(1)

U digitalnom se dobu složeni sustavi koji služe svakodnevnim aktivnostima temelje na informacijskoj i komunikacijskoj tehnologiji (IKT). Ona je zaslužna za funkcioniranje naših gospodarstava u ključnim sektorima, uključujući financijski sektor, i unapređuje funkcioniranja unutarnjeg tržišta. Sve veća digitalizacija i međusobna povezanost povećavaju i IKT rizik, što društvo u cjelini, a posebno financijski sustav, čini osjetljivijim na kiberprijetnje ili poremećaje u području IKT-a. Iako su sveprisutna upotreba sustava IKT-a i visok stupanj digitalizacije i povezivosti u današnje vrijeme ključne značajke aktivnosti financijskih subjekata u Uniji, njihovu digitalnu otpornost tek treba ojačati i integrirati u njihove šire operativne okvire.

(2)

Upotreba IKT-a posljednjih je desetljeća u toj mjeri stekla središnju ulogu u pružanju financijskih usluga da je sada izuzetno važna za uobičajeno dnevno poslovanje svih financijskih subjekata. Digitalizacijom su sada obuhvaćena, na primjer, plaćanja, čiji se gotovinski ili papirnati oblik sve više zamjenjuje digitalnim rješenjima, te poravnanje i namira vrijednosnih papira, elektroničko i algoritamsko trgovanje, poslovi kreditiranja i financiranja, uzajamno kreditiranje, kreditni rejting, upravljanje potraživanjima i poslovi pozadinskih ureda. Upotreba IKT-a preobrazila je i sektor osiguranja, od pojave posrednika u osiguranju koji na temelju tehnologija u sektoru osiguranja (InsurTech) nude svoje usluge putem interneta do digitalnog preuzimanja rizika u osiguranju. Ne samo da su financije postale uglavnom digitalne u cijelom sektoru, nego je digitalizacija produbila i međusobne povezanosti i ovisnosti unutar financijskog sektora te u odnosu na infrastrukture trećih strana i treće strane koje su pružatelji usluga.

(3)

U izvješću o sistemskom kiberriziku (2020.) Europski odbor za sistemske rizike (ESRB) potvrdio je da bi postojeći visoki stupanj međusobne povezanosti financijskih subjekata, financijskih tržišta i infrastruktura financijskog tržišta, a osobito međuovisnosti njihovih sustava IKT-a, mogao predstavljati sistemsku ranjivost jer bi se kiberincidenti mogli brzo proširiti s bilo kojeg od oko 22 000 financijskih subjekata u Uniji na cijeli financijski sustav, neovisno o zemljopisnim granicama. Ozbiljne povrede koje se dogode u području IKT-a u financijskom sektoru ne utječu samo na izolirane financijske subjekte. One olakšavaju i širenje lokaliziranih ranjivosti po svim kanalima financijskog prijenosa i mogle bi imati negativne posljedice na stabilnost financijskog sustava Unije, kao što su pad likvidnosti i opći gubitak povjerenja i pouzdanja u financijska tržišta.

(4)

U proteklih nekoliko godina IKT rizik privlači pozornost međunarodnih, Unijinih i nacionalnih oblikovatelja politika, regulatornih tijela i tijela za normizaciju koji nastoje unaprijediti digitalnu otpornost, utvrditi standarde i koordinirati regulatorni ili nadzorni rad. Na međunarodnoj razini cilj je Bazelskog odbora za nadzor banaka, Odbora za platne i tržišne infrastrukture, Odbora za financijsku stabilnost, Instituta za financijsku stabilnost te skupina G-7 i G-20 pružiti nadležnim tijelima i tržišnim operaterima u različitim jurisdikcijama alate za poboljšanje otpornosti njihovih financijskih sustava. Taj se rad temelji i na potrebi za uzimanjem u obzir IKT rizika u kontekstu snažno povezanog globalnog financijskog sustava i postizanja veće usklađenosti relevantnih najboljih praksi.

(5)

Unatoč Unijinim i nacionalnim ciljanim politikama i zakonodavnim inicijativama IKT rizik i dalje je problem za operativnu otpornost, uspješnost i stabilnost financijskog sustava Unije. Reformama koje su uslijedile nakon financijske krize iz 2008. prvenstveno je povećana financijska otpornost financijskog sektora Unije, a njihov cilj bile su zaštita konkurentnosti i stabilnosti Unije s gospodarskog i bonitetnog aspekta te aspekta ponašanja na tržištu. Iako su sigurnost IKT-a i digitalna otpornost dio operativnog rizika, nakon financijske krize nije im posvećena prevelika pozornost u regulatornim planovima pa su se razvile samo u nekim područjima političkog i regulatornog okruženja Unije za financijske usluge ili samo u nekoliko država članica.

(6)

U Komunikaciji od 8. ožujka 2018. pod naslovom „Akcijski plan za financijske tehnologije: za konkurentniji i inovativniji europski financijski sektor” Komisija je istaknula da je izuzetno važno jačati otpornost financijskog sektora Unije, među ostalim i u operativnom smislu, kako bi se osigurali njegova tehnološka sigurnost i dobro funkcioniranje, brz oporavak od povreda i incidenata u području IKT-a, a time u konačnici omogućilo djelotvorno i neometano pružanje financijskih usluga u cijeloj Uniji, među ostalim i u stresnim okolnostima, uz istodobno očuvanje povjerenja potrošača i povjerenja u tržište.

(7)

U travnju 2019. europsko nadzorno tijelo (Europsko nadzorno tijelo za bankarstvo, EBA) osnovano Uredbom (EU) br. 1093/2010 Europskog parlamenta i Vijeća (4), europsko nadzorno tijelo (Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje), („EIOPA”) osnovano Uredbom (EU) br. 1094/2010 Europskog parlamenta i Vijeća (5) i Europsko nadzorno tijelo (Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala, „ESMA”) osnovano Uredbom (EU) br. 1095/2010 Europskog parlamenta i Vijeća (6) (zajedno poznata kao „europska nadzorna tijela”) zajednički su objavili tehnički savjet u kojem se poziva na usklađen pristup IKT riziku u području financija i preporučuje razmjerno jačanje digitalne operativne otpornosti industrije financijskih usluga putem sektorske inicijative Unije.

(8)

Financijski sektor Unije uređen je jedinstvenim pravilima i Europskim sustavom financijskog nadzora. Unatoč tome, odredbe o digitalnoj operativnoj otpornosti i sigurnosti IKT-a još nisu potpuno i dosljedno usklađene iako je digitalna operativna otpornost ključna za financijsku stabilnost i cjelovitost tržišta u digitalnom dobu i nije manje važna od, na primjer, zajedničkih bonitetnih standarda ili standarda ponašanja na tržištu. Stoga bi trebalo razviti jedinstvena pravila i sustav nadzora kako bi se njima obuhvatila i digitalna operativna otpornost, i to jačanjem mandata nadležnih tijela kako bi mogla nadzirati upravljanje IKT rizikom u financijskom sektoru radi zaštite cjelovitosti i učinkovitosti unutarnjeg tržišta i olakšavanja njegova urednog funkcioniranja.

(9)

Zakonodavne neusklađenosti i neujednačeni nacionalni regulatorni ili nadzorni pristupi u pogledu IKT rizika prepreka su funkcioniranju unutarnjeg tržišta za financijske usluge i onemogućavaju neometano ostvarivanje slobode poslovnog nastana i pružanje usluga za financijske subjekte koji posluju prekogranično. Tržišno natjecanje među financijskim subjektima iste vrste koji posluju u različitim državama članicama moglo bi također biti narušeno. To je posebno slučaj u područjima u kojima je usklađivanje na razini Unije vrlo ograničeno, kao što je testiranje digitalne operativne otpornosti, ili ne postoji, kao što je praćenje IKT rizika povezanog s trećim stranama. Neusklađenosti koje proizlaze iz predviđenih kretanja na nacionalnoj razini mogle bi stvoriti dodatne prepreke funkcioniranju unutarnjeg tržišta na štetu sudionika na tržištu i financijske stabilnosti.

(10)

Budući da se odredbe povezane s IKT rizicima do današnjeg vremena samo djelomično razmatralo na razini Unije, postoje praznine ili preklapanja u važnim područjima, kao što su izvješćivanje o IKT incidentima i testiranje digitalne operativne otpornosti, te nedosljednosti koje proizlaze iz novih međusobno različitih nacionalnih pravila ili troškovno neučinkovite primjene preklapajućih pravila. To osobito šteti korisnicima koji se intenzivno koriste IKT-om, poput financijskog sektora, jer tehnološki rizici ne poznaju granice, a financijski sektor nudi širok spektar prekograničnih usluga unutar i izvan Unije. Pojedinačni financijski subjekti koji posluju prekogranično ili imaju nekoliko odobrenja za rad (npr. financijski subjekt može imati odobrenje za rad kao banka, kao investicijsko društvo i kao institucija za platni promet, pri čemu svako odobrenje izdaje drugo nadležno tijelo u jednoj ili više država članica) izloženi su operativnim rizicima pri samostalnom i dosljednom troškovno učinkovitom nošenju s IKT rizikom i ublažavanju negativnih učinaka IKT incidenata.

(11)

Budući da jedinstvena pravila nisu popraćena sveobuhvatnim okvirom za IKT ili operativne rizike, potrebno je dodatno uskladiti ključne zahtjeve u pogledu digitalne operativne otpornosti za sve financijske subjekte. Razvoj sposobnosti u području IKT-a i ukupna otpornost financijskih subjekata, na temelju tih ključnih zahtjeva, s ciljem postizanja otpornosti na operativne ispade, pomogli bi očuvanju stabilnosti i cjelovitosti financijskih tržišta u Uniji, te bi tako doprinijeli osiguranju visoke razine zaštite ulagatelja i potrošača u Uniji. Budući da je cilj ove Uredbe doprinos neometanom funkcioniranju unutarnjeg tržišta, ona bi se trebala temeljiti na odredbama članka 114. Ugovora o funkcioniranju Europske unije (UFEU) kako se tumače u skladu s dosljednom sudskom praksom Suda Europske unije (Sud).

(12)

Cilj je ove Uredbe konsolidirati i unaprijediti zahtjeve u pogledu IKT rizika kao dio zahtjeva u pogledu operativnog rizika koji su se dosad zasebno razmatrali u različitim pravnim aktima Unije. Iako su tim aktima obuhvaćene glavne kategorije financijskih rizika (npr. kreditni rizik, tržišni rizik, kreditni rizik druge ugovorne strane i rizik likvidnosti, rizik ponašanja na tržištu), njima u vrijeme njihova donošenja nisu sveobuhvatno obrađene sve komponente operativne otpornosti. Pravila za operativne rizike koja su dodatno razrađena u tim pravnim aktima Unije često su se temeljila na tradicionalnom kvantitativnom pristupu nošenja s rizikom (to jest određivanje kapitalnog zahtjeva za pokrivanje IKT rizika) te nisu bila ciljana kvalitativna pravila za sposobnosti za zaštitu, otkrivanje, ograničenje, oporavak i popravak u slučaju IKT incidenata ili za sposobnosti za izvješćivanje i digitalno testiranje. Ti akti prvenstveno su se odnosili na temeljna pravila o bonitetnom nadzoru, cjelovitosti tržišta ili ponašanju na njemu te na ažuriranje tih pravila. Konsolidiranjem i ažuriranjem različitih pravila o IKT rizicima, sve odredbe koje se odnose na digitalne rizike u financijskom sektoru trebale bi se prvi put dosljedno objediniti u jedinstveni zakonodavni akt. Stoga se ovom Uredbom popunjavaju praznine ili uklanjaju nedosljednosti u nekim prethodnim pravnim aktima, među ostalim u vezi s terminologijom koja se u njima upotrebljava, te se izričito upućuje na IKT rizik putem ciljanih pravila o sposobnostima za upravljanje IKT rizicima, izvješćivanju o incidentima, testiranju operativne otpornosti i praćenju IKT rizika povezanog s trećim stranama. Ovom bi se Uredbom stoga trebala podići i svijest o IKT rizicima i uvažiti činjenica da IKT incidenti i pomanjkanje operativne otpornosti mogu ugroziti stabilnost financijskih subjekata. Konsolidiranjem i ažuriranjem različitih pravila o IKT rizicima, sve odredbe koje se odnose na digitalne rizike u financijskom sektoru trebale bi se prvi put dosljedno objediniti u jedinstveni zakonodavni akt. Stoga se ovom Uredbom popunjavaju praznine ili uklanjaju nedosljednosti u nekim prethodnim pravnim aktima, među ostalim u vezi s terminologijom koja se u njima upotrebljava, te se izričito upućuje na IKT rizik putem ciljanih pravila o sposobnostima za upravljanje IKT rizicima, izvješćivanju o incidentima, testiranju operativne otpornosti i praćenju IKT rizika povezanog s trećim stranama. Ovom bi se Uredbom stoga trebala podići i svijest o IKT rizicima i uvažiti činjenica da IKT incidenti i pomanjkanje operativne otpornosti mogu ugroziti stabilnost financijskih subjekata.

(13)

Financijski subjekti trebali bi u nošenju s IKT rizikom slijediti isti pristup i ista pravila koja se temelje na načelima, pri čemu bi uzimali u obzir njihovu veličinu i ukupni profil rizičnosti te prirodu, opseg i složenost svojih usluga, aktivnosti i poslovanja. Dosljednost doprinosi povećanju povjerenja u financijski sustav te očuvanju njegove stabilnosti, osobito u razdoblju izrazitog oslanjanja na sustave, platforme i infrastrukture IKT-a, što podrazumijeva povećani digitalni rizik. Pridržavanjem osnovne kiberhigijene trebalo bi se ujedno izbjeći nastajanje velikih troškova za gospodarstvo svođenjem učinka i troškova poremećaja u radu IKT-a na najmanju moguću mjeru.

(14)

Uredbom se doprinosi smanjenju regulatorne složenosti, promiče konvergencija nadzora, povećava pravna sigurnost i istodobno doprinosi ograničavanju troškova osiguravanja usklađenosti, osobito financijskih subjekata koji posluju prekogranično, te smanjenju narušavanja tržišnog natjecanja. Odabir uredbe za uspostavu zajedničkog okvira za digitalnu operativnu otpornost financijskih subjekata stoga je najprimjereniji način za jamčenje homogene i dosljedne primjene svih komponenti upravljanja IKT rizicima u financijskom sektoru Unije.

(15)

Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća (7) bila je prvi horizontalni okvir za kibersigurnost donesen na razini Unije, koji se primjenjuje i na tri vrste financijskih subjekata, to jest kreditne institucije, mjesta trgovanja i središnje druge ugovorne strane. Međutim, s obzirom na to da se Direktivom (EU) 2016/1148 utvrđuje mehanizam identifikacije operatora ključnih usluga na nacionalnoj razini, države članice identificirale su samo određene kreditne institucije, mjesta trgovanja i središnje druge ugovorne strane koje su u praksi obuhvaćene njezinim područjem primjene i stoga su dužne ispunjavati zahtjeve u pogledu sigurnosti IKT-a i obavješćivanja o incidentima koji su u njoj utvrđeni. Direktivom (EU) 2022/2555 Europskog parlamenta i Vijeća (8) utvrđuje se jedinstveni kriterij za određivanje subjekata koji su obuhvaćeni njezinim područjem primjene (pravilo o maksimalnoj veličini), dok su tri vrste financijskih subjekata i dalje zadržane u području njezine primjene.

(16)

Međutim, budući da se ovom Uredbom podiže razina usklađenosti različitih komponenti digitalne otpornosti tako što se uvode zahtjevi u pogledu upravljanja IKT rizicima i izvješćivanja o IKT incidentima koji su stroži od onih utvrđenih u postojećem pravu Unije o financijskim uslugama, tom višom razinom poboljšava se i usklađenost u usporedbi sa zahtjevima utvrđenima u Direktivi (EU) 2022/2555 Stoga je ova Uredba lex specialis u odnosu na Direktivu (EU) 2022/2555. Istodobno je iznimno važno očuvati čvrstu vezu između financijskog sektora i horizontalnog okvira Unije za kibersigurnost, kako je trenutačno utvrđen u Direktivi (EU) 2022/2555, kako bi se osigurala dosljednost sa strategijama kibersigurnosti koje su države članice donijele i omogućilo informiranje financijskih nadzornih tijela o kiberincidentima koji utječu na druge sektore obuhvaćene tom direktivom.

(17)

U skladu s člankom 4. stavkom 2. Ugovora o Europskoj uniji i ne dovodeći u pitanje sudsko preispitivanje koje provodi Sud, ova Uredba ne bi trebala utjecati na odgovornost država članica u pogledu temeljnih državnih funkcija koje se odnose na javnu sigurnost, obranu i zaštitu nacionalne sigurnosti, na primjer u pogledu pružanja informacija koje bi bilo protivno zaštiti nacionalne sigurnosti.

(18)

Kako bi se omogućilo međusektorsko učenje i djelotvorno iskoristila iskustva iz drugih sektora pri suočavanju s kiberprijetnjama, financijski subjekti iz Direktive (EU) 2022/2555 trebali bi ostati dio „ekosustava” te direktive (na primjer skupina za suradnju i timovi za odgovor na računalne sigurnosne incidente (CSIRT-ovi)). Europska nadzorna tijela i nacionalna nadležna tijela trebala bi moći sudjelovati u raspravama o strateškim politikama i tehničkom radu Skupine za suradnju iz te direktive, razmjenjivati informacije i dodatno surađivati s jedinstvenim kontaktnim točkama imenovanima ili uspostavljenima u skladu s tom direktivom. Nadležna tijela iz ove Uredbe trebala bi se također savjetovati i surađivati s CSIRT-ovima. Nadležna tijela trebala bi također moći zatražiti tehničke savjete od nadležnih tijela imenovanih ili uspostavljenih u skladu s Direktivom (EU) 2022/2555 i uspostaviti aranžmane za suradnju kojima se nastoje osigurati djelotvorni i brzi koordinacijski mehanizmi.

(19)

S obzirom na snažnu povezanost digitalne i fizičke otpornosti financijskih subjekata, u ovoj Uredbi i u Direktivi (EU) 2022/2557 Europskog parlamenta i Vijeća (9) potreban je dosljedan pristup u pogledu otpornosti kritičnih subjekata. S obzirom na to da se obvezama upravljanja IKT rizicima i obvezama izvješćivanja o IKT rizicima koje su obuhvaćene ovom Uredbom na sveobuhvatan način pristupa fizičkoj otpornosti financijskih subjekata, obveze utvrđene u poglavljima III. i IV. Direktive (EU) 2022/2557 ne bi se trebale primjenjivati na financijske subjekte obuhvaćene područjem primjene te direktive.

(20)

Pružatelji usluga računalstva u oblaku jedna su od kategorija digitalne infrastrukture obuhvaćene Direktivom (EU) 2022/2555. Nadzorni okvir Unije („nadzorni okvir”) uspostavljen ovom Uredbom primjenjuje se na sve ključne treće strane pružatelje IKT usluga, uključujući pružatelje usluga računalstva u oblaku koji financijskim subjektima pružaju IKT usluge, te bi ga trebalo smatrati dopunom nadzoru koji se provodi na temelju Direktive (EU) 2022/2555. Osim toga, nadzornim okvirom uspostavljenim ovom Uredbom trebalo bi obuhvatiti pružatelje usluga računalstva u oblaku jer ne postoji horizontalni okvir Unije o uspostavi tijela za digitalni nadzor.

(21)

Kako bi se očuvala potpuna kontrola nad IKT rizikom, financijski subjekti moraju imati sveobuhvatne kapacitete kojima se omogućuje snažno i djelotvorno upravljanje IKT rizicima, kao i posebne mehanizme i politike za postupanje u vezi sa svim IKT incidentima i izvješćivanje o značajnim IKT incidentima. Isto tako, financijski subjekti trebali bi uspostaviti politike za testiranje sustava, kontrola i procesa u području IKT-a, kao i za upravljanje IKT rizikom povezanim s trećim stranama. Trebalo bi povećati polaznu digitalnu operativnu otpornost financijskih subjekata te istodobno također omogućiti razmjernu primjenu zahtjevâ za određene financijske subjekte, posebno mikropoduzeća, kao i za financijske subjekte koji podliježu pojednostavnjenom okviru za upravljanje IKT rizicima. Kako bi se olakšao učinkovit nadzor institucija za strukovno mirovinsko osiguranje koji je razmjeran i kojim se pristupa rješavanju potrebe za smanjenjem administrativnog opterećenja nadležnih tijela, relevantnim nacionalnim nadzornim aranžmanima u pogledu takvih financijskih subjekata trebalo bi uzeti u obzir njihovu veličinu i ukupni profil rizičnosti te prirodu, opseg i složenost njihovih usluga, aktivnosti i poslovanja, čak i ako su premašeni relevantni pragovi utvrđeni u članku 5. Direktive (EU) 2016/2341 Europskog parlamenta i Vijeća (10). Posebno, aktivnosti nadzora trebale bi se u prvom redu usredotočiti na potrebu za nošenjem s ozbiljnim rizicima povezanima s upravljanjem IKT rizicima određenog subjekta.

Nadležna tijela također bi trebala zadržati oprezan, ali razmjeran pristup u vezi s nadzorom institucija za strukovno mirovinsko osiguranje koje, u skladu s člankom 31. Direktive 2016/2341, eksternaliziraju znatan dio svojih osnovnih aktivnosti, kao što su upravljanje imovinom, aktuarski izračuni, računovodstvo i upravljanje podacima.

