(1)

Kritiske enheder spiller som leverandører af væsentlige tjenester en uundværlig rolle med hensyn til opretholdelse af vitale samfundsmæssige funktioner eller økonomiske aktiviteter på det indre marked i en stadig mere indbyrdes afhængig EU-økonomi. Det er derfor vigtigt at fastlægge en EU-ramme med det formål at både styrke kritiske enheders modstandsdygtighed på det indre marked ved at fastsætte harmoniserede minimumsregler og bistå dem gennem sammenhængende og målrettede støtte- og tilsynsforanstaltninger.

(2)

Rådets direktiv 2008/114/EF (4) indeholder bestemmelser om en procedure for udpegning af europæisk kritisk infrastruktur i energi- og transportsektoren, hvis forstyrrelse eller ødelæggelse vil få betydelig grænseoverskridende indvirkning på mindst to medlemsstater. Nævnte direktiv fokuserer udelukkende på beskyttelse af sådan infrastruktur. Den evaluering af direktiv 2008/114/EF, der blev foretaget i 2019, viste imidlertid, at på grund af den stadig mere indbyrdes forbundne og grænseoverskridende karakter af operationer, der anvender kritisk infrastruktur, er beskyttelsesforanstaltninger vedrørende individuelle aktiver i sig selv utilstrækkelige til at forhindre alle forstyrrelser. Det er derfor nødvendigt at ændre tilgangen til sikring af, at der tages bedre hensyn til risici, at kritiske enheders rolle og opgaver som leverandører af tjenester, der er væsentlige for det indre markeds funktion, defineres bedre og er sammenhængende, og at der vedtages EU-regler for at styrke kritiske enheders modstandsdygtighed. Kritiske enheder bør være i stand til at styrke deres evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter hændelser, der har potentiale til at forstyrre leveringen af væsentlige tjenester.

(3)

Selv om en række foranstaltninger på EU-plan, såsom det europæiske program for beskyttelse af kritisk infrastruktur, og på nationalt plan har til formål at støtte beskyttelsen af kritisk infrastruktur i Unionen, bør der gøres mere for bedre at udstyre de enheder, der driver sådan infrastruktur, til at håndtere risiciene for deres drift, som kunne føre til forstyrrelse i leveringen af væsentlige tjenester. Der bør også gøres mere for bedre at udstyre sådanne enheder, da der foreligger et dynamisk trusselsbillede, der omfatter voksende hybride trusler og terrortrusler, og voksende indbyrdes afhængighed mellem infrastruktur og sektorer. Desuden er der en øget fysisk risiko som følge af naturkatastrofer og klimaændringer, hvilket intensiverer hyppigheden og omfanget af ekstreme vejrforhold og medfører langsigtede ændringer i de gennemsnitlige klimaforhold, der kan reducere visse infrastrukturtypers kapacitet, effektivitet og levetid, hvis foranstaltninger til klimatilpasning ikke er på plads. Endvidere er det indre marked kendetegnet ved fragmentering med hensyn til identifikation af kritiske enheder, fordi relevante sektorer og kategorier af enheder ikke anerkendes konsekvent som kritiske i alle medlemsstaterne. Dette direktiv bør derfor opnå et solidt harmoniseringsniveau med hensyn til de sektorer og kategorier af enheder, der er omfattet af dets anvendelsesområde.

(4)

Visse sektorer af økonomien, såsom energi- og transportsektorerne, er allerede reguleret gennem sektorspecifikke EU-retsakter, men disse retsakter indeholder bestemmelser, der kun vedrører visse aspekter af modstandsdygtigheden af enheder, som opererer inden for disse sektorer. For at håndtere modstandsdygtigheden af de enheder, der er kritiske for et velfungerende indre marked, på en omfattende måde skaber dette direktiv en overordnet ramme, der tager højde for kritiske enheders modstandsdygtighed over for alle farer, hvad enten de er naturlige eller menneskeskabte, hændelige eller tilsigtede.

(5)

Den voksende indbyrdes afhængighed mellem infrastruktur og sektorer er resultatet af et stadig mere grænseoverskridende og indbyrdes afhængigt net af tjenester, der anvender nøgleinfrastruktur i hele Unionen, i sektorerne energi, transport, bankvæsen, drikkevand, spildevand, produktion, tilvirkning og distribution af fødevarer, sundhed, rummet, finansiel markedsinfrastruktur og digital infrastruktur samt i visse aspekter af sektoren for offentlig forvaltning. Rumsektoren er omfattet af dette direktivs anvendelsesområde med hensyn til levering af visse tjenester, der er afhængige af jordbaseret infrastruktur, som ejes, forvaltes og drives af enten medlemsstaterne eller private parter; derfor er infrastruktur, der ejes, forvaltes eller drives af eller på vegne af Unionen som led i dens rumprogram, ikke omfattet af dette direktivs anvendelsesområde.

Hvad angår energisektoren og navnlig metoderne til produktion og transmission af elektricitet (med hensyn til elforsyning), er det underforstået, at elproduktion, for så vidt det skønnes hensigtsmæssigt, kan inkludere eltransmissionsdele af kernekraftværker uden at inkludere de specifikt nukleare elementer, der er omfattet af traktater og EU-retten, herunder relevante EU-retsakter vedrørende kernekraft. Processen for identifikation af kritiske enheder i fødevaresektoren bør på passende vis afspejle det indre markeds karakter i denne sektor og de omfattende EU-regler vedrørende de generelle principper og krav for fødevareret og fødevaresikkerhed. For at sikre, at der er en forholdsmæssig tilgang og for på passende vis at afspejle disse enheders rolle og betydning på nationalt plan bør kritiske enheder derfor kun identificeres blandt fødevarevirksomheder, hvad enten de er med eller uden gevinst for øje, og uanset om de er offentlige eller private, som udelukkende beskæftiger sig med logistik, engrosdistribution og industriel produktion og tilvirkning i stor skala med en betydelig markedsandel som observeret på nationalt plan. Disse indbyrdes afhængighedsforhold betyder, at enhver forstyrrelse af væsentlige tjenester, selv en, der oprindeligt var begrænset til én enhed eller én sektor, kan have kaskadevirkninger mere generelt, hvilket potentielt kan føre til en vidtrækkende og langsigtet negativ indvirkning på leveringen af tjenester på hele det indre marked. Store kriser, såsom covid-19-pandemien, har vist, at vores stadig mere indbyrdes afhængige samfund er sårbare over for risici med stor indvirkning og lav sandsynlighed.

(6)

De enheder, der er involveret i levering af væsentlige tjenester, er i stigende grad underlagt forskellige krav i henhold til national ret. Det forhold, at nogle medlemsstater stiller mindre strenge sikkerhedskrav til disse enheder, fører ikke kun til forskellige grader af modstandsdygtighed, men risikerer også at have negativ indvirkning på opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter i hele Unionen og fører til hindringer for et velfungerende indre marked. Investorer og virksomheder kan støtte sig til og stole på kritiske enheder, der er modstandsdygtige, og pålidelighed og tillid er hjørnestenene i et velfungerende indre marked. Enheder af samme type betragtes som kritiske i nogle medlemsstater, men ikke i andre, og de enheder, der er identificeret som kritiske, er underlagt forskellige krav i forskellige medlemsstater. Dette medfører en yderligere og unødvendig administrativ byrde for virksomheder, der opererer på tværs af grænserne, navnlig for virksomheder, der er aktive i medlemsstater med strengere krav. En EU-ramme vil derfor også skabe lige konkurrencevilkår for kritiske enheder i hele Unionen.

(7)

Det er nødvendigt at fastsætte harmoniserede minimumsregler for at sikre leveringen af væsentlige tjenester på det indre marked, styrke kritiske enheders modstandsdygtighed og forbedre det grænseoverskridende samarbejde mellem kompetente myndigheder. Det er vigtigt, at disse regler er fremtidssikrede med hensyn til udformning og gennemførelse, samtidig med at der gives mulighed for den nødvendige fleksibilitet. Det er også afgørende at forbedre kritiske enheders kapacitet til at levere væsentlige tjenester i lyset af en række forskellige risici.

(8)

For at opnå en høj grad af modstandsdygtighed bør medlemsstaterne identificere kritiske enheder, som vil være underlagt specifikke krav og specifikt tilsyn og som vil ydes særlig støtte og vejledning over for alle relevante risici.

(9)

I betragtning af betydning af cybersikkerhed for kritiske enheders modstandsdygtighed og af hensyn til konsistens bør der i videst muligt omfang sikres en sammenhængende tilgang mellem dette direktiv og Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (5). I lyset af cyberrisicis øgede hyppighed og særlige karakteristika pålægger direktiv (EU) 2022/2555 en lang række enheder omfattende krav for at sikre deres cybersikkerhed. Da cybersikkerhed behandles tilstrækkeligt i direktiv (EU) 2022/2555, bør de spørgsmål, der er omfattet af nævnte direktiv, udelukkes fra nærværende direktivs anvendelsesområde, uden at det berører den særlige ordning for enheder i sektoren for digital infrastruktur.

(10)

Hvor bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske enheder træffer foranstaltninger for at styrke deres modstandsdygtighed, og hvor disse krav er anerkendt af medlemsstaterne som svarende mindst til de tilsvarende forpligtelser i dette direktiv, bør de relevante bestemmelser i dette direktiv ikke finde anvendelse for at undgå dobbeltarbejde og unødvendige byrder. I så fald bør de relevante bestemmelser i sådanne EU-retsakter finde anvendelse. Hvis de relevante bestemmelser i dette direktiv ikke finder anvendelse, bør bestemmelserne om tilsyn og håndhævelse i dette direktiv heller ikke finde anvendelse.

(11)

Dette direktiv berører ikke medlemsstaternes og deres myndigheders kompetencer med hensyn til administrativ autonomi eller deres ansvar for at varetage national sikkerhed og forsvar eller deres beføjelse til at varetage andre væsentlige statslige funktioner, navnlig vedrørende offentlig sikkerhed, territorial integritet og opretholdelse af lov og orden. Udelukkelsen af offentlige forvaltningsenheder fra dette direktivs anvendelsesområde bør gælde for enheder, hvis aktiviteter hovedsageligt udføres på områderne national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger. Offentlige forvaltningsenheder, hvis aktiviteter kun er marginalt relateret til disse områder, bør dog være omfattet af dette direktivs anvendelsesområde. Med henblik på dette direktiv anses enheder med reguleringsbeføjelser ikke for at udføre aktiviteter inden for retshåndhævelse, og de er derfor ikke på dette grundlag udelukket fra dette direktivs anvendelsesområde. Offentlige forvaltningsenheder, der er etableret i fællesskab med et tredjeland i overensstemmelse med en international aftale, er udelukket fra dette direktivs anvendelsesområde. Dette direktiv finder ikke anvendelse på medlemsstaternes diplomatiske og konsulære missioner i tredjelande.

Visse kritiske enheder udfører aktiviteter på områderne national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller leverer udelukkende tjenester til offentlige forvaltningsenheder, der hovedsageligt udfører aktiviteter på disse områder. I betragtning af medlemsstaternes ansvar for at varetage national sikkerhed og forsvar bør medlemsstater kunne beslutte, at kritiske enheders forpligtelser fastsat i dette direktiv helt eller delvist ikke finder anvendelse på disse kritiske enheder, hvis de tjenester, som de leverer, eller de aktiviteter, som de udfører, hovedsageligt vedrører områderne national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger. Kritiske enheder, hvis tjenester eller aktiviteter kun er marginalt relaterede til disse områder, bør stadig være omfattet af dette direktivs anvendelsesområde. Ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse vil stride mod væsentlige interesser med hensyn til dens nationale sikkerhed. EU-regler eller nationale regler om beskyttelse af klassificerede informationer og hemmeligholdelsesaftaler er relevante.

(12)

For ikke at bringe national sikkerhed eller kritiske enheders sikkerhed og kommercielle interesser i fare bør adgang til samt udveksling og håndtering af følsomme oplysninger foregå med omtanke og med særlig vægt på de transmissionskanaler og lagringskapaciteter, der anvendes.

(13)

Med henblik på at sikre en samlet tilgang til kritiske enheders modstandsdygtighed bør hver medlemsstat have en strategi for styrkelse af kritiske enheders modstandsdygtighed på plads (»strategien«). Strategien bør fastsætte de strategiske mål og politikforanstaltninger, der skal gennemføres. Af hensyn til sammenhæng og effektivitet bør strategien udformes således, at de uden problemer kan integrere eksisterende politikker, og så vidt muligt bygge på eksisterende nationale og sektorspecifikke strategier, planer eller lignende dokumenter. For at opnå en samlet tilgang bør medlemsstaterne sikre, at deres strategier skaber en politikramme for øget koordinering mellem de kompetente myndigheder i henhold til dette direktiv og de kompetente myndigheder i henhold til direktiv (EU) 2022/2555 i forbindelse med udveksling af oplysninger om cybersikkerhedsrisici, cybertrusler og cyberhændelser og ikkecyberrisici, -trusler og -hændelser samt i forbindelse med udførelse af tilsynsopgaver. Når medlemsstaterne indfører deres strategier, bør medlemsstaterne tage behørigt hensyn til den hybride karakter af trusler mod kritiske enheder.

(14)

Medlemsstaterne bør meddele Kommissionen deres strategier og væsentlige ajourføringer heraf, navnlig for at sætte Kommissionen i stand til at vurdere, om dette direktiv anvendes korrekt for så vidt angår politiktilgange til kritiske enheders modstandsdygtighed på nationalt plan. Strategierne vil, hvor det er nødvendigt, kunne meddeles som klassificerede informationer. Kommissionen bør udarbejde en sammenfattende rapport om de strategier, som medlemsstaterne har meddelt, der skal tjene som grundlag for udvekslinger med henblik på at identificere bedste praksis og spørgsmål af fælles interesse inden for rammerne af en Gruppe for Kritiske Enheders Modstandsdygtighed. På grund af den følsomme karakter af de samlede oplysninger, der vil være indeholdt i den sammenfattende rapport, uanset om de er klassificerede eller ej, bør Kommissionen forvalte den sammenfattende rapport med et passende niveau af opmærksomhed med hensyn til kritiske enheders, medlemsstaters og Unionens sikkerhed. Den sammenfattende rapport og strategierne bør beskyttes mod ulovlige eller ondsindede handlinger og bør kun være tilgængelige for bemyndigede personer med henblik på at opfylde målene i dette direktiv. Meddelelsen af strategierne og væsentlige ajourføringer heraf bør også hjælpe Kommissionen med at forstå udviklingen i tilgangene til kritiske enheders modstandsdygtighed og bidrage til overvågningen af dette direktivs indvirkning og merværdi, som Kommissionen regelmæssigt skal gennemgå.

(15)

Medlemsstaternes tiltag til at identificere og bidrage til at sikre kritiske enheders modstandsdygtighed bør følge en risikobaseret tilgang, hvor der fokuseres på de enheder, der er mest relevante for udførelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter. For at sikre en sådan målrettet tilgang bør hver medlemsstat inden for en harmoniseret ramme foretage en vurdering af de relevante naturlige og menneskeskabte risici, herunder tværsektorielle eller grænseoverskridende risici, der vil kunne påvirke leveringen af væsentlige tjenester, herunder ulykker, naturkatastrofer, folkesundhedskriser såsom pandemier og hybride trusler eller andre antagonistiske trusler, herunder terrorhandlinger, kriminel infiltration og sabotage (»medlemsstatsrisikovurdering«). Når medlemsstaterne foretager medlemsstatsrisikovurderinger, bør de tage hensyn til andre generelle eller sektorspecifikke risikovurderinger, der er foretaget i henhold til andre EU-retsakter, og til omfanget af afhængighed mellem sektorer, herunder af sektorer i andre medlemsstater og tredjelande. Resultaterne af medlemsstatsrisikovurderinger bør anvendes til at identificere kritiske enheder og bistå disse enheder med at opfylde deres modstandsdygtighedskrav. Dette direktiv finder kun anvendelse på medlemsstater og kritiske enheder, der opererer i Unionen. Ikke desto mindre vil den ekspertise og viden, der genereres af kompetente myndigheder, navnlig gennem risikovurderinger, og af Kommissionen, navnlig gennem forskellige former for støtte og samarbejde, kunne anvendes, hvor det er relevant og i overensstemmelse med de gældende retlige instrumenter, til fordel for tredjelande, navnlig dem i Unionens umiddelbare nærområde, ved at bidrage til eksisterende samarbejde om modstandsdygtighed.

(16)

For at sikre, at alle relevante enheder er omfattet af dette direktivs modstandsdygtighedskrav, og for at mindske forskellene i denne henseende er det vigtigt at fastsætte harmoniserede regler, der muliggør en konsekvent identifikation af kritiske enheder i hele Unionen, samtidig med at medlemsstaterne også får mulighed for i tilstrækkelig grad at afspejle disse enheders rolle og betydning på nationalt plan. Ved anvendelse af de kriterier, der er fastlagt i dette direktiv, bør hver medlemsstat identificere enheder, der leverer en eller flere væsentlige tjenester, og som opererer og har kritisk infrastruktur, der er beliggende på dens område. En enhed bør anses for at operere på en medlemsstats område, hvor den udfører de aktiviteter, der er nødvendige for den eller de pågældende væsentlige tjenester, og hvor enhedens kritiske infrastruktur, som anvendes til at levere den eller de pågældende tjenester, er beliggende. Hvis der ikke er nogen enhed, der opfylder disse kriterier i en medlemsstat, bør den pågældende medlemsstat ikke være forpligtet til at identificere en kritisk enhed i den tilsvarende sektor eller delsektor. Af hensyn til effektivitet, virkningsfuldhed, konsistens og retssikkerhed bør der fastsættes passende regler med hensyn til underretning af enheder om, at de er identificeret som kritiske enheder.

(17)

Medlemsstaterne bør på en måde, der opfylder målene i dette direktiv, forelægge Kommissionen en liste over væsentlige tjenester, antallet af kritiske enheder, som er identificeret for hver sektor og delsektor anført i bilaget og for den eller de væsentlige tjenester, som hver enhed leverer, og såfremt sådanne anvendes, tærskler. Det bør være muligt at fremlægge tærskler som sådan eller i sammenfattet form, hvorved forstås, at oplysningerne kan gøres til genstand for en gennemsnitsberegning efter geografisk område, år, sektor, delsektor eller andre metoder og kan omfatte oplysninger om omfanget af de forelagte indikatorer.

(18)

Der bør fastlægges kriterier for bestemmelse af betydningen af en forstyrrende virkning som følge af en hændelse. Disse kriterier bør være baseret på kriterierne i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (6) for at udnytte medlemsstaternes indsats for at identificere operatører af væsentlige tjenester som defineret i nævnte direktiv og de erfaringer, der er gjort i denne forbindelse. Større kriser, såsom covid-19-pandemien, har vist, hvor vigtigt det er at sørge for forsyningskædesikkerhed, og har påvist, hvordan forstyrrelse heraf kan have negativ økonomisk og samfundsmæssig indvirkning inden for en lang række sektorer og på tværs af grænserne. Medlemsstaterne bør derfor også i det omfang, det er muligt, overveje virkningerne på forsyningskæden, når de fastslår i hvilket omfang andre sektorer og delsektorer afhænger af de væsentlige tjenester, der udbydes af en kritisk enhed.

(19)

I overensstemmelse med gældende EU-ret og national ret, herunder Europa-Parlamentets og Rådets forordning (EU) 2019/452 (7), som fastlægger et regelsæt for screening af udenlandske direkte investeringer i Unionen, skal den potentielle trussel, som udenlandsk ejerskab af kritisk infrastruktur i Unionen udgør, anerkendes, idet tjenester, økonomien og EU-borgernes frie bevægelighed og sikkerhed er afhængige af velfungerende kritisk infrastruktur.

(20)

I henhold til direktiv (EU) 2022/2555 skal enheder, der tilhører sektoren for digital infrastruktur, og som kunne betragtes som kritiske enheder i henhold til nærværende direktiv, træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer samt underrette om væsentlige hændelser og cybertrusler. Da trusler mod sikkerheden i net- og informationssystemer kan have forskellig oprindelse, anvender direktiv (EU) 2022/2555 en tilgang, der omfatter alle farer, og som omfatter net- og informationssystemers modstandsdygtighed samt disse systemers fysiske komponenter og fysiske miljø.

Eftersom kravene i forbindelse hermed i direktiv (EU) 2022/2555 mindst svarer til de tilsvarende forpligtelser i nærværende direktiv, bør forpligtelserne i artikel 11 og kapitel III, IV og VI i nærværende direktiv ikke finde anvendelse på enheder, der tilhører sektoren for digital infrastruktur, for at undgå dobbeltarbejde og unødvendige administrative byrder. I betragtning af den betydning, som tjenester, der leveres af enheder, der tilhører den digitale infrastruktursektor, har for kritiske enheder, der tilhører alle andre sektorer, bør medlemsstaterne imidlertid på grundlag af kriterierne og ved anvendelse af proceduren i dette direktiv identificere enheder, der tilhører sektoren for digital infrastruktur, som kritiske enheder. Derfor bør strategierne, medlemsstatsrisikovurderingerne og støtteforanstaltningerne fastsat i dette direktivs kapitel II finde anvendelse. Medlemsstaterne bør kunne vedtage eller opretholde bestemmelser i national ret for at opnå en højere grad af modstandsdygtighed for disse kritiske enheder, forudsat at disse bestemmelser er i overensstemmelse med gældende EU-ret.

(21)

I EU-retten om finansielle tjenesteydelser fastsættes omfattende krav til finansielle enheder om at håndtere alle risici, som de står over for, herunder operationelle risici, og sikre forretningskontinuitet. Denne ret omfatter Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 (8), (EU) nr. 575/2013 (9) og (EU) nr. 600/2014 (10) og Europa-Parlamentets og Rådets direktiv 2013/36/EU (11) og 2014/65/EU (12). Denne retlige ramme suppleres med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (13), som fastsætter krav til finansielle enheder om at styre risici i forbindelse med informations- og kommunikationsteknologi (IKT), herunder vedrørende beskyttelse af fysisk IKT-infrastruktur. Eftersom disse enheders modstandsdygtighed derfor er fuldt ud dækket, bør artikel 11 og kapitel III, IV og VI i dette direktiv ikke finde anvendelse på disse enheder for at undgå dobbeltarbejde og unødvendige administrative byrder.

I betragtning af den betydning, som tjenester, der leveres af enheder i den finansielle sektor, har for kritiske enheder, der tilhører alle andre sektorer, bør medlemsstaterne imidlertid på grundlag af kriterierne og ved anvendelse af proceduren i dette direktiv identificere enheder i den finansielle sektor som kritiske enheder. Derfor bør strategierne, medlemsstatsrisikovurderingerne og støtteforanstaltningerne fastsat i dette direktivs kapitel II finde anvendelse. Medlemsstaterne bør kunne vedtage eller opretholde bestemmelser i national ret for at opnå en højere grad af modstandsdygtighed for disse kritiske enheder, forudsat at disse bestemmelser er i overensstemmelse med gældende EU-ret.

(22)

Medlemsstaterne bør udpege eller oprette myndigheder, der har kompetence til at føre tilsyn med anvendelsen af og om nødvendigt håndhæve reglerne i dette direktiv, og sikre, at disse myndigheder har tilstrækkelige beføjelser og ressourcer. I lyset af forskellene i nationale forvaltningsstrukturer, for at sikre allerede eksisterende sektorspecifikke ordninger eller EU-tilsyns- og reguleringsorganer og for at undgå dobbeltarbejde bør medlemsstaterne kunne udpege eller oprette mere end én kompetent myndighed. Hvis medlemsstaterne udpeger eller opretter mere end én kompetent myndighed, bør de klart afgrænse de berørte myndigheders respektive opgaver og sikre, at de samarbejder gnidningsløst og effektivt. Alle kompetente myndigheder bør også samarbejde mere generelt med andre relevante myndigheder, både på EU-plan og nationalt plan.

(23)

For at lette grænseoverskridende samarbejde og kommunikation og muliggøre en effektiv gennemførelse af dette direktiv bør hver medlemsstat, uden at dette berører kravene i sektorspecifikke EU-retsakter, udpege et centralt kontaktpunkt med ansvar for at koordinere spørgsmål vedrørende kritiske enheders modstandsdygtighed og grænseoverskridende samarbejde på EU-plan i denne henseende, hvis relevant inden for en kompetent myndighed. Hvert centralt kontaktpunkt bør holde kontakt med og koordinere kommunikationen, hvor det er relevant, med sin medlemsstats kompetente myndigheder, med andre medlemsstaters centrale kontaktpunkter og med Gruppen for Kritiske Enheders Modstandsdygtighed.

(24)

De kompetente myndigheder i henhold til dette direktiv, og de kompetente myndigheder i henhold til direktiv (EU) 2022/2555, bør samarbejde og udveksle oplysninger om cybersikkerhedsrisici, cybertrusler og cyberhændelser og ikkecyberrisici, -trusler og -hændelser, som berører kritiske enheder, samt i forhold til relevante foranstaltninger, der er truffet af de kompetente myndigheder i henhold til nærværende direktiv og de kompetente myndigheder i henhold til direktiv (EU) 2022/2555 Det er vigtigt, at medlemsstaterne sikrer, at kravene i nærværende direktiv og i direktiv (EU) 2022/2555 gennemføres på en komplementær måde, og at kritiske enheder ikke pålægges en administrativ byrde, der går ud over, hvad der er nødvendigt for at nå målene i nærværende direktiv og nævnte direktiv.

(25)

Medlemsstaterne bør støtte kritiske enheder, herunder dem, der kan betegnes som små eller mellemstore virksomheder, med at styrke deres modstandsdygtighed i overensstemmelse med medlemsstaternes forpligtelser i dette direktiv, uden at dette berører de kritiske enheders eget retlige ansvar for at sikre en sådan opfyldelse, og i denne forbindelse hindre uforholdsmæssigt store administrative byrder. Medlemsstaterne vil navnlig kunne udvikle vejledningsmaterialer og -metoder, støtte tilrettelæggelse af øvelser for at afprøve kritiske enheders modstandsdygtighed og yde rådgivning og tilbyde uddannelse til personale i kritiske enheder. Hvor det er nødvendigt og begrundet i almene hensyn, kan medlemsstaterne stille finansielle ressourcer til rådighed og bør lette frivillig udveksling af oplysninger og udveksling af god praksis mellem kritiske enheder, uden at det berører anvendelsen af konkurrencereglerne i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

(26)

For at styrke modstandsdygtigheden af kritiske enheder, som er identificeret af medlemsstaterne, og for at mindske den administrative byrde for disse kritiske enheder bør de kompetente myndigheder konsultere hinanden, når det er hensigtsmæssigt, med henblik på at sikre en konsistent anvendelse af dette direktiv. Disse konsultationer bør indledes efter anmodning fra enhver interesseret kompetent myndighed og bør fokusere på at sikre en konvergerende tilgang til indbyrdes forbundne kritiske enheder, der anvender kritisk infrastruktur, som er fysisk sammenkoblet mellem to eller flere medlemsstater, og som tilhører de samme koncerner eller selskabsstrukturer, eller som er blevet identificeret i én medlemsstat og leverer væsentlige tjenester til eller i andre medlemsstater.

(27)

Hvis bestemmelser i EU-retten eller national ret kræver, at kritiske enheder vurderer risici, der er relevante i forbindelse med dette direktiv, og træffer foranstaltninger for at sikre deres egen modstandsdygtighed, bør der tages tilstrækkeligt hensyn til disse krav med henblik på at føre tilsyn med kritiske enheders overholdelse af dette direktiv.

(28)

Kritiske enheder bør have en omfattende forståelse af de relevante risici, som de er eksponeret for, og en pligt til at analysere disse risici. Med henblik herpå bør de foretage risikovurderinger, når det er nødvendigt i lyset af deres særlige omstændigheder og udviklingen af disse risici og under alle omstændigheder hvert fjerde år, for at vurdere alle relevante risici, der vil kunne forstyrre leveringen af deres væsentlige tjenester (»kritiske enheders risikovurdering«). Hvor kritiske enheder har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for deres risikovurdering, bør de kunne anvende disse vurderinger og dokumenter til at opfylde kravene i dette direktiv vedrørende kritiske enheders risikovurdering. En kompetent myndighed bør kunne erklære, at en eksisterende risikovurdering foretaget af en kritisk enhed, der behandler de relevante risici og det relevante omfang af afhængighed, helt eller delvist opfylder forpligtelserne i dette direktiv.

(29)

Kritiske enheder bør træffe passende tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger, der står i et rimeligt forhold til de risici, som de står over for, for at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter en hændelse. Mens kritiske enheder bør træffe disse foranstaltninger i overensstemmelse med dette direktiv, bør sådanne foranstaltningers nærmere enkeltheder og omfang afspejle de forskellige risici, som hver kritiske enhed har identificeret som led i sin risikovurdering, og de særlige forhold, der gør sig gældende for en sådan enhed, på en passende og forholdsmæssig måde. For at fremme en sammenhængende EU-tilgang bør Kommissionen efter høring af Gruppen for Kritiske Enheders Modstandsdygtighed vedtage ikkebindende retningslinjer for nærmere at præcisere disse tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger. Medlemsstaterne bør sikre, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.

(30)

Af hensyn til effektivitet og ansvarlighed bør kritiske enheder under hensyntagen til de identificerede risici beskrive de foranstaltninger, som de træffer, med en detaljeringsgrad, som i tilstrækkelig grad når målene om effektivitet og ansvarlighed, i en plan for modstandsdygtighed eller i et eller flere dokumenter, der svarer til en plan for modstandsdygtighed, og anvende denne plan i praksis. Hvis en kritisk enhed allerede har truffet tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger og udarbejdet dokumenter i henhold til andre retsakter, der er relevante for modstandsdygtighedsstyrkende foranstaltninger i henhold til dette direktiv, bør den for at undgå dobbeltarbejde kunne anvende disse foranstaltninger og dokumenter til at opfylde kravene med hensyn til modstandsdygtighedsforanstaltninger i henhold til dette direktiv. For at undgå dobbeltarbejde bør en kompetent myndighed kunne erklære, at en kritisk enheds eksisterende modstandsdygtighedsforanstaltninger, der tager hånd om dens forpligtelse til at træffe tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger i henhold til dette direktiv, helt eller delvist opfylder kravene i dette direktiv.

(31)

I Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 (14) og (EF) nr. 300/2008 (15) og Europa-Parlamentets og Rådets direktiv 2005/65/EF (16) fastsættes krav til enheder i luftfarts- og søtransportsektoren med henblik på at forebygge hændelser forårsaget af ulovlige handlinger og modstå og afbøde følgerne af sådanne hændelser. Selv om de foranstaltninger, der kræves i henhold til nærværende direktiv, er bredere med hensyn til de risici, der håndteres, og de typer af foranstaltninger, der skal træffes, bør kritiske enheder i disse sektorer i deres plan for modstandsdygtighed eller tilsvarende dokumenter afspejle de foranstaltninger, der er truffet i henhold til disse andre EU-retsakter. Kritiske enheder skal også tage hensyn til Europa-Parlamentets og Rådets direktiv 2008/96/EF (17), som indfører en vejnetvurdering med henblik på at kortlægge risiciene for ulykker og en målrettet trafiksikkerhedsinspektion med henblik på at afdække farlige forhold, mangler og problemer, som øger risikoen for ulykker og tilskadekomst, baseret på besigtigelse af eksisterende veje eller vejstrækninger. Sikring af kritiske enheders beskyttelse og modstandsdygtighed er af allerstørste betydning for jernbanesektoren, og kritiske enheder tilskyndes til at henvise til ikkebindende retningslinjer og dokumenter om god praksis, der er udarbejdet under sektorspecifikke arbejdsgange, såsom EU-sikkerhedsplatformen for jernbanepassagerer, der er oprettet ved Kommissionens afgørelse 2018/C 232/03 (18), når de gennemfører modstandsdygtighedsforanstaltninger i henhold til dette direktiv.

(32)

Risikoen for, at ansatte i kritiske enheder eller deres kontrahenter misbruger for eksempel deres adgangsret inden for den kritiske enheds organisation til at skade og forvolde skade, giver anledning til stigende bekymring. Medlemsstaterne bør derfor angive de betingelser, på hvilke kritiske enheder i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderinger har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der tilhører specifikke kategorier af deres personale. Det bør sikres, at de relevante myndigheder vurderer sådanne anmodninger inden for en rimelig frist og behandler dem i overensstemmelse med national ret og nationale procedurer samt relevant og gældende EU-ret, herunder om beskyttelse af personoplysninger. For at bekræfte identiteten af en person, der er genstand for en baggrundskontrol, er det hensigtsmæssigt, at medlemsstaterne kræver et identitetsbevis, såsom et pas, et nationalt identitetskort eller en digital form for identifikation, i overensstemmelse med gældende ret.

Baggrundskontrol bør omfatte kontrol af strafferegistre for den pågældende person. Medlemsstaterne bør anvende det europæiske informationssystem vedrørende strafferegistre i overensstemmelse med procedurerne i Rådets rammeafgørelse 2009/315/RIA (19) og, hvor det er relevant og finder anvendelse, Europa-Parlamentets og Rådets forordning (EU) 2019/816 (20) med henblik på indhentning af oplysninger fra andre medlemsstaters strafferegistre. Medlemsstaterne kan også, hvor det er relevant og finder anvendelse, trække på anden generation af Schengeninformationssystemet (SIS II), der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2018/1862 (21), efterretninger og alle andre tilgængelige objektive oplysninger, som måtte være nødvendige for at fastslå, om den berørte person er egnet til at beklæde den stilling, for hvilken den kritiske enhed har anmodet om en baggrundskontrol.

(33)

Der bør oprettes en mekanisme til underretning om visse hændelser for at gøre det muligt for de kompetente myndigheder at reagere hurtigt og hensigtsmæssigt på hændelser og danne sig et samlet overblik over indvirkningen, arten, årsagen og de mulige konsekvenser af hændelser, som kritiske enheder håndterer. Kritiske enheder bør uden unødigt ophold underrette de kompetente myndigheder om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Medmindre det operationelt ikke er muligt, bør kritiske enheder indgive en første underretning senest 24 timer efter, at de er blevet opmærksomme på en hændelse. Den første underretning bør kun indeholde de oplysninger, der er strengt nødvendige for at gøre den kompetente myndighed opmærksom på hændelsen og give den kritiske enhed mulighed for at søge bistand, hvis det er nødvendigt. En sådan underretning bør, hvor det er muligt, angive den formodede årsag til hændelsen. Medlemsstaterne bør sikre, at kravet om at foretage denne første underretning ikke afleder den kritiske enheds ressourcer fra aktiviteter vedrørende håndtering af hændelser, der bør prioriteres. Den første underretning bør, hvor det er relevant, efterfølges af en detaljeret rapport senest en måned efter hændelsen. Den detaljerede rapport bør supplere den første underretning og give et mere fuldstændigt overblik over hændelsen.

(34)

Standardisering bør fortsat primært være en markedsstyret proces. Der kan imidlertid stadig være situationer, hvor det er hensigtsmæssigt at kræve overholdelse af specifikke standarder. Medlemsstaterne bør, hvor det er nyttigt, tilskynde til anvendelse af europæiske og internationale standarder og tekniske specifikationer af relevans for de sikkerheds- og modstandsdygtighedsforanstaltninger, som finder anvendelse på kritiske enheder.

(35)

Selv om kritiske enheder generelt opererer som en del af et stadig mere sammenkoblet net af tjenester og infrastruktur og ofte leverer væsentlige tjenester i mere end én medlemsstat, er nogle af disse kritiske enheder af særlig betydning for Unionen og dens indre marked, fordi de leverer væsentlige tjenester til eller i seks eller flere medlemsstater og derfor vil kunne drage fordel af specifik støtte på EU-plan. Der bør derfor fastsættes regler om rådgivende missioner for sådanne kritiske enheder af særlig europæisk betydning. Disse regler berører ikke reglerne om tilsyn og håndhævelse i dette direktiv.

(36)

Efter en begrundet anmodning fra Kommissionen eller en eller flere medlemsstater, hvortil eller hvori en væsentlig tjeneste leveres, bør en medlemsstat, der har identificeret en kritisk enhed af særlig europæisk betydning som kritisk enhed, give Kommissionen visse oplysninger som fastsat dette direktiv, hvis der er behov for yderligere oplysninger for at kunne rådgive den kritiske enhed om opfyldelse af dens forpligtelser i henhold til dette direktiv eller vurdere, om den kritiske enhed af særlig europæisk betydning opfylder disse forpligtelser. Efter aftale med den medlemsstat, der har identificeret den kritiske enhed af særlig europæisk betydning som kritisk enhed, bør Kommissionen kunne tilrettelægge en rådgivende mission for at vurdere de foranstaltninger, som den pågældende enhed har truffet. For at sikre, at sådanne rådgivende missioner gennemføres korrekt, bør der fastsættes supplerende regler, navnlig for de rådgivende missioners tilrettelæggelse og gennemførelse, de opfølgende tiltag, der skal tages, og forpligtelserne for berørte kritiske enheder af særlig europæisk betydning. Rådgivende missioner bør, uden at det berører behovet for, at den medlemsstat, hvor en rådgivende mission gennemføres, og den berørte enhed overholder reglerne i dette direktiv, gennemføres i henhold til de detaljerede regler i den pågældende medlemsstats nationale ret, f.eks. om de præcise betingelser, der skal opfyldes for at få adgang til relevante lokaler eller dokumenter, og om domstolsprøvelse. Der vil, hvor det er relevant, kunne anmodes om specifik ekspertbistand til sådanne rådgivende missioner via Katastrofeberedskabskoordinationscentret, som er oprettet ved Europa-Parlamentets og Rådets afgørelse nr. 1313/2013/EU (22).

(37)

For at støtte Kommissionen og lette samarbejde mellem medlemsstaterne og udveksling af oplysninger, herunder bedste praksis, om spørgsmål vedrørende dette direktiv bør der nedsættes en Gruppe for Kritiske Enheders Modstandsdygtighed som en ekspertgruppe i Kommissionen. Medlemsstaterne bør bestræbe sig på at sikre et effektivt samarbejde mellem de udpegede repræsentanter for deres kompetente myndigheder i Gruppen for Kritiske Enheders Modstandsdygtighed, herunder ved at udpege repræsentanter, der er sikkerhedsgodkendt, hvis det er relevant. Gruppen for Kritiske Enheders Modstandsdygtighed bør begynde at udføre sine opgaver så snart som muligt for at tilvejebringe yderligere midler til passende samarbejde i løbet af gennemførelsesperioden for dette direktiv. Gruppen for Kritiske Enheders Modstandsdygtighed bør indgå i et samspil med andre relevante sektorspecifikke ekspertgrupper.

(38)

Gruppen for Kritiske Enheders Modstandsdygtighed bør samarbejde med den samarbejdsgruppe, der er nedsat i henhold til direktiv (EU) 2022/2555, med henblik på at støtte en omfattende ramme for kritiske enheders cyber- og ikkecybermodstandsdygtighed. Gruppen for Kritiske Enheders Modstandsdygtighed og den samarbejdsgruppe, der er nedsat i henhold til direktiv (EU) 2022/2555, bør indgå i en regelmæssig dialog for at fremme samarbejde mellem de kompetente myndigheder i henhold til nærværende direktiv og de kompetente myndigheder i henhold til direktiv (EU) 2022/2555, og for at lette udveksling af oplysninger, navnlig om emner af relevans for begge grupper.

(39)

For at nå målene i dette direktiv, og uden at dette berører medlemsstaternes og kritiske enheders retlige ansvar for at sikre, at de respektive forpligtelser, der er fastsat heri, opfyldes, bør Kommissionen, hvor den finder det hensigtsmæssigt, støtte kompetente myndigheder og kritiske enheder med henblik på at lette opfyldelsen af deres respektive forpligtelser. Når Kommissionen yder støtte til medlemsstaterne og kritiske enheder ved opfyldelsen af forpligtelserne i henhold til dette direktiv, bør den tage udgangspunkt i eksisterende strukturer og værktøjer såsom dem inden for rammerne af EU-civilbeskyttelsesmekanismen, der blev oprettet ved afgørelse nr. 1313/2013/EU, og det europæiske referencenetværk for beskyttelse af kritisk infrastruktur. Den bør desuden orientere medlemsstaterne om midler, der er til rådighed på EU-plan, f.eks. inden for Fonden for Intern Sikkerhed, der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2021/1149 (23), Horisont Europa, der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2021/695 (24), eller andre instrumenter, der er relevante for kritiske enheders modstandsdygtighed.

(40)

Medlemsstaterne bør sikre, at deres kompetente myndigheder har visse specifikke beføjelser til at sikre en korrekt anvendelse og håndhævelse af dette direktiv i forbindelse med kritiske enheder, når disse enheder hører under deres jurisdiktion som fastsat i dette direktiv. Disse beføjelser bør navnlig omfatte beføjelse til at foretage inspektioner og revision, til at føre tilsyn, til at kræve, at kritiske enheder fremlægger oplysninger og dokumentation vedrørende de foranstaltninger, som de har truffet for at opfylde deres forpligtelser, og, hvor det er nødvendigt, til at udstede påbud for at afhjælpe konstaterede overtrædelser. Når medlemsstaterne udsteder sådanne påbud, bør de ikke kræve foranstaltninger, der går ud over, hvad der er nødvendigt og rimeligt for at sikre, at den pågældende kritiske enhed opfylder forpligtelserne, navnlig under hensyntagen til overtrædelsens alvor og den pågældende kritiske enheds økonomiske formåen. Mere generelt bør disse beføjelser ledsages af passende og effektive garantier, der fastsættes i national ret i overensstemmelse med Den Europæiske Unions charter om grundlæggende rettigheder. Ved vurderingen af, om en kritisk enhed opfylder sine forpligtelser som fastsat i dette direktiv, bør de kompetente myndigheder i henhold til dette direktiv kunne anmode de kompetente myndigheder i henhold til direktiv (EU) 2022/2555 om at udøve deres tilsyns- og håndhævelsesbeføjelser over for en enhed i henhold til nævnte direktiv, som er identificeret som kritisk enhed i henhold til nærværende direktiv. De kompetente myndigheder i henhold til nærværende direktiv og de kompetente myndigheder i henhold til direktiv (EU) 2022/2555 bør samarbejde og udveksle oplysninger med henblik herpå.

(41)

For at dette direktiv kan anvendes på en effektiv og konsekvent måde, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF med henblik på at supplere dette direktiv ved at udarbejde en liste over væsentlige tjenester. Denne liste bør anvendes af kompetente myndigheder med henblik på at foretage medlemsstatsrisikovurderinger og identificere kritiske enheder i henhold til dette direktiv. I lyset af dette direktivs tilgang med minimumsharmonisering er denne liste ikkeudtømmende, og medlemsstaterne kan supplere den med yderligere væsentlige tjenester på nationalt plan for at tage hensyn til særlige nationale forhold i forbindelse med levering af væsentlige tjenester. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (25). For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(42)

For at sikre ensartede betingelser for gennemførelsen af dette direktiv bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (26).

(43)

Målene for dette direktiv, nemlig at sikre at tjenester, der er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, leveres uhindret på det indre marked, og at styrke modstandsdygtigheden af kritiske enheder, som leverer sådanne tjenester, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af foranstaltningens virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel 5, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.

(44)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (27) og afgav udtalelse den 11. august 2021.

(45)

Direktiv 2008/114/EF bør derfor ophæves —