije izračunajo povprečja po geografskih območjih, letih, sektorjih, podsektorjih ali drugače, in lahko vključujejo informacije o celotnem naboru predstavljenih kazalnikov.

(18)

Določiti bi bilo treba merila za ugotovitev pomembnosti motečega učinka, ki ga povzroči incident. Ta merila bi morala temeljiti na merilih iz Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta (6), da bi izkoristili prizadevanja držav članic za identifikacijo izvajalcev bistvenih storitev, kot so opredeljeni v navedeni direktivi, in izkušnje, pridobljene v zvezi s tem. Velike krize, kot je pandemija COVID-19, so pokazale, kako pomembno je zagotoviti varnost dobavne verige, pa tudi, kakšen negativen gospodarski in družbeni vpliv v velikem številu sektorjev in preko meja lahko imajo motnje v tej verigi. Zato bi morale države članice pri ugotavljanju v kolikšni meri so drugi sektorji in podsektorji odvisni od bistvene storitve, ki jo opravlja kritični subjekt, kolikor je mogoče upoštevati tudi vpliv na dobavno verigo.

(19)

V skladu z veljavnim pravom Unije in nacionalnim pravom, vključno z Uredbo (EU) 2019/452 Evropskega parlamenta in Sveta (7), ki določa okvir za pregled neposrednih tujih naložb v Uniji, je treba priznati potencialno grožnjo, ki jo predstavlja tuje lastništvo nad kritično infrastrukturo v Uniji, saj so storitve, gospodarstvo ter prosto gibanje in varnost državljanov Unije odvisni od pravilnega delovanja kritične infrastrukture.

(20)

Z Direktivo (EU) 2022/2555 se od subjektov, ki spadajo v sektor digitalne infrastrukture, ki bi lahko bili identificirani kot kritični subjekti na podlagi te direktive, zahteva, da sprejmejo ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov ter da priglasijo pomembne incidente in kibernetske grožnje. Ker imajo lahko grožnje za varnost omrežnih in informacijskih sistemov različen izvor, se v Direktivi (EU) 2022/2555 uporablja pristop, ki upošteva vse nevarnosti in vključuje odpornost omrežnih in informacijskih sistemov, pa tudi fizične komponente in okolje teh sistemov.

Glede na to, da so zahteve iz Direktive (EU) 2022/2555 vsaj enakovredne ustreznim obveznostim iz te direktive, se obveznosti iz člena 11 ter poglavij III, IV in VI te direktive ne bi smele uporabljati za subjekte, ki spadajo v sektor digitalne infrastrukture, da bi se izognili podvajanju in nepotrebnemu upravnemu bremenu. Vendar bi morale države članice ob upoštevanju pomena storitev, ki jih subjekti, ki spadajo v sektor digitalne infrastrukture, opravljajo za kritične subjekte, ki spadajo v vse druge sektorje, na podlagi meril in z uporabo postopka iz te direktive subjekte, ki spadajo v sektor digitalne infrastrukture, identificirati kot kritične subjekte. Posledično bi se morale uporabljati strategije, ocene tveganja držav članic in podporni ukrepi iz poglavja II te direktive. Države članice bi za doseganje višje ravni odpornosti teh kritičnih subjektov morale imeti možnost sprejeti ali ohraniti določbe nacionalnega prava, če so te določbe skladne z veljavnim pravom Unije.

(21)

Pravo Unije na področju finančnih storitev določa celovite zahteve za finančne subjekte za obvladovanje vseh tveganj, s katerimi se soočajo, vključno z operativnimi tveganji in zagotavljanjem neprekinjenega poslovanja. Tako pravo vključuje uredbe (EU) št. 648/2012 (8), (EU) št. 575/2013 (9) in (EU) št. 600/2014 (10) Evropskega parlamenta in Sveta ter direktivi 2013/36/EU (11) in 2014/65/EU (12) Evropskega parlamenta in Sveta. Ta pravni okvir dopolnjuje Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta (13), ki določa zahteve, ki se uporabljajo za finančne subjekte glede obvladovanja tveganj na področju informacijskih in komunikacijskih tehnologij (IKT), vključno v zvezi z zaščito fizične infrastrukture IKT. Ker je torej odpornost teh subjektov celovito zajeta, se člen 11 ter poglavja III, IV in VI te direktive ne bi smeli uporabljati za te subjekte, da bi se izognili podvajanju in nepotrebnemu upravnemu bremenu.

Vendar bi morale države članice ob upoštevanju pomena storitev, ki jih subjekti v finančnem sektorju opravljajo za kritične subjekte, ki spadajo v vse druge sektorje, na podlagi meril in z uporabo postopka iz te direktive subjekte v finančnem sektorju identificirati kot kritične subjekte. Posledično bi se morali uporabljati strategije, ocene tveganja držav članic in podporni ukrepi iz poglavja II te direktive. Države članice bi za doseganje višje ravni odpornosti teh kritičnih subjektov morale imeti možnost, da sprejmejo ali ohranijo določbe nacionalnega prava, če so te določbe skladne z veljavnim pravom Unije.

(22)

Države članice bi morale imenovati ali vzpostaviti organe, pristojne za nadzor uporabe in, kadar je potrebno, izvrševanje pravil te direktive, ter zagotoviti, da imajo ti organi ustrezna pooblastila in sredstva. Zaradi razlik v nacionalnih strukturah upravljanja, za zaščito obstoječih sektorskih ureditev ali nadzornih in regulativnih organov Unije ter za preprečevanje podvajanja bi morale imeti države članice možnost, da imenujejo ali vzpostavijo več kot en pristojni organ. Kadar države članice imenujejo ali vzpostavijo več kot en pristojni organ, bi morale jasno razmejiti zadevne naloge organov ter zagotoviti njihovo nemoteno in učinkovito sodelovanje. Vsi pristojni organi bi morali sodelovati tudi splošneje z drugimi ustreznimi organi, tako na ravni Unije kot na nacionalni ravni.

(23)

Da bi se olajšalo čezmejno sodelovanje in komunikacija ter omogočilo učinkovito izvajanje te direktive, bi morala vsaka država članica brez poseganja v zahteve sektorskih pravnih aktov Unije določiti eno enotno kontaktno točko, odgovorno za usklajevanje vprašanj v zvezi z odpornostjo kritičnih subjektov in čezmejnim sodelovanjem na ravni Unije (v nadaljnjem besedilu: enotna kontaktna točka), kadar je to ustrezno v okviru pristojnega organa. Vsaka enotna kontaktna točka bi morala vzpostaviti zvezo in, kadar je ustrezno, vzpostaviti in usklajevati komunikacijo s pristojnimi organi svoje države članice, enotnimi kontaktnimi točkami drugih držav članic in skupino za odpornost kritičnih subjektov.

(24)

Pristojni organi iz te direktive, in pristojni organi iz Direktive (EU) 2022/2555, bi morali sodelovati in si izmenjevati informacije, kar zadeva tveganja za kibernetsko varnost, kibernetske grožnje in kibernetske incidente ter nekibernetska tveganja, grožnje in incidente, ki vplivajo na kritične subjekte, ter kar zadeva ustrezne ukrepe, ki jih sprejmejo pristojni organi iz te direktive in pristojni organi iz Direktive (EU) 2022/2555 Pomembno je, da države članice zagotovijo, da se zahteve iz te direktive in iz Direktive (EU) 2022/2555 izvajajo na dopolnjujoč način ter da za kritične subjekte ne nastaja upravno breme, ki bi preseglo, kar je potrebno za doseganje ciljev te in navedene direktive.

(25)

Države članice bi morale podpirati kritične subjekte, vključno s tistimi, ki se uvrščajo med mala ali srednja podjetja, pri krepitvi njihove odpornosti v skladu z obveznostmi države članice iz te direktive, brez poseganja v pravno odgovornost kritičnih subjektov, da zagotovijo tako skladnost, pri tem pa preprečiti prekomerno upravno breme. Države članice bi lahko zlasti razvile gradivo z vodili in metodologije, podprle organizacijo vaj za preskušanje odpornosti kritičnih subjektov ter zagotovile svetovanje in usposabljanje za osebje kritičnih subjektov. Države članice bi lahko, kadar je potrebno in to upravičujejo cilji javnega interesa, zagotovile finančna sredstva ter bi morale olajšati prostovoljno izmenjavo informacij in dobrih praks med kritičnimi subjekti, brez poseganja v uporabo pravil o konkurenci iz Pogodbe o delovanju Evropske unije (PDEU).

(26)

Da bi se okrepila odpornost kritičnih subjektov, ki jih identificirajo države članice, in zmanjšalo upravno breme teh kritičnih subjektov, bi se morali pristojni organi za namen zagotavljanja dosledne uporabe te direktive medsebojno posvetovati, kadar koli je to potrebno. Ta posvetovanja bi se morala začeti na zahtevo katerega koli zainteresiranega pristojnega organa in se osredotočiti na zagotavljanje skladnega pristopa v zvezi z medsebojno povezanimi kritičnimi subjekti, ki uporabljajo kritično infrastrukturo, ki je fizično povezana med dvema ali več državami članicami, pripadajo istim skupinam ali korporativnim strukturam ali so bili identificirani v eni državi članici, bistvene storitve pa opravljajo za druge države članice ali v njih.

(27)

Kadar določbe prava Unije ali nacionalnega prava od kritičnih subjektov zahtevajo, da ocenijo tveganja, ki so relevantna za namene te direktive, in da sprejmejo ukrepe za zagotovitev lastne odpornosti, bi bilo treba te zahteve ustrezno preučiti za namene nadzora nad tem, ali kritični subjekti izpolnjujejo določbe iz te direktive.

(28)

Kritični subjekti bi morali imeti celovito razumevanje relevantnih tveganj, katerim so izpostavljeni, ter dolžnost, da jih analizirajo. V ta namen bi morali izvajati ocene tveganja, kadar koli je to potrebno glede na njihove specifične okoliščine in razvoj teh tveganj, v vsakem primeru pa vsaka štiri leta, da se ocenijo vsa relevantna tveganja, ki bi lahko povzročila motnje pri opravljanju njihovih bistvenih storitev (v nadaljnjem besedilu: ocena tveganja kritičnega subjekta). Kadar kritični subjekti izvedejo druge ocene tveganja ali pripravili dokumente na podlagi obveznosti iz drugih pravnih aktov, ki so pomembni za njihovo oceno tveganja kritičnega subjekta, bi moral imeti možnost te ocene in dokumente uporabiti za izpolnjevanje zahtev iz te direktive glede ocen tveganja kritičnega subjekta. Pristojni organ bi moral imeti možnost izjaviti, da obstoječa ocena tveganja, ki jo izvede kritični subjekt, ki obravnava relevantna tveganja in relevantno mero odvisnosti, v celoti ali delno izpolnjuje obveznosti iz te direktive.

(29)

Kritični subjekti bi morali sprejeti tehnične, varnostne in organizacijske ukrepe, ki so ustrezni in sorazmerni glede na tveganja, s katerimi se soočajo, da bi preprečili incident, se zavarovali pred njim, se odzvali nanj, se mu bili zmožni zoperstaviti, ga ublažili, ga absorbirali, se mu prilagodili in okrevali po njem. Čeprav bi morali kritični subjekti sprejeti te ukrepe v skladu s to direktivo, bi morali podrobnosti in obseg takih ukrepov ustrezno in sorazmerno odražati različna tveganja, ki jih je vsak kritični subjekt prepoznal v okviru svoje ocene tveganja kritičnega subjekta, in posebnosti takega subjekta. Za spodbujanje usklajenega pristopa Unije bi morala Komisija po posvetovanju s skupino za odpornost kritičnih subjektov sprejeti nezavezujoče smernice, v katerih bi bolj podrobno določila navedene tehnične, varnostne in organizacijske ukrepe. Države članice bi morale zagotoviti, da vsak kritični subjekt imenuje uradnika za zvezo ali osebo z enakovrednimi nalogami kot kontaktno točko s pristojnimi organi.

(30)

Zaradi uspešnosti in odgovornosti bi morali kritični subjekti ukrepe, ki jih sprejmejo, v načrtu za odpornost ali v dokumentu ali dokumentih, ki so enakovredni načrtu za odpornost, ob upoštevanju prepoznanih tveganj opisati tako podrobno, da bi lahko v zadostni meri dosegli cilja uspešnosti in odgovornosti, in ta načrt uporabljati v praksi. Kadar je kritični subjekt že sprejel tehnične, varnostne in organizacijske ukrepe ter pripravil dokumente na podlagi drugih pravnih aktov, ki so pomembni za ukrepe za okrepitev odpornosti iz te direktive, bi, da se izogne podvajanju, moral imeti možnost te ukrepe in dokumente uporabiti za izpolnitev zahtev glede ukrepov za odpornost na podlagi te direktive. Da bi se izognil podvajanju, bi pristojni organ moral imeti možnost izjaviti, da so obstoječi ukrepi kritičnega subjekta za odpornost, ki obravnavajo njegovo obveznost, da sprejme tehnične, varnostne in organizacijske ukrepe na podlagi te direktive, v celoti ali delno v skladu z zahtevami iz te direktive.

(31)

Uredbi (ES) št. 725/2004 (14) in (ES) št. 300/2008 (15) Evropskega parlamenta in Sveta ter Direktiva 2005/65/ES (16) Evropskega parlamenta in Sveta določajo zahteve, ki se uporabljajo za subjekte v sektorjih letalskega in pomorskega prometa, da se preprečijo incidenti, ki jih povzročijo nezakonita dejanja, ter, da se zoperstavijo posledicam takih incidentov in jih ublažijo. Čeprav so ukrepi, ki se zahtevajo na podlagi te direktive, širši v smislu obravnavanih tveganj in vrst ukrepov, ki jih je treba sprejeti, bi morali kritični subjekti v teh sektorjih v svojem načrtu za odpornost ali enakovrednih dokumentih odraziti ukrepe, sprejete na podlagi navedenih drugih pravnih aktov Unije. Kritični subjekti morajo upoštevati Direktivo 2008/96/ES Evropskega parlamenta in Sveta (17), ki uvaja oceno cest vsega omrežja za opredelitev tveganja za nesreče in ciljno usmerjen inšpekcijski pregled varnosti v cestnem prometu, da se identificirajo nevarne razmere, pomanjkljivosti in težave, ki povečujejo tveganje nesreč in poškodb, na podlagi obiskov obstoječih cest ali odsekov cest na terenu. Za železniški sektor je nadvse pomembno, da se zagotovita zaščita in odpornost kritičnih subjektov, ki pa naj bi se pri izvajanju ukrepov za odpornost na podlagi te direktive opirali na nezavezujoče smernice in dokumente o dobrih praksah, pripravljene v okviru sektorskih delovnih področij, kot je platforma EU za varnost potnikov v železniškem prometu, ustanovljena s Sklepom Komisije 2018/C 232/03 (18).

(32)

Tveganje, da bi zaposleni v kritičnih subjektih ali njihovi zunanji izvajalci zlorabljali na primer svoje pravice do dostopa v organizaciji kritičnega subjekta za ogrožanje in povzročanje škode, je čedalje bolj zaskrbljujoče. Države članice bi zato morale podrobneje določiti pogoje, pod katerimi se kritičnim subjektom v ustrezno utemeljenih primerih in ob upoštevanju ocen tveganja držav članic dovoli, da predložijo zahtevke za preverjanje preteklosti oseb, ki spadajo v posebne kategorije njihovega osebja. Zagotoviti bi bilo treba, da ustrezni organi zahtevke v razumnem roku ocenijo in jih obravnavajo v skladu z nacionalnim pravom in postopki ter ustreznim in veljavnim pravom Unije, vključno v zvezi z varstvom osebnih podatkov. Za potrditev identitete osebe, katere preteklost se preverja, je ustrezno, da države članice zahtevajo dokazilo o identiteti, na primer potni list, nacionalno osebno izkaznico ali digitalno obliko identifikacije, v skladu z veljavnim pravom.

Preverjanje preteklosti bi moralo vključevati preverjanje kazenske evidence zadevne osebe. Države članice bi morale za namen pridobitve informacije iz kazenskih evidenc drugih držav članic uporabiti evropski informacijski sistem kazenskih evidenc v skladu s postopki iz Okvirnega sklepa Sveta 2009/315/PNZ (19) in, kadar je ustrezno in potrebno, Uredbe (EU) 2019/816 Evropskega parlamenta in Sveta (20). Države članice bi se lahko, kadar je relevantno in ustrezno, oprle tudi na Schengenski informacijski sistem druge generacije (SIS II), vzpostavljen z Uredbo (EU) 2018/1862 Evropskega parlamenta in Sveta (21), na obveščevalne podatke in vse druge razpoložljive objektivne informacije, ki so lahko potrebne za ugotavljanje ustreznosti zadevne osebe za delo na položaju, glede katerega je kritični subjekt zahteval preverjanje preteklosti.

(33)

Vzpostaviti bi bilo treba mehanizem za priglasitev določenih incidentov, da bi se pristojnim organom omogočil hiter in ustrezen odziv na incidente ter celovit pregled vpliva, narave, vzroka in morebitnih posledic incidentov, s katerim se spopadajo kritični subjekti. Kritični subjekti bi morali brez nepotrebnega odlašanja pristojnim organom priglasiti incidente, ki povzročijo ali bi lahko povzročili pomembne motnje v opravljanju bistvenih storitev. Kritični subjekti bi morali začetno priglasitev predložiti najpozneje 24 ur po seznanitvi z incidentom, razen če to operativno ni mogoče. Začetna priglasitev bi morala vključevati le informacije, ki so nujno potrebne za seznanitev pristojnega organa z incidentom in ki kritičnemu subjektu omogočajo, da po potrebi zaprosi za pomoč. V taki priglasitvi bi bilo treba, kadar je mogoče, navesti domnevni vzrok incidenta. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve sredstva kritičnega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Začetni priglasitvi bi moralo, kadar je ustrezno, slediti podrobno poročilo, in sicer najpozneje en mesec po incidentu. Podrobno poročilo bi moralo dopolnjevati začetno priglasitev in zagotoviti celovitejši pregled incidenta.

(34)

Standardizacija bi morala ostati predvsem tržno usmerjen proces. V nekaterih okoliščinah pa bi bilo vseeno ustrezno zahtevati skladnost s posebnimi standardi. Države članice bi morale, kadar je to koristno, spodbujati uporabo evropskih in mednarodnih standardov in tehničnih specifikacij, pomembnih za ukrepe za varnost in odpornost, ki se uporabljajo za kritične subjekte.

(35)

Čeprav kritični subjekti na splošno delujejo kot del čedalje bolj povezane mreže za opravljanje storitev in infrastrukturo ter pogosto opravljajo bistvene storitve v več kot eni državi članici, so nekateri od teh kritičnih subjektov še posebno pomembni za Unijo in njen notranji trg, ker opravljajo bistvene storitve za šest ali več državam članicam ali v njih in bi bili zato lahko upravičeni do posebne podpore na ravni Unije. Zato bi bilo treba določiti pravila o svetovalnih misijah v zvezi s temi kritičnimi subjekti posebnega evropskega pomena. Ta pravila ne posegajo v pravila o nadzoru in izvrševanju iz te direktive.

(36)

Kadar so potrebne dodatne informacije, da se lahko kritičnemu subjektu svetuje pri izpolnjevanju njegovih obveznosti iz te direktive ali oceni, ali kritični subjekt posebnega evropskega pomena izpolnjuje te obveznosti, bi morala država članica, ki je kritični subjekt posebnega evropskega pomena identificirala kot kritični subjekt, na utemeljeno zahtevo Komisije ali ene ali več držav članic, za katere ali v katerih se opravljajo bistvene storitve Komisiji predložiti nekatere informacije, določene v tej direktivi. Komisija bi morala imeti možnost, da v dogovoru z državo članico, ki je kritični subjekt posebnega evropskega pomena identificirala kot kritični subjekt, organizira svetovalno misijo za oceno ukrepov, ki jih je sprejel ta subjekt. Da bi se zagotovilo pravilno izvajanje takih svetovalnih misij, bi bilo treba določiti dopolnilna pravila, zlasti o organizaciji in izvajanju svetovalnih misij, nadaljnjem ukrepanju in obveznostih zadevnih kritičnih subjektov posebnega evropskega pomena. Svetovalne misije bi se morale brez poseganja v potrebo, da država članica, v kateri se izvaja svetovalna misija, in zadevni kritični subjekt izpolnjujeta pravila te direktive, izvajati v skladu s podrobnimi pravili prava te države članice, na primer v zvezi s točnimi pogoji, ki morajo biti izpolnjeni za pridobitev dostopa do ustreznih prostorov ali dokumentov, in sodnim varstvom. Posebno strokovno znanje, potrebno za takšne svetovalne misije, bi se lahko, kadar je ustrezno, zahtevalo prek Centra za usklajevanje nujnega odziva, ustanovljenega s Sklepom št. 1313/2013/EU Evropskega parlamenta in Sveta (22).

(37)

Da bi se podprla Komisija in olajšalo sodelovanje med državami članicami ter izmenjava informacij, vključno z najboljšimi praksami, o vprašanjih, povezanih s to direktivo, bi bilo treba skupino za odpornost kritičnih subjektov ustanoviti kot strokovno skupino Komisije. Države članice bi si morale prizadevati za zagotovitev, da imenovani predstavniki svojih pristojnih organov v skupini za odpornost kritičnih subjektov uspešno in učinkovito sodelujejo, tudi z imenovanjem predstavnikov, ki imajo varnostno dovoljenje, kadar je to ustrezno. Skupina za odpornost kritičnih subjektov bi morala začeti opravljati svoje naloge takoj, ko je mogoče, da bi zagotovila dodatne načine za ustrezno sodelovanje v obdobju prenosa te direktive. Skupina za odpornost kritičnih subjektov bi morala sodelovati z drugimi ustreznimi strokovnimi delovnimi skupinami v drugih sektorjih.

(38)

Skupina za odpornost kritičnih subjektov bi morala sodelovati s skupino za sodelovanje, ustanovljeno na podlagi Direktive (EU) 2022/2555, da bi se podprl celovit okvir za kibernetsko in nekibernetsko odpornost kritičnih subjektov. Skupina za odpornost kritičnih subjektov in skupina za sodelovanje, ustanovljena na podlagi Direktive (EU) 2022/2555, bi morali vzpostaviti reden dialog za spodbujanje sodelovanja med pristojnimi organi iz te direktive in pristojnimi organi iz Direktive (EU) 2022/2555, ter za olajšanje izmenjave informacij, zlasti o vprašanjih, pomembnih za obe skupini.

(39)

Za doseganje ciljev te direktive in brez poseganja v pravno odgovornost držav članic in kritičnih subjektov, da zagotovijo izpolnjevanje svojih obveznosti iz te direktive, bi morala Komisija, kadar meni, da je to primerno, podpirati pristojne organe in kritične subjekte s ciljem olajšati izpolnjevanje njihovih obveznosti. Komisija bi morala pri zagotavljanju podpore državam članicam in kritičnim subjektom pri izvajanju obveznosti iz te direktive graditi na obstoječih strukturah in orodjih, kot so tista v okviru mehanizma Unije na področju civilne zaščite, vzpostavljenega s Sklepom št. 1313/2013/EU, in evropske referenčne mreže za zaščito kritičnih infrastruktur. Poleg tega bi morala države članice obveščati o sredstvih, ki so na voljo na ravni Unije, na primer v okviru Sklada za notranjo varnost, vzpostavljenega z Uredbo (EU) 2021/1149 Evropskega parlamenta in Sveta (23), v okviru programa Obzorje Evropa, vzpostavljenega z Uredbo (EU) 2021/695 Evropskega parlamenta in Sveta (24), ter drugih instrumentov, pomembnih za odpornost kritičnih subjektov.

(40)

Države članice bi morale zagotoviti, da imajo njihovi pristojni organi nekatera posebna pooblastila za pravilno uporabo in izvrševanje te direktive v zvezi s kritičnimi subjekti, kadar ti spadajo v njihovo pristojnost, kot je določeno v tej direktivi. Ta pooblastila bi morala vključevati zlasti pooblastilo za izvajanje inšpekcijskih pregledov in revizij, pooblastilo za nadzor, pooblastilo da lahko od kritičnih subjektov zahtevajo predložitev informacij in dokazov v zvezi z ukrepi, ki so jih sprejeli za izpolnitev svojih obveznosti, in, kadar je ustrezno, pooblastilo, da izdajo odredbe za odpravo ugotovljenih kršitev. Države članice pri izdaji takih odredb ne bi smele zahtevati ukrepov, ki presegajo tisto, kar je potrebno in sorazmerno za zagotovitev skladnosti zadevnega kritičnega subjekta, ter pri tem zlasti upoštevati resnost kršitve in gospodarsko zmogljivost zadevnega kritičnega subjekta. Splošneje, ta pooblastila bi morali spremljati ustrezni in učinkoviti zaščitni ukrepi, ki bi jih bilo treba določiti v nacionalnem pravu v skladu z Listino Evropske unije o temeljnih pravicah. Pristojni organi iz te direktive, bi morali imeti pri ocenjevanju, ali kritični subjekt izpolnjuje svoje obveznosti iz te direktive, možnost, da od pristojnih organov iz Direktive (EU) 2022/2555 zahtevajo, da izvajajo svoja nadzorna in izvršilna pooblastila v zvezi s subjektom, ki spada v okvir navedene direktive in je identificiran kot kritičen subjekt na podlagi te direktive. Pristojni organi iz te direktive in pristojni organi iz Direktive (EU) 2022/2555 bi morali v ta namen sodelovati in si izmenjevati informacije.

(41)

Za učinkovito in dosledno uporabo te direktive bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte za dopolnitev te direktive s pripravo seznama bistvenih storitev. Pristojni organi bi morali ta seznam uporabljati za namene izvajanja ocen tveganja držav članic in za identifikacijo kritičnih subjektov na podlagi te direktive. Glede na pristop minimalne harmonizacije iz te direktive ta seznam ni izčrpen in bi ga države članice lahko dopolnile z dodatnimi bistvenimi storitvami na nacionalni ravni, da bi se upoštevale nacionalne posebnosti pri opravljanju bistvenih storitev. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje (25). Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

(42)

Za zagotovitev enotnih pogojev izvajanja te direktive bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (26).

(43)

Ker ciljev te direktive, in sicer neprekinjenega opravljanja bistvenih storitev na notranjem trgu za ohranjanje ključnih družbenih funkcij ali gospodarskih dejavnosti in okrepitve odpornosti kritičnih subjektov, ki opravljajo te storitve, države članice ne morejo zadovoljivo doseči, temveč se zaradi učinkov ukrepov lažje dosežeta na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(44)

V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (27) je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 11. avgusta 2021.

(45)

Direktivo 2008/114/ES bi bilo zato treba razveljaviti –