(22)

Pragovi i taksonomije za izvješćivanje o IKT incidentima znatno se razlikuju na nacionalnoj razini. Iako bi se zajednički dogovor mogao postići na temelju relevantnog rada Agencije Europske unije za kibersigurnost (ENISA) osnovane Uredbom (EU) 2019/881 Europskog parlamenta i Vijeća (11) i Skupine za suradnju iz Direktive (EU) 2022/2555, i dalje postoje ili se mogu pojaviti različiti pristupi utvrđivanju pragova i primjeni taksonomija za preostale financijske subjekte. Zbog tih razlika financijski subjekti moraju ispuniti višestruke zahtjeve, osobito kad posluju u nekoliko država članica i kad su dio financijske grupe. Štoviše, takve razlike mogu ometati izradu dodatnih ujednačenih ili centraliziranih mehanizama Unije kojima bi se ubrzao proces izvješćivanja te podržala brza i neometana razmjena informacija među nadležnim tijelima, što je ključno za nošenje s IKT rizikom u slučaju opsežnih napada s mogućim sistemskim posljedicama.

(23)

Kako bi se smanjilo administrativno opterećenje i moguće udvostručivanje obveza izvješćivanja za određene financijske subjekte, zahtjev u vezi s izvješćivanjem o incidentima na temelju Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća (12) trebao bi se prestati primjenjivati na pružatelje platnih usluga koji su obuhvaćeni područjem primjene ove Uredbe. Slijedom toga, kreditne institucije, institucije za elektronički novac, institucije za platni promet i pružatelji usluga pružanja informacija o računu, kako je navedeno u članku 33. stavku 1. te direktive, trebali bi od datuma primjene ove Uredbe izvješćivati, na temelju ove Uredbe, o svim operativnim ili sigurnosnim incidentima povezanima s plaćanjem o kojima se prethodno izvješćivalo na temelju te direktive, neovisno o tome jesu li takvi incidenti povezani s IKT-om.

(24)

Kako bi se nadležnim tijelima omogućilo da ispune nadzorne zadaće dobivanjem potpunog uvida u prirodu, učestalost, značaj i učinak IKT incidenata i da bi se unaprijedila razmjena informacija među relevantnim tijelima javne vlasti, uključujući tijela za izvršavanje zakonodavstva i sanacijska tijela, ovom Uredbom trebalo bi utvrditi pouzdan sustav izvješćivanja o IKT incidentima, pri čemu se relevantnim zahtjevima popunjavaju postojeće praznine u pravu o financijskim uslugama i uklanjaju postojeća preklapanja i udvostručavanja radi smanjenja troškova. Neophodno je uskladiti sustav izvješćivanja o IKT incidentima tako da se sve financijske subjekte obveže da svojim nadležnim tijelima podnose izvješća putem jedinstvenog racionaliziranog okvira kako je utvrđen u ovoj Uredbi. Osim toga, europska nadzorna tijela trebalo bi ovlastiti za daljnju razradu relevantnih elemenata okvira za izvješćivanje o IKT incidentima, kao što su taksonomija, rokovi, skupovi podataka, obrasci i primjenjivi pragovi. Kako bi se osigurala potpuna usklađenost s Direktivom (EU) 2022/2555, financijskim subjektima trebalo bi omogućiti da na dobrovoljnoj osnovi obavijeste relevantno nadležno tijelo o ozbiljnim kiberprijetnjama kad smatraju da je kiberprijetnja relevantna za financijski sustav, korisnike usluga ili klijente.

(25)

U određenim financijskim podsektorima razvijeni su zahtjevi za testiranje digitalne operativne otpornosti kojima se utvrđuju okviri koji nisu uvijek potpuno usklađeni. To dovodi do mogućeg udvostručavanja troškova za prekogranične financijske subjekte, a uzajamno priznavanje rezultata testiranja digitalne operativne otpornosti čini složenim, što pak može dovesti do fragmentiranja unutarnjeg tržišta.

(26)

Osim toga, ako testiranje IKT-a nije propisano, ranjivosti ostaju neotkrivene i imaju za posljedicu izlaganje financijskog subjekta IKT riziku te, u konačnici, dovode do većeg rizika za stabilnost i cjelovitost financijskog sektora. Bez intervencije Unije testiranje digitalne operativne otpornosti i dalje bi bilo neujednačeno i ne bi bilo sustava uzajamnog priznavanja rezultata testiranja IKT-a u različitim jurisdikcijama. Osim toga, s obzirom na to da nije vjerojatno da bi drugi financijski podsektori u relevantnom opsegu usvojili programe testiranja, propustili bi potencijalne koristi okvira za testiranje, kao što su otkrivanje ranjivosti i rizika u području IKT-a i testiranje obrambenih sposobnosti i kontinuiteta poslovanja, kojim se doprinosi povećanju povjerenja potrošača, dobavljača i poslovnih partnera. Kako bi se ta preklapanja, razlike i odstupanja uklonili, potrebno je utvrditi pravila za koordinirani režim testiranja i time olakšati uzajamno priznavanje naprednog testiranja za financijske subjekte koji ispunjavaju kriterije utvrđene u ovoj Uredbi.

(27)

Oslanjanje financijskih subjekata na upotrebu IKT usluga djelomično je potaknuto njihovom potrebom da se prilagode novom konkurentnom digitalnom globalnom gospodarstvu, da povećaju učinkovitost svojeg poslovanja i odgovore na potražnju potrošača. Priroda i opseg tog oslanjanja neprestano su se mijenjali proteklih godina, što je dovelo do smanjenja troškova financijskog posredovanja te omogućilo širenje i skalabilnost poslovanja pri uvođenju financijskih aktivnosti, ali i ponudu širokog spektra alata IKT-a za upravljanje složenim unutarnjim procesima.

(28)

Široka upotreba IKT usluga očituje se u složenim ugovornim aranžmanima, pri čemu financijski subjekti često nailaze na poteškoće u postizanju dogovora prilikom pregovaranja o ugovornim uvjetima koji su prilagođeni bonitetnim standardima ili drugim regulatornim zahtjevima kojima financijski subjekti podliježu, ili u ostvarivanju određenih prava, kao što su prava pristupa ili revizije, čak i kad su ta prava dio njihovih ugovornih aranžmana. Štoviše, mnogim se od tih ugovornih aranžmana ne predviđaju dostatne mjere zaštite kojima bi se omogućilo cjelovito praćenje podugovaranja, čime se financijskom subjektu uskraćuje mogućnost procjene povezanih rizika. Osim toga, s obzirom na to da treće strane pružatelji IKT usluga često pružaju standardizirane usluge različitim vrstama klijenata, takvi ugovorni aranžmani nisu uvijek odgovarajuće prilagođeni pojedinačnim ili posebnim potrebama subjekata u financijskom sektoru.

(29)

Iako pravo Unije o financijskim uslugama sadržava određena opća pravila o eksternalizaciji, praćenje ugovorne dimenzije nije u potpunosti ugrađeno u pravo Unije. Budući da ne postoje jasni i specijalizirani standardi Unije koji bi se primjenjivali na ugovorne aranžmane sklopljene s trećim stranama pružateljima IKT usluga, vanjski izvor IKT rizika nije sveobuhvatno obrađen. Stoga je potrebno utvrditi određena ključna načela za usmjeravanje financijskih subjekata u upravljanju IKT rizikom povezanim s trećim stranama, koja su od posebne važnosti kad se financijski subjekti oslanjaju na treće strane pružatelje IKT usluga kako bi poduprli svoje ključne ili važne funkcije. Ta bi načela trebala biti popraćena skupom temeljnih ugovornih prava u odnosu na nekoliko elemenata u izvršenju i raskidu ugovornih aranžmana s ciljem pružanja određenih minimalnih zaštitnih mjera kojima bi se ojačala sposobnost financijskih subjekata da djelotvorno prate svaki IKT rizik koji se pojavljuje na razini trećih strana pružatelja usluga. Tim se načelima nadopunjuje sektorsko pravo koje se primjenjuje na eksternalizaciju.

(30)

Trenutačno je očito određeno pomanjkanje homogenosti i konvergencije u pogledu praćenja IKT rizika povezanog s trećim stranama i ovisnosti o trećim stranama u području IKT-a. Unatoč- naporima za rješavanje pitanja eksternalizacije, kao što su Smjernice EBA-e o eksternalizaciji iz 2019. i Smjernice ESMA-e za eksternalizaciju usluga računalstva u oblaku iz 2021., šire pitanje sprečavanja sistemskog rizika koji bi se mogao pojaviti zbog izloženosti financijskog sektora ograničenom broju ključnih trećih strana pružatelja IKT usluga nije dostatno obrađeno u pravu Unije. Pomanjkanje pravila na razini Unije dodatno je naglašeno nepostojanjem nacionalnih pravila o ovlastima i alatima koji bi financijskim nadzornim tijelima omogućili bolje razumijevanje ovisnosti o trećim stranama u području IKT-a i primjereno praćenje rizika koji proizlaze iz koncentracije ovisnosti o trećim stranama u području IKT-a.

(31)

Uzimajući u obzir mogući sistemski rizik koji prati sve češću praksu eksternalizacije poslova i koncentraciju IKT usluga trećih strana te vodeći računa o nedostatnosti nacionalnih mehanizama u osiguravanju odgovarajućih alata financijskim nadzornim tijelima za kvantificiranje, kvalificiranje i otklanjanje posljedica IKT rizika koji nastaje kod ključnih trećih strana pružatelja IKT usluga, potrebno je uspostaviti odgovarajući nadzorni okvir kojim se omogućuje kontinuirano praćenje aktivnosti trećih strana pružatelja IKT usluga koji su ključne treće strane pružatelji IKT usluga financijskim subjektima, osiguravajući pritom povjerljivost i sigurnost klijenata koji nisu financijski subjekti. Iako pružanje IKT usluga unutar grupe podrazumijeva posebne rizike i koristi, ono se ne bi trebalo automatski smatrati manje rizičnim od pružanja IKT usluga od strane pružatelja izvan financijske grupe te bi stoga trebalo podlijegati istom regulatornom okviru. Međutim, ako se IKT usluge pružaju unutar iste financijske grupe, financijski subjekti mogli bi imati višu razinu kontrole nad pružateljima unutar grupe, što bi trebalo uzeti u obzir u ukupnoj procjeni rizika.

(32)

Budući da rizik IKT-a postaje sve složeniji i sofisticiraniji, dobre mjere za otkrivanje i sprečavanje IKT rizika u velikoj mjeri ovise o redovitoj razmjeni saznanja o prijetnjama i ranjivostima među financijskim subjektima. Razmjenom informacija doprinosi se jačanju svijesti o kiberprijetnjama. Time se pak povećava kapacitet financijskih subjekata da spriječe da kiberprijetnje postanu stvarni IKT incidenti te se financijskim subjektima omogućuje da djelotvornije ograniče učinak IKT incidenata i brže se oporave. U nedostatku smjernica na razini Unije čini se da nekoliko čimbenika sprečava takvu razmjenu saznanja, osobito nesigurnost u pogledu usklađenosti s pravilima o zaštiti podataka, zaštiti od monopola i odgovornosti.

(33)

Osim toga, zbog nedoumica u vezi s vrstama informacija koje se smiju dijeliti s drugim sudionicima na tržištu ili s nenadzornim tijelima (kao što je ENISA u analitičke svrhe ili Europol u svrhu kaznenog progona) uskraćuju se korisne informacije. Stoga su opseg i kvaliteta razmjene informacija trenutačno i dalje ograničeni i rascjepkani, a relevantne razmjene odvijaju se uglavnom na lokalnoj razini (u okviru nacionalnih inicijativa) te ne postoje dosljedni mehanizmi razmjene informacija na razini Unije koji su prilagođeni potrebama integriranog financijskog sustava. Stoga je važno ojačati te komunikacijske kanale.

(34)

Financijske subjekte trebalo bi poticati na međusobnu razmjenu informacija i saznanja o kiberprijetnjama te na zajedničko iskorištavanje znanja i praktičnog iskustva svakog od njih na strateškoj, taktičkoj i operativnoj razini s ciljem unapređenja njihovih sposobnosti za odgovarajuću procjenu, praćenje, obranu i odgovor u pogledu kiberprijetnji, sudjelovanjem u aranžmanima za razmjenu informacija. Stoga je potrebno omogućiti uspostavu mehanizama dobrovoljne razmjene informacija na razini Unije koji bi, kad djeluju u pouzdanim okruženjima, pomogli zajednici financijske industrije da spriječi i zajednički odgovori na kiberprijetnje brzim ograničenjem širenja IKT rizika i onemogućivanjem eventualnog širenja zaraze putem financijskih kanala. Ti bi mehanizmi trebali biti usklađeni s primjenjivim pravilima prava tržišnog natjecanja Unije navedenima u Komunikaciji Komisije od 14. siječnja 2011. pod naslovom „Smjernice o primjenjivosti članka 101. Ugovora o funkcioniranju Europske unije na sporazume o horizontalnoj suradnji” i pravilima Unije o zaštiti podataka, osobito s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (13). Trebali bi djelovati na temelju primjene jedne ili više pravnih osnova utvrđenih u članku 6. te uredbe, na primjer u kontekstu obrade osobnih podataka za potrebe legitimnog interesa voditelja obrade ili treće strane, kako je navedeno u članku 6. stavku 1. točki (f) te uredbe, kao i u kontekstu obrade osobnih podataka koja je nužna radi poštovanja pravne obveze voditelja obrade, koja je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, kako je navedeno u članku 6. stavku 1. točki (c) odnosno točki (e) te uredbe.

(35)

Kako bi se održala visoka razina digitalne operativne otpornosti za cijeli financijski sektor i istodobno održao korak s tehnološkim razvojem, ovom bi se Uredbom trebalo nositi s rizicima koji proizlaze iz svih vrsta IKT usluga. U tu bi svrhu definiciju IKT usluga u kontekstu ove Uredbe trebalo tumačiti u širem smislu, tako da obuhvaća digitalne i podatkovne usluge koje se putem sustavâ IKT-a pružaju jednom ili više unutarnjih ili vanjskih korisnika na trajnoj osnovi. Ta bi definicija, na primjer, trebala uključivati takozvane OTT usluge („over the top” services), koje pripadaju kategoriji elektroničkih komunikacijskih usluga. Njome se ne bi trebala obuhvatiti samo ograničena kategorija tradicionalnih analognih telefonskih usluga, odnosno usluge javne komutirane telefonske mreže (PSTN), usluge zemaljske linije, usluge koje se pružaju putem analognog (POTS) priključka, ili telefonske usluge fiksne linije.

(36)

Iako je obuhvat predviđen ovom Uredbom doista širok, pri primjeni pravila o digitalnoj operativnoj otpornosti trebalo bi uzeti u obzir znatne razlike među financijskim subjektima u pogledu njihove veličine i ukupnog profila rizičnosti. Opće je načelo da bi financijski subjekti pri distribuiranju resursa i sposobnosti na provedbu okvira za upravljanje IKT rizicima trebali propisno uskladiti svoje potrebe u području IKT-a sa svojom veličinom i ukupnim profilom rizičnosti te prirodom, opsegom i složenošću svojih usluga, aktivnosti i poslovanja, a nadležna bi tijela pristup takvom distribuiranju i dalje trebala procjenjivati i preispitivati.

(37)

Pružatelji usluga pružanja informacija o računu iz članka 33. stavka 1. Direktive (EU) 2015/2366 izričito su uključeni u područje primjene ove Uredbe, uzimajući u obzir specifičnu prirodu njihovih aktivnosti i rizike koji iz njih proizlaze. Osim toga, institucije za elektronički novac i institucije za platni promet izuzete na temelju članka 9. stavka 1. Direktive 2009/110/EZ Europskog parlamenta i Vijeća (14) i članka 32. stavka 1. Direktive (EU) 2015/2366 uključene su u područje primjene ove Uredbe čak i ako im nije izdano odobrenje za izdavanje elektroničkog novca u skladu s Direktivom 2009/110/EZ ili ako im nije izdano odobrenje za pružanje i izvršavanje platnih usluga u skladu s Direktivom (EU) 2015/2366. Međutim, poštanske žiro institucije iz članka 2. stavka 5. točke 3. Direktive 2013/36/EU Europskog parlamenta i Vijeća (15) isključene su iz područja primjene ove Uredbe. Nadležno tijelo za institucije za platni promet izuzeto na temelju Direktive (EU) 2015/2366, institucije za elektronički novac izuzete na temelju Direktive 2009/110/EZ i pružatelji usluga pružanja informacija o računu iz članka 33. stavka 1. Direktive (EU) 2015/2366 trebali bi biti nadležno tijelo imenovano u skladu s člankom 22. Direktive (EU) 2015/2366.

(38)

Budući da bi veći financijski subjekti mogli imati na raspolaganju više resursa i da mogu brzo preusmjeriti sredstva na razvoj upravljačkih struktura i uspostavu različitih korporativnih strategija, samo bi financijske subjekte koji nisu mikropoduzeća u smislu ove Uredbe trebalo obvezati na uvođenje složenijih aranžmana za upravljanje. Takvi su subjekti bolje opremljeni osobito za uspostavu namjenskih upravljačkih funkcija za nadzor aranžmana s trećim stranama pružateljima IKT usluga ili upravljanje krizama, organizaciju svojeg upravljanja IKT rizicima u skladu s modelom „triju crta obrane”, ili za uspostavu internog modela upravljanja rizicima i kontrole nad njima, te za podnošenje okvira za upravljanje IKT rizicima radi unutarnjih revizija.

(39)

Na neke financijske subjekte primjenjuju se izuzeća ili oni podliježu vrlo blagom regulatornom okviru u sklopu relevantnog sektorskog prava Unije. Među takvim su financijskim subjektima upravitelji alternativnih investicijskih fondova iz članka 3. stavka 2. Direktive 2011/61/EU Europskog parlamenta i Vijeća (16), društva za osiguranje i društva za reosiguranje iz članka 4. Direktive 2009/138/EZ Europskog parlamenta i Vijeća (17) te institucije za strukovno mirovinsko osiguranje koje upravljaju mirovinskim programima koji zajedno nemaju više od ukupno 15 članova. S obzirom na ta izuzeća ne bi bilo razmjerno uključiti takve financijske subjekte u područje primjene ove Uredbe. Osim toga, ovom se Uredbom uvažavaju posebnosti strukture tržišta posredovanja u osiguranju, zbog čega posrednici u osiguranju, posrednici u reosiguranju i sporedni posrednici u osiguranju koji se smatraju mikropoduzećima ili malim ili srednjim poduzećima ne bi trebali podlijegati ovoj Uredbi.

(40)

Budući da su subjekti iz članka 2. stavka 5. točaka od 4. do 23. Direktive 2013/36/EU isključeni iz područja primjene te direktive, države članice trebale bi stoga moći odlučiti iz primjene ove Uredbe izuzeti takve subjekte koji se nalaze na njihovu državnom području.

(41)

Slično tome, kako bi se ova Uredba uskladila s područjem primjene Direktive 2014/65/EU Europskog parlamenta i Vijeća (18), također je primjereno iz područja primjene ove Uredbe isključiti fizičke i pravne osobe iz članaka 2. i 3. te direktive kojima je dopušteno pružanje investicijskih usluga bez obveze pribavljanja odobrenja za rad na temelju Direktive 2014/65/EU. Međutim, člankom 2. Direktive 2014/65/EU iz područja primjene te direktive isključuju se i subjekti koji se smatraju financijskim subjektima za potrebe ove Uredbe, kao što su središnji depozitoriji vrijednosnih papira, subjekti za zajednička ulaganja ili društva za osiguranje i društva za reosiguranje. Isključenje iz područja primjene ove Uredbe osoba i subjekata iz članaka 2. i 3. te direktive ne bi trebalo obuhvaćati navedene središnje depozitorije vrijednosnih papira, subjekte za zajednička ulaganja ili društva za osiguranje i društva za reosiguranje.

(42)

Prema sektorskom pravu Unije neki financijski subjekti podliježu blažim zahtjevima ili izuzećima zbog razloga povezanih s njihovom veličinom ili uslugama koje pružaju. Ta kategorija financijskih subjekata uključuje mala i nepovezana investicijska društva, male institucije za strukovno mirovinsko osiguranje koje dotična država članica može isključiti iz područja primjene Direktive (EU) 2016/2341 pod uvjetima utvrđenima u članku 5. te direktive i koje upravljaju mirovinskim programima koji nemaju više od ukupno 100 članova, kao i institucije izuzete na temelju Direktive 2013/36/EU. Stoga je, u skladu s načelom proporcionalnosti i kako bi se očuvao duh sektorskog prava Unije, primjereno i da se na te financijske subjekte primjenjuje pojednostavnjeni okvir za upravljanje IKT rizicima na temelju ove Uredbe. Proporcionalnost okvira za upravljanje IKT rizicima kojim su obuhvaćeni ti financijski subjekti ne bi se trebala mijenjati regulatornim tehničkim standardima koje trebaju razviti europska nadzorna tijela. Nadalje, u skladu s načelom proporcionalnosti, primjereno je da i institucije za platni promet iz članka 32. stavka 1. Direktive (EU) 2015/2366 i institucije za elektronički novac iz članka 9. Direktive 2009/110/EZ izuzete u skladu s nacionalnim pravom kojim se prenose ti pravni akti Unije podliježu pojednostavnjenom okviru za upravljanje IKT rizicima na temelju ove Uredbe, dok bi institucije za platni promet i institucije za elektronički novac koje nisu izuzete u skladu s odgovarajućim nacionalnim pravom kojim se prenosi sektorsko pravo Unije trebale biti usklađene s općim okvirom utvrđenim ovom Uredbom.

(43)

Slično tome, od financijskih subjekata koji se smatraju mikropoduzećima ili koji podliježu pojednostavnjenom okviru za upravljanje IKT rizicima na temelju ove Uredbe ne bi trebalo zahtijevati da uspostave funkciju za praćenje svojih aranžmana o upotrebi IKT usluga sklopljenih s trećim stranama pružateljima IKT usluga ili imenuju člana višeg rukovodstva koji bi bio odgovoran za nadzor nad povezanim izloženostima rizicima i relevantnom dokumentacijom, da odgovornost za upravljanje IKT rizicima i nadzor nad njima dodijele kontrolnoj funkciji i osiguraju odgovarajuću razinu neovisnosti takve kontrolne funkcije kako bi se izbjegli sukobi interesa, da najmanje jednom godišnje dokumentiraju i preispitaju okvir za upravljanje IKT rizicima, da okvir za upravljanje IKT rizicima redovito podvrgavaju unutarnjoj reviziji, da nakon velikih promjena u infrastrukturama i procesima svojih mrežnih i informacijskih sustava provode dubinske procjene, da redovito provode analize rizika u zastarjelim IKT sustavima, da provedbu planova odgovora i oporavka u području IKT-a podvrgavaju neovisnom unutarnjem revizijskom pregledu, da imaju funkciju za upravljanje krizama, da prošire testiranje kontinuiteta poslovanja i planove odgovora i oporavka tako da njima obuhvate i scenarije prebacivanja s primarne infrastrukture IKT-a na redundantnu infrastrukturu i obrnuto, da nadležnim tijelima na njihov zahtjev dostavljaju procjenu agregiranih godišnjih troškova i gubitaka prouzročenih značajnim IKT incidentima, da održavaju redundantne kapacitete IKT-a, da obavješćuju nacionalna nadležna tijela o promjenama koje su provedene slijedom preispitivanja nakon IKT incidenata, da kontinuirano prate relevantna tehnološka dostignuća, da uspostave sveobuhvatan program testiranja digitalne operativne otpornosti kao sastavni dio okvira za upravljanje IKT rizicima predviđenog u ovoj Uredbi, ili da donesu i redovito preispituju strategiju o IKT riziku povezanom s trećim stranama. Uz navedeno, mikropoduzeća bi trebala imati obvezu procijeniti potrebu za očuvanjem takvih redundantnih kapaciteta IKT-a samo na temelju svojeg profila rizičnosti. Mikropoduzeća bi trebala imati pravo na fleksibilniji režim u pogledu programâ testiranja digitalne operativne otpornosti. Pri razmatranju vrste i učestalosti testiranja koje treba provesti, trebala bi na odgovarajući način postići ravnotežu između cilja očuvanja visoke digitalne operativne otpornosti, dostupnih resursa i njihova ukupnog profila rizičnosti. Mikropoduzeća i financijske subjekte na koje se primjenjuje pojednostavnjeni okvir za upravljanje IKT rizicima na temelju ove Uredbe trebalo bi izuzeti od zahtjeva da provode napredno testiranje IKT alata, sustava i procesa putem penetracijskog testiranja vođenog prijetnjama (TLPT) jer bi samo financijski subjekti koji ispunjavaju kriterije utvrđene u ovoj Uredbi trebali biti obvezni provoditi takvo testiranje. S obzirom na njihove ograničene sposobnosti mikropoduzeća bi se trebala moći dogovoriti s trećom stranom pružateljem IKT usluga o delegiranju prava financijskog subjekta na pristup, inspekcijski nadzor i reviziju neovisnoj trećoj strani koju treba imenovati treća strana pružatelj IKT usluga, pod uvjetom da financijski subjekt u svakom trenutku od odgovarajuće neovisne treće strane može zatražiti sve relevantne informacije i jamstva o radu treće strane pružatelja IKT usluga.

(44)

Budući da bi samo oni financijski subjekti koji su identificirani za potrebe naprednog testiranja digitalne otpornosti trebali biti obvezni provoditi penetracijska testiranja vođena prijetnjama, administrativne postupke i financijske troškove povezane s provedbom takvih testova trebao bi snositi mali postotak financijskih subjekata.

(45)

Kako bi se osigurala potpuna usklađenost i opća dosljednost poslovnih strategija financijskih subjekata s jedne strane te upravljanja IKT rizicima s druge strane, upravljačka tijela financijskih subjekata trebala bi obvezno imati središnju i aktivnu ulogu u usmjeravanju i prilagodbi okvira za upravljanje IKT rizicima i opće strategije digitalne operativne otpornosti. Pristup koji trebaju primijeniti upravljačka tijela ne bi se trebao usmjeriti samo na sredstva za osiguravanje otpornosti sustavâ IKT-a, nego bi također trebao obuhvaćati osoblje i procese politikama kojima se na svakoj razini poduzeća i među svim članovima osoblja podupire snažna osviještenost o kiberrizicima i obveza poštovanja stroge kiberhigijene na svim razinama. Krajnja odgovornost upravljačkog tijela za upravljanje IKT rizicima financijskog subjekta trebala bi biti glavno načelo tog sveobuhvatnog pristupa koje se pretače u kontinuiran angažman upravljačkog tijela u kontroli praćenja upravljanja IKT rizicima.

(46)

Nadalje, načelo potpune i konačne odgovornosti upravljačkog tijela za upravljanje IKT rizicima financijskog subjekta usko je povezano s potrebom za osiguravanjem razine ulaganja povezanih s IKT-om i ukupnog proračuna za financijski subjekt, kojima bi se financijskom subjektu omogućilo da postigne visoku razinu digitalne operativne otpornosti.

(47)

Ovom Uredbom, nadahnutom relevantnim međunarodnim, nacionalnim i industrijskim najboljim praksama, smjernicama, preporukama i pristupima za upravljanje kiberrizicima, promiče se niz načela koja olakšavaju cjelokupnu strukturu upravljanja IKT rizicima. Posljedično, dok god glavne sposobnosti koje su uspostavili financijski subjekti ispunjavaju različite funkcije u upravljanju IKT rizicima (utvrđivanje, zaštita i sprečavanje, otkrivanje, odgovor i oporavak, učenje i razvoj te komunikacija) utvrđene u ovoj Uredbi, financijski subjekti trebali bi se i dalje moći koristiti drukčije oblikovanim ili kategoriziranim modelima upravljanja IKT rizicima.

(48)

Kako bi održali korak s novim kiberprijetnjama, financijski subjekti trebali bi održavati ažurirane i pouzdane sustave IKT-a koji su sposobni osigurati ne samo obradu podataka potrebnih za pružanje njihovih usluga, nego i dostatnu tehnološku otpornost da na odgovarajući način mogu odgovoriti na dodatne potrebe za obradom zbog stresnih okolnosti na tržištu ili drugih nepovoljnih situacija.

(49)

Učinkoviti planovi kontinuiteta poslovanja i planovi oporavka potrebni su kako bi se financijskim subjektima omogućilo da odmah i brzo riješe IKT incidente, osobito kibernapade, ograničavanjem štete i davanjem prednosti nastavku obavljanja aktivnosti i mjerama oporavka u skladu s njihovim politikama za izradu sigurnosnih kopija. Međutim, takvim nastavkom ni na koji se način ne bi smjela ugroziti cjelovitost i sigurnost mrežnih i informacijskih sustava ili dostupnost, vjerodostojnost, cjelovitost ili povjerljivost podataka.

(50)

Iako se ovom Uredbom financijskim subjektima daje fleksibilnost pri utvrđivanju njihovih ciljeva u pogledu vremena i točke oporavka i, posljedično, da utvrde te ciljeve vodeći u punoj mjeri računa o prirodi i ključnosti relevantnih funkcija i svim specifičnim poslovnim potrebama, njome bi se ipak trebala propisati obveza financijskih subjekata da pri utvrđivanju takvih ciljeva provedu procjenu mogućeg sveukupnog učinka na učinkovitost tržišta.

(51)

Širitelji kibernapada obično nastoje ostvariti financijsku dobit izravno na izvoru, čime financijske subjekte izlažu znatnim posljedicama. Kako bi se spriječio gubitak cjelovitosti sustava IKT-a ili kako bi se spriječila njihova nedostupnost, a time i izbjegle povrede podataka i šteta na fizičkoj infrastrukturi IKT-a, trebalo bi znatno poboljšati i racionalizirati izvješćivanje financijskih subjekata o velikim IKT incidentima. Izvješćivanje o IKT incidentima trebalo bi uskladiti uvođenjem zahtjeva za sve financijske subjekte da izravno izvješćuju svoja relevantna nadležna tijela. Ako financijski subjekt podliježe nadzoru više nacionalnih nadležnih tijela, države članice trebale bi imenovati jedinstveno nadležno tijelo kao adresata takvog izvješćivanja. Kreditne institucije klasificirane kao značajne u skladu s člankom 6. stavkom 4. Uredbe Vijeća (EU) br. 1024/2013 (19) trebale bi podnijeti takvo izvješće nacionalnim nadležnim tijelima, koja bi izvješće naknadno trebala proslijediti Europskoj središnjoj banci (ESB).

(52)

Izravno izvješćivanje trebalo bi omogućiti financijskim nadzornim tijelima izravan pristup informacijama o značajnim IKT incidentima. Financijska nadzorna tijela trebala bi pak prosljeđivati pojedinosti o značajnim IKT incidentima javnim nefinancijskim tijelima (kao što su nadležna tijela i jedinstvene kontaktne točke iz Direktive (EU) 2022/2555, nacionalna tijela za zaštitu podataka i tijela za izvršavanje zakonodavstva za značajne IKT incidente kaznene prirode) kako bi se povećala svijest takvih tijela o takvim incidentima i, u slučaju CSIRT-ova, olakšala brza pomoć koja se, prema potrebi, može pružiti financijskim subjektima. Uz navedeno, države članice trebale bi moći utvrditi da bi sami financijski subjekti trebali pružiti takve informacije tijelima javne vlasti izvan područja financijskih usluga. Tim bi se tokovima informacija trebalo omogućiti financijskim subjektima da brzo iskoriste sve relevantne tehničke doprinose, savjete o korektivnim mjerama i naknadno praćenje koje osiguravaju takva tijela. Informacije o značajnim IKT incidentima trebale bi teći u oba smjera: financijska nadzorna tijela trebala bi financijskim subjektima dostaviti sve potrebne povratne informacije ili smjernice, dok bi europska nadzorna tijela trebala dijeliti anonimizirane podatke o kiberprijetnjama i ranjivostima povezanima s određenim incidentom kako bi doprinijela široj zajedničkoj obrani.

(53)

Iako bi svi financijski subjekti trebali biti obvezni izvješćivati o incidentima, taj zahtjev ne bi na njih sve trebao utjecati na isti način. Stoga bi relevantne pragove značajnosti, kao i rokove izvješćivanja, trebalo na odgovarajući način prilagoditi, u kontekstu delegiranih akata koji se temelje na regulatornim tehničkim standardima koje trebaju razviti europska nadzorna tijela, kako bi se obuhvatili samo značajni IKT incidenti. Uz navedeno, pri određivanju rokova za obveze izvješćivanja trebalo bi uzeti u obzir posebnosti financijskih subjekata.

(54)

Ovom bi se Uredbom od kreditnih institucija, institucija za platni promet, pružatelja usluga pružanja informacija o računu i institucija za elektronički novac trebalo zahtijevati da izvješćuju o svim operativnim ili sigurnosnim incidentima povezanima s plaćanjem, o kojima se prethodno izvješćivalo na temelju Direktive (EU) 2015/2366, neovisno o IKT aspektu incidenta.

(55)

Europska nadzorna tijela trebala bi imati zadaću procjene izvedivosti i uvjeta za moguću centralizaciju izvješćâ o IKT incidentima na razini Unije. Takva centralizacija mogla bi se sastojati od jedinstvenog EU-ova centra za izvješćivanje o značajnim IKT incidentima koji izravno prima relevantna izvješća i automatski obavješćuje nacionalna nadležna tijela, ili samo centralizira relevantna izvješća koja dostavljaju nacionalna nadležna tijela i time ispunjava koordinacijsku ulogu. Europska nadzorna tijela trebala bi imati zadaću pripreme, uz savjetovanje s ESB-om i ENISA-om, zajedničkog izvješća u kojem se razmatra izvedivost uspostave jedinstvenog EU-ova centra.

(56)

Kako bi postigli visoku razinu digitalne operativne otpornosti te u skladu i s relevantnim međunarodnim standardima (npr. dokument skupine G-7 „Fundamental Elements for Threat-Led Penetration Testing” (Temeljni elementi za penetracijska testiranja vođena prijetnjama)) i s okvirima koji se primjenjuju u Uniji, kao što je TIBER-EU, financijski subjekti trebali bi redovito testirati svoje sustave IKT-a i osoblje koje ima odgovornosti u pogledu IKT-a s obzirom na djelotvornost njihovih sposobnosti za sprečavanje, otkrivanje, odgovor i oporavak radi otkrivanja i uklanjanja mogućih ranjivosti u području IKT-a. Kako bi se odrazile razlike koje postoje u pogledu razine pripravnosti financijskih subjekata u području kibersigurnosti među različitim financijskim podsektorima, i unutar njih, testiranje bi trebalo uključivati širok raspon alata i mjera, koji se proteže od procjene osnovnih zahtjeva (npr. procjene i skeniranja ranjivosti, analize javno dostupnih izvora, procjene mrežne sigurnosti, analize odstupanja, preispitivanja fizičke sigurnosti, upitnici i softverska rješenja za skeniranje, preispitivanja izvornog koda ako je to izvedivo, testiranja na temelju scenarija, testiranja kompatibilnosti, testiranja performansi ili integralno testiranje) do naprednijeg testiranja na temelju penetracijskog testiranja vođenog prijetnjama (TLPT). Takvo napredno testiranje trebalo bi zahtijevati samo od financijskih subjekata koji su iz perspektive IKT-a dostatno zreli da ga u razumnoj mjeri mogu provesti. Testiranje digitalne operativne otpornosti koje se zahtijeva ovom Uredbom trebalo bi tako biti zahtjevnije za one financijske subjekte koji ispunjavaju kriterije utvrđene u ovoj Uredbi (na primjer kreditne institucije koje su velike, sistemski značajne i zrele kad je riječ o IKT-u, burze, središnji depozitoriji vrijednosnih papira i središnje druge ugovorne strane) nego za druge financijske subjekte. Istodobno bi testiranje digitalne operativne otpornosti na temelju TLPT-a trebalo biti relevantnije za financijske subjekte koji posluju u podsektorima ključnih financijskih usluga i imaju sistemsku ulogu (na primjer plaćanja, bankarstvo te kliring i namira), a manje relevantno za druge podsektore (na primjer upravitelji imovine i agencije za kreditni rejting).

(57)

Financijski subjekti koji su uključeni u prekogranične aktivnosti i ostvaruju slobodu poslovnog nastana, ili slobodu pružanja usluga u Uniji, trebali bi ispunjavati jedinstvene zahtjeve naprednog testiranja (npr. TLPT) u svojoj matičnoj državi članici, koje bi trebalo uključivati infrastrukture IKT-a u svim jurisdikcijama u kojima prekogranična financijska grupa posluje u Uniji, čime bi se takvim prekograničnim financijskim grupama omogućilo da troškove testiranja povezane s IKT-om snose samo u jednoj jurisdikciji.

(58)

Kako bi se iskoristilo stručno znanje koje su stekla određena nadležna tijela, osobito u pogledu provedbe okvira TIBER–EU, ovom bi se Uredbom državama članicama trebalo omogućiti da imenuju jedinstveno tijelo javne vlasti koje je na nacionalnoj razini u financijskom sektoru odgovorno za sva pitanja povezana s TLPT-om, ili nadležna tijela, koja, u slučaju da takvo imenovanje nije provedeno, delegiraju izvršavanje zadaća povezanih s TLPT-om drugom nacionalnom financijskom nadležnom tijelu.

(59)

Budući da se ovom Uredbom od financijskih subjekata ne zahtijeva da sve ključne ili važne funkcije obuhvate jedinstvenim penetracijskim testom vođenim prijetnjama, financijski subjekti trebali bi moći slobodno odrediti koje bi i koliko ključnih ili važnih funkcija trebalo obuhvatiti takvim testom.

(60)

Skupno testiranje u smislu ove Uredbe, koje uključuje sudjelovanje nekoliko financijskih subjekata u TLPT-u i za koje treća strana pružatelj IKT usluga može izravno sklopiti ugovorne aranžmane s vanjskim provoditeljem testiranja, trebalo bi biti dopušteno samo ako se očekuje negativan utjecaj na kvalitetu ili sigurnost usluga koje treća strana pružatelj IKT usluga pruža klijentima koji su subjekti koji nisu obuhvaćeni područjem primjene ove Uredbe ili povjerljivost podataka povezanih s takvim uslugama. Skupno testiranje trebalo bi podlijegati i zaštitnim mjerama (pod vodstvom jednog imenovanog financijskog subjekta i uz utvrđivanje broja financijskih subjekata sudionika) kako bi se osigurao rigorozan postupak testiranja za uključene financijske subjekte koji ispunjavaju ciljeve TLPT-a na temelju ove Uredbe.

(61)

Kako bi se iskoristili unutarnji resursi dostupni na korporativnoj razini, ovom bi se Uredbom trebala omogućiti upotreba unutarnjih provoditelja testiranja za potrebe provedbe TLPT-a, pod uvjetom da postoji odobrenje nadzornih tijela, da nema sukoba interesa i da se provode periodične izmjene upotrebe unutarnjih i vanjskih provoditelja testiranja (svaka tri testa), pri čemu se zahtijeva da pružatelj saznanja o prijetnjama u TLPT-u nikad ne smije biti dio financijskog subjekta. Financijski subjekt trebao bi u punoj mjeri ostati odgovoran za provedbu TLPT-a. Potvrde koje izdaju tijela trebale bi služiti isključivo u svrhu uzajamnog priznavanja te se njima ne bi smjelo isključivati eventualne daljnje mjere potrebne za nošenje s IKT rizikom kojem je financijski subjekt izložen niti bi ih trebalo smatrati odobrenjem nadzornih tijela u pogledu sposobnosti financijskog subjekta za upravljanje IKT rizicima i njihovo ublažavanje.

(62)

Kako bi se u financijskom sektoru osiguralo pouzdano praćenje IKT rizika povezanog s trećim stranama, potrebno je utvrditi skup pravila utemeljenih na načelima radi pružanja smjernica financijskim subjektima pri praćenju rizika koji nastaje u kontekstu funkcija eksternaliziranih trećim stranama pružateljima IKT usluga, osobito za IKT usluge kojima se podupiru ključne ili važne funkcije, kao i općenitije u kontekstu svih ovisnosti o trećim stranama u području IKT-a.

(63)

Kako bi se uvažila složenost različitih izvora IKT rizika, uzimajući u obzir brojnost i raznolikost pružatelja tehnoloških rješenja koja omogućuju neometano pružanje financijskih usluga, ovom bi Uredbom trebalo obuhvatiti širok raspon trećih strana pružatelja IKT usluga, uključujući pružatelje usluga računalstva u oblaku, softvera, usluga analize podataka i pružatelje usluga podatkovnog centra. Slično tome, budući da bi financijski subjekti trebali djelotvorno i dosljedno utvrđivati sve vrste rizika i upravljati njima, među ostalim i u kontekstu IKT usluga nabavljenih unutar financijske grupe, trebalo bi pojasniti da bi se društva koja su dio financijske grupe te pružaju IKT usluge uglavnom svojem matičnom društvu ili društvima kćerima ili podružnicama svojeg matičnog društva, kao i financijski subjekti koji pružaju IKT usluge drugim financijskim subjektima, također trebala smatrati pružateljima IKT usluga na temelju ove Uredbe. Naposljetku, s obzirom na to da evoluirajuće tržište platnih usluga postaje sve ovisnije o složenim tehničkim rješenjima te s obzirom na nove vrste platnih usluga i rješenja povezanih s plaćanjem, sudionike u ekosustavu platnih usluga, koji osiguravaju aktivnosti obrade plaćanja ili upravljaju infrastrukturama platnog prometa, također bi trebalo smatrati trećim stranama pružateljima IKT usluga na temelju ove Uredbe, uz iznimku središnjih banaka kad upravljaju platnim sustavima ili sustavima namire vrijednosnih papira te tijela javne vlasti kad pružaju IKT usluge u kontekstu izvršavanja državnih funkcija.

(64)

Financijski subjekt trebao bi u svakom trenutku ostati potpuno odgovoran za ispunjenje svojih obveza utvrđenih u ovoj Uredbi. Financijski subjekti trebali bi primijeniti proporcionalan pristup praćenju rizika koji se javljaju na razini trećih strana pružatelja IKT usluga, vodeći računa o prirodi, opsegu, složenosti i važnosti svojih ovisnosti u području IKT-a, ključnosti ili važnosti usluga, procesa ili funkcija koje podliježu ugovornim aranžmanima i, u konačnici, na temelju detaljne procjene mogućeg učinka na kontinuitet i kvalitetu financijskih usluga na pojedinačnoj razini i na razini grupe, ovisno o slučaju.

(65)

Provedba takvog praćenja trebala bi se odvijati u skladu sa strateškim pristupom IKT riziku povezanom s trećim stranama koji je upravljačko tijelo financijskog subjekta formaliziralo donošenjem namjenske strategije o IKT riziku povezanom s trećim stranama, a koja se temelji na kontinuiranoj dubinskoj analizi svih ovisnosti o trećim stranama u području IKT-a. Kako bi se unaprijedila razina osviještenosti nadzornih tijela o ovisnostima o trećim stranama u području IKT-a te dodatno podupro rad u kontekstu nadzornog okvira uspostavljenog ovom Uredbom, trebalo bi zahtijevati od svih financijskih subjekata da vode registar informacija o svim ugovornim aranžmanima za upotrebu IKT usluga koje pružaju treće strane pružatelji IKT usluga. Financijska nadzorna tijela trebala bi moći zatražiti cijeli registar ili određene dijelove tog registra te tako dobiti ključne informacije za stjecanje šireg razumijevanja ovisnosti koje financijski subjekti imaju u području IKT-a.

(66)

Formalno sklapanje ugovornih aranžmana trebalo bi se temeljiti na detaljnoj prethodnoj predugovornoj analizi, osobito usmjeravanjem na elemente kao što su ključnost ili važnost usluga koje se podupiru predviđenim ugovorom o IKT-u, potrebna odobrenja nadzornih tijela ili drugi uvjeti, mogući povezani koncentracijski rizik, te primjenom dubinske analize u postupku odabira i procjene trećih strana pružatelja IKT usluga i procjenom potencijalnih sukoba interesa. Kad je riječ o ugovornim aranžmanima koji se odnose na ključne ili važne funkcije, financijski subjekti trebali bi razmotriti upotrebljavaju li treće strane pružatelji IKT usluga najnovije i najviše standarde informacijske sigurnosti. Raskid ugovornih aranžmana mogao bi nastupiti barem zbog niza okolnosti koje ukazuju na nedostatke na razini treće strane pružatelja IKT usluga, osobito u smislu znatnih kršenja zakona ili ugovornih uvjeta, okolnosti koje ukazuju na moguću promjenu u obavljanju funkcija predviđenih u ugovornim aranžmanima, dokaza o slabostima treće strane pružatelja IKT usluga u općem upravljanju IKT rizicima, ili okolnosti koje upućuju na nemogućnost relevantnog nadležnog tijela da djelotvorno nadzire financijski subjekt.

(67)

Kako bi se ublažio sistemski učinak koncentracijskog IKT rizika povezanog s trećim stranama, ovom se Uredbom promiče uravnoteženo rješenje primjenom fleksibilnog i postupnog pristupa takvom koncentracijskom riziku jer bi nametanje bilo kakvih strogih gornjih vrijednosti ili strogih ograničenja moglo ometati poslovanje i ograničiti ugovornu slobodu. Financijski subjekti trebali bi temeljito procijeniti svoje predviđene ugovorne aranžmane kako bi utvrdili vjerojatnost pojave takvog rizika, među ostalim i s pomoću dubinskih analiza podugovornih aranžmana, osobito kad se sklapaju s trećim stranama pružateljima IKT usluga s poslovnim nastanom u trećoj zemlji. U toj fazi i u cilju postizanja pravedne ravnoteže između nužnog očuvanja ugovorne slobode i jamčenja financijske stabilnosti smatra se da nije primjereno utvrditi pravila o strogim gornjim vrijednostima i ograničenja za izloženosti trećim stranama u području IKT-a. U kontekstu nadzornog okvira glavno nadzorno tijelo imenovano na temelju ove Uredbe trebalo bi, u pogledu ključnih trećih strana pružatelja IKT usluga, posebnu pozornost posvetiti potpunom razumijevanju razmjera međuovisnosti, otkriti konkretne slučajeve u kojima je vjerojatno da će visok stupanj koncentracije ključnih trećih strana pružatelja IKT usluga opteretiti stabilnost i cjelovitost financijskog sustava Unije te održavati dijalog s ključnim trećim stranama pružateljima IKT usluga kad se taj konkretan rizik utvrdi.

(68)

Kako bi se redovito evaluirala i pratila sposobnost treće strane pružatelja IKT usluga da sigurno pruža usluge financijskom subjektu bez negativnih učinaka na digitalnu operativnu otpornost financijskog subjekta, trebalo bi uskladiti nekoliko ključnih ugovornih elemenata s trećim stranama pružateljima IKT usluga. Takvim usklađivanjem trebalo bi obuhvatiti minimalna područja koja su ključna kako bi se financijskom subjektu omogućilo potpuno praćenje rizika koji bi mogli nastati od treće strane pružatelja IKT usluga, iz perspektive potrebe financijskog subjekta da osigura svoju digitalnu otpornost jer uvelike ovisi o stabilnosti, funkcionalnosti, dostupnosti i sigurnosti IKT usluga koje prima.

(69)

Pri ponovnom pregovaranju o ugovornim aranžmanima radi usklađivanja sa zahtjevima iz ove Uredbe, financijski subjekti i treće strane pružatelji IKT usluga trebali bi osigurati da budu obuhvaćene ključne ugovorne odredbe kako je predviđeno u ovoj Uredbi.

(70)

Definicija „ključne ili važne funkcije” predviđena u ovoj Uredbi obuhvaća „ključne funkcije” kako su definirane u članku 2. stavku 1. točki 35. Direktive 2014/59/EU Europskog parlamenta i Vijeća (20). U skladu s tim, funkcije koje se smatraju ključnima na temelju Direktive 2014/59/EU uključene su u definiciju ključnih funkcija u smislu ove Uredbe.

(71)

Neovisno o ključnosti ili važnosti funkcije koja se podupire IKT uslugama, ugovornim aranžmanima posebno bi trebalo predvidjeti specifikaciju potpunih opisa funkcija i usluga, lokacija na kojima se takve funkcije pružaju i na kojima treba obrađivati podatke, kao i navođenje opisa razina usluge. Drugi ključni elementi za omogućavanje financijskom subjektu da prati IKT rizik povezan s trećim stranama su: ugovorne odredbe kojima se propisuje način na koji treća strana pružatelj IKT usluga treba osigurati pristupačnost, dostupnost, cjelovitost, sigurnost i zaštitu osobnih podataka; odredbe kojima se utvrđuju relevantna jamstva za omogućivanje pristupa, oporavka i povrata podataka u slučaju nesolventnosti, sanacije ili prekida poslovanja treće strane pružatelja IKT usluga, kao i odredbe kojima se od treće strane pružatelja IKT usluga zahtijeva da pruži pomoć u slučaju IKT incidenata povezanih s pruženim uslugama, bez dodatnih troškova ili uz ex ante utvrđene troškove; odredbe o obvezi treće strane pružatelja IKT usluga da u potpunosti surađuje s nadležnim i sanacijskim tijelima zaduženima za financijski subjekt; i odredbe o pravima raskida i povezanim minimalnim rokovima za prethodnu obavijest u vezi s raskidom ugovornih aranžmana, u skladu s očekivanjima nadležnih tijela i sanacijskih tijela.

(72)

Uz takve ugovorne odredbe i kako bi se osiguralo da financijski subjekti zadrže potpunu kontrolu nad svim događajima na razini trećih strana koji bi mogli narušiti njihovu sigurnost u području IKT-a, ugovorima o pružanju IKT usluga kojima se podupiru ključne ili važne funkcije trebalo bi predvidjeti i sljedeće: specifikaciju cjelovitih opisa razina usluge, s preciznim kvantitativnim i kvalitativnim ciljevima uspješnosti, kako bi se bez nepotrebne odgode omogućile odgovarajuće korektivne mjere kad dogovorene razine usluge nisu ispunjene; relevantne rokove za prethodne obavijesti i obveze izvješćivanja koje ima treća strana pružatelj IKT usluga u slučaju razvoja događaja koji bi mogli bitno utjecati na sposobnost treće strane pružatelja IKT usluga da učinkovito pruža svoje dotične IKT usluge; zahtjev da treća strana pružatelj IKT usluga provede i testira planove za nepredvidive situacije u poslovanju i da ima sigurnosne mjere, alate i politike u području IKT-a kojima se omogućuje sigurno pružanje usluga te da sudjeluje i u potpunosti surađuje u TLPT-u koji provodi financijski subjekt.

(73)

Takvi ugovori o pružanju IKT usluga kojima se podupiru ključne ili važne funkcije trebali bi također sadržavati odredbe kojima se financijskom subjektu ili imenovanoj trećoj strani omogućuje pravo pristupa, pravo inspekcijskog nadzora i pravo revizije te pravo na izradu kopija kao ključnih instrumenata u okviru kontinuiranog praćenja rada treće strane pružatelja IKT usluga od strane financijskih subjekata, kao i potpuna suradnja pružatelja usluga tijekom inspekcijskog nadzora. Slično tome, nadležno tijelo zaduženo za financijski subjekt trebalo bi, na temelju prethodnih obavijesti, imati prava inspekcijskog nadzora i revizije treće strane pružatelja IKT usluga, uz uvažavanje zaštite povjerljivih informacija.

(74)

Takvim ugovornim aranžmanima trebale bi se predvidjeti i namjenske izlazne strategije kako bi se osobito omogućila obvezna prijelazna razdoblja tijekom kojih bi treće strane pružatelji IKT usluga trebale nastaviti pružati relevantne usluge u cilju smanjenja rizika od poremećaja na razini financijskog subjekta ili kako bi se tom subjektu omogućilo da se djelotvorno započne koristiti uslugama nekih drugih trećih strana pružatelja IKT usluga ili da se, alternativno, prebaci na interna rješenja, ovisno o složenosti pružene IKT usluge. Nadalje, financijski subjekti obuhvaćeni područjem primjene Direktive 2014/59/EU trebali bi osigurati da relevantni ugovori o IKT uslugama budu pouzdani i u potpunosti izvršivi u slučaju sanacije tih financijskih subjekata. Stoga bi, u skladu s očekivanjima sanacijskih tijela, ti financijski subjekti trebali osigurati otpornost relevantnih ugovora o IKT uslugama u slučaju sanacije. Dok god i dalje ispunjavaju svoje obveze u pogledu plaćanja, ti bi financijski subjekti, uz ostale zahtjeve, trebali osigurati da relevantni ugovori za IKT usluge sadržavaju odredbe prema kojima se ne mogu raskinuti, suspendirati niti izmijeniti zbog restrukturiranja ili sanacije.

(75)

Nadalje, dobrovoljnom primjenom standardnih ugovornih klauzula koje su razvila tijela javne vlasti ili institucije Unije, posebno upotrebom ugovornih klauzula koje je Komisija razvila za usluge računalstva u oblaku, moglo bi se dodatno ojačati povjerenje financijskih subjekata i trećih strana pružatelja IKT usluga jer bi se povećao stupanj pravne sigurnosti u pogledu upotrebe usluga računalstva u oblaku u financijskom sektoru, što je u potpunosti u skladu sa zahtjevima i očekivanjima utvrđenima pravom Unije o financijskim uslugama. Razvoj standardnih ugovornih klauzula temelji se na mjerama koje su već predviđene Akcijskim planom za financijske tehnologije (2018.) u kojem je najavljeno da Komisija namjerava poticati i olakšati izradu standardnih ugovornih odredbi za financijske subjekte koji eksternaliziraju poslove pružateljima usluga računalstva u oblaku, oslanjajući se pritom na međusektorske napore dionika u području usluga računalstva u oblaku, uz posredovanje Komisije i sudjelovanje financijskog sektora.

(76)

Ključne treće strane pružatelje IKT usluga trebalo bi obuhvatiti nadzornim okvirom Unije kako bi se promicali konvergencija i učinkovitost u pogledu pristupa nadzornih tijela u nošenju s IKT rizikom povezanim s trećim stranama u financijskom sektoru te jačala digitalna operativna otpornost financijskih subjekata koji se za IKT usluge kojima se podupire pružanje financijskih usluga oslanjaju na ključne treće strane pružatelje IKT usluga i kako bi se time doprinijelo očuvanju stabilnosti financijskog sustava Unije i cjelovitosti unutarnjeg tržišta za financijske usluge. Iako opravdanost uspostave nadzornog okvira proizlazi iz dodane vrijednosti poduzimanja mjera na razini Unije i suštinske uloge i posebnosti upotrebe IKT usluga u pružanju financijskih usluga, istodobno bi trebalo podsjetiti da se to rješenje čini prikladnim samo u kontekstu ove Uredbe koja se konkretno odnosi na digitalnu operativnu otpornost u financijskom sektoru. Međutim, takav nadzorni okvir ne bi se trebao smatrati novim modelom nadzora na razini Unije u drugim područjima financijskih usluga i aktivnosti.

(77)

Nadzorni okvir trebao bi se primjenjivati samo na ključne treće strane pružatelje IKT usluga. Stoga bi trebao postojati mehanizam imenovanja kako bi se u obzir uzeli dimenzija i priroda oslanjanja financijskog sektora na takve treće strane pružatelje IKT usluga. Taj mehanizam trebao bi obuhvaćati skup kvantitativnih i kvalitativnih kriterija za utvrđivanje parametara ključnosti kao osnove za uključivanje u nadzorni okvir. Kako bi se osigurala točnost te procjene i neovisno o korporativnoj strukturi treće strane pružatelja IKT usluga, takvim bi se kriterijima, u slučaju treće strane pružatelja IKT usluga koja je dio šire grupe, trebala uzeti u obzir cjelokupna struktura grupe u kojoj je treća strana pružatelja IKT usluga. S jedne strane, ključne treće strane pružatelji IKT usluga koje nisu automatski određene na temelju primjene tih kriterija trebale bi imati mogućnost dobrovoljnog sudjelovanja u nadzornom okviru, dok bi, s druge strane, treće strane pružatelji IKT usluga koje već podliježu okvirima nadzornog mehanizma kojima se podupire ispunjavanje zadaća Europskog sustava središnjih banaka, kako je navedeno u članku 127. stavku 2. UFEU-a, trebale biti izuzete.

(78)

Slično tome, financijski subjekti koji pružaju IKT usluge drugim financijskim subjektima, iako pripadaju kategoriji trećih strana pružatelja IKT usluga na temelju ove Uredbe, također bi trebali biti izuzeti iz nadzornog okvira jer već podliježu nadzornim mehanizmima uspostavljenima relevantnim pravom Unije o financijskim uslugama. Ako je to primjenjivo, nadležna tijela trebala bi u kontekstu svojih nadzornih aktivnosti uzeti u obzir IKT rizik koji financijski subjekti koji pružaju IKT usluge predstavljaju za financijske subjekte. Isto tako, zbog postojećih mehanizama za praćenje rizika na razini grupe isto bi izuzeće trebalo uvesti za treće strane pružatelje IKT usluga koji uglavnom pružaju usluge subjektima iz svoje grupe. Treće strane pružatelji IKT usluga koje IKT usluge pružaju isključivo u jednoj državi članici financijskim subjektima koji posluju samo u toj državi članici također bi zbog svojih ograničenih aktivnosti i izostanka prekograničnog učinka trebali biti izuzeti od mehanizma imenovanja.

(79)

Digitalna transformacija u području financijskih usluga dovela je do nezapamćenih razmjera upotrebe IKT usluga i oslanjanja na njih. Budući da je pružanje financijskih usluga bez upotrebe usluga računalstva u oblaku, softverskih rješenja i usluga povezanih s podacima postalo nezamislivo, financijski ekosustav Unije postao je suštinski ovisan o određenim IKT uslugama koje pružaju pružatelji IKT usluga. Neki od tih pružatelja inovatori su u razvoju i primjeni tehnologija temeljenih na IKT-u i imaju važnu ulogu u pružanju financijskih usluga ili su se integrirali u vrijednosni lanac financijskih usluga. Time su postali ključni za stabilnost i cjelovitost financijskog sustava Unije. To široko oslanjanje na usluge koje pružaju ključne treće strane pružatelji IKT usluga, u kombinaciji s međuovisnošću informacijskih sustava različitih tržišnih subjekata, stvara izravan i potencijalno ozbiljan rizik za sustav financijskih usluga Unije i kontinuitet pružanja financijskih usluga ako na ključne treće strane pružatelje IKT usluga utječu operativni poremećaji ili značajni kiberincidenti. Kiberincidenti se u financijskom sustavu mogu umnožavati i širiti znatno brže od drugih vrsta rizika koji se prate u financijskom sektoru te se mogu proširiti među sektorima i preko zemljopisnih granica. Mogu prerasti u sistemsku krizu koja narušava povjerenje u financijski sustav zbog poremećaja u funkcijama kojima se podupire realno gospodarstvo ili zbog znatnih financijskih gubitaka na razini koju financijski sustav ne može podnijeti ili koja zahtijeva uvođenje mjera za ublažavanje teških šokova. Kako bi se spriječilo ostvarivanje tih scenarija i ugrožavanje financijske stabilnosti i cjelovitosti Unije, izuzetno je važno osigurati konvergenciju nadzornih praksi u vezi s IKT rizikom povezanim s trećim stranama u području financija, osobito s pomoću novih pravila kojima se omogućuje nadzor Unije nad ključnim trećim stranama pružateljima IKT usluga.

(80)

Nadzorni okvir uvelike ovisi o stupnju suradnje između glavnog nadzornog tijela i ključne treće strane pružatelja IKT usluga koja financijskim subjektima pruža usluge koje utječu na pružanje financijskih usluga. Uspješan nadzor temelji se, među ostalim, na sposobnosti glavnog nadzornog tijela da djelotvorno provodi misije praćenja i inspekcijski nadzor radi procjene pravila, kontrola i procesa koje upotrebljavaju ključne treće strane pružatelji IKT usluga te radi procjene mogućeg kumulativnog učinka njihovih aktivnosti na financijsku stabilnost i cjelovitost financijskog sustava. Istodobno je od presudne važnosti da ključne treće strane pružatelji IKT usluga slijede preporuke glavnog nadzornog tijela i otklone njegove bojazni. Budući da bi izostanak suradnje ključne treće strane pružatelja IKT usluga koja pruža usluge koje utječu na pružanje financijskih usluga, kao što je odbijanje davanja pristupa njezinim prostorima ili odbijanje pružanja informacija, u konačnici lišio glavno nadzorno tijelo njegovih ključnih alata za procjenu IKT rizika povezanog s trećim stranama te bi mogao negativno utjecati na financijsku stabilnost i cjelovitost financijskog sustava, potrebno je predvidjeti i razmjeran sustav sankcija.

(81)

U tom kontekstu, potreba glavnog nadzornog tijela da izrekne novčane kazne kako bi ključne treće strane pružatelje IKT usluga primoralo na poštovanje obveza u pogledu transparentnosti i pristupa utvrđenih u ovoj Uredbi ne bi trebala biti ugrožena zbog poteškoća koje proizlaze iz izvršenja tih novčanih kazni u odnosu na ključne treće strane pružatelje IKT usluga s poslovnim nastanom u trećim zemljama. Kako bi se osigurala izvršivost takvih kazni i omogućilo brzo uvođenje postupaka za očuvanje pravâ ključnih trećih strana pružatelja IKT usluga na obranu u kontekstu mehanizma imenovanja te izdavanja preporuka, od tih ključnih trećih strana pružatelja IKT usluga, koje financijskim subjektima pružaju usluge koje utječu na pružanje financijskih usluga, trebalo bi zahtijevati da održavaju odgovarajuću poslovnu prisutnost u Uniji. Zbog prirode nadzora i nepostojanja usporedivih aranžmana u drugim jurisdikcijama ne postoje prikladni alternativni mehanizmi kojima bi se taj cilj osigurao djelotvornom suradnjom s financijskim nadzornim tijelima u trećim zemljama u pogledu praćenja učinka digitalnih operativnih rizika koje predstavljaju sistemske treće strane pružatelji IKT usluga koje se smatraju ključnim trećim stranama pružateljima IKT usluga s poslovnim nastanom u trećim zemljama. Kako bi stoga nastavila pružati IKT usluge financijskim subjektima u Uniji, treća strana pružatelj IKT usluga s poslovnim nastanom u trećoj zemlji koja je imenovana kao ključna u skladu s ovom Uredbom trebala bi u roku od 12 mjeseci od takvog imenovanja poduzeti sve potrebne mjere kako bi osigurala da je osnovana u Uniji, i to tako da uspostavi društvo kći, kako je definirano u pravnoj stečevini Unije, odnosno u Direktivi 2013/34/EU Europskog parlamenta i Vijeća (21).

(82)

Zahtjev da osnuje društvo kći u Uniji ne bi trebao spriječiti ključnu treću stranu pružatelja IKT usluga da pruža IKT usluge i povezanu tehničku potporu iz objekata i infrastrukture koji se nalaze izvan Unije. Ovom se Uredbom ne bi trebala nametati obveza u pogledu lokalizacije podataka jer se njome ne zahtijeva pohrana ili obrada podataka u Uniji.

(83)

Ključne treće strane pružatelji IKT usluga trebale bi moći pružati IKT usluge iz bilo kojeg dijela svijeta, ne nužno ili ne samo iz prostora koji se nalaze u Uniji. Aktivnosti nadzora prvo bi se trebale provoditi u prostorima koji se nalaze u Uniji i interakcijom sa subjektima koji se nalaze u Uniji, uključujući društva kćeri koja su osnovale ključne treće strane pružatelji IKT usluga na temelju ove Uredbe. Međutim, takva djelovanja unutar Unije mogla bi biti nedostatna da bi se glavnom nadzornom tijelu omogućilo da u potpunosti i djelotvorno obavlja svoje zadaće na temelju ove Uredbe. Glavno nadzorno tijelo stoga bi također trebalo moći izvršavati svoje relevantne nadzorne ovlasti u trećim zemljama. Izvršavanje tih ovlasti u trećim zemljama trebalo bi omogućiti glavnom nadzornom tijelu da ispita objekte iz kojih ključna treća strana pružatelj IKT usluga pruža IKT usluge ili usluge tehničke podrške, odnosno takvim uslugama upravlja, te bi glavnom nadzornom tijelu trebalo omogućiti sveobuhvatno i operativno razumijevanje upravljanja IKT rizicima koje provodi ključna treća strana pružatelj IKT usluga. Mogućnost da glavno nadzorno tijelo, kao agencija Unije, izvršava ovlasti izvan područja Unije trebala bi biti propisno uređena relevantnim uvjetima, posebno privolom dotične ključne treće strane pružatelja IKT usluga. Slično tome, relevantna tijela treće zemlje trebala bi biti obaviještena o izvršavanju aktivnosti glavnog nadzornog tijela na njihovu državnom području te se takvom izvršavanju aktivnosti ne bi smjela usprotiviti. Međutim, kako bi se osigurala učinkovita provedba i ne dovodeći u pitanje odgovarajuće nadležnosti institucija Unije i država članica, takve se ovlasti također trebaju u potpunosti temeljiti na sklapanju aranžmana za administrativnu suradnju s relevantnim tijelima dotične treće zemlje. Ovom bi se Uredbom stoga europskim nadzornim tijelima trebalo omogućiti sklapanje aranžmana za administrativnu suradnju s relevantnim tijelima trećih zemalja, čime se ne bi trebale stvarati nikakve druge pravne obveze u odnosu na Uniju i njezine države članice.

(84)

Kako bi se olakšala komunikacija s glavnim nadzornim tijelom i osiguralo odgovarajuće zastupanje, ključne treće strane pružatelji IKT usluga koji su dio grupe trebali bi imenovati jednu pravnu osobu kao svoju koordinacijsku točku.

(85)

Nadzornim okvirom ne bi se trebala dovoditi u pitanje nadležnost država članica da provode vlastite misije nadzora ili praćenja trećih strana pružatelja IKT usluga koje nisu imenovane kao ključne na temelju ove Uredbe, ali se smatraju važnima na nacionalnoj razini.

(86)

Kako bi se iskoristila višeslojna institucionalna struktura u području financijskih usluga, Zajednički odbor europskih nadzornih tijela trebao bi nastaviti osiguravati opću međusektorsku koordinaciju u vezi sa svim pitanjima koja se odnose na IKT rizik, u skladu sa svojim zadaćama u području kibersigurnosti. Potporu bi mu trebao pružati novi pododbor („Nadzorni forum”) koji obavlja pripremne radnje kako za pojedinačne odluke upućene ključnim trećim stranama pružateljima IKT usluga tako i za izdavanje zajedničkih preporuka, osobito u odnosu na usporednu analizu programâ nadzora ključnih trećih strana pružatelja IKT usluga i utvrđivanje najboljih praksi za rješavanje pitanjâ koncentracijskog IKT rizika.

(87)

Kako bi se osigurao primjeren i djelotvoran nadzor nad ključnim trećim stranama pružateljima IKT usluga na razini Unije, ovom se Uredbom predviđa da bi se bilo koje od triju europskih nadzornih tijela moglo imenovati glavnim nadzornim tijelom. Pojedinačna dodjela ključne treće strane pružatelja IKT usluga jednom od triju europskih nadzornih tijela trebala bi biti rezultat procjene prevlasti financijskih subjekata koji posluju u financijskim sektorima za koje je to europsko nadzorno tijelo odgovorno. Taj bi pristup trebao dovesti do uravnotežene raspodjele zadaća i odgovornosti među trima europskim nadzornim tijelima u kontekstu izvršavanja nadzornih funkcija te bi se u okviru njega na najbolji način trebali iskoristiti ljudski resursi i tehničko stručno znanje kojim raspolaže svako od triju europskih nadzornih tijela.

(88)

Glavnim nadzornim tijelima trebalo bi dodijeliti potrebne ovlasti za provedbu istraga, obavljanje izravnog i neizravnog inspekcijskog nadzora u prostorima i na lokacijama ključnih trećih strana pružatelja IKT usluga te za dobivanje potpunih i ažuriranih informacija. Tim bi se ovlastima glavnom nadzornom tijelu trebalo omogućiti da stekne stvaran uvid u vrstu, dimenziju i učinak IKT rizika povezanog s trećim stranama za financijske subjekte i, u konačnici, za financijski sustav Unije. Povjeravanje uloge glavnog nadzora europskim nadzornim tijelima preduvjet je za razumijevanje i rješavanje pitanja sistemske dimenzije IKT rizika u području financija. Učinak ključnih trećih strana pružatelja IKT usluga na financijski sektor Unije i mogući problemi uzrokovani povezanim koncentracijskim IKT rizikom iziskuju zajednički pristup na razini Unije. Istodobna provedba višestrukih revizija i prava pristupa, koje bi zasebno provodila brojna nadležna tijela uz malu ili nikakvu međusobnu koordinaciju, spriječila bi financijska nadzorna tijela da dobiju potpun i sveobuhvatan pregled IKT rizika povezanog s trećim stranama u Uniji te bi ujedno dovela do redundantnosti, opterećenja i složenosti za ključne treće strane pružatelje IKT usluga ako bi podlijegale brojnim zahtjevima u pogledu praćenja i inspekcijskog nadzora.

(89)

Budući da imenovanje trećih strana pružatelja IKT usluga kao ključnih ima znatan učinak, ovom bi se Uredbom trebalo osigurati poštovanje prava ključnih trećih strana pružatelja IKT usluga tijekom provedbe cijelog nadzornog okvira. Prije nego što budu imenovani kao ključni, takvi bi pružatelji trebali, na primjer, imati pravo glavnom nadzornom tijelu dostaviti obrazloženu izjavu koja sadržava sve relevantne informacije u svrhu procjene povezane s njihovim imenovanjem. Budući da bi glavno nadzorno tijelo trebalo ovlastiti za podnošenje preporuka o pitanjima IKT rizika i odgovarajućim korektivnim mjerama, što uključuje ovlast za protivljenje određenim ugovornim aranžmanima koji u konačnici utječu na stabilnost financijskog subjekta ili financijskog sustava, ključnim trećim stranama pružateljima IKT usluga trebalo bi omogućiti da prije finalizacije tih preporuka dostave objašnjenja o očekivanom učinku rješenja predviđenih u preporukama na klijente koji su subjekti koji nisu obuhvaćeni područjem primjene ove Uredbe te da osmisle rješenja za ublažavanje rizika. Ključne treće strane pružatelji IKT usluga koje se ne slažu s preporukama trebale bi dostaviti obrazloženo objašnjenje svoje namjere da ne prihvate preporuku. Ako se takvo obrazloženo objašnjenje ne dostavi ili se smatra nedostatnim, glavno nadzorno tijelo trebalo bi objaviti obavijest sa sažetim opisom neusklađenosti.

(90)

Nadležna tijela trebala bi u svoje funkcije u pogledu bonitetnog nadzora financijskih subjekata propisno uključiti zadaću provjere sadržajne usklađenosti s preporukama koje je izdalo glavno nadzorno tijelo. Nadležna tijela trebala bi moći zahtijevati od financijskih subjekata da poduzmu dodatne mjere za nošenje s rizicima utvrđenima u preporukama glavnog nadzornog tijela te bi trebala pravodobno izdati obavijesti o tome. Ako glavno nadzorno tijelo uputi preporuke ključnim trećim stranama pružateljima IKT usluga koje su predmet nadzora na temelju Direktive (EU) 2022/2555, nadležna tijela trebala bi se moći, na dobrovoljnoj osnovi i prije donošenja dodatnih mjera, savjetovati s nadležnim tijelima iz te direktive kako bi se poticao koordiniran pristup u postupanju s dotičnim ključnim trećim stranama pružateljima IKT usluga.

(91)

Izvršavanje nadzora trebalo bi se orijentirati prema trima operativnim načelima kojima se nastoji osigurati: (a) blisku koordinaciju među europskim nadzornim tijelima u njihovim ulogama glavnih nadzornih tijela putem Zajedničke nadzorne mreže, (b) usklađenost s okvirom uspostavljenim Direktivom (EU) 2022/2555 (na temelju dobrovoljnog savjetovanja s tijelima iz te direktive kako bi se izbjeglo udvostručavanje mjera usmjerenih na ključne treće strane pružatelje IKT usluga) i (c) dužnu pažnju u svrhu minimiziranja potencijalnog rizika od poremećaja u uslugama koje ključne treće strane pružatelji IKT usluga pružaju klijentima koji su subjekti koji nisu obuhvaćeni područjem primjene ove Uredbe.

(92)

Nadzornim okvirom ne bi se trebao zamijeniti ni na bilo koji način ni u bilo kojem dijelu nadomjestiti zahtjev da financijski subjekti sami upravljaju rizicima koji proizlaze iz angažiranja trećih strana pružatelja IKT usluga, uključujući njihovu obvezu održavanja stalnog praćenja ugovornih aranžmana sklopljenih s ključnim trećim stranama pružateljima IKT usluga. Isto tako, nadzorni okvir ne bi trebao utjecati na potpunu odgovornost financijskih subjekata za poštovanje i izvršavanje svih pravnih obveza utvrđenih u ovoj Uredbi i u relevantnom pravu o financijskim uslugama.

(93)

Kako bi se izbjegla udvostručavanja i preklapanja, nadležna tijela trebala bi se suzdržati od pojedinačnog poduzimanja bilo kakvih mjera usmjerenih na praćenje rizika ključne treće strane pružatelja IKT usluga te bi se u tom pogledu trebala oslanjati na procjenu relevantnog glavnog nadzornog tijela. O svim mjerama trebalo bi se svakako koordinirati i unaprijed ih dogovoriti s glavnim nadzornim tijelom u kontekstu izvršavanja zadaća iz nadzornog okvira.

(94)

Kako bi se promicala konvergencija na međunarodnoj razini u pogledu primjene najboljih praksi u preispitivanju i praćenju upravljanja digitalnim rizicima trećih strana pružatelja IKT usluga, europska nadzorna tijela trebalo bi poticati na sklapanje aranžmana za suradnju s relevantnim nadzornim i regulatornim tijelima trećih zemalja.

(95)

Kako bi se iskoristile posebne kompetencije, tehničke vještine i stručno znanje osoblja specijaliziranog za operativni i IKT rizik unutar nadležnih tijela, triju europskih nadzornih tijela te, na dobrovoljnoj osnovi, nadležnih tijela iz Direktive (EU) 2022/2555, glavno nadzorno tijelo trebalo bi se oslanjati na nacionalne nadzorne sposobnosti i znanje te osnovati namjenske timove za provjeru za svaku ključnu treću stranu pružatelja IKT usluga, udruživanjem multidisciplinarnih timova za potporu u pripremi i izvršenju nadzornih aktivnosti, uključujući opće istrage i inspekcijski nadzor nad ključnim trećim stranama pružateljima IKT usluga, kao i za sve potrebne daljnje mjere.

(96)

Iako bi se troškovi koji proizlaze iz zadaća nadzora u potpunosti financirali naknadama koje se naplaćuju ključnim trećim stranama pružateljima IKT usluga, europskim nadzornim tijela vjerojatno će, prije početka primjene nadzornog okvira, nastati troškovi implementacije namjenskih IKT sustava na kojima će se temeljiti predstojeći nadzor, s obzirom na činjenicu da bi namjenske IKT sustave trebalo unaprijed razviti i uvesti. Ovom se Uredbom stoga predviđa hibridni model financiranja, pri čemu bi se nadzorni okvir kao takav u potpunosti financirao iz naknada, dok bi se razvoj IKT sustavâ europskih nadzornih tijela financirao iz doprinosâ Unije i nacionalnih nadležnih tijela.

(97)

Nadležna tijela trebala bi imati sve potrebne ovlasti nadzora, istrage i sankcioniranja kako bi osigurala pravilno izvršavanje svojih zadaća na temelju ove Uredbe. U načelu bi trebala objavljivati obavijesti o administrativnim kaznama koje izreknu. Budući da financijski subjekti i treće strane pružatelji IKT usluga mogu imati poslovni nastan u različitim državama članicama i biti pod nadzorom različitih nadležnih tijela, primjenu ove Uredbe trebalo bi olakšati, s jedne strane, bliskom suradnjom među relevantnim nadležnim tijelima, uključujući ESB u pogledu posebnih zadaća koje su mu dodijeljene Uredbom Vijeća (EU) br. 1024/2013, i, s druge strane, savjetovanjem s europskim nadzornim tijelima putem uzajamne razmjene informacija i pružanja pomoći u kontekstu relevantnih nadzornih aktivnosti.

(98)

Kako bi se dodatno kvantificirali i kvalificirali kriteriji za imenovanje trećih strana pružatelja IKT usluga kao ključnih te kako bi se uskladile naknade za nadzor, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a kako bi se ova Uredba dopunila dodatnim utvrđivanjem sistemskog učinka koji bi prekid ili operativni ispad treće strane pružatelja IKT usluga mogao imati na financijske subjekte kojima ta treća strana pruža IKT usluge, broja globalnih sistemski važnih institucija (GSV institucija) ili ostalih sistemski važnih institucija (OSV institucija) koje se oslanjaju na dotičnu treću stranu pružatelja IKT usluga, broja trećih strana pružatelja IKT usluga aktivnih na određenom tržištu, troškova migracije podataka i radnog opterećenja u području IKT-a na druge treće strane pružatelje IKT usluga, kao i iznosa naknada za nadzor i načina njihova plaćanja. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (22). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće trebali bi primiti sve dokumente istodobno kada i stručnjaci iz država članica te bi njihovi stručnjaci sustavno trebali imati pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(99)

Regulatornim tehničkim standardima trebalo bi se osigurati dosljedno usklađivanje zahtjeva utvrđenih u ovoj Uredbi. Kao tijela s visokospecijaliziranim stručnim znanjem europska nadzorna tijela trebala bi izraditi nacrt regulatornih tehničkih standarda koji ne uključuje odabire u pogledu politika i dostaviti ga Komisiji. Trebalo bi razviti regulatorne tehničke standarde u područjima upravljanja IKT rizicima, izvješćivanja i testiranja u vezi sa značajnim IKT incidentima te u pogledu ključnih zahtjeva za dobro praćenje IKT rizika povezanog s trećim stranama. Komisija i europska nadzorna tijela trebali bi osigurati da te standarde i zahtjeve mogu primjenjivati svi financijski subjekti na način koji je razmjeran njihovoj veličini i ukupnom profilu rizičnosti te prirodi, opsegu i složenosti njihovih usluga, aktivnosti i poslovanja. Komisija bi trebala biti ovlaštena za donošenje tih regulatornih tehničkih standarda putem delegiranih akata na temelju članka 290. UFEU-a i u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

(100)

Kako bi se poboljšala usporedivost izvješćâ o značajnim IKT incidentima i značajnim operativnim incidentima ili sigurnosnim incidentima povezanima s plaćanjem te osigurala transparentnost u pogledu ugovornih aranžmana za upotrebu IKT usluga koje pružaju treće strane pružatelji IKT usluga, europska nadzorna tijela trebala bi izraditi nacrt provedbenih tehničkih standarda kojima se utvrđuju standardizirani predlošci, obrasci i postupci za financijske subjekte za izvješćivanje o značajnom IKT incidentu i značajnom operativnom ili sigurnosnom incidentu povezanom s plaćanjem, kao i standardizirani predlošci za registar informacija. Pri izradi tih standarda europska nadzorna tijela trebala bi uzeti u obzir veličinu i ukupni profil rizičnosti financijskog subjekta te prirodu, opseg i složenost njegovih usluga, aktivnosti i poslovanja. Komisija bi trebala biti ovlaštena za donošenje tih provedbenih tehničkih standarda putem provedbenih akata na temelju članka 291. UFEU-a i u skladu s člankom 15. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

(101)

Budući da su dodatni zahtjevi već utvrđeni delegiranim i provedbenim aktima na temelju regulatornih i provedbenih tehničkih standarda u uredbama (EZ) br. 1060/2009 (23), (EU) br. 648/2012 (24), (EU) br. 600/2014 (25) i (EU) br. 909/2014 (26) Europskog parlamenta i Vijeća, primjereno je ovlastiti europska nadzorna tijela da zasebno ili zajednički u okviru Zajedničkog odbora podnose Komisiji regulatorne i provedbene tehničke standarde radi donošenja delegiranih i provedbenih akata kojima se prenose i ažuriraju postojeća pravila za upravljanje IKT rizicima.

(102)

Budući da ova Uredba, zajedno s Direktivom (EU) 2022/2556 Europskog parlamenta i Vijeća (27), uključuje konsolidaciju odredaba o upravljanju IKT rizicima iz više uredbi i direktiva iz pravne stečevine Unije u području financijskih usluga, uključujući uredbe (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014 (EU) i (EU) br. 909/2014 te Uredbu (EU) 2016/1011 Europskog parlamenta i Vijeća (28), kako bi se osigurala potpuna dosljednost navedene bi uredbe trebalo izmijeniti kako bi se pojasnilo da su primjenjive odredbe o IKT rizicima utvrđene u ovoj Uredbi.

(103)

Stoga bi trebalo suziti područje primjene relevantnih članaka povezanih s operativnim rizikom na temelju kojih se ovlaštenjima utvrđenima u uredbama (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 predvidjelo donošenje delegiranih i provedbenih akata, kako bi se u ovu Uredbu prenijele sve odredbe koje obuhvaćaju aspekte digitalne operativne otpornosti koji su trenutačno dio tih uredbi.

(104)

Potencijalni sistemski kiberrizik povezan s upotrebom IKT infrastruktura koje omogućuju rad platnih sustava i osiguravanje aktivnosti obrade plaćanja trebalo bi na odgovarajući način rješavati na razini Unije usklađenim pravilima o digitalnoj otpornosti. U tu bi svrhu Komisija trebala brzo procijeniti potrebu za preispitivanjem područja primjene ove Uredbe i istodobno uskladiti takvo preispitivanje s ishodom sveobuhvatnog preispitivanja predviđenog Direktivom (EU) 2015/2366. Brojni opsežni napadi tijekom posljednjeg desetljeća pokazuju kako su platni sustavi postali izloženi kiberprijetnjama. Budući da su u središtu lanca platnih usluga i snažno povezani s cjelokupnim financijskim sustavom, platni sustavi i aktivnosti obrade plaćanja postali su izuzetno važni za funkcioniranje financijskih tržišta Unije. Kibernapadi na takve sustave mogu uzrokovati ozbiljne poremećaje u poslovanju i imati izravne posljedice na ključne gospodarske funkcije, kao što je olakšavanje plaćanja, i neizravne učinke na povezane gospodarske procese. Dok se na razini Unije ne uspostave usklađeni režim i nadzor nad operatorima platnih sustava i izvršiteljima obrade, države članice mogu se, u cilju primjene sličnih tržišnih praksi, poslužiti zahtjevima u pogledu digitalne operativne otpornosti utvrđenima ovom Uredbom kad primjenjuju pravila na operatore platnih sustava i izvršitelje obrade koji su predmet nadzora u svojim jurisdikcijama.

(105)

S obzirom na to da cilj ove Uredbe, to jest postizanje visoke razine digitalne operativne otpornosti reguliranih financijskih subjekata, ne mogu dostatno ostvariti države članice jer on zahtijeva usklađivanje različitih pravila u pravu Unije i nacionalnom pravu, nego se zbog njegova opsega i učinaka on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tog cilja.

(106)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (29) te je on dao mišljenje 10. svibnja 2021. (30),

(1)

Cilj Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća (4) bio je izgradnja kibersigurnosnih kapaciteta širom Unije, ublažavanje prijetnji mrežnim i informacijskim sustavima koji se upotrebljavaju za pružanje osnovnih usluga u ključnim sektorima i osiguravanje kontinuiteta takvih usluga u slučaju incidenata, čime se doprinosi sigurnosti Unije i učinkovitom funkcioniranju njezina gospodarstva i društva.

(2)

Od stupanja na snagu Direktive (EU) 2016/1148 ostvaren je znatan napredak u povećanju Unijine razine kiberotpornosti. Preispitivanje te direktive pokazalo je da je bila katalizator za institucionalni i regulatorni pristup kibersigurnosti u Uniji i omogućila bitnu promjenu načina razmišljanja. Njome je osiguran dovršetak nacionalnih okvira za sigurnost mrežnih i informacijskih sustava uvođenjem nacionalnih strategija za sigurnost mrežnih i informacijskih sustava te uspostavom nacionalnih kapaciteta i provedbom regulatornih mjera kojima su obuhvaćeni ključna infrastruktura i subjekti koje je utvrdila svaka država članica. Direktiva (EU) 2016/1148 doprinijela je i suradnji na razini Unije osnivanjem skupine za suradnju i mreže nacionalnih timova za odgovor na računalne sigurnosne incidente. Neovisno o tim postignućima, preispitivanjem Direktive (EU) 2016/1148 otkriveni su svojstveni nedostaci zbog kojih se njome ne može učinkovito odgovoriti na aktualne i nove izazove u području kibersigurnosti.

(3)

Mrežni i informacijski sustavi razvili su se u okosnicu svakodnevnog života uz brzu digitalnu transformaciju i međupovezanost društva, među ostalim u prekograničnim razmjenama. Taj je razvoj doveo do povećanja kiberprijetnji te time i novih izazova koji zahtijevaju prilagođene, koordinirane i inovativne odgovore u svim državama članicama. Incidenti su sve brojniji, sofisticiraniji, učestaliji, većih razmjera i utjecaja te predstavljaju veliku prijetnju funkcioniranju mrežnih i informacijskih sustava. Zbog toga incidenti mogu ugroziti obavljanje gospodarskih djelatnosti na unutarnjem tržištu, uzrokovati financijski gubitak, narušiti povjerenje korisnika i nanijeti veliku štetu gospodarstvu i društvu Unije. Pripravnost i djelotvornost u području kibersigurnosti sada su važnije nego ikad za pravilno funkcioniranje unutarnjeg tržišta. Nadalje, kibersigurnost je ključan čimbenik koji brojnim kritičnim sektorima omogućuje da se uspješno prilagode na digitalnu transformaciju i u potpunosti iskoriste gospodarske, socijalne i održive koristi digitalizacije.

(4)

Pravna osnova Direktive (EU) 2016/1148 bio je članak 114. Ugovora o funkcioniranju Europske unije (UFEU), čiji je cilj uspostava i funkcioniranje unutarnjeg tržišta jačanjem mjera za usklađivanje nacionalnih pravila. Kibersigurnosni zahtjevi koje moraju ispunjavati subjekti koji pružaju usluge ili obavljaju djelatnosti koje su gospodarski važne znatno se razlikuju među državama članicama s obzirom na vrstu, razinu detalja i metodu nadzora tih zahtjeva. Te razlike uzrokuju dodatne troškove i stvaraju poteškoće subjektima koji robu ili usluge nude prekogranično. Zahtjevi koje je odredila jedna država članica i koji se razlikuju od onih koje je odredila druga država članica ili su čak u sukobu s njima mogu znatno utjecati na takve prekogranične djelatnosti. Nadalje, mogućnost neodgovarajuće definiranja ili provedbe kibersigurnosnih zahtjeva u jednoj državi članici može utjecati na razinu kibersigurnosti drugih država članica, posebno s obzirom na intenzitet prekograničnih razmjena. Preispitivanje Direktive (EU) 2016/1148 pokazalo je da postoje velike razlike u njezinoj provedbi u državama članicama, među ostalim u pogledu njezina područja primjene, čije je određivanje u velikoj mjeri prepušteno državama članicama. Direktivom (EU) 2016/1148 državama članicama dano je i vrlo široko diskrecijsko pravo u pogledu provedbe obveza sigurnosti i izvješćivanja o incidentima koje su u njoj utvrđene. Stoga postoje velike razlike u provedbi tih obveza na nacionalnoj razini. Slične razlike postoje i u provedbi odredaba Direktive (EU) 2016/1148 o nadzoru i izvršavanju.

(5)

Sve te razlike dovode do fragmentacije unutarnjeg tržišta i mogu štetno utjecati na njegovo funkcioniranje, posebno na prekogranično pružanje usluga i razinu kiberotpornosti zbog primjene različitih mjera. Naposljetku, te razlike mogle bi dovesti do veće ranjivosti nekih država članica na kiberprijetnje, s mogućim učincima prelijevanja širom Unije. Cilj je ove Direktive ukloniti velike razlike među državama članicama, posebno određivanjem minimalnih pravila o funkcioniranju koordiniranog regulatornog okvira, utvrđivanjem mehanizama za djelotvornu suradnju nadležnih tijela u svakoj državi članici, ažuriranjem popisa sektora i djelatnosti koji podliježu kibersigurnosnim obvezama te osiguravanjem djelotvornih pravnih sredstava i mjera izvršavanja ključnih za djelotvorno izvršavanje tih obveza. Stoga bi Direktivu (EU) 2016/1148 trebalo staviti izvan snage i zamijeniti ovom Direktivom.

(6)

Stavljanjem izvan snage Direktive (EU) 2016/1148 područje primjene po sektorima trebalo bi proširiti na veći dio gospodarstva kako bi se osigurala sveobuhvatna pokrivenost sektora i usluga od velike važnosti za ključne društvene i gospodarske djelatnosti na unutarnjem tržištu. Ovom se Direktivom posebno nastoji prevladati nedostatke u razlikovanju operatora ključnih usluga od pružatelja digitalnih usluga, koje se pokazalo zastarjelim jer ne odražava važnost sektora ili usluga za društvene i gospodarske djelatnosti na unutarnjem tržištu.

(7)

Na temelju Direktive (EU) 2016/1148, države članice bile su odgovorne za utvrđivanje subjekata koji ispunjavaju kriterije na temelju kojih ih se smatralo operatorima ključnih usluga. Kako bi se uklonile velike razlike među državama članicama u tom pogledu i osigurala pravna sigurnost za mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja za sve relevantne subjekte, trebalo bi uspostaviti jedinstveni kriterij za određivanje subjekata obuhvaćenih područjem primjene ove Direktive. Taj bi se kriterij trebao sastojati od primjene pravila o veličini, prema kojem su područjem primjene ove Direktive obuhvaćeni svi subjekti koji se smatraju srednjim poduzećima na temelju članka 2. Priloga Preporuci Komisije 2003/361/EZ (5) ili koji prelaze gornje granice za srednja poduzeća iz stavka 1. tog članka i koji posluju u sektorima i pružaju vrste usluga ili obavljaju djelatnosti obuhvaćene ovom Direktivom. Države članice također bi trebale osigurati da su područjem primjene ove Direktive obuhvaćena pojedina mala poduzeća i mikropoduzeća, kako su definirana u članku 2. stavku 2. i stavku 3. tog priloga i koja ispunjavaju posebne kriterije koji pokazuju da imaju ključnu ulogu za društvo, gospodarstvo ili za određene sektore ili vrste usluga.

(8)

Isključenje subjekata javne uprave iz područja primjene ove Direktive trebalo bi se primjenjivati na subjekte čije se djelatnosti pretežno obavljaju u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela. Međutim, subjekti javne uprave čije su djelatnosti samo marginalno povezane s tim područjima ne bi trebali biti isključeni iz područja primjene ove Direktive. Za potrebe ove Direktive ne smatra se da subjekti s regulatornim ovlastima obavljaju djelatnosti u području izvršavanja zakonodavstva i stoga nisu isključeni iz područja primjene ove Direktive na toj osnovi. Subjekti javne uprave koji su zajednički osnovani s trećom zemljom u skladu s međunarodnim sporazumom isključeni su iz područja primjene ove Direktive. Ova se Direktiva ne primjenjuje na diplomatske i konzularne misije država članica u trećim zemljama ili na njihove mrežne i informacijske sustave ako se takvi sustavi nalaze u prostorijama misije ili ih koriste korisnici u trećoj zemlji.

(9)

Države članice trebale bi moći poduzeti mjere potrebne za osiguranje zaštite osnovnih interesa nacionalne sigurnosti, za zaštitu javne politike i javne sigurnosti te za omogućivanje sprečavanja, istrage, otkrivanja i progona kaznenih djela. U tu svrhu države članice trebale bi moći izuzeti određene subjekte koji obavljaju djelatnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela, od ispunjavanja određenih obveza utvrđenih u ovoj Direktivi u pogledu tih aktivnosti. Ako subjekt pruža usluge isključivo subjektu javne uprave koji je isključen iz područja primjene ove Direktive, države članice trebale bi moći izuzeti taj subjekt od ispunjavanja određenih obveza utvrđenih u ovoj Direktivi u pogledu tih usluga. Osim toga, nijedna država članica ne bi trebala biti obvezna davati informacije ako smatra da bi njihovo otkrivanje bilo suprotno osnovnim interesima njezine nacionalne sigurnosti, javne sigurnosti ili obrane. U tom kontekstu trebalo bi uzeti u obzir Unijina ili nacionalna pravila za zaštitu klasificiranih podataka, sporazume o povjerljivosti podataka i neformalne sporazume o povjerljivosti podataka kao što je Protokol o semaforu. Protokol o semaforu treba shvatiti kao sredstvo za pružanje informacija o svim ograničenjima u pogledu daljnjeg širenja informacija. Upotrebljava se u gotovo svim timovima za odgovor na računalne sigurnosne incidente (CSIRT-ovi) te u nekim centrima za analizu i razmjenu informacija.

(10)

Iako se ova Direktiva primjenjuje na subjekte koji obavljaju djelatnosti proizvodnje električne energije iz nuklearnih elektrana, neke od tih djelatnosti mogu biti povezane s nacionalnom sigurnošću. Ako je to slučaj, država članica trebala bi moći izvršavati svoju odgovornost za zaštitu nacionalne sigurnosti u pogledu tih djelatnosti, uključujući djelatnosti unutar nuklearnog vrijednosnog lanca, u skladu s Ugovorima.

(11)

Neki subjekti obavljaju djelatnosti u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela istodobno pružajući usluge povjerenja. Pružatelji usluga povjerenja koji su obuhvaćeni područjem primjene Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća (6) trebali bi biti obuhvaćeni područjem primjene ove Direktive kako bi se osigurala razina sigurnosnih zahtjeva i nadzora jednaka onoj koja je prethodno utvrđena u toj uredbi u vezi pružatelja usluga povjerenja. U skladu s isključenjem određenih posebnih usluga iz Uredbe (EU) br. 910/2014, ova Direktiva ne bi se trebala primjenjivati na pružanje usluga povjerenja koje se isključivo koriste unutar zatvorenih sustava koji proizlaze iz nacionalnog prava ili iz sporazumâ među utvrđenom skupinom sudionika.

(12)

Pružatelji poštanskih usluga, kako su definirani u Direktivi 97/67/EZ Europskog parlamenta i Vijeća (7), uključujući pružatelje kurirskih usluga, trebali bi podlijegati ovoj Direktivi ako poduzimaju barem jedan od koraka u poštanskom lancu dostave, posebno prikupljanje, razvrstavanjem prijevoz ili dostavu poštanskih pošiljaka, uključujući i usluge preuzimanja, uzimajući u obzir stupanj njihove ovisnosti o mrežnim i informacijskim sustavima. Usluge prijevoza koje se ne poduzimaju u kombinaciji s jednim od tih koraka trebale bi biti isključene iz opsega poštanskih usluga.

(13)

S obzirom na jačanje i povećanu sofisticiranost kiberprijetnji, države članice trebale bi nastojati osigurati da subjekti isključeni iz područja primjene ove Direktive ostvare visoku razinu kibersigurnosti i poduprijeti provedbu jednakovrijednih mjera upravljanja kibersigurnosnim rizicima koje odražavaju osjetljivu prirodu tih subjekata.

(14)

Pravo Unije o zaštiti podataka i pravo Unije o zaštiti privatnosti primjenjuje se na svaku obradu osobnih podataka na temelju ove Direktive. Posebno, ovom Direktivom ne dovodi se u pitanje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (8) i Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (9). Ova Direktiva stoga ne bi trebala utjecati, među ostalim, na zadaće i ovlasti tijela nadležnih za praćenje usklađenosti s primjenjivim pravom Unije o zaštiti podataka i pravom Unije o zaštiti privatnosti.

(15)

Subjekti obuhvaćeni područjem primjene ove Direktive za potrebe usklađenosti s mjerama upravljanja kibersigurnosnim rizicima i obvezama izvješćivanja trebali bi biti razvrstani u dvije kategorije, ključne subjekte i važne subjekte, ovisno o mjeri u kojoj su kritični s obzirom na njihov sektor ili vrstu usluga koje pružaju, kao i njihovu veličinu. U tom bi pogledu nadležna tijela, ako je to primjenjivo, u obzir trebala uzeti sve relevantne sektorske procjene rizika ili smjernice. Sustavi nadzora i izvršavanja za te dvije kategorije subjekata trebali bi se razlikovati kako bi se osigurala pravedna ravnoteža između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane.

(16)

Kako bi se izbjeglo da se subjekti koji imaju partnerska poduzeća ili povezana poduzeća smatraju ključnim ili važnim subjektima ako bi to bilo nerazmjerno, države članice pri primjeni članka 6. stavka 2. Priloga Preporuci 2003/361/EZ mogu uzeti u obzir stupanj neovisnosti subjekta u odnosu na njegova partnerska ili povezana poduzeća. Posebno, države članice mogu uzeti u obzir činjenicu da je subjekt neovisan o svojim partnerskim ili povezanim poduzećima u pogledu mrežnih i informacijskih sustava kojima se taj subjekt koristi u pružanju svojih usluga i u pogledu usluga koje subjekt pruža. Na temelju toga, države članice, prema potrebi, mogu zauzeti stav da se takav subjekt ne smatra srednjim poduzećem na temelju članka 2. Priloga Preporuci 2003/361/EZ ili da ne prelazi gornje granice za srednje poduzeće iz stavka 1. tog članka, ako se, nakon uzimanja u obzir stupnja neovisnosti tog subjekta, ne bi smatralo da je taj subjekt srednje poduzeće ili da premašuje te gornje granice da su u obzir uzeti samo njegovi vlastiti podaci. To ne utječe na obveze utvrđene u ovoj Direktivi za partnerska i povezana poduzeća koja su obuhvaćena područjem primjene ove Direktive.

(17)

Države članice trebale bi moći odlučiti da se subjekti utvrđeni prije stupanja na snagu ove Direktive kao operatori ključnih usluga u skladu s Direktivom (EU) 2016/1148 trebaju smatrati ključnim subjektima.

(18)

Kako bi se osigurao jasan pregled subjekata obuhvaćenih područjem primjene ove Direktive, države članice trebale bi utvrditi popis ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena. U tu bi svrhu države članice od subjekata trebale zahtijevati da nadležnim tijelima dostave barem sljedeće informacije, odnosno ime, adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP raspone i telefonske brojeve subjekta, i, ako je to primjenjivo, relevantni sektor i podsektor iz prilogâ te, ako je to primjenjivo, popis država članica u kojima pružaju usluge obuhvaćene područjem primjene ove Direktive. U tu bi svrhu Komisija, uz pomoć Agencije Europske unije za kibersigurnost (ENISA), trebala bez nepotrebne odgode pružiti smjernice i predloške u vezi s obvezom dostavljanja informacija. Kako bi se olakšalo utvrđivanje i ažuriranje popisa ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena, države članice trebale bi moći uspostaviti nacionalne mehanizme za registraciju subjekata. Ako na nacionalnoj razini postoje registri, države članice mogu odlučiti o odgovarajućim mehanizmima koji omogućuju utvrđivanje subjekata obuhvaćenih područjem primjene ove Direktive.

(19)

Države članice trebale bi biti odgovorne za to da se Komisiji dostavi barem broj ključnih i važnih subjekata za svaki sektor i podsektor iz prilogâ, zajedno s relevantnim informacijama o broju utvrđenih subjekata te o odredbi iz ove Direktive na temelju koje su utvrđeni i vrsti usluge koju pružaju. Države članice potiču se da s Komisijom razmjenjuju informacije o ključnim i važnim subjektima te, u slučaju kibersigurnosnog incidenta velikih razmjera, relevantne informacije kao što je naziv predmetnog subjekta.

(20)

Komisija bi, u suradnji sa skupinom za suradnju i nakon savjetovanja s relevantnim dionicima, trebala pružiti smjernice o provedbi kriterija koji se primjenjuju na mikropoduzeća i mala poduzeća u svrhu ocjenjivanja jesu li obuhvaćena područjem primjene ove Direktive. Komisija bi također trebala osigurati da se svim mikropoduzećima i malim poduzećima koja su obuhvaćena područjem primjene ove Direktive daju odgovarajuće smjernice. Komisija bi, uz pomoć država članica, mikropoduzećima i malim poduzećima trebala staviti na raspolaganje informacije u tom pogledu.

(21)

Komisija bi, kako bi pomogla državama članicama u provedbi odredaba ove Direktive, mogla pružiti smjernice o području primjene i ocjenjivanju proporcionalnosti mjera koje treba poduzeti u skladu s ovom Direktivom, posebno u pogledu subjekata sa složenim poslovnim modelima ili poslovnim okruženjima, pri čemu subjekt može istodobno ispunjavati kriterije dodijeljene i ključnim i važnim subjektima ili istodobno obavljati djelatnosti od kojih su neke obuhvaćene područjem primjene ove Direktive, a neke isključene iz područja primjene ove Direktive.

(22)

Ovom Direktivom utvrđuju se osnovna razina mjera upravljanja kibersigurnosnim rizicima i obveze izvješćivanja u svim sektorima koji su obuhvaćeni njezinim područjem primjene. Kako bi se izbjegla rascjepkanost odredaba o kibersigurnosti u pravnim aktima Unije, kada se dodatni sektorski pravni akti Unije koji se odnose na mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja smatraju nužnima kako bi se osigurala visoka razina kibersigurnosti širom Unije, Komisija bi trebala procijeniti mogu li se takve dodatne odredbe propisati u provedbenom aktu na temelju ove Direktive. Ako takvi provedbeni akti nisu prikladni za tu svrhu, sektorski pravni akti Unije mogli bi doprinijeti osiguravanju visoke razine kibersigurnosti širom Unije, uzimajući pritom u potpunosti u obzir posebnosti i složenosti predmetnih sektora. U tu svrhu, ovom se Direktivom ne sprečava donošenje dodatnih sektorskih pravnih akata Unije koji se odnose na mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja koji propisno uzimaju u obzir potrebu za sveobuhvatnim i dosljednim okvirom za kibersigurnost. Ovom se Direktivom ne dovode u pitanje postojeće provedbene ovlasti dodijeljene Komisiji u brojnim sektorima, uključujući promet i energetiku.

(23)

Ako sektorski pravni akti sadržavaju odredbe kojima se od ključnih ili važnih subjekata zahtijeva donošenje mjera upravljanja kibersigurnosnim rizicima ili obavješćivanje o značajnim incidentima i ako su ti zahtjevi barem po učinku jednakovrijedni obvezama utvrđenima u ovoj Direktivi, te bi se odredbe, uključujući odredbe o nadzoru i izvršavanju, trebale primjenjivati na te subjekte. Ako sektorski pravni akt Unije ne obuhvaća sve subjekte u određenom sektoru koji su obuhvaćeni područjem primjene ove Direktive, relevantne odredbe ove Direktive i dalje bi se trebale primjenjivati na subjekte koji nisu obuhvaćeni tim aktom.

(24)

Ako se odredbama sektorskog pravnog akta Unije od ključnih ili važnih subjekata zahtijeva ispunjavanje obveza izvješćivanja koje su barem po učinku jednakovrijedne obvezama izvješćivanja utvrđene u ovoj Direktivi, trebalo bi osigurati dosljednost i djelotvornost postupanja s obavijestima o incidentima. U tu bi svrhu odredbama sektorskog pravnog akta Unije u vezi s obavješćivanjem o incidentima CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama za kibersigurnost (jedinstvene kontaktne točke) na temelju ove Direktive trebalo omogućiti neposredan pristup obavijestima o incidentima podnesenima u skladu sa sektorskim pravnim aktom Unije. Konkretno, takav se neposredan pristup može osigurati ako se obavijesti o incidentima bez nepotrebne odgode prosljeđuju CSIRT-u, nadležnom tijelu ili jedinstvenoj kontaktnoj točki u skladu s ovom Direktivom. Prema potrebi, države članice trebale bi uspostaviti mehanizam automatskog i izravnog izvješćivanja kojim se osigurava sustavna i neposredna razmjena informacija s CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama u pogledu postupanja s takvim obavijestima o incidentima. U svrhu pojednostavnjenja izvješćivanja i provedbe mehanizma automatskog i izravnog izvješćivanja, države članice mogle bi se, u skladu sa sektorskim pravnim aktom Unije, koristiti jedinstvenom ulaznom točkom.

(25)

Sektorskim pravnim aktima Unije kojima su predviđene mjere upravljanja kibersigurnosnim rizicima ili obveze izvješćivanja koje su barem po učinku jednakovrijedne onima utvrđenima u ovoj Direktivi moglo bi se predvidjeti da nadležna tijela na temelju takvih akata izvršavaju svoje nadzorne ovlasti i ovlasti izvršavanja u vezi s takvim mjerama ili obvezama uz pomoć nadležnih tijela na temelju ove Direktive. Predmetna nadležna tijela mogla bi u tu svrhu uspostaviti dogovore o suradnji. Takvim dogovorima o suradnji mogli bi se, među ostalim, utvrditi postupci koji se odnose na koordinaciju nadzornih aktivnosti, uključujući postupke istraga i inspekcije na lokaciji u skladu s nacionalnim pravom te mehanizam za razmjenu relevantnih informacija o nadzoru i izvršavanju među nadležnim tijelima, uključujući pristup informacijama povezanima s kibersigurnošću koje zahtijevaju nadležna tijela na temelju ove Direktive.

(26)

Ako se sektorskim pravnim aktima Unije zahtijeva ili se subjektima pružaju poticaji za obavješćivanje o ozbiljnim kiberprijetnjama, države članice trebale bi poticati i razmjenu ozbiljnih kiberprijetnji s CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama u skladu s ovom Direktivom kako bi se osigurala veća razina osviještenosti tih tijela o kiberprijetnjama i kako bi im se omogućilo da učinkovito i pravodobno odgovore u slučaju da se ozbiljne kiberprijetnje ostvare.

(27)

U budućim sektorskim pravnim aktima Unije trebalo bi uzeti u obzir definicije te okvir za nadzor i izvršavanje utvrđen u ovoj Direktivi.

(28)

Uredbu (EU) 2022/2554 Europskog parlamenta i Vijeća (10) trebalo bi smatrati sektorskim pravnim aktom Unije u odnosu na ovu Direktivu u pogledu financijskih subjekata. Umjesto odredaba predviđenih ovom Direktivom trebale bi se primjenjivati odredbe Uredbe (EU) 2022/2554 koje se odnose na upravljanje rizicima informacijskih i komunikacijskih tehnologija (IKT), upravljanje IKT incidentima, a posebno izvješćivanje o značajnim IKT incidentima, kao i na testiranje digitalne operativne otpornosti, mehanizme razmjene informacija i IKT rizik treće strane. Države članice stoga ne bi trebale primjenjivati odredbe ove Direktive o upravljanju kibersigurnosnim rizicima i obvezama izvješćivanja te nadzoru i izvršavanju na financijske subjekte obuhvaćene Uredbom (EU) 2022/2554 Istodobno je važno održavati blizak odnos i razmjenu informacija s financijskim sektorom na temelju ove Direktive. U tu svrhu Uredbom (EU) 2022/2554 europskim nadzornim tijelima i nadležnim tijelima na temelju te uredbe omogućuje se sudjelovanje u aktivnostima skupine za suradnju te razmjena informacija i suradnja s jedinstvenim kontaktnim točkama, kao i s CSIRT-ovima i nadležnim tijelima na temelju ove Direktive. Nadležna tijela na temelju Uredbe (EU) 2022/2554 trebala bi i podatke o značajnim IKT incidentima i, ako je to relevantno, ozbiljnim kiberprijetnjama slati CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama u skladu s ovom Direktivom. To se može postići pružanjem neposrednog pristupa obavijestima o incidentima i prosljeđivanjem tih obavijesti bilo izravno ili putem jedinstvene ulazne točke. Osim toga, države članice trebale bi nastaviti uključivati financijski sektor u svoje strategije za kibersigurnost, a CSIRT-ovi ga mogu obuhvatiti svojim aktivnostima.

(29)

Kako bi se izbjegle praznine u području kibersigurnosnih obveza uvedenih subjektima u zrakoplovnom sektoru ili udvostručavanje tih obveza, nacionalna tijela na temelju uredbi (EZ) br. 300/2008 (11) i (EU) 2018/1139 (12) Europskog parlamenta i Vijeća te nadležna tijela na temelju ove Direktive trebala bi surađivati u vezi s provedbom mjera upravljanja kibersigurnosnim rizicima i nadzorom nad usklađenošću s tim mjerama na nacionalnoj razini. Nadležna tijela na temelju ove Direktive mogla bi smatrati da usklađenost subjekta sa sigurnosnim zahtjevima utvrđenima u uredbama (EZ) br. 300/2008 i (EU) 2018/1139 te relevantnim delegiranim i provedbenim aktima donesenima u skladu s tim uredbama predstavlja usklađenost s odgovarajućim zahtjevima utvrđenima u ovoj Direktivi.

(30)

S obzirom na međupovezanost kibersigurnosti i fizičke sigurnosti subjekata, trebalo bi osigurati koherentan pristup između Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća (13) i ove Direktive. Kako bi se to postiglo, subjekti utvrđeni kao kritični na temelju Direktive (EU) 2022/2557 trebali bi se smatrati ključnim subjektima na temelju ove Direktive. Osim toga, svaka države članica trebala bi osigurati da se njezinom nacionalnom strategijom za kibersigurnost osigurava okvir politike za bolju koordinaciju u toj državi članici između njezinih nadležnih tijela na temelju ove Direktive i nadležnih tijela na temelju Direktive 2022/2557 u kontekstu razmjene informacija o rizicima, kiberprijetnjama i incidentima te rizicima, prijetnjama i incidentima izvan kiberprostora, kao i izvršavanje nadzornih zadaća. Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2557 direktiva trebala bi bez nepotrebne odgode surađivati i razmjenjivati informacije, posebno u pogledu utvrđivanja kritičnih subjekata, rizika, kiberprijetnji i incidenata, kao i u vezi s rizicima, prijetnjama i incidentima izvan kiberprostora koji utječu na kritične subjekte, uključujući kibersigurnosne i fizičke mjere koje ti subjekti poduzimaju, kao i rezultate nadzornih aktivnosti provedenih u pogledu takvih subjekata.

Nadalje, kako bi se pojednostavnile nadzorne aktivnosti među nadležnim tijelima na temelju ove Direktive i nadležnih tijela na temelju Direktive (EU) 2022/2557 te kako bi se smanjilo administrativno opterećenje za predmetne subjekte, ta nadležna tijela trebala bi nastojati uskladiti predloške za obavijesti o incidentima i nadzorne postupke. Prema potrebi, nadležna tijela na temelju Direktive (EU) 2022/2557 trebala bi moći zatražiti od nadležnih tijela na temelju ove Direktive da izvršavaju svoje nadzorne ovlasti i ovlasti izvršavanja u vezi s subjektom koji je utvrđen kao kritičan subjekt na temelju Direktive (EU) 2022/2557. Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2557 po mogućnosti u stvarnom vremenu, trebala bi surađivati i razmjenjivati informacije u tu svrhu.

(31)

Subjekti koji pripadaju sektoru digitalne infrastrukture u suštini se temelje na mrežnim i informacijskim sustavima te bi se stoga obvezama koje su ovom Direktivom uvedene za te subjekte trebalo na sveobuhvatan način obuhvatiti fizičku sigurnost takvih sustava kao dio njihovih mjera upravljanja kibersigurnosnim rizicima i obveza izvješćivanja. S obzirom na to da su ta pitanja obuhvaćena ovom Direktivom, obveze utvrđene u poglavljima III., IV. i VI. Direktive (EU) 2022/2557 ne primjenjuju se na takve subjekte.

(32)

Podrška pouzdanom, otpornom i sigurnom sustavu naziva domena (DNS) i njegovo održavanje ključni su za očuvanje cjelovitosti interneta te njegov kontinuiran i stabilan rad, o kojem ovise digitalno gospodarstvo i društvo. Stoga bi se ova Direktiva trebala primjenjivati na registre naziva vršnih domena i pružatelje usluga DNS-a koje treba shvatiti kao subjekte koji pružaju javno dostupne rekurzivne usluge razlučivanja naziva domena za krajnje korisnike interneta ili mjerodavne usluge razlučivanja naziva domena za treće strane. Ova se Direktiva ne bi trebala primjenjivati na korijenske poslužitelje naziva.

(33)

Usluge računalstva u oblaku trebale bi obuhvaćati digitalne usluge koje omogućuju administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kada su takvi resursi raspoređeni na nekoliko lokacija. Računalni resursi uključuju mreže, poslužitelje ili drugu infrastrukturu, operacijske sustave, softver, pohranu, aplikacije i usluge. Modeli usluga računalstva u oblaku obuhvaćaju, među ostalim, infrastrukturu kao uslugu (IaaS), platformu kao uslugu (PaaS), softver kao uslugu (SaaS) i mrežu kao uslugu (NaaS). Modeli uvođenja računalstva u oblaku trebali bi uključivati privatne, zajedničke, javne i hibridne oblake. Usluga računalstva u oblaku i modeli uvođenja imaju isto značenje kao modeli usluga i uvođenja definirani u normi ISO/IEC 17788:2014. Sposobnost korisnika računalstva u oblaku da jednostrano samostalno pruža računalne kapacitete, kao što je vrijeme korištenja poslužitelja ili mrežna pohrana, bez ljudske interakcije pružatelja usluga računalstva u oblaku, može se opisati kao administracija na zahtjev.

Pojam „široki daljinski pristup” upotrebljava se kako bi se opisalo da se kapaciteti u oblaku osiguravaju preko mreže i da im se pristupa putem mehanizama kojima se promiče upotreba heterogenih tankih ili debelih klijentskih platformi, uključujući mobilne telefone, tablete, prijenosna računala i radne stanice. Pojam „nadogradiv” odnosi se na računalne usluge koje pružatelj usluga u oblaku dodjeljuje fleksibilno, bez obzira na zemljopisni položaj resursa, kako bi se riješile fluktuacije u potražnji. Pojam „elastičan skup” upotrebljava se za opisivanje računalnih resursa koji se pružaju i isporučuju u skladu s potražnjom kako bi se raspoloživi resursi mogli brzo povećati i smanjiti ovisno o radnom opterećenju. Pojam „djeljiv” upotrebljava se za opisivanje računalnih resursa koji se pružaju većem broju korisnika sa zajedničkim pristupom usluzi, pri čemu se obrada provodi odvojeno za svakog korisnika, iako se usluga pruža putem iste elektroničke opreme. Pojam „distribuiran” upotrebljava se za opisivanje računalnih resursa koji se nalaze na različitim umreženim računalima ili uređajima te čija se međusobna komunikacija i koordinacija odvija slanjem poruka.

(34)

S obzirom na razvoj inovativnih tehnologija i novih poslovnih modela, očekuje se da će se na tržištu pojaviti novi modeli usluga računalstva u oblaku i uvođenja kao odgovor na rastuće potrebe korisnika. U tom se kontekstu usluge računalstva u oblaku mogu pružati u vrlo distribuiranom obliku, još bliže mjestu na kojem se podaci generiraju ili prikupljaju, čime se prelazi s tradicionalnog modela na visoko distribuirani model (računalstvo na rubu).

(35)

Usluge koje nude pružatelji usluga podatkovnog centra ne mogu se uvijek pružati u obliku usluge računalstva u oblaku. Stoga podatkovni centri ne mogu uvijek biti dio infrastrukture računalstva u oblaku. Kako bi se upravljalo svim rizicima za sigurnost mrežnih i informacijskih sustava, ovom bi Direktivom trebalo obuhvatiti pružatelje usluga podatkovnog centra koje nisu usluge računalstva u oblaku. Za potrebe ove Direktive, pojam „usluga podatkovnog centra” trebao bi obuhvaćati pružanje usluge koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije (IT) i mreže za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša. Pojam „usluga podatkovnog centra” ne bi se trebao primjenjivati na interne korporativne podatkovne centre kojima predmetni subjekt u čijem su vlasništvu upravlja za vlastite potrebe.

(36)

Istraživačke aktivnosti imaju ključnu ulogu u razvoju novih proizvoda i procesa. Mnoge od tih aktivnosti provode subjekti koji rezultate svojih istraživanja dijele, šire ili iskorištavaju u komercijalne svrhe. Ti subjekti stoga mogu biti važni akteri u lancima vrijednosti, zbog čega je sigurnost njihovih mrežnih i informacijskih sustava sastavni dio cjelokupne kibersigurnosti unutarnjeg tržišta. Trebalo bi se podrazumijevati da istraživačke organizacije uključuju subjekte koji ključni dio svojih aktivnosti usmjeravaju na provođenje primijenjenog istraživanja ili eksperimentalnog razvoja, u smislu Priručnika Frascati Organizacije za gospodarsku suradnju i razvoj iz 2015.: Smjernice za prikupljanje podataka o istraživanju i eksperimentalnom razvoju i izvješćivanje o njima, s ciljem iskorištavanja njihovih rezultata u komercijalne svrhe, kao što su proizvodnja ili razvoj proizvoda ili procesa, pružanje usluge ili njihovo stavljanje na tržište.

(37)

Rastuće međuovisnosti rezultat su sve veće prekogranične i međuovisne mreže pružanja usluga koja upotrebljava ključnu infrastrukturu u cijeloj Uniji u sektorima kao što su energetika, promet, digitalna infrastruktura, voda za piće i otpadne vode, zdravlje, određeni aspekti javne uprave, kao i u svemirski sektor u pogledu pružanja određenih usluga koje ovise o zemaljskoj infrastrukturi koja je u vlasništvu i kojom upravljaju države članice ili privatne strane te stoga ne obuhvaća infrastrukturu koja je u vlasništvu Unije, kojom Unija upravlja ili kojom se upravlja u ime Unije kao dijelom njezina svemirskog programa. Te međuovisnosti znače da svaki poremećaj, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što može dovesti do dalekosežnih i dugotrajnih negativnih učinaka na pružanje usluga na cijelom unutarnjem tržištu. Intenzivniji kibernapadi tijekom pandemije bolesti COVID-19 pokazali su ranjivost naših sve više međuovisnih društava suočenih s rizicima male vjerojatnosti.

(38)

S obzirom na razlike u nacionalnim upravljačkim strukturama i radi zaštite postojećih sektorskih dogovora ili nadzornih i regulatornih tijela Unije, države članice trebale bi moći imenovati ili uspostaviti jedno ili više nadležnih tijela odgovornih za kibersigurnost i za nadzorne zadaće na temelju ove Direktive.

(39)

Kako bi se olakšala prekogranična suradnja i komunikacija među tijelima i kako bi se omogućila djelotvorna provedba ove Direktive, nužno je da svaka država članica imenuje jedinstvenu kontaktnu točku odgovornu za koordinaciju pitanja sigurnosti mrežnih i informacijskih sustava te za prekograničnu suradnju na razini Unije.

(40)

Jedinstvene kontaktne točke trebale bi osigurati učinkovitu prekograničnu suradnju s relevantnim tijelima drugih država članica i, prema potrebi, s Komisijom i ENISA-om. Jedinstvene kontaktne točke stoga bi trebale biti zadužene za prosljeđivanje obavijesti o značajnim incidentima s prekograničnim učinkom jedinstvenim kontaktnim točkama drugih pogođenih država članica na zahtjev CSIRT-a ili nadležnog tijela. Na nacionalnoj razini jedinstvene kontaktne točke trebale bi omogućiti neometanu međusektorsku suradnju s drugim nadležnim tijelima. Jedinstvene kontaktne točke mogle bi također bi primati relevantne informacije o incidentima koji se odnose na subjekte financijskog sektora od nadležnih tijela na temelju Uredbe (EU) 2022/2554, koje bi, prema potrebi, trebale moći proslijediti CSIRT-ovima ili nacionalnim nadležnim tijelima iz ove Direktive.

(41)

Države članice trebale bi biti dostatno opremljene, u smislu tehničkih i organizacijskih sposobnosti, za sprečavanje i otkrivanje incidenata i rizika, reagiranje na njih te za ublažavanje njihova učinka. Države članice stoga bi trebale uspostaviti ili imenovati jedan ili više CSIRT-ova na temelju ove Direktive i osigurati da imaju odgovarajuće resurse i tehničke sposobnosti. CSIRT-ovi bi trebali poštovati zahtjeve utvrđene u ovoj Direktivi kako bi se zajamčile djelotvorne i uskladive sposobnosti za rješavanje incidenata i rizika te kako bi se osigurala učinkovita suradnja na razini Unije. Države članice trebale bi moći kao CSIRT-ove imenovati postojeće timove za hitne računalne intervencije (CERT-ovi). U cilju jačanja odnosa povjerenja između subjekata i CSIRT-ova, u slučajevima kada je CSIRT dio nadležnog tijela, države članice trebale bi moći razmotriti funkcionalno odvajanje operativnih zadaća koje obavljaju CSIRT-ovi, posebno u vezi s razmjenom informacija i podrškom koja se pruža subjektima, te nadzornih aktivnosti nadležnih tijela.

(42)

CSIRT-ovi su zaduženi za postupanje s incidentima. To uključuje obradu velikih količina ponekad osjetljivih podataka. Države članice trebale bi osigurati da CSIRT-ovi raspolažu infrastrukturom za razmjenu i obradu informacija kao i dobro opremljenim osobljem, čime se osigurava povjerljivost i pouzdanost njihovih operacija. CSIRT-ovi bi mogli donijeti i kodekse ponašanja u tom pogledu.

(43)

Kad je riječ o osobnim podacima, CSIRT-ovi bi, u skladu s Uredbom (EU) 2016/679, na zahtjev ključnog ili važnog subjekta, trebali moći osigurati proaktivno skeniranje mrežnih i informacijskih sustava koji se upotrebljavaju za pružanje usluga subjekta. Ako je to primjenjivo, države članice trebale bi nastojati osigurati jednaku razinu tehničkih sposobnosti za sve sektorske CSIRT-ove. Države članice trebale bi moći zatražiti podršku ENISA-e u razvijanju svojih CSIRT-ova.

(44)

CSIRT-ovi bi trebali imati mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem, kako u fizičkim prostorima tako i izvan njih, kako bi utvrdili i razumjeli ukupne organizacijske rizike subjekta u pogledu novootkrivenih slučajeva ugrožavanja lanaca opskrbe ili kritičnih ranjivosti te upravljali njima. Subjekt bi trebalo poticati da obavijesti CSIRT o tome ima li povlašteno upravljačko sučelje jer bi to moglo utjecati na brzinu poduzimanja mjera ublažavanja.

(45)

S obzirom na važnost međunarodne suradnje za kibersigurnost, CSIRT-ovi bi trebali moći, uz mrežu CSIRT-ova uspostavljenu ovom Direktivom, sudjelovati i u međunarodnim mrežama suradnje. Stoga bi CSIRT-ovi i nadležna tijela za potrebe obavljanja svojih zadaća trebali moći razmjenjivati informacije, uključujući osobne podatke, s nacionalnim timovima za odgovor na računalne sigurnosne incidente ili nadležnim tijelima trećih zemalja pod uvjetom da su ispunjeni uvjeti iz prava Unije o zaštiti podataka za prijenose osobnih podataka trećim zemljama, među ostalim uvjeti iz članka 49. Uredbe (EU) 2016/679.

(46)

Ključno je osigurati odgovarajuće resurse za ispunjavanje ciljeva ove Direktive i omogućavanje nadležnim tijelima i CSIRT-ovima izvršavanje u njoj utvrđenih zadaća. Države članice mogu na nacionalnoj razini uvesti mehanizam financiranja za pokrivanje potrebnih rashoda povezanih s obavljanjem zadaća javnih tijela odgovornih za kibersigurnost u državi članici u skladu s ovom Direktivom. Takav mehanizam trebao bi biti u skladu s pravom Unije i trebao bi biti razmjeran i nediskriminirajući te uzeti u obzir različite pristupe pružanju sigurnih usluga.

(47)

Mreža CSIRT-ova trebala bi nastaviti doprinositi jačanju povjerenja i pouzdanja te promicati brzu i djelotvornu operativnu suradnju među državama članicama. Kako bi se poboljšala operativna suradnja na razini Unije, mreža CSIRT-ova trebala bi razmotriti mogućnost pozivanja tijela i agencija Unije uključenih u politiku kibersigurnosti, kao što je Europol, da sudjeluju u njezinu radu.

(48)

U svrhu postizanja i održavanja visoke razine kibersigurnosti, nacionalne strategije za kibersigurnost koje se zahtijevaju ovom Direktivom trebale bi se sastojati od koherentnih okvira kojima se pružaju strateški ciljevi i prioriteti u području kibersigurnosti i upravljanja u cilju njihova postizanja. Te strategije mogu se sastojati od jednog ili više zakonodavnih ili nezakonodavnih instrumenata.

(49)

Politikama o kiberhigijeni pružaju se temelji za zaštitu infrastruktura mrežnih i informacijskih sustava, sigurnost hardvera, softvera i internetskih aplikacija te poslovnih podataka ili podataka krajnjih korisnika na koje se subjekti oslanjaju. Politike o kiberhigijeni sastoje se od zajedničkog temeljnog skupa praksi koje uključuju ažuriranja softvera i hardvera, promjene lozinki, upravljanje novim instalacijama, ograničenje računa za pristup na razini administratora i sigurnosno kopiranje podataka, te se njima omogućuje stvaranje proaktivnog okvira za pripravnost i opću sigurnost u slučaju incidenata ili kiberprijetnji. ENISA bi trebala pratiti i analizirati politike država članica u području kiberhigijene.

(50)

Svijest o kibersigurnosti i kiberhigijena ključni su za povećanje razine kibersigurnosti u Uniji, posebno s obzirom na sve veći broj povezanih uređaja koji se sve više upotrebljavaju u kibernapadima. Trebalo bi uložiti napore kako bi se povećala opća svijest o rizicima povezanima s takvim proizvodima, dok bi ocjenjivanja na razini Unije mogla pomoći u osiguravanju zajedničkog razumijevanja takvih rizika na unutarnjem tržištu.

(51)

Države članice trebale bi poticati upotrebu svih inovativnih tehnologija čija bi upotreba mogla poboljšati otkrivanje i sprečavanje kibernapada, uključujući umjetnu inteligenciju, čime bi se omogućilo učinkovitije preusmjeravanje resursa na kibernapade. Stoga bi države članice u svojim nacionalnim strategijama za kibersigurnost trebale poticati aktivnosti u području istraživanja i razvoja kako bi olakšale upotrebu takvih tehnologija, posebno onih koje se odnose na automatizirane ili poluautomatizirane alate u području kibersigurnosti, i, prema potrebi, razmjenu podataka potrebnih za osposobljavanje korisnika takve tehnologije i njezino poboljšanje. Upotreba svih inovativnih tehnologija, uključujući umjetnu inteligenciju, trebala bi biti u skladu s pravom Unije o zaštiti podataka, uključujući načela zaštite podataka u pogledu točnosti podataka, smanjenja količine podataka, pravednosti i transparentnosti te sigurnosti podataka, kao što je najsuvremenije kriptiranje. Trebalo bi se u potpunosti koristiti zahtjevima za tehničku i integriranu zaštitu podataka utvrđenima u Uredbi (EU) 2016/679.

(52)

Alatima i aplikacijama za kibersigurnost otvorenoga koda može se doprinijeti višem stupnju otvorenosti i stvarati pozitivan učinak na učinkovitost industrijskih inovacija. Otvoreni standardi olakšavaju interoperabilnost između sigurnosnih alata, pogodujući sigurnosti industrijskih dionika. Alati i aplikacije za kibersigurnost otvorenog koda mogu utjecati na širu zajednicu programera, omogućujući diversifikaciju dobavljača. Otvoreni kod može dovesti do transparentnijeg procesa provjere alata koji se odnose na kibersigurnost i procesa otkrivanja ranjivosti koji pokreće zajednica. Države članice stoga bi trebale moći promicati usvajanje softvera otvorenog koda i otvorenih standarda provođenjem politika koje se odnose na korištenje otvorenih podataka i otvorenog koda kao dijela sigurnosti pomoću transparentnosti. Politike koje promiču uvođenje i održivu upotrebu alata za kibersigurnost otvorenog koda od posebne su važnosti za mala i srednja poduzeća koja se suočavaju sa znatnim troškovima provedbe, koje bi mogli minimalizirati smanjenjem potrebe za posebnim aplikacijama ili alatima.

(53)

Komunalne usluge sve su više povezane s digitalnim mrežama u gradovima u svrhu poboljšanja mreža gradskog prijevoza, nadogradnje infrastrukture za opskrbu vodom i zbrinjavanje otpada te povećanja učinkovitosti rasvjete i grijanja zgrada. Te digitalizirane komunalne usluge podložne su kibernapadima te, u slučaju da su ti napadi uspješni, građanima prijeti velika šteta zbog njihove međusobne povezanosti. Države članice trebale bi u okviru svojih nacionalnih strategija za kibersigurnost razviti politiku koja se bavi razvojem takvih povezanih ili pametnih gradova i njihovim mogućim učincima na društvo.

(54)

Posljednjih se godina Unija suočila s eksponencijalnim porastom napada ucjenjivačkim softverom, u kojima zlonamjerni softver kriptira podatke i sustave te zahtijeva plaćanje otkupnine kako bi ih odblokirao. Sve veća učestalost i ozbiljnost napada ucjenjivačkim softverom može biti posljedica nekoliko čimbenika, kao što su različiti obrasci napada, kriminalni poslovni modeli povezani s „ucjenjivačkim softverom kao uslugom” i kriptovalutama, zahtjevi za otkupninu te porast napada u lancu opskrbe. Države članice trebale bi u okviru svojih nacionalnih strategija za kibersigurnost donijeti politike za rješavanje porasta napada ucjenjivačkim softverom.

(55)

Javno-privatna partnerstva u području kibersigurnosti mogu pružiti odgovarajući okvir za razmjenu znanja i najbolje prakse te uspostavljanje zajedničke razine razumijevanja među dionicima. Države članice trebale bi promicati politike kojima se potiče uspostava javno-privatnih partnerstava za kibersigurnost. Kad je riječ o javno-privatnim partnerstvima, tim bi se politikama, među ostalim, trebali razjasniti područje primjene i uključeni dionici, model upravljanja, dostupne mogućnosti financiranja i interakcija među uključenim dionicima. Javno-privatna partnerstva mogu se koristiti stručnim znanjem subjekata iz privatnog sektora kako bi pomogla nadležnim tijelima u razvoju najsuvremenijih usluga i procesa koji uključuju razmjenu informacija, rana upozorenja, vježbe za slučajeve kiberprijetnji i kiberincidenata, upravljanje rizicima i planiranje otpornosti.

(56)

U svojim nacionalnim strategijama za kibersigurnost, države članice trebale bi riješiti pitanje posebnih potreba malih i srednjih poduzeća u području kibersigurnosti. Mala i srednja poduzeća predstavljaju, širom Unije, velik postotak industrijskog i poslovnog tržišta i često nailaze na poteškoće u prilagodbi novim poslovnim praksama u povezanijem svijetu i digitalnom okruženju s obzirom na to da zaposlenici rade od kuće, a poslovanje se sve više vodi na internetu. Neka se mala i srednja poduzeća suočavaju s posebnim izazovima u području kibersigurnosti, kao što su slaba osviještenost o kibersigurnosti, nedostatak informatičke sigurnosti na daljinu, visok trošak kibersigurnosnih rješenja i povećana razina prijetnje, kao što su ucjenjivački softveri, te bi trebali primiti smjernice i potporu. Mala i srednja poduzeća sve više postaju meta napada u lancu opskrbe zbog svojih manje strogih mjera upravljanja kibersigurnosnim rizicima i upravljanja napadima te činjenice da imaju ograničene resurse za sigurnost. Takvi napadi u lancu opskrbe ne utječu samo na mala i srednja poduzeća i njihovo poslovanje, već mogu imati i kaskadni učinak na veće napade na subjekte kojima isporučuju robu. Države članice trebale bi kroz svoje nacionalne strategije za kibersigurnost pomoći malim i srednjim poduzećima u rješavanju izazova s kojima se suočavaju u svojim lancima opskrbe. Države članice trebale bi na nacionalnoj ili regionalnoj razini imati kontaktnu točku za mala i srednja poduzeća koja pruža smjernice i pomoć malim i srednjim poduzećima ili ih usmjerava na odgovarajuća tijela koja pružaju smjernice i pomoć u pogledu pitanja povezanih s kibersigurnošću. Države članice također se potiču da ponude usluge kao što su omogućavanje konfiguracije internetskih stranica i bilježenja podataka za mikropoduzeća i mala poduzeća kojima nedostaju te mogućnosti.

(57)

U okviru svojih nacionalnih strategija za kibersigurnost države članice trebale bi donijeti politike o promicanju aktivne kiberzaštite kao dijela šire obrambene strategije. Umjesto reaktivnog odgovora, kiberzaštita podrazumijeva aktivno sprečavanje, otkrivanje, praćenje, analizu i ublažavanje povreda sigurnosti mreže, u kombinaciji s upotrebom kapaciteta koji se primjenjuju unutar i izvan mreže koja je žrtva kibernapada. To bi, među ostalim, moglo uključivati mogućnost da države članice određenim subjektima ponude besplatne usluge ili alate, uključujući samoposlužne provjere, alate za otkrivanje i usluge uklanjanja. Sposobnost brze i automatske razmjene i razumijevanja informacija o prijetnji i analize prijetnji, upozorenja o kiberaktivnostima i odgovora ključna je za omogućivanje udruženih napora za uspješno sprečavanje, otkrivanje, rješavanje i blokiranje napada na mrežne i informacijske sustave. Aktivna kiberzaštita temelji se na strategiji obrane u kojoj su isključene ofenzivne mjere.

(58)

Budući da iskorištavanje ranjivosti u mrežnim i informacijskim sustavima može uzrokovati znatne poremećaje i štetu, brzo prepoznavanje i otklanjanje takvih ranjivosti važan je čimbenik u smanjenju rizika. Subjekti koji razvijaju mrežne i informacijske sustave ili upravljaju njima trebali bi stoga uspostaviti odgovarajuće postupke za postupanje s ranjivostima kada ih se otkrije. Budući da ranjivosti često prepoznaju i otkrivaju treće strane, proizvođač ili pružatelj IKT proizvoda ili IKT usluga trebao bi uspostaviti i postupke potrebne za primanje informacija o ranjivosti od trećih strana. U tom pogledu međunarodne norme ISO/IEC 30111 i ISO/IEC 29147 pružaju smjernice o postupanju s ranjivostima i otkrivanju ranjivosti. Jačanje koordinacije između fizičkih i pravnih osoba koji podliježu obvezi izvješćivanja i proizvođača ili pružatelja IKT proizvoda ili IKT usluga posebno je važno u svrhu olakšavanja dobrovoljnog okvira otkrivanja ranjivosti. Koordinirano otkrivanje ranjivosti odvija se strukturiranim postupkom u okviru kojeg se ranjivosti prijavljuju proizvođaču ili pružatelju potencijalno ranjivih IKT proizvoda ili IKT usluga na način kojim im se omogućuje dijagnosticiranje i otklanjanje ranjivosti prije nego što se detaljne informacije o ranjivosti otkriju trećim stranama ili javnosti. Koordinirano otkrivanje ranjivosti trebalo bi obuhvaćati i koordinaciju između fizičke ili pravne osobe koja podliježe obvezi izvješćivanja i proizvođača ili pružatelja potencijalno ranjivih IKT proizvoda ili IKT usluga u pogledu vremena otklanjanja i objave ranjivosti.

(59)

Komisija, ENISA i države članice trebale bi nastaviti poticati usklađivanje s međunarodnim normama i postojećim najboljim praksama u industriji u području upravljanja kibersigurnosnim rizicima, na primjer u područjima procjene sigurnosti lanca opskrbe, razmjene informacija i otkrivanja ranjivosti.

(60)

Države članice trebale bi, u suradnji s ENISA-om, poduzeti mjere za olakšavanje koordiniranog otkrivanja ranjivosti uspostavom relevantne nacionalne politike. U okviru svojih nacionalnih politika i u skladu s nacionalnim pravom države članice trebale bi, u mjeri u kojoj je to moguće, nastojati odgovoriti na izazove s kojima se suočavaju oni koji istražuju ranjivosti, uključujući njihovu moguću izloženost kaznenoj odgovornosti. S obzirom na to da bi fizičke i pravne osobe koje istražuju ranjivosti u nekim državama članicama mogle biti izložene kaznenoj i građanskopravnoj odgovornosti, države članice potiču se da donesu smjernice u pogledu neprovođenja kaznenog progona istraživača u području informacijske sigurnosti i izuzeća od građanskopravne odgovornosti za njihove aktivnosti.

(61)

Države članice trebale bi jednog od svojih CSIRT-ova imenovati koordinatorom koji će prema potrebi djelovati kao pouzdani posrednik između fizičkih i pravnih osoba koje podliježu obvezi izvješćivanja i proizvođača ili pružatelja IKT proizvoda ili IKT usluga na koje će vjerojatno utjecati ranjivost. Zadaće CSIRT-a koji je imenovan koordinatorom trebale bi uključivati utvrđivanje predmetnih subjekata i kontaktiranje s njima, pomaganje fizičkim ili pravnim osobama koje prijavljuju ranjivost, pregovaranje o vremenskom okviru za otkrivanje i upravljanje ranjivostima koje utječu na više subjekata (koordinirano otkrivanje ranjivosti koje uključuje više strana). U slučajevima u kojima bi prijavljena ranjivost mogla imati znatan učinak na subjekte u više država članica, CSIRT-ovi koji su imenovani koordinatorima trebali bi, prema potrebi, surađivati u okviru mreže CSIRT-ova.

(62)

Pristup točnim i pravodobnim informacijama o ranjivostima koje utječu na IKT proizvode i IKT usluge doprinosi boljem upravljanju kibersigurnosnim rizicima. Izvori javno dostupnih informacija o ranjivostima važan su alat za subjekte i korisnike njihovih usluga, ali i za nadležna tijela i CSIRT-ove. Zbog toga bi ENISA trebala uspostaviti europsku bazu podataka o ranjivosti u kojoj subjekti, neovisno o tome jesu li obuhvaćeni područjem primjene ove Direktive, i njihovi dobavljači mrežnih i informacijskih sustava, kao i nadležna tijela i CSIRT-ovi, mogu na dobrovoljnoj osnovi otkriti i registrirati javno poznate ranjivosti kako bi se korisnicima omogućilo da poduzmu odgovarajuće mjere ublažavanja. Cilj je te baze podataka riješiti jedinstvene izazove koje rizici predstavljaju za subjekte u Uniji. Nadalje, ENISA bi trebala uspostaviti odgovarajuću proceduru u vezi s postupkom objavljivanja kako bi subjektima dala vremena da poduzmu mjere za ublažavanje svojih ranjivosti i upotrijebe najsuvremenije mjere upravljanja kibersigurnosnim rizicima, kao i strojno čitljive skupove podataka i odgovarajuća sučelja. Kako bi se potaknula kultura otkrivanja ranjivosti, objavljivanje ne bi smjelo imati štetne učinke na fizičku ili pravnu osobu koja podliježe obvezi izvješćivanja.

(63)

Iako slični registri ili baze podataka o ranjivosti postoje, na poslužitelju ih smještaju i vode subjekti koji nemaju poslovni nastan u Uniji. Europska baza podataka o ranjivosti koju bi vodila ENISA omogućila bi veću transparentnost u pogledu postupka objavljivanja prije javnog otkrivanja ranjivosti i otpornost u slučaju poremećaja ili prekida u pružanju sličnih usluga. Kako bi se, u mjeri u kojoj je to moguće, izbjeglo udvostručavanje napora i postigla komplementarnost, ENISA bi trebala istražiti mogućnost sklapanja sporazuma o strukturiranoj suradnji sa sličnim registrima ili bazama podataka koji su u nadležnosti trećih zemalja. ENISA bi posebno trebala istražiti mogućnost bliske suradnje s operatorima sustava čestih ranjivosti i izloženosti (CVE).

(64)

Skupina za suradnju trebala bi podupirati i olakšavati stratešku suradnju i razmjenu informacija te jačati povjerenje među državama članicama. Skupina za suradnju trebala bi svake dvije godine uspostaviti program rada. Taj bi program rada trebao sadržavati mjere koje skupina mora poduzeti radi provedbe svojih ciljeva i zadaća. Vremenski okvir za donošenje prvog programa na temelju ove Direktive trebalo bi uskladiti s vremenskim okvirom posljednjeg programa donesenog na temelju Direktive (EU) 2016/1148 kako bi se izbjegli mogući poremećaji u radu skupine za suradnju.

(65)

Prilikom izrade smjernica, skupina za suradnju trebala bi biti dosljedna u mapiranju nacionalnih rješenja i iskustava, procjenjivanju učinka rezultata skupine za suradnju na nacionalne pristupe, raspravljanju o izazovima u provedbi i izradi posebnih preporuka koje će se nastojati ispuniti boljom provedbom postojećih pravila, osobito u pogledu lakšeg usklađivanja prilikom prenošenja ove Direktive u državama članicama. Skupina za suradnju mogla bi mapirati i nacionalna rješenja kako bi promicala kompatibilnost kibersigurnosnih rješenja koja se primjenjuju u svakom pojedinom sektoru širom Unije. To je od osobite važnosti za sektore međunarodne i prekogranične prirode.

(66)

Skupina za suradnju trebala bi ostati fleksibilan forum i trebala bi moći odgovoriti na nove i promjenjive političke prioritete i izazove, uzimajući pritom u obzir raspoloživost resursa. Mogla bi organizirati redovite zajedničke sastanke s relevantnim privatnim dionicima širom Unije na kojima bi se raspravljalo o aktivnostima skupine za suradnju i prikupljali podaci i informacije o novim izazovima u pogledu politike. Osim toga, skupina za suradnju trebala bi provoditi redovitu procjenu stanja kiberprijetnji ili kiberincidenata, kao što je ucjenjivački softver. Kako bi se poboljšala suradnja na razini Unije, skupina za suradnju trebala bi razmotriti mogućnost pozivanja relevantnih institucija, tijela, ureda i agencija Unije uključenih u politiku kibersigurnosti, kao što su Europski parlament, Europol, Europski odbor za zaštitu podataka, Agencija Europske unije za sigurnost zračnog prometa osnovana Uredbom (EU) 2018/1139 i Agencija Europske unije za svemirski program, osnovana Uredbom (EU) 2021/696 Europskog parlamenta i Vijeća (14), da sudjeluju u njezinu radu.

(67)

Nadležna tijela i CSIRT-ovi trebali bi moći sudjelovati u programima razmjene za službenike iz drugih država članica, unutar posebnog okvira i, ako je to primjenjivo, podložno potrebnoj sigurnosnoj provjeri službenika koji sudjeluju u takvim programima razmjene, u cilju poboljšanja suradnje i jačanja povjerenja među državama članicama. Nadležna tijela trebala bi poduzeti potrebne mjere kako bi službenicima iz drugih država članica omogućila da imaju djelotvornu ulogu u aktivnostima nadležnog tijela domaćina ili CSIRT-a domaćina.

(68)

Države članice trebale bi doprinijeti uspostavi okvira EU-a za odgovor na kiberkrize utvrđenog u Preporuci Komisije (EU) 2017/1584 (15) putem postojećih mreža suradnje, posebno Europske mreže organizacija za vezu za kiberkrize (mreža EU-CyCLONe), mreže CSIRT-ova i skupine za suradnju. Mreža EU-CyCLONe i mreža CSIRT-ova trebali bi surađivati na temelju postupovnih aranžmana kojima se utvrđuju detalji te suradnje i izbjegavati udvostručavanje zadaća. U poslovniku mreže EU-CyCLONe trebalo bi dodatno utvrditi načine funkcioniranja mreže, uključujući uloge te mreže, oblike suradnje, interakcije s drugim relevantnim akterima i predloške za razmjenu informacija, kao i sredstva komunikacije. Za upravljanje krizama na razini Unije relevantne stranke trebale bi se oslanjati na aranžmane EU-a za integrirani politički odgovor na krizu na temelju Provedbene odluke Vijeća (EU) 2018/1993 (16) (aranžmani za IPCR). Komisija bi u tu svrhu trebala primjenjivati međusektorski postupak koordiniranja krize na visokoj razini ARGUS. Ako kriza ima znatan utjecaj na vanjsku ili zajedničku sigurnosnu i obrambenu politiku, trebalo bi aktivirati mehanizam za odgovor na krize Europske službe za vanjsko djelovanje.

(69)

U skladu s Prilogom Preporuci (EU) 2017/1584, kibersigurnosni incident velikih razmjera trebao bi značiti incident koji uzrokuje razinu poremećaja koja premašuje sposobnost države članice da na njega odgovori ili koji ima znatan učinak na najmanje dvije države članice. Ovisno o svojem uzroku i utjecaju, kibersigurnosni incidenti velikih razmjera mogu se proširiti i pretvoriti u prave krize koje onemogućavaju pravilno funkcioniranje unutarnjeg tržišta ili predstavljaju ozbiljne rizike za javnu sigurnost i zaštitu za subjekte ili građane u nekoliko država članica ili u Uniji u cjelini. S obzirom na širok opseg i, u većini slučajeva, prekograničnu prirodu takvih incidenata, države članice i relevantne institucije, tijela, uredi i agencije Unije trebali bi surađivati na tehničkoj, operativnoj i političkoj razini kako bi pravilno koordinirali odgovor širom Unije.

(70)

Kibersigurnosni incidenti velikih razmjera i krize na razini Unije zahtijevaju koordinirano djelovanje kako bi se osigurao brz i učinkovit odgovor zbog visokog stupnja međuovisnosti između sektora i država članica. Dostupnost mreža i informacijskih sustava otpornih na kibernapade te dostupnost, povjerljivost i cjelovitost podataka ključni su za sigurnost Unije i zaštitu njezinih građana, poduzeća i institucija od incidenata i kiberprijetnji, kao i za jačanje povjerenja pojedinaca i organizacija u sposobnost Unije da promiče i štiti globalan, otvoren, slobodan, stabilan i siguran kiberprostor utemeljen na ljudskim pravima, temeljnim slobodama, demokraciji i vladavini prava.

(71)

Mreža EU-CyCLONe trebala bi djelovati kao posrednik između tehničke i političke razine tijekom kibersigurnosnih incidenata velikih razmjera i kriza te poboljšati suradnju na operativnoj razini i podupirati donošenje odluka na političkoj razini. U suradnji s Komisijom i s obzirom na njezinu nadležnost u području upravljanja krizama, mreža EU-CyCLONe trebala bi se nadovezati na nalaze mreže CSIRT-ova i koristiti se vlastitim kapacitetima pri izradi analize učinka kibersigurnosnih incidenata velikih razmjera i kriza.

(72)

Kibernapadi su prekogranične naravi, a značajan incident može poremetiti i oštetiti ključne informacijske infrastrukture o kojima ovisi neometano funkcioniranje unutarnjeg tržišta. Preporuka (EU) 2017/1584 bavi se ulogom svih relevantnih dionika. Nadalje, Komisija je u okviru Mehanizma Unije za civilnu zaštitu uspostavljenog Odlukom br. 1313/2013/EU Europskog parlamenta i Vijeća (17) odgovorna za opća djelovanja u području pripravnosti, uključujući upravljanje Koordinacijskim centrom za odgovor na hitne situacije i Zajedničkim komunikacijskim i informacijskim sustavom za hitne situacije, održavanje i daljnji razvoj sposobnosti za informiranost o stanju i njegovu analizu te uspostavu i upravljanje sposobnošću za mobilizaciju i slanje timova stručnjaka u slučaju zahtjeva za pomoć države članice ili treće zemlje. Komisija je odgovorna i za dostavljanje analitičkih izvješća za aranžmane za politički odgovor na krizu (IPCR) u skladu s Provedbenom odlukom (EU) 2018/1993, među ostalim u pogledu informiranosti o stanju i pripravnosti u području kibersigurnosti, kao i za informiranost o stanju i odgovor na krizu u područjima poljoprivrede, nepovoljnih vremenskih uvjeta, mapiranja i predviđanja sukoba, sustava ranog upozoravanja na prirodne katastrofe, zdravstvenih hitnih stanja, nadzora zaraznih bolesti, zdravlja bilja, kemijskih incidenata, sigurnosti hrane i hrane za životinje, zdravlja životinja, migracija, carina, nuklearnih i radioloških hitnih stanja te energije.

(73)

Unija prema potrebi može sklapati međunarodne sporazume s trećim zemljama ili međunarodnim organizacijama, u skladu s člankom 218. UFEU-a, kojima im se dopušta i organizira sudjelovanje u posebnim aktivnostima skupine za suradnju, mreže CSIRT-ova te mreže EU-CyCLONe. Takvim bi se sporazumima trebali osigurati interesi Unije i odgovarajuća zaštita podataka. Time se države članice ne bi trebalo spriječiti da ostvaruju pravo na suradnju s trećim zemljama u području upravljanja ranjivostima i kibersigurnosnim rizicima, čime se olakšava izvješćivanje i razmjena općih informacija u skladu s pravom Unije.

(74)

Kako bi se olakšala djelotvorna provedba Direktive u pogledu, među ostalim, upravljanja ranjivostima, mjera upravljanja kibersigurnosnim rizicima, obveza izvješćivanja i mehanizama za razmjenu informacija u području kibersigurnosti, države članice mogu surađivati s trećim zemljama i poduzimati aktivnosti koje se smatraju primjerenima u tu svrhu, uključujući razmjenu informacija o kiberprijetnjama, incidentima, ranjivostima, alatima i metodama, taktikama, tehnikama i postupcima, pripravnosti i vježbama za upravljanje kibersigurnosnom krizom, osposobljavanju, izgradnji povjerenja i strukturiranim mehanizmima za razmjenu informacija.

(75)

Trebalo bi uvesti istorazinska ocjenjivanja kako bi se pomoglo u stjecanju znanja iz zajedničkih iskustava, jačanju uzajamnog povjerenja i postizanju visoke zajedničke razine kibersigurnosti. Istorazinska ocjenjivanja mogu rezultirati dragocjenim uvidima i preporukama kojima se jačaju sveukupni kapaciteti u području kibersigurnosti, stvarajući još jedan funkcionalan način za razmjenu najboljih praksi među državama članicama i doprinoseći većim razinama zrelosti država članica u području kibersigurnosti. Nadalje, pri istorazinskom ocjenjivanju trebalo bi uzeti u obzir rezultate sličnih mehanizama, kao što je sustav istorazinskog ocjenjivanja mreže CSIRT-ova, te bi trebalo stvoriti dodatnu vrijednost i izbjeći udvostručavanje. Pri provedbi istorazinskog ocjenjivanja ne bi se trebalo dovesti u pitanje pravo Unije ili nacionalno pravo o zaštiti povjerljivih i klasificiranih podataka.