(1)

Informācijas un komunikācijas tehnoloģijas (IKT) digitālajā laikmetā atbalsta sarežģītas sistēmas, kas tiek lietotas ikdienas darbībām. Tās nodrošina mūsu ekonomikas darbību svarīgās nozarēs, tostarp finanšu nozarē, un uzlabo iekšējā tirgus darbību. Lielāka digitalizācija un savstarpēja savienojamība pastiprina arī IKT risku, padarot sabiedrību kopumā un jo īpaši finanšu sistēmu neaizsargātāku pret kiberdraudiem vai IKT traucējumiem. Lai gan plašais IKT sistēmu lietojums, augstā digitalizācija un savienojamība mūsdienās ir Savienības finanšu vienību veikto darbību pamatiezīmes, to digitālā noturība vēl ir pamatīgāk jāizskata un jāintegrē plašākos to darbības pamatprincipos.

(2)

IKT izmantošana pēdējās desmitgadēs ir ieguvusi būtisku nozīmi finanšu pakalpojumu sniegšanā tādā mērā, ka tagad tā ir kļuvusi kritiski svarīga, lai veiktu parastas ikdienas darbības visās finanšu vienībās. Digitalizācija tagad aptver, piemēram, maksājumus, kas arvien vairāk pāriet no skaidras naudas un papīra dokumentu izmantošanas uz digitāliem risinājumiem, kā arī vērtspapīru tīrvērti un norēķinus, elektronisko un algoritmisko tirdzniecību, aizdošanas un finansēšanas darbības, savstarpējo finansēšanu, kredītreitingu, pretenziju apstrādi un biroja administratīvo darbu. Līdz ar IKT izmantošanu pārveidota ir arī apdrošināšanas nozare: sākot ar tādu apdrošināšanas starpnieku parādīšanos, kuri, darbojoties ar InsurTech, savus pakalpojumus piedāvā tiešsaistē, līdz tam, ka notiek digitāla apdrošināšanas saistību uzņemšanās. Ne tikai finanses visā nozarē ir kļuvušas digitālas, bet digitalizācija ir arī padarījusi intensīvākus savstarpējos savienojumus un atkarības finanšu nozares iekšienē, kā arī attiecībās ar trešo personu infrastruktūru un to sniegtajiem pakalpojumiem.

(3)

Eiropas Sistēmisko risku kolēģija (ESRK) 2020. gada ziņojumā par sistēmisko kiberrisku atkārtoti uzsvēra, kā sistēmisku ievainojamību varētu radīt tas, ka pastāv augsta līmeņa savstarpējā savienojamība starp finanšu vienībām, finanšu tirgiem un finanšu tirgus infrastruktūrām, jo īpaši savstarpēja to IKT sistēmu atkarība, jo vietēja mēroga kiberincidenti kādā no aptuveni 22 000 Savienības finanšu vienību varētu ātri izplatīties visā finanšu sistēmā, valstu robežām tos neaizkavējot. Smagi IKT pārkāpumi finanšu nozarē ietekmē ne tikai finanšu vienības atsevišķi. Tie arī atvieglo vietēja mēroga ievainojamības izplatīšanos finanšu sakaru kanālos un, iespējams, var radīt nelabvēlīgas sekas Savienības finanšu sistēmas stabilitātei, piemēram, izraisīt likviditātes pazemināšanos un kopumā mazināt pārliecību un uzticēšanos finanšu tirgiem.

(4)

IKT risks pēdējos gados ir piesaistījis starptautisko, Savienības un valstu politikas veidotāju, regulatoru un standartu noteikšanas struktūru uzmanību, liekot tiem mēģināt uzlabot digitālo noturību, noteikt standartus, kā arī koordinēt regulatīvo vai uzraudzības darbu. Starptautiskajā līmenī Bāzeles Banku uzraudzības komitejas, Maksājumu un tirgus infrastruktūru komitejas, Finanšu stabilitātes padomes, Finanšu stabilitātes institūta, kā arī G7 un G20 mērķis ir sniegt dažādu jurisdikciju kompetentajām iestādēm un tirgus dalībniekiem instrumentus savu finanšu sistēmu noturības stiprināšanai. Šā darba dzinulis bija arī vajadzība pienācīgi ņemt vērā IKT risku savstarpēji cieši saistītas globālās finanšu sistēmas kontekstā un tiekties pēc lielākas saskaņotības attiecīgajā paraugpraksē.

(5)

Neraugoties uz mērķtiecīgu politiku un likumdošanas iniciatīvām Savienības un valstu līmenī, IKT risks turpina sagādāt problēmas Savienības finanšu sistēmas darbības noturībai, veiktspējai un stabilitātei. Reformas, kas tika īstenotas pēc 2008. gada finanšu krīzes, galvenokārt stiprināja Savienības finanšu nozares finansiālo noturību, un to mērķis bija aizsargāt Savienības konkurētspēju un stabilitāti no ekonomiskā, prudenciālā un tirgus darbības viedokļa. Lai gan IKT drošība un digitālā noturība ir daļa no operacionālā riska, tām pēc finanšu krīzes izstrādātajā regulatoru darba programmā ir veltīta mazāka uzmanība, un tās ir attīstījušās tikai dažās Savienības finanšu pakalpojumu politikas un regulējošās vides jomās vai tikai dažās dalībvalstīs.

(6)

Komisija 2018. gada 8. marta paziņojumā “Finanšu tehnoloģijas rīcības plāns konkurētspējīgākam un inovatīvākam Eiropas finanšu sektoram” uzsvēra, cik svarīgi ir padarīt Savienības finanšu nozari elastīgāku, tostarp no darbības perspektīvas, lai nodrošinātu tās tehnoloģisko drošību un labu darbību, ātru IKT pārkāpumu un incidentu seku novēršanu, un tas galu galā ļaus efektīvi un netraucēti sniegt finanšu pakalpojumus visā Savienībā, tostarp stresa situācijās, vienlaikus saglabājot patērētāju un tirgus uzticēšanos un paļāvību.

(7)

2019. gada aprīlī Eiropas Uzraudzības iestāde (Eiropas Banku iestāde), (EBI), kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1093/2010 (4), Eiropas Uzraudzības iestāde (Eiropas Apdrošināšanas un aroda pensiju iestāde), (EAAPI), kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1094/2010 (5) un Eiropas Uzraudzības iestāde (Eiropas Vērtspapīru un tirgu iestāde), (EVTI), kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1095/2010 (6) (kopā zināmas kā “Eiropas uzraudzības iestādes”, vai “EUI”) kopīgi publicēja tehnisko ieteikumu, aicinot īstenot vienveidīgu pieeju IKT riskam finanšu nozarē un iesakot proporcionāli stiprināt finanšu pakalpojumu nozares digitālās darbības noturību ar nozarei specifisku Savienības iniciatīvu.

(8)

Savienības finanšu nozare tiek regulēta ar vienotu noteikumu kopumu, bet to pārvalda Eiropas finanšu uzraudzības sistēma. Neraugoties uz to, noteikumi, kas attiecas uz digitālās darbības noturību un IKT drošību, vēl nav pilnīgi vai konsekventi saskaņoti, lai gan digitālās darbības noturība digitālajā laikmetā ir ļoti svarīga finanšu stabilitātes un tirgus integritātes nodrošināšanai, un nav mazāk svarīga, piemēram, par vienotiem prudenciālajiem vai tirgus rīcības standartiem. Tādēļ vienotais noteikumu kopums un uzraudzības sistēma būtu jāattīsta, lai tie aptvertu arī digitālās darbības noturību, šim nolūkam pastiprinot finanšu uzraudzības iestāžu pilnvaras, lai tās varētu uzraudzīt pārvaldību IKT risku finanšu nozarē ar mērķi aizsargāt iekšējā tirgus integritāti un efektivitāti un varētu sekmēt pienācīgu tā darbību.

(9)

Tiesību aktu nesakritības un nevienāda valstu regulatīvā vai uzraudzības pieeja attiecībā uz IKT risku rada šķēršļus finanšu pakalpojumu iekšējā tirgus darbībai, finanšu vienībām, kas darbojas pāri robežām, apgrūtinot iedibinājumbrīvību un brīvību sniegt pakalpojumus. Varētu tikt kropļota arī konkurence starp viena veida finanšu vienībām, kas darbojas dažādās dalībvalstīs. Tas jo īpaši attiecas uz jomām, kurās saskaņošana Savienības līmenī ir bijusi ļoti ierobežota, piemēram, digitālās darbības noturības testēšanā, vai kurās tās nav bijis, piemēram, trešās personas IKT riska uzraudzība. Atšķirības, kas izriet no paredzamajām norisēm valstu līmenī, varētu radīt papildu šķēršļus iekšējā tirgus darbībai, tādējādi kaitējot tirgus dalībniekiem un finanšu stabilitātei.

(10)

Tagad, tā kā ar IKT risku saistītie noteikumi Savienības līmenī ir izskatīti tikai daļēji, pastāv nepilnības vai pārklāšanās svarīgās jomās, piemēram ar IKT saistītu incidentu paziņošanā un digitālās darbības noturības testēšanā, un pretrunas, ko rada atšķirīgu valsts noteikumu rašanās vai izmaksu ziņā neefektīva tādu noteikumu piemērošana, kuri pārklājas. Tas jo īpaši nelabvēlīgi ietekmē tādu augstas IKT intensitātes lietotāju kā finanšu nozari, jo tehnoloģiju riskiem nav robežu un finanšu nozare plaši izvieto pakalpojumus pāri robežām Savienībā un ārpus tās. Individuālām finanšu vienībām, kuras darbojas pāri robežām vai kurām ir vairākas atļaujas (piem., vienai un tai pašai finanšu vienībai var būt banku darbības, ieguldījumu brokeru sabiedrības un maksājumu iestādes atļauja, kuru attiecīgi ir izdevušas dažādas kompetentās iestādes vienā vai vairākās dalībvalstīs), ir grūti pašām saskanīgi un izmaksu ziņā efektīvi novērst IKT risku un mazināt IKT incidentu nelabvēlīgo ietekmi.

(11)

Tā kā vienotajam noteikumu kopumam nav pievienota visaptveroša IKT vai operacionālā riska sistēma, ir vēl jāsaskaņo galvenās prasības visu finanšu vienību digitālajai darbības noturībai. Tas, ka finanšu vienības, pamatojoties uz minētajām galvenajām prasībām, attīstītu IKT spējas un kopējo noturību nolūkā izturēt darbības pārtraukšanu, palīdzētu saglabāt Savienības finanšu tirgu stabilitāti un integritāti un tādējādi palīdzētu nodrošināt augsta līmeņa aizsardzību Savienības ieguldītājiem un patērētājiem. Tā kā šīs regulas mērķis ir veicināt netraucētu iekšējā tirgus darbību, tās pamatā vajadzētu būt Līguma par Eiropas Savienības darbību (LESD) 114. pantam saskaņā ar tā interpretāciju Eiropas Savienības Tiesas (Tiesa) pastāvīgajā judikatūrā.

(12)

Šīs regulas mērķis ir konsolidēt un atjaunināt IKT riska prasības kā daļu no operacionālā riska prasībām, kuras līdz šim dažādos Savienības tiesību aktos ir aplūkotas atsevišķi. Šajos aktos ir aptvertas galvenās finanšu riska kategorijas (piem., kredītrisks, tirgus risks, darījuma partnera kredītrisks un likviditātes risks, tirgus uzvedības risks), tomēr to pieņemšanas laikā nav visaptveroši aplūkoti visi darbības noturības komponenti. Operacionālā riska noteikumos, kad tie tika sīkāk izstrādāti minētajos Savienības tiesību aktos, priekšroka bieži vien tika dota tradicionālai kvantitatīvajai riska novēršanas pieejai (proti, noteikt kapitāla prasību IKT riska segšanai), nevis paredzēti mērķtiecīgi kvalitatīvie noteikumi, ar kuriem nosaka spējas aizsargāt pret incidentiem, kas saistīti ar IKT, tos atklāt, ierobežot, novērst to sekas un izlabot tos, vai ar kuriem nosaka ziņošanas un digitālās testēšanas spējas. Minētie akti galvenokārt bija paredzēti, lai aptvertu un atjauninātu būtiskākos prudenciālās uzraudzības, tirgus integritātes vai uzvedības noteikumus. Konsolidējot un atjauninot dažādos noteikumus par IKT risku, visiem noteikumiem, kas attiecas uz digitālo risku finanšu nozarē, vajadzētu pirmoreiz būt konsekventi apvienotiem vienā tiesību aktā. Tāpēc šajā regulā tiek novērstas nepilnības vai pretrunas dažos iepriekšējos tiesību aktos, tostarp attiecībā uz tajos izmantoto terminoloģiju, un tajā ir dotas skaidras atsauces uz IKT risku, izmantojot mērķtiecīgus noteikumus par IKT riska pārvaldības spējām, incidentu paziņošanu, darbības noturības testēšanu, kā arī ar trešo personu saistītā IKT riska uzraudzību. Tādējādi ar šo regulu būtu arī jāveicina informētība par IKT risku, un tajā būtu jāatzīst, ka IKT incidenti un darbības noturības trūkums var apdraudēt finanšu vienību stabilitāti.

(13)

Finanšu vienībām IKT riska novēršanā būtu jāievēro vienāda pieeja un vienādi uz principiem balstīti noteikumi, ņemot vērā savu lielumu un vispārējo riska profilu, kā arī savu pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību. Konsekvence veicina uzticēšanos finanšu sistēmai un tās stabilitātes saglabāšanu, īpaši laikā, kad ir ļoti liela paļaušanās uz IKT sistēmām, platformām un infrastruktūru, kas rada lielāku digitālo risku. Ievērojot kiberhigiēnas pamatus, būtu arī jāizvairās no augstu izmaksu rašanās tautsaimniecībai, pēc iespējas samazinot IKT traucējumu ietekmi un izmaksas.

(14)

Regula palīdz samazināt regulējuma sarežģītību, sekmē uzraudzības konverģenci un palielina juridisko noteiktību, kā arī veicina atbilstības nodrošināšanas izmaksu ierobežošanu, īpaši attiecībā uz finanšu vienībām, kas darbojas pāri robežām, un mazinot konkurences kropļojumus. Tāpēc izvēle pieņemt regulu, lai izveidotu kopēju sistēmu finanšu vienību digitālās darbības noturībai, ir vispiemērotākais veids, kā nodrošināt viendabīgu un saskaņotu visu IKT riska pārvaldības komponentu piemērošanu Savienības finanšu nozarē.

(15)

Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (7) bija pirmais horizontālais kiberdrošības regulējums, kas ir ieviests Savienības līmenī un tiek piemērots arī trim finanšu vienību veidiem, proti, kredītiestādēm, tirdzniecības vietām un centrālajiem darījumu partneriem. Tomēr, tā kā Direktīvā (ES) 2016/1148 ir paredzēts mehānisms, kā valsts līmenī identificēt pamatpakalpojumu sniedzējus, tikai dažas kredītiestādes, tirdzniecības vietas un centrālie darījumu partneri, ko dalībvalstis ir identificējušas, praksē ir iekļautas direktīvas darbības jomā, un līdz ar to no tām tiek prasīts ievērot tajā noteiktās IKT drošības un incidentu paziņošanas prasības. Eiropas Parlamenta un Padomes Direktīvā (ES) 2022/2555 (8) ir paredzēts vienots kritērijs, lai noteiktu vienības, kas ietilpst tās piemērošanas jomā (lieluma ierobežošanas noteikums), vienlaikus arī tās darbības jomā saglabājot trīs finanšu vienību veidus.

(16)

Tomēr, tā kā šī regula paaugstina dažādo digitālās noturības komponentu saskaņošanas līmeni, ieviešot prasības attiecībā uz IKT riska pārvaldību un ar IKT saistītu incidentu paziņošanu, kuras ir stingrākas salīdzinājumā ar spēkā esošajos Savienības finanšu pakalpojumu tiesību aktos noteiktajām prasībām, šis augstākais līmenis nozīmē arī lielāku saskaņošanu salīdzinājumā ar Direktīvā (ES) 2022/2555 prasībām. Tādēļ šī regula attiecībā pret Direktīvu (ES) 2022/2555 ir lex specialis. Vienlaikus ir svarīgi saglabāt stingru saikni starp finanšu nozari un Savienības horizontālo kiberdrošības regulējumu, kas tagad ir izklāstīts Direktīvā (ES) 2022/2555, lai nodrošinātu saskaņu ar dalībvalstu pieņemtajām kiberdrošības stratēģijām un lai ļautu finanšu uzraudzības iestādēm apzināties kiberincidentus, kas ietekmē citas nozares, uz kurām attiecas minētā direktīva.

(17)

Saskaņā ar 4. panta 2. punktu Līgumā par Eiropas Savienību un neskarot pārskatīšanu Tiesā, šai regulai nebūtu jāietekmē dalībvalstu atbildība par valsts pamatfunkciju īstenošanu sabiedriskās drošības, aizsardzības un valsts drošības aizsardzības jomā, piemēram, attiecībā uz tādas informācijas sniegšanu, kas būtu pretrunā valsts drošības aizsardzībai.

(18)

Lai nodrošinātu starpnozaru mācīšanos un efektīvi izmantotu citu nozaru pieredzi kiberdraudu novēršanā, Direktīvā (ES) 2022/2555 minētajām finanšu vienībām arī turpmāk vajadzētu būt daļai no minētās direktīvas “ekosistēmas” (piemēram, Sadarbības grupai un datordrošības incidentu reaģēšanas vienībām (CSIRT)). EUI un valstu kompetentajām iestādēm būtu jāspēj piedalīties stratēģiskās politikas apspriedēs un sadarbības grupas tehniskajā darbā saskaņā ar minēto direktīvu un apmainīties ar informāciju un turpināt sadarboties ar vienotajiem kontaktpunktiem, kas izraudzīti vai izveidoti saskaņā ar minēto direktīvu. Kompetentajām iestādēm saskaņā ar šo regulu būtu arī jākonsultējas un jāsadarbojas ar CSIRT. Kompetentajām iestādēm būtu jāspēj arī lūgt tehniskus ieteikumus no kompetentajām iestādēm, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555, un slēgt sadarbības vienošanās, kuru mērķis ir nodrošināt efektīvus un ātras reakcijas koordinācijas mehānismus.

(19)

Tā kā finanšu vienību digitālā un fiziskā noturība ir cieši saistītas, šajā regulā un Eiropas Parlamenta un Padomes Direktīvā (ES) 2022/2557 (9) ir vajadzīga saskaņota pieeja attiecībā uz kritisko vienību noturību. Tā kā finanšu vienību fiziskā noturība ir visaptveroši izskatīta šīs regulas darbības jomā esošajos IKT riska pārvaldības un ziņošanas pienākumos, Direktīvas (ES) 2022/2557 III un IV nodaļā noteiktie pienākumi nebūtu jāpiemēro finanšu vienībām, uz kurām attiecas minētās direktīvas darbības joma.

(20)

Mākoņdatošanas pakalpojumu sniedzēji ir viena no tām digitālo infrastruktūru kategorijām, uz kurām attiecas Direktīva (ES) 2022/2555. Ar šo regulu izveidotā Savienības pārraudzības sistēma (pārraudzības sistēma) attiecas uz visām kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, tostarp mākoņdatošanas pakalpojumu sniedzējiem, kas sniedz IKT pakalpojumus finanšu vienībām, un būtu jāuzskata, ka tā papildina uzraudzību, ko veic, ievērojot Direktīvu (ES) 2022/2555. Turklāt ar šo regulu izveidotajai pārraudzības sistēmai būtu jāattiecas uz mākoņdatošanas pakalpojumu sniedzējiem gadījumā, ja nav Savienības horizontālās sistēmas, ar ko izveido digitālo pārraudzības iestādi.

(21)

Lai turpinātu pilnībā kontrolēt IKT risku, finanšu vienībām ir jābūt visaptverošām spējām, kas nodrošina spēcīgu un efektīvu IKT riska pārvaldību, kā arī īpašiem visu ar IKT saistītu incidentu novēršanas un nozīmīgāko ar IKT saistītu incidentu paziņošanas mehānismiem un politikai. Tāpat finanšu vienībām būtu jāievieš politika IKT sistēmu, kontroles un procesu testēšanai, kā arī trešo personu IKT riska pārvaldībai. Būtu jāpaaugstina finanšu vienību digitālās darbības noturības pamatlīmenis, vienlaikus ļaujot arī samērīgi piemērot prasības dažām finanšu vienībām, jo īpaši mikrouzņēmumiem, kā arī tām finanšu vienībām, uz kurām attiecas vienkāršota IKT riska pārvaldības sistēma. Lai veicinātu efektīvu arodpensijas kapitāla uzkrāšanas institūciju uzraudzību, kas ir samērīga un pievēršas nepieciešamībai samazināt administratīvo slogu kompetentajām iestādēm, attiecīgajos valsts uzraudzības pasākumos attiecībā uz šādām finanšu vienībām būtu jāņem vērā to lielums un vispārējais riska profils, kā arī to pakalpojumu, darbību un operāciju veids, apmērs un sarežģītība pat tad, ja ir pārsniegtas attiecīgās robežvērtības, kas noteiktas Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/2341 (10) 5. pantā. Jo īpaši uzraudzības darbībās galvenā uzmanība būtu jāpievērš vajadzībai novērst nopietnus riskus, kas saistīti ar konkrētas vienības IKT riska pārvaldību.

Kompetentajām iestādēm būtu arī jāsaglabā modra, bet samērīga pieeja attiecībā uz arodpensijas kapitāla uzkrāšanas institūciju uzraudzību, kuras saskaņā ar Direktīvas (ES) 2016/2341 31. pantu būtisku savas pamatdarbības daļu, piemēram, aktīvu pārvaldību, aktuāraprēķinus, grāmatvedību un datu pārvaldību, nodod ārpakalpojumu sniedzējiem.

(22)

Ar IKT saistīto incidentu paziņošanas robežvērtības un taksonomija valstu līmenī ievērojami atšķiras. Lai gan pie kopsaucēja var nonākt ar attiecīgo darbu, ko saskaņā ar Direktīvu (ES) 2022/2555 veic Eiropas Savienības Kiberdrošības aģentūra (ENISA), kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) 2019/881 (11), un sadarbības grupa, pārējām finanšu vienībām joprojām pastāv vai var rasties atšķirīgas pieejas attiecībā uz robežvērtību noteikšanu un taksonomijas izmantošanu. Minēto atšķirību dēļ pastāv vairākas prasības, kas finanšu vienībām jāievēro, īpaši tad, kad tās darbojas vairākās dalībvalstīs un kad tās ir finanšu grupas daļa. Turklāt šādas atšķirības rada iespēju kavēt vēl vienotāku vai centralizētu Savienības mehānismu izveidi, kuri paātrina ziņošanas procesu un atbalsta ātru un vienmērīgu informācijas apmaiņu starp kompetentajām iestādēm, kas ir būtiski IKT riska novēršanai liela mēroga uzbrukumu gadījumā ar potenciāli sistēmiskām sekām.

(23)

Lai samazinātu administratīvo slogu un iespējamu ziņošanas pienākumu dublēšanos dažām finanšu vienībām, incidentu paziņošanas prasība, ievērojot Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/2366 (12), vairs nebūtu jāpiemēro maksājumu pakalpojumu sniedzējiem, uz kuriem attiecas šīs regulas darbības joma. Tādēļ kredītiestādēm, elektroniskās naudas iestādēm, maksājumu iestādēm un konta informācijas pakalpojumu sniedzējiem, kā norādīts minētās direktīvas 33. panta 1. punktā, ievērojot šo regulu, būtu no šīs regulas piemērošanas dienas jāziņo par visiem ar maksājumiem saistītiem darbības vai drošības incidentiem, par kuriem iepriekš tika ziņots, ievērojot minēto direktīvu, neatkarīgi no tā, vai šādi incidenti ir saistīti ar IKT.

(24)

Lai kompetentās iestādes varētu pildīt uzraudzības uzdevumus, gūstot pilnīgu pārskatu par to, kāda ir ar IKT saistīto incidentu būtība, biežums, nozīme un ietekme, un lai veicinātu informācijas apmaiņu starp attiecīgajām valsts iestādēm, tostarp tiesībaizsardzības iestādēm un noregulējuma iestādēm, šajā regulā būtu jāparedz stabila ar IKT saistītu incidentu paziņošanas kārtība, kurā ar attiecīgām prasībām novērš pašreizējās nepilnības finanšu pakalpojumu tiesību aktos un novērstu pašreizējos pārklāšanās un dublēšanās gadījumus, lai mazinātu izmaksas. Ir svarīgi saskaņot ar IKT saistītu incidentu paziņošanas kārtību, visām finanšu vienībām prasot iesniegt ziņojumus savām kompetentajām iestādēm vienotā, racionalizētā sistēmā, kā izklāstīts šajā regulā. Turklāt EUI būtu jāpilnvaro sīkāk noteikt būtiskus ar IKT saistīto incidentu paziņošanas sistēmas elementus, piemēram, taksonomiju, termiņus, datu kopas, veidnes un piemērojamās robežvērtības. Lai nodrošinātu pilnīgu saskaņotību ar Direktīvu (ES) 2022/2555, finanšu vienībām būtu jāļauj brīvprātīgi paziņot attiecīgajai kompetentajai iestādei par būtiskiem kiberdraudiem, ja tās uzskata, ka kiberdraudi ir būtiski finanšu sistēmai, pakalpojumu lietotājiem vai klientiem.

(25)

Dažās finanšu apakšnozarēs ir izstrādātas digitālās darbības noturības testēšanas prasības, nosakot sistēmas, kas ne vienmēr ir pilnībā saskaņotas. Tā rezultātā pārrobežu finanšu vienībām var rasties izmaksu dublēšanās un tiek sarežģīta savstarpēja digitālās darbības noturības testēšanas rezultātu atzīšana, un tas savukārt var sadrumstalot iekšējo tirgu.

(26)

Turklāt, ja IKT testēšana netiek prasīta, ievainojamība paliek neatklāta un tā rezultātā finanšu vienība tiek pakļauta IKT riskam, un galu galā rodas lielāks risks finanšu nozares stabilitātei un integritātei. Bez Savienības iejaukšanās digitālās darbības noturības testēšana arī turpmāk būtu nekonsekventa un trūktu sistēmas savstarpējai IKT testēšanas rezultātu atzīšanai dažādās jurisdikcijās. Turklāt, tā kā ir maz ticams, ka citas finanšu apakšnozares nozīmīgā apmērā pieņemtu testēšanas shēmas, tās zaudētu iespējamos ieguvumus no testēšanas sistēmas attiecībā uz IKT ievainojamību un risku atklāšanu, un aizsardzības spēju un darbības nepārtrauktības testēšanu, kas palīdz vairot klientu, piegādātāju un darījumu partneru uzticēšanos. Lai novērstu minēto pārklāšanos, atšķirības un nepilnības, ir jāparedz noteikumi koordinētai testēšanas kārtībai un tādējādi jāatvieglo savstarpēja pastiprinātas testēšanas atzīšana, kuru veic tām finanšu vienībām, kuras atbilst šajā regulā izklāstītiem kritērijiem.

(27)

Finanšu vienību paļaušanos uz IKT pakalpojumu izmantošanu daļēji nosaka to nepieciešamība pielāgoties jaunai konkurencei digitālajā globālajā ekonomikā, celt uzņēmējdarbības efektivitāti un apmierināt klientu pieprasījumu. Šādas paļaušanās veids un apmērs pēdējo gadu laikā ir pastāvīgi mainījies, sekmējot finanšu starpniecības izmaksu samazināšanos, ļaujot uzņēmumiem paplašināties un mērogot finanšu darbību izvēršanu, vienlaikus piedāvājot plašu IKT rīku klāstu sarežģītu iekšējo procesu pārvaldībai.

(28)

Plašo IKT pakalpojumu izmantošanu apliecina sarežģītas līgumiskas vienošanās, kuru kontekstā finanšu vienībām bieži rodas grūtības vienoties par līguma noteikumiem, kas būtu pielāgoti prudenciālajiem standartiem vai citām regulatīvām prasībām, kas tām jāievēro, vai citādi īstenot īpašas tiesības, piemēram, piekļuves tiesības vai revīzijas tiesības, pat ja to līgumiskās vienošanās tādas paredz. Turklāt daudzas minētās līgumiskās vienošanās neparedz pietiekamus aizsardzības pasākumus, kas ļautu pilnībā uzraudzīt apakšuzņēmuma līguma slēgšanas procesus, tādējādi liedzot finanšu vienībai spēju novērtēt ar to saistītos riskus. Turklāt, tā kā trešās personas, kas ir IKT pakalpojumu sniedzējas, bieži sniedz standartizētus pakalpojumus dažādu veidu klientiem, šādas līgumiskas vienošanās ne vienmēr pienācīgi atbilst individuālām vai īpašām finanšu nozares dalībnieku vajadzībām.

(29)

Lai arī Savienības tiesību aktos par finanšu pakalpojumiem ir daži vispārīgi noteikumi par ārpakalpojumiem, līgumiskās dimensijas uzraudzība Savienības tiesību aktos nav pilnībā nostiprināta. Tā kā nav skaidru un pielāgotu Savienības standartu, kas attiektos uz līgumisku vienošanos, kas ir noslēgta ar trešām personām, kas sniedz IKT pakalpojumus, IKT riska ārējais avots nav visaptveroši aplūkots. Tādēļ ir jānosaka daži pamatprincipi, pēc kuriem finanšu vienības vadītos attiecībā uz trešo personu IKT risku un kuri ir īpaši svarīgi, ja finanšu vienības izmanto trešās personas, kas sniedz IKT pakalpojumus, savu kritiski svarīgo vai svarīgo funkciju atbalstam. Minētie principi būtu jāpapildina ar līgumisko pamattiesību kopumu attiecībā uz vairākiem līgumisko vienošanos izpildes un izbeigšanas elementiem konkrētu minimālo aizsardzības pasākumu nodrošināšanai, lai stiprinātu finanšu vienības spēju efektīvi uzraudzīt visu IKT risku, kas rodas to trešo personu līmenī, kuras sniedz pakalpojumus. Minētie principi papildina nozaru tiesību aktus, ko piemēro ārpakalpojumiem.

(30)

Pašlaik pastāv zināms viendabības un konverģences trūkums attiecībā uz to, kā tiek uzraudzīts ar trešo personu saistītais IKT risks un trešo personu atkarība no IKT. Neraugoties uz tādiem centieniem risināt ārpakalpojumu jautājumu kā EBI 2019. gada pamatnostādnes par ārpakalpojumu izmantošanu un EVTI 2021. gada pamatnostādnes par ārpakalpojumu nodošanu mākoņpakalpojumu sniedzējiem, plašākais jautājums par vēršanos pret sistēmisku risku, ko varētu izraisīt finanšu nozares pakļautība ierobežotam skaitam kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, Savienības tiesību aktos nav pietiekami aplūkots. Noteikumu trūkumu Savienības līmenī saasina tas, ka nav valstu noteikumu par pilnvarojumiem un rīkiem, kas ļautu finanšu uzraudzības iestādēm iegūt labu izpratni par atkarību no trešām personām, kas sniedz IKT pakalpojumus, un pienācīgi uzraudzīt riskus, ko rada koncentrēta atkarība no trešām personām, kas sniedz IKT pakalpojumus.

(31)

Ņemot vērā iespējamo sistēmisko risku, ko rada ārpakalpojumu izmantošanas prakse un IKT trešo personu koncentrācija, un paturot prātā to, ka valstu mehānismi nav pietiekami, lai finanšu uzraudzības iestādēm nodrošinātu pienācīgus rīkus, ar ko kvantitatīvi noteikt, kvalificēt un novērst tāda IKT riska sekas, kas rodas kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ir jāizveido pienācīga pārraudzības sistēma, kas ļautu pastāvīgi uzraudzīt to trešo personu darbības, kuras sniedz IKT pakalpojumus, kas ir kritiski svarīgi pakalpojumu sniedzēji finanšu vienībām, vienlaikus nodrošinot klientu un citu finanšu vienību konfidencialitātes un drošības saglabāšanu. Lai gan IKT pakalpojumu sniegšana grupas iekšienē rada īpašus riskus un ieguvumus, nevajadzētu automātiski uzskatīt, ka tā nav tik riskanta kā IKT pakalpojumu sniegšana, ko īsteno pakalpojumu sniedzēji ārpus finanšu grupas, un tāpēc uz to būtu jāattiecina tas pats tiesiskais regulējums. Tomēr, ja IKT pakalpojumi tiek sniegti vienā un tajā pašā finanšu grupā, finanšu vienības pakalpojumu sniedzējus grupas iekšienē varētu kontrolēt augstākā līmenī, un tas būtu jāņem vērā vispārējā riska novērtējumā.

(32)

Tā kā IKT risks kļūst arvien sarežģītāks un attīstītāks, labi pasākumi IKT riska atklāšanai un profilaksei lielākoties ir atkarīgi no regulāras apdraudējumu un ievainojamības izlūkdatu apmaiņas starp finanšu vienībām. Informācijas apmaiņa veicina lielākas izpratnes veidošanu par kiberdraudiem. Tas savukārt uzlabo finanšu vienību spēju novērst kiberdraudu pārtapšanu reālos ar IKT saistītos incidentos un ļauj finanšu vienībām efektīvāk ierobežot ar IKT saistīto incidentu ietekmi un ātrāk novērst to sekas. Tā kā nepastāv Savienības līmeņa norādījumi, šādu izlūkdatu apmaiņu, šķiet, ir kavējuši vairāki faktori, jo īpaši nenoteiktība attiecībā uz tās saderību ar datu aizsardzības, pretmonopola un atbildības noteikumiem.

(33)

Turklāt noderīga informācija tiek noklusēta tādēļ, ka pastāv šaubas par to, kādu informāciju var koplietot ar citiem tirgus dalībniekiem vai iestādēm, kas nav uzraudzības iestādes (piemēram, ENISA attiecībā uz analītiskajiem ievaddatiem vai Eiropolu – tiesībaizsardzības mērķiem). Tādēļ patlaban informācijas apmaiņas apjoms un kvalitāte joprojām ir ierobežoti un sadrumstaloti, attiecīgā apmaiņa pārsvarā tiek veikta vietējā līmenī (izmantojot valstu iniciatīvas), un nepastāv konsekventa Savienības mēroga informācijas apmaiņas kārtība, kas būtu pielāgota integrētas finanšu sistēmas vajadzībām. Šajā sakarā ir svarīgi stiprināt minētos saziņas kanālus.

(34)

Finanšu vienības būtu jāmudina savstarpēji apmainīties ar informāciju par kiberdraudiem un ar izlūkdatiem un kolektīvi izmantot to individuālās zināšanas un praktisko pieredzi stratēģiskā, taktiskā un darbības līmenī, lai uzlabotu to spējas pienācīgi novērtēt un uzraudzīt kiberdraudus, aizsargāties pret tiem un reaģēt uz tiem, piedaloties informācijas apmaiņas pasākumos. Tādēļ ir nepieciešams ļaut Savienības līmenī rasties mehānismiem, kuri paredz brīvprātīgu informācijas apmaiņas kārtību un kuri, veikti uzticamā vidē, palīdzēs finanšu nozares kopienai novērst kiberdraudus un kolektīvi reaģēt uz tiem, ātri ierobežojot IKT riska izplatīšanos un kavējot iespējamu kaitīgas ietekmes izplatīšanos pa finanšu kanāliem. Minētajiem mehānismiem būtu jāatbilst piemērojamajiem Savienības konkurences tiesību noteikumiem, kas izklāstīti Komisijas 2011. gada 14. janvāra paziņojumā “Pamatnostādnes par Līguma par Eiropas Savienības darbību 101. panta piemērojamību horizontālās sadarbības nolīgumiem”, kā arī Savienības datu aizsardzības noteikumiem, jo īpaši Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 (13). Minētajiem mehānismiem būtu jādarbojas, pamatojoties uz viena vai vairāku minētās regulas 6. pantā noteikto juridisko pamatu izmantošanu, piemēram, saistībā ar minētās regulas 6. panta 1. punkta f) apakšpunktā minēto personas datu apstrādi, kas ir nepieciešama pārziņa vai trešās personas leģitīmo interešu ievērošanai, kā arī saistībā ar personas datu apstrādi, kas ir nepieciešama, lai izpildītu uz pārzini attiecināmas juridiskas saistības, un kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, kā attiecīgi norādīts minētās regulas 6. panta 1. punkta c) un e) apakšpunktā.

(35)

Lai saglabātu augstu digitālās darbības noturības līmeni visā finanšu nozarē un vienlaikus ietu kopsolī ar tehnoloģiju attīstību, ar šo regulu būtu jānovērš risks, kas izriet no visu veidu IKT pakalpojumiem. Šajā nolūkā IKT pakalpojumu definīcija šīs regulas kontekstā būtu jāsaprot plaši, ietverot digitālos un datu pakalpojumus, ko ar IKT sistēmu starpniecību pastāvīgi sniedz vienam vai vairākiem iekšējiem vai ārējiem lietotājiem. Minētajai definīcijai, piemēram, būtu jāietver tā sauktie OTT (over the top) pakalpojumi, kas ietilpst elektronisko komunikāciju pakalpojumu kategorijā. Tajā nebūtu jāietver tikai ierobežota tādu tradicionālo analogās telefonijas pakalpojumu kategorija, kuri kvalificējami kā publiskā komutējamā telefonu tīkla (PSTN) pakalpojumi, fiksētā tīkla pakalpojumi, analogā balss telefonijas pieslēguma pakalpojumi (POTS) vai fiksētās telefonijas pakalpojumi.

(36)

Neraugoties uz šajā regulā paredzēto plašo darbības jomu, piemērojot digitālās darbības noturības noteikumus, būtu jāņem vērā nozīmīgas atšķirības attiecībā uz finanšu vienību lielumu un vispārējo riska profilu. Vispārīgs princips paredz, ka finanšu vienībām, sadalot resursus un spējas IKT riska pārvaldības sistēmas īstenošanai, ar IKT saistītās vajadzības būtu pienācīgi jālīdzsvaro ar to lielumu un vispārējo riska profilu un to pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību, savukārt kompetentajām iestādēm būtu jāturpina vērtēt un pārskatīt šādas sadales pieeju.

(37)

Konta informācijas pakalpojumu sniedzēji, kas minēti Direktīvas (ES) 2015/2366 33. panta 1. punktā, ir nepārprotami iekļauti šīs regulas darbības jomā, ņemot vērā to darbības veidu un ar to saistītos riskus. Turklāt elektroniskās naudas iestādes un maksājumu iestādes, kurām piemēro izņēmumu, ievērojot Eiropas Parlamenta un Padomes Direktīvas 2009/110/EK (14) 9. panta 1. punktu un Direktīvas (ES) 2015/2366 32. panta 1. punktu, ir iekļautas šīs regulas darbības jomā, pat ja tām saskaņā ar Direktīvu 2009/110/EK nav piešķirta atļauja emitēt elektronisko naudu vai ja tām saskaņā ar Direktīvu (ES) 2015/2366 nav piešķirta atļauja sniegt un izpildīt maksājumu pakalpojumus. Tomēr šīs regulas darbības jomā nav iekļautas pasta žiro norēķinu iestādes, kas minētas Eiropas Parlamenta un Padomes Direktīvas 2013/36/ES (15) 2. panta 5. punkta 3. apakšpunktā. Kompetentajai iestādei, ko izraugās maksājumu iestādēm, kam piemēro izņēmumu, ievērojot Direktīvu (ES) 2015/2366, elektroniskās naudas iestādēm, kam piemēro izņēmumu, ievērojot Direktīvu 2009/110/EK, un konta informācijas pakalpojumu sniedzējiem, kas minēti Direktīvas (ES) 2015/2366 33. panta 1. punktā, vajadzētu būt kompetentajai iestādei, kas izraudzīta saskaņā ar Direktīvas (ES) 2015/2366 22. pantu.

(38)

Tā kā lielākām finanšu vienībām varētu būt vairāk resursu un tās var ātri novirzīt līdzekļus pārvaldības struktūru attīstīšanai un dažādu korporatīvo stratēģiju izveidošanai, sarežģītāka pārvaldības kārtība būtu obligāti jāizveido tikai tām finanšu vienībām, kas nav mikrouzņēmumi šīs regulas nozīmē. Šādām vienībām ir lielākas iespējas izveidot īpašas vadības funkcijas, lai uzraudzītu vienošanās ar trešām personām, kas sniedz IKT pakalpojumus, vai pārvarētu krīzi, organizētu IKT riska pārvaldību atbilstīgi trīs aizsardzības līniju modelim vai izveidotu iekšēju riska pārvaldības un kontroles modeli, un iesniegt iekšējai revīzijai savu IKT riska pārvaldības sistēmu.

(39)

Dažas finanšu vienības gūst labumu no izņēmumiem vai arī tām piemēro ļoti atvieglotu tiesisko regulējumu saskaņā ar attiecīgajiem konkrētai nozarei piemērojamajiem Savienības tiesību aktiem. Šādas finanšu sabiedrības ietver alternatīvo ieguldījumu fondu pārvaldniekus, kas minēti Eiropas Parlamenta un Padomes Direktīvas 2011/61/ES (16) 3. panta 2. punktā, apdrošināšanas un pārapdrošināšanas sabiedrības, kas minētas Eiropas Parlamenta un Padomes Direktīvas 2009/138/EK (17) 4. pantā, un arodpensijas kapitāla uzkrāšanas institūcijas, kas pārvalda pensiju shēmas, kurās kopā nav vairāk par 15 dalībniekiem. Ņemot vērā minētos izņēmumus, nebūtu samērīgi iekļaut šādas finanšu vienības šīs regulas darbības jomā. Turklāt šajā regulā ir atzīta apdrošināšanas starpniecības tirgus struktūras specifika, tāpēc šī regula nebūtu jāpiemēro apdrošināšanas starpniekiem, pārapdrošināšanas starpniekiem un apdrošināšanas papildpakalpojuma starpniekiem, kas kvalificējami kā mikrouzņēmumi vai kā mazie vai vidējie uzņēmumi.

(40)

Ņemot vērā, ka Direktīvas 2013/36/ES 2. panta 5. punkta 4.–23. apakšpunktā minētās vienības ir izslēgtas no minētās direktīvas darbības jomas, dalībvalstīm tādējādi būtu jāspēj izvēlēties atbrīvot no šīs regulas piemērošanas šādas vienības, kas atrodas to attiecīgajās teritorijās.

(41)

Tāpat, lai šo regulu saskaņotu ar Eiropas Parlamenta un Padomes Direktīvas 2014/65/ES (18) darbības jomu, ir lietderīgi no šīs regulas darbības jomas izslēgt arī fiziskas un juridiskas personas, kas norādītas minētās direktīvas 2. un 3. pantā un kurām ir ļauts sniegt ieguldījumu pakalpojumus bez pienākuma saņemt atļauju saskaņā ar Direktīvu 2014/65/ES. Tomēr ar Direktīvas 2014/65/ES 2. pantu no minētās direktīvas darbības jomas ir izslēgtas arī vienības, kuras šīs regulas nolūkos ir uzskatāmas par finanšu vienībām, piemēram, centrālie vērtspapīru depozitāriji, kolektīvo ieguldījumu uzņēmumi vai apdrošināšanas un pārapdrošināšanas uzņēmumi. Personu un vienību, kas norādītas minētās direktīvas 2. un 3. pantā, izslēgšana no šīs regulas darbības jomas nebūtu jāattiecina uz minētajiem centrālajiem vērtspapīru depozitārijiem, kolektīvo ieguldījumu uzņēmumiem vai apdrošināšanas un pārapdrošināšanas uzņēmumiem.

(42)

Saskaņā ar konkrētai nozarei piemērojamiem Savienības tiesību aktiem dažām finanšu vienībām piemēro mazāk stingras prasības vai izņēmumus tādu iemeslu dēļ, kas saistīti ar to lielumu vai sniegtajiem pakalpojumiem. Minētajā finanšu vienību kategorijā ietilpst nelielas un savstarpēji nesaistītas ieguldījumu brokeru sabiedrības, nelielas arodpensijas kapitāla uzkrāšanas institūcijas, kuras attiecīgā dalībvalsts var izslēgt no Direktīvas (ES) 2016/2341 darbības jomas saskaņā ar minētās direktīvas 5. pantā paredzētajiem nosacījumiem un kuras pārvalda pensiju shēmas, kurās kopā nav vairāk par 100 dalībniekiem, kā arī iestādes, kurām piemēro izņēmumu saskaņā ar Direktīvu 2013/36/ES. Tāpēc saskaņā ar proporcionalitātes principu un lai saglabātu konkrētai nozarei piemērojamo Savienības tiesību aktu garu, ir arī lietderīgi minētajām finanšu vienībām piemērot vienkāršotu IKT riska pārvaldības sistēmu saskaņā ar šo regulu. Regulatīvajiem tehniskajiem standartiem, kas jāizstrādā EUI, nebūtu jāizmaina minētajām finanšu vienībām piemērojamās IKT riska pārvaldības sistēmas samērīgums. Turklāt saskaņā ar proporcionalitātes principu ir lietderīgi arī maksājumu iestādēm, kas minētas Direktīvas (ES) 2015/2366 32. panta 1. punktā, un elektroniskās naudas iestādēm, kas minētas Direktīvas 2009/110/EK 9. pantā un kam piemēro izņēmumu saskaņā ar valsts tiesību aktiem, ar kuriem transponē minētos Savienības tiesību aktus, piemērot vienkāršotu IKT riska pārvaldības sistēmu saskaņā ar šo regulu, savukārt maksājumu iestādēm un elektroniskās naudas iestādēm, kurām nepiemēro izņēmumu saskaņā ar to attiecīgajiem valsts tiesību aktiem, ar kuriem transponē Savienības nozaru tiesību aktus, būtu jāievēro šajā regulā noteiktais vispārējais regulējums.

(43)

Tāpat finanšu vienībām, kas kvalificējamas kā mikrouzņēmumi vai kurām piemēro vienkāršotu IKT riska pārvaldības sistēmu saskaņā ar šo regulu, nebūtu jānosaka par pienākumu izveidot funkciju, ar kuru uzrauga ar trešām personām, kas sniedz IKT pakalpojumus, noslēgtos līgumus par IKT pakalpojumu izmantošanu; vai iecelt augstākās vadības locekli, kas atbild par to, lai tiktu uzraudzīta pakļautība riskam un attiecīgie dokumenti; uzticēt kontroles funkcijai atbildību par IKT riska pārvaldību un pārraudzību un, lai nepieļautu interešu konfliktus, nodrošināt, ka šādai kontroles funkcijai ir pienācīgs neatkarības līmenis; vismaz reizi gadā dokumentēt un pārskatīt IKT riska pārvaldības sistēmu; regulāri veikt IKT riska pārvaldības sistēmas iekšējo revīziju; veikt padziļinātus novērtējumus pēc būtiskām izmaiņām to tīklu un informācijas sistēmu infrastruktūrā un procesos; regulāri veikt mantoto IKT sistēmu riska analīzi; neatkarīgās iekšējās revīzijās veikt IKT reaģēšanas un seku novēršanas plānu īstenošanas pārskatīšanu; izveidot krīzes pārvaldības funkciju, paplašināt darbības nepārtrauktības un reaģēšanas un seku novēršanas plānu testēšanu, lai aptvertu pārslēgšanās scenārijus starp primāro IKT infrastruktūru un rezerves mehānismiem; pēc kompetento iestāžu pieprasījuma ziņot tām aplēses par gada kopējām izmaksām un zaudējumiem, ko radījuši būtiski ar IKT saistīti incidenti, uzturēt rezerves IKT jaudu; paziņot valstu kompetentajām iestādēm par izmaiņām, kas ieviestas pēc tādu incidentu pārskatīšanas, kuri saistīti ar IKT; pastāvīgi uzraudzīt attiecīgo tehnoloģisko attīstību, izveidot visaptverošu digitālās darbības noturības testēšanas programmu kā šajā regulā minētās IKT riska pārvaldības sistēmas neatņemamu daļu vai pieņemt un regulāri pārskatīt ar trešo personu saistītā IKT riska stratēģiju. Turklāt mikrouzņēmumiem būtu jāuzliek par pienākumu novērtēt vajadzību uzturēt šādu rezerves IKT jaudu, pamatojoties tikai uz to riska profilu. Mikrouzņēmumiem būtu jāpiemēro elastīgāks režīms attiecībā uz digitālās darbības noturības testēšanas programmām. Apsverot veicamās testēšanas veidu un biežumu, tiem būtu pienācīgi jālīdzsvaro mērķis saglabāt augstu digitālās darbības noturību, pieejamie resursi un to vispārējais riska profils. Mikrouzņēmumi un finanšu vienības, kurām piemēro vienkāršotu IKT riska pārvaldības sistēmu saskaņā ar šo regulu, būtu jāatbrīvo no prasības veikt IKT rīku, sistēmu un procesu padziļinātu testēšanu, balstoties uz draudu vadītu ielaušanās testēšanu (DVIT), jo tikai tādām finanšu vienībām, kas atbilst šajā regulā izklāstītajiem kritērijiem, vajadzētu būt pienākumam veikt šādu testēšanu. Ņemot vērā mikrouzņēmumu ierobežotās spējas, tiem būtu jāspēj vienoties ar trešām personām, kas sniedz IKT pakalpojumus, ka piekļuves, pārbaudes un revīzijas veikšanas tiesības tiek deleģētas neatkarīgai trešai personai, kuru iecēlusi trešā persona, kas sniedz IKT pakalpojumus, ar noteikumu, ka finanšu vienība no attiecīgās neatkarīgās trešās personas var jebkurā brīdī pieprasīt visu attiecīgo informāciju un garantiju par izpildes rezultātu, ko nodrošina trešā persona, kas sniedz IKT pakalpojumus.

(44)

Tā kā draudu vadīti ielaušanās testi būtu obligāti jāveic tikai tām finanšu vienībām, kas identificētas padziļinātās digitālās darbības noturības testēšanas mērķiem, ar šādu testu veikšanu saistītie administratīvie procesi un finansiālās izmaksas būtu jāsedz nelielam skaitam finanšu vienību.

(45)

Lai nodrošinātu pilnīgu saskaņotību un kopējo vienveidību starp finanšu vienību uzņēmējdarbības stratēģijām, no vienas puses, un IKT riska pārvaldības veikšanu, no otras puses, finanšu vienību vadības struktūrām būtu jāsaglabā nozīmīga un aktīva loma IKT riska pārvaldības sistēmas un kopējās digitālās darbības noturības stratēģijas vadībā un pielāgošanā. Vadības struktūru pieejai vajadzētu būt ne vien vērstai uz to, kā nodrošināt IKT sistēmu noturību, bet arī būtu jāaptver cilvēki un procesi, izmantojot rīcībpolitikas pasākumu kopumu, kas katrā korporatīvās vadības līmenī un attiecībā uz visu personālu sekmē labu izpratni par kiberriskiem un apņemšanos visos līmeņos ievērot stingru kiberhigiēnu. Vadības struktūras galīgajai atbildībai par finanšu vienības IKT riska pārvaldību vajadzētu būt šādas visaptverošas pieejas vispārējam principam, kas tālāk izpaužas kā vadības struktūras pastāvīga iesaiste IKT riska pārvaldības uzraudzības kontrolē.

(46)

Turklāt princips, ka vadības struktūra ir pilnībā un galīgi atbildīga par finanšu vienības IKT riska pārvaldību, saskan ar vajadzību nodrošināt tādu ar IKT saistītu ieguldījumu līmeni un kopējo finanšu vienības budžetu, kas ļautu finanšu vienībai sasniegt augstu digitālās darbības noturības līmeni.

(47)

Pamatojoties uz starptautisko, nacionālo un nozares attiecīgo paraugpraksi, pamatnostādnēm, ieteikumiem un pieejām kiberriska pārvaldībai, šī regula veicina tādu principu kopumu, kas sekmē IKT riska pārvaldības vispārējo strukturēšanu. Tādējādi, ja galvenās spējas, ko ievieš finanšu vienības, risina šajā regulā noteiktās dažādās funkcijas, kas ietvertas IKT riska pārvaldībā (identifikācija, aizsardzība un profilakse, atklāšana, reaģēšana un seku novēršana, mācīšanās un attīstība, saziņa), finanšu vienībām arī turpmāk vajadzētu būt iespējai brīvi izmantot dažādi formulētus vai citā kategorijā iekļautus IKT riska pārvaldības modeļus.

(48)

Lai neatpaliktu no strauji mainīgās kiberdraudu vides, finanšu vienībām būtu jāuztur atjauninātas IKT sistēmas, kas ir uzticamas un spēj ne tikai garantēt to pakalpojumiem nepieciešamo datu apstrādi, bet arī nodrošināt pietiekamu tehnoloģisko noturību, lai ļautu tām pienācīgi veikt papildu apstrādi, kas vajadzīga saspringtu tirgus apstākļu vai citas nelabvēlīgas situācijas dēļ.

(49)

Ir nepieciešami efektīvi darbības nepārtrauktības un seku novēršanas plāni, lai finanšu vienības varētu nekavējoties un ātri atrisināt ar IKT saistītos incidentus, jo īpaši kiberuzbrukumus, ierobežojot kaitējumu un dodot priekšroku darbību atsākšanai un seku novēršanas darbībām saskaņā ar to rezerves kopiju veidošanas politiku. Tomēr šāda darbību atsākšana nedrīkstētu nekādā veidā apdraudēt tīklu un informācijas sistēmu integritāti un drošību vai datu pieejamību, autentiskumu, integritāti vai konfidencialitāti.

(50)

Lai gan šī regula ļauj finanšu vienībām elastīgi konstatēt mērķus attiecībā uz saviem atgūšanas termiņiem un atgūšana punktu un līdz ar to noteikt šādus mērķus, pilnībā ņemot vērā attiecīgo funkciju būtību un kritisko svarīgumu, kā arī jebkādas specifiskās uzņēmējdarbības vajadzības, jebkurā gadījumā tajā būtu jāuzliek pienākums šīm vienībām mērķu noteikšanas procesā veikt novērtējumu par iespējamo kopējo ietekmi uz tirgus efektivitāti.

(51)

Kiberuzbrukumu īstenotāji parasti cenšas gūt finansiālus ieguvumus tieši līdzekļu izcelsmes vietā, tādējādi radot būtiskas sekas finanšu vienībām. Lai novērstu to, ka IKT sistēmas zaudē integritāti vai kļūst nepieejamas, un tādējādi novērstu datu pārkāpumus un kaitējumu fiziskajai IKT infrastruktūrai, būtu ievērojami jāuzlabo un jāracionalizē finanšu vienību ziņošana par būtiskiem ar IKT saistītiem incidentiem. Ar IKT saistītu incidentu paziņošana būtu jāsaskaņo, nosakot prasību visām finanšu vienībām ziņot tieši to attiecīgajām kompetentajām iestādēm. Ja finanšu vienību uzrauga vairāk nekā viena valsts kompetentā iestāde, dalībvalstīm būtu jāizraugās viena kompetentā iestāde, kurai adresē šādus ziņojumus. Kredītiestādēm, kas saskaņā ar Padomes Regulas (ES) Nr. 1024/2013 (19) 6. panta 4. punktu klasificētas kā nozīmīgas, būtu jāiesniedz minētie ziņojumi valsts kompetentajām iestādēm, kurām pēc tam attiecīgais ziņojums būtu jānosūta Eiropas Centrālajai bankai (ECB).

(52)

Tiešai ziņošanai būtu jāļauj finanšu uzraudzības iestādēm nekavējoties piekļūt informācijai par būtiskiem ar IKT saistītiem incidentiem. Savukārt finanšu uzraudzības iestādēm par būtiskiem ar IKT saistītiem incidentiem būtu jāinformē publiskās nefinanšu iestādes (piemēram, kompetentās iestādes un vienotie kontaktpunkti saskaņā ar Direktīvu (ES) 2022/2555, valsts datu aizsardzības iestādes un tiesībaizsardzības iestādes par būtiskiem ar IKT saistītiem krimināla rakstura incidentiem), lai uzlabotu šādu iestāžu informētību par šādiem incidentiem un CSIRT gadījumā sekmētu ātru palīdzību, ko attiecīgā gadījumā var sniegt finanšu vienībām. Turklāt dalībvalstīm būtu jāspēj noteikt, ka finanšu vienībām pašām būtu šāda informācija jāsniedz publiskām iestādēm, kas nav saistītas ar finanšu pakalpojumu jomu. Minētajai informācijas nodošanai būtu jādod iespēja finanšu vienībām ātri iegūt attiecīgo tehnisko informāciju, konsultācijas par tiesiskās aizsardzības līdzekļiem un informāciju par turpmākiem šādu iestāžu veiktiem pasākumiem. Informācija par būtiskiem ar IKT saistītiem incidentiem būtu jāsniedz abpusēji: finanšu uzraudzības iestādēm būtu jāsniedz finanšu vienībai visa nepieciešamā atgriezeniskā saite vai norādījumi, savukārt EUI būtu jādalās ar anonimizētiem datiem par kiberdraudiem un ievainojamību, kas saistīti ar incidentu, lai palīdzētu veidot kolektīvo aizsardzību plašākā nozīmē.

(53)

Lai gan visām finanšu vienībām būtu jāuzliek par pienākumu ziņot par incidentiem, nav paredzēts, ka šī prasība vienādi skars tās visas. Faktiski attiecīgās būtiskuma robežvērtības, kā arī paziņošanas termiņi būtu pienācīgi jāpielāgo, ņemot vērā deleģētos aktus, kuru pamatā ir regulatīvie tehniskie standarti, kas jāizstrādā EUI, lai aptvertu tikai būtiskus ar IKT saistītus incidentus. Turklāt, nosakot termiņus saistībā ar ziņošanas pienākumu, būtu jāņem vērā finanšu vienību īpatnības.

(54)

Šajā regulā būtu jānosaka prasība kredītiestādēm, maksājumu iestādēm, konta informācijas pakalpojumu sniedzējiem un elektroniskās naudas iestādēm ziņot par visiem ar maksājumiem saistītajiem darbības vai drošības incidentiem – par kuriem iepriekš bija jāziņo saskaņā ar Direktīvu (ES) 2015/2366 – neatkarīgi no tā, vai incidents ir vai nav saistīts ar IKT.

(55)

EUI būtu jāuztic uzdevums izvērtēt iespējamību un nosacījumus ar IKT saistītas incidentu paziņošanas iespējamai centralizācijai Savienības līmenī. Šāda centralizēšana varētu ietvert vienotu ES centrmezglu ziņošanai par būtiskiem ar IKT saistītiem incidentiem, kas vai nu tieši saņemtu attiecīgos ziņojumus un automātiski informētu valstu kompetentās iestādes, vai centralizētu attiecīgos valstu kompetento iestāžu pārsūtītos ziņojumus un tādējādi pildītu koordinācijas funkciju. EUI būtu jāuztic uzdevums, apspriežoties ar ECB un ENISA, izstrādāt kopīgu ziņojumu, kurā būtu izvērtēta šāda vienota ES centrmezgla izveides iespējamība.

(56)

Lai panāktu augstu digitālās darbības noturības līmeni, kā arī ievērojot attiecīgos starptautiskos standartus (piemēram, G7 draudu vadītas ielaušanās testēšanas pamatelementus) un izmantojot tādas Savienībā piemērojamas sistēmas kā TIBER-EU, finanšu vienībām būtu regulāri jātestē savu IKT sistēmu un personāla, kam ir ar IKT saistīti pienākumi, preventīvo, atklāšanas, reaģēšanas un seku novēršanas spēju efektivitāte, lai atklātu un risinātu potenciālo IKT ievainojamību. Lai atspoguļotu dažādo finanšu apakšnozaru starpā un to iekšienē pastāvošās atšķirības saistībā ar finanšu vienību sagatavotību kiberdrošības jomā, testēšanā būtu jāietver plašs rīku un darbību klāsts, sākot no pamatprasību novērtēšanas (piemēram, ievainojamības novērtējumi un skenēšana, atklātā pirmkoda analīze, tīkla drošības novērtējumi, nepilnību analīze, fiziskās drošības pārbaudes, anketas un skenēšanas programmatūras risinājumi, pirmkodu pārskatīšana – ja iespējams, uz scenārijiem balstīti testi, saderības testēšana, veiktspējas testēšana, testēšana “no gala līdz galam”) līdz padziļinātai testēšanai, izmantojot DVIT. Šāda padziļināta testēšana būtu jāpieprasa tikai tām finanšu vienībām, kuru sagatavotība no IKT viedokļa ir pietiekama, lai to varētu pamatoti veikt. Tādēļ digitālās darbības noturības testēšanai, kas prasīta šajā regulā, attiecībā uz tām finanšu vienībām, kas atbilst šajā regulā izklāstītajiem kritērijiem (piemēram, lielām, sistēmiskām un IKT ziņā nobriedušām kredītiestādēm, biržām, centrālajiem vērtspapīru depozitārijiem un centrālajiem darījumu partneriem) būtu jābūt prasīgākai nekā attiecībā uz citām finanšu vienībām. Vienlaikus digitālās darbības noturības testēšanai, izmantojot DVIT, būtu jābūt lielākai attiecībā uz finanšu vienībām, kuras darbojas finanšu pamatpakalpojumu apakšnozarēs un kam ir sistēmiska loma (piemēram, maksājumi, banku darbība un tīrvērte un norēķini), bet mazākai – attiecībā uz citām apakšnozarēm (piemēram, aktīvu pārvaldītāji un kredītreitingu aģentūras).

(57)

Finanšu vienībām, kas ir iesaistītas pārrobežu darbībās un izmanto iedibinājumbrīvību vai brīvību sniegt pakalpojumus Savienībā, vajadzētu ievērot vienotu padziļinātas testēšanas prasību kopumu (piemēram, DVIT) savā piederības dalībvalstī, un šajā testā būtu jāiekļauj IKT infrastruktūra visās jurisdikcijās, kurās pārrobežu finanšu grupa darbojas Savienībā, tādējādi pieļaujot, ka šādām pārrobežu finanšu grupām ar IKT saistītas testēšanas izmaksas rodas tikai vienā jurisdikcijā.

(58)

Lai izmantotu pieredzi, ko dažas kompetentās iestādes jau guvušas, jo īpaši saistībā ar TIBER-EU sistēmas īstenošanu, šajā regulā būtu jāļauj dalībvalstīm izraudzīties vienu publisku iestādi par atbildīgo finanšu nozarē valsts līmenī attiecībā uz visiem DVIT jautājumiem vai, ja šāda izraudzīšana nav veikta, kompetentajām iestādēm deleģēt ar DVIT saistītu uzdevumu veikšanu citai valsts finanšu kompetentajai iestādei.

(59)

Ņemot vērā to, ka šajā regulā nav noteikta prasība finanšu vienībām ietvert visas kritiski svarīgās vai svarīgās funkcijas vienā draudu vadītā ielaušanās testā, finanšu vienībām vajadzētu būt iespējai brīvi noteikt, kuras un cik daudz kritiski svarīgu vai svarīgu funkciju būtu iekļaujamas šāda testa tvērumā.

(60)

Apvienota testēšana šīs regulas nozīmē – kurā DVIT ir iesaistītas vairākas finanšu vienības un attiecībā uz kuru trešās personas, kas sniedz IKT pakalpojumus, var tieši noslēgt līgumiskas vienošanās ar ārēju testētāju – būtu jāatļauj tikai tad, ja ir pamatoti sagaidāms, ka tiks negatīvi ietekmēta to pakalpojumu kvalitāte vai drošība, kurus trešā persona, kas sniedz IKT pakalpojumus, sniedz klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā, vai ar šādiem pakalpojumiem saistītu datu konfidencialitāte. Apvienotai testēšanai būtu jāpiemēro arī aizsardzības pasākumi (vienas izraudzītas finanšu vienības sniegtas norādes, iesaistīto finanšu vienību skaita kalibrēšana), lai nodrošinātu to iesaistīto finanšu vienību stingru testēšanu, kuras atbilst DVIT mērķiem saskaņā ar šo regulu.

(61)

Lai izmantotu korporatīvā līmenī pieejamos iekšējos resursus, šajā regulā būtu jāatļauj DVIT veikšanas nolūkā izmantot iekšējos testētājus, ar noteikumu, ka ir saņemts uzraudzības iestādes apstiprinājums, nav interešu konfliktu un ir periodiski mainīta iekšējo testētāju un ārējo testētāju (katrs trešais tests) izmantošana, vienlaikus arī pieprasot, lai draudu izlūkdatu sniedzējs DVIT vienmēr būtu ārējs un ar finanšu vienību nesaistīts. Atbildība par DVIT veikšanu būtu pilnībā jāuzņemas finanšu vienībai. Iestāžu sniegtajiem apliecinājumiem vajadzētu būt sniegtiem tikai savstarpējas atzīšanas nolūkā, un tiem nebūtu jāliedz veikt turpmākus pasākumus, kas vajadzīgi, lai novērstu IKT risku, kuram finanšu vienība ir pakļauta, kā arī tos nebūtu jāuzskata par finanšu vienības IKT riska pārvaldības un mazināšanas spēju uzraudzības apstiprinājumu.

(62)

Lai nodrošinātu ar trešo personu saistītā IKT riska stabilu uzraudzību finanšu nozarē, ir nepieciešams paredzēt uz principiem balstītu noteikumu kopumu, kas palīdzētu finanšu vienībām, kad tās veic tāda riska uzraudzību, kas rodas saistībā ar funkciju nodošanu ārpakalpojumā trešām personām, kas sniedz IKT pakalpojumus, jo īpaši IKT pakalpojumus, kas atbalsta kritiski svarīgas vai svarīgas funkcijas, kā arī vispārīgāk – saistībā ar visu veidu atkarību no trešām personām, kas sniedz IKT pakalpojumu.

(63)

Lai risinātu IKT riska dažādo avotu sarežģītību, vienlaikus ņemot vērā tādu tehnoloģisko risinājumu sniedzēju lielo skaitu un daudzveidību, kas ļauj netraucēti sniegt finanšu pakalpojumus, šai regulai būtu jāattiecas uz plašu to trešo personu loku, kas sniedz IKT pakalpojumus, tostarp mākoņdatošanas pakalpojumu, programmatūras, datu analītikas pakalpojumu un datu centru pakalpojumu sniedzējiem. Ņemot vērā, ka finanšu vienībām būtu efektīvi un saskaņoti jāapzina un jāpārvalda visu veidu riski, tostarp saistībā ar IKT pakalpojumiem, kuri iepirkti finanšu grupā, būtu arī jāprecizē, ka uzņēmumi, kas ietilpst finanšu grupā un sniedz IKT pakalpojumus galvenokārt savam mātesuzņēmumam vai to mātesuzņēmuma meitasuzņēmumiem vai filiālēm, kā arī finanšu vienības, kas sniedz IKT pakalpojumus citām finanšu vienībām, saskaņā ar šo regulu arī būtu jāuzskata par trešo personu, kas sniedz IKT pakalpojumus. Visbeidzot, ņemot vērā, ka mainīgais maksājumu pakalpojumu tirgus kļūst arvien atkarīgāks no sarežģītiem tehniskiem risinājumiem, un ņemot vērā jaunos maksājumu pakalpojumu veidus un ar maksājumiem saistītus risinājumus, maksājumu pakalpojumu ekosistēmas dalībnieki, kuri veic maksājumu apstrādes darbības vai pārvalda maksājumu infrastruktūru, saskaņā ar šo regulu arī būtu jāuzskata par trešām personām, kas sniedz IKT pakalpojumus, izņemot centrālās bankas, kad tiek izmantotas maksājumu vai vērtspapīru norēķinu sistēmas, un publiskās iestādes, kad tiek sniegti ar IKT saistīti pakalpojumi valsts funkciju pildīšanas kontekstā.

(64)

Finanšu vienībai vajadzētu nepārtraukti būt pilnībā atbildīgai par šajā regulā tai noteikto pienākumu izpildi. Finanšu vienībām būtu jāpiemēro samērīga pieeja tādu risku uzraudzībai, kas rodas trešām personām, kas sniedz IKT pakalpojumus, pienācīgi ņemot vērā savas ar IKT saistītās atkarības veidu, mērogu, sarežģītību un nozīmi, to pakalpojumu, procesu vai funkciju kritiskumu vai svarīgumu, uz kuriem attiecas līgumiskas vienošanās, un galu galā attiecīgos gadījumos – pamatojoties uz rūpīgu novērtējumu par iespējamo ietekmi uz finanšu pakalpojumu nepārtrauktību un kvalitāti individuālajā un grupas līmenī.

(65)

Šādā uzraudzībā būtu jāievēro stratēģiska pieeja ar trešo personu saistītajam IKT riskam, kas tiek formalizēta, finanšu vienības vadības struktūrai pieņemot īpašu ar trešo personu saistītā IKT riska stratēģiju, kas balstās visu veidu atkarību no trešām personām, kas sniedz IKT pakalpojumus, pastāvīgā izvērtēšanā. Lai uzlabotu uzraugu informētību par atkarību no trešām personām, kas sniedz IKT pakalpojumus, un papildus atbalstītu darbu saistībā ar pārraudzības sistēmu, kas izveidota ar šo regulu, visām finanšu vienībām būtu jāuzliek par pienākumu uzturēt informācijas reģistru attiecībā uz katru līgumisko vienošanos par izmantotajiem IKT pakalpojumiem, ko sniedz trešās personas, kas sniedz IKT pakalpojumus. Finanšu uzraudzības iestādēm būtu jāspēj pieprasīt pilnu reģistru vai konkrētas tā daļas un tādējādi saņemt būtisku informāciju, lai gūtu plašāku izpratni par finanšu vienību atkarību no IKT.

(66)

Padziļinātai analīzei pirms līguma noslēgšanas vajadzētu būt līgumiskas vienošanās oficiālas noslēgšanas pamatā un jānotiek pirms tās, jo īpaši pievēršoties tādiem elementiem kā paredzētā IKT līguma atbalstīto pakalpojumu kritiskums vai svarīgums, nepieciešamie uzraudzības iestāžu apstiprinājumi vai citi nosacījumi, iespējamais ar to saistītais koncentrācijas risks, kā arī pienācīgas rūpības piemērošana trešo personu, kas sniedz IKT pakalpojumus, atlases un novērtēšanas procesā un iespējamo interešu konfliktu novērtēšana. Attiecībā uz līgumisku vienošanos par kritiski svarīgām vai svarīgām funkcijām finanšu vienībām būtu jāņem vērā tas, ka trešās personas, kas sniedz IKT pakalpojumus, izmanto visjaunākos un visaugstākos informācijas drošības standartus. Līgumiskas vienošanās izbeigšanu varētu izraisīt vismaz vairāki apstākļi, kas liecina par nepilnībām trešās personas, kas sniedz IKT pakalpojumus, līmenī, jo īpaši būtiski tiesību aktu vai līguma noteikumu pārkāpumi, apstākļi, kas atklāj iespējamas izmaiņas to funkciju izpildē, ko paredz līgumiskās vienošanās, pierādījumi par trešās personas, kas sniedz IKT pakalpojumus, nepilnībām vispārējā IKT riska pārvaldībā vai apstākļi, kas liecina par attiecīgās kompetentās iestādes nespēju efektīvi uzraudzīt finanšu vienību.

(67)

Lai risinātu ar trešo personu saistītā IKT koncentrācijas riska sistēmisko ietekmi, šajā regulā tiek sekmēts līdzsvarots risinājums, pieņemot elastīgu un pakāpenisku pieeju šādam koncentrācijas riskam, jo jebkādu neelastīgu robežvērtību vai stingru ierobežojumu noteikšana varētu kavēt uzņēmējdarbības veikšanu un ierobežot līgumslēgšanas brīvību. Finanšu vienībām būtu rūpīgi jāizvērtē savas paredzētās līgumiskās vienošanās, lai noteiktu šāda riska rašanās iespējamību, tostarp veicot padziļinātu analīzi par apakšuzņēmuma līgumiem, jo īpaši, ja tie noslēgti ar trešā valstī iedibinātām trešām personām, kas sniedz IKT pakalpojumus. Šajā posmā un nolūkā panākt taisnīgu līdzsvaru starp līgumu slēgšanas brīvības saglabāšanu un finanšu stabilitātes garantēšanu nav lietderīgi noteikt stingras robežvērtības un ierobežojumus pakļautībai ar trešo personu saistītam IKT riskam. Pārraudzības sistēmas kontekstā galvenajam pārraugam, kas iecelts, ievērojot šo regulu, attiecībā uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, būtu īpaša uzmanība jāpievērš tam, lai pilnībā aptvertu savstarpējo atkarību apjomu, jāatklāj konkrēti gadījumi, kad kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, augsta koncentrācija Savienībā varētu radīt spiedienu uz Savienības finanšu sistēmas stabilitāti un integritāti, un jāuztur dialogs ar kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, ja šāds konkrēts risks ir identificēts.

(68)

Lai regulāri izvērtētu un uzraudzītu trešās personas, kas sniedz IKT pakalpojumus, spēju droši sniegt pakalpojumus finanšu vienībai, nelabvēlīgi neietekmējot finanšu vienības digitālās darbības noturību, būtu jāsaskaņo vairāki galvenie līgumiskie elementi ar trešām personām, kas sniedz IKT pakalpojumus. Šādai saskaņošanai būtu jāaptver minimālās jomas, kas ir būtiskas, lai ļautu finanšu vienībai pilnībā uzraudzīt riskus, ko varētu radīt trešā persona, kas sniedz IKT pakalpojumus, ņemot vērā finanšu vienības vajadzību nodrošināt savu digitālo noturību, jo tā ir ļoti atkarīga no saņemto IKT pakalpojumu stabilitātes, funkcionalitātes, pieejamības un drošības.

(69)

Pārskatot līgumiskās vienošanās, lai panāktu saskaņotību ar šīs regulas prasībām, finanšu vienībām un trešām personām, kas sniedz IKT pakalpojumus, būtu jānodrošina, ka tajās ir iekļauti galvenie šajā regulā paredzētie līgumu noteikumi.

(70)

Šajā regulā sniegtā jēdziena “kritiski svarīgas vai svarīgas funkcijas” definīcija ietver “kritiski svarīgas funkcijas”, kā tās definētas Eiropas Parlamenta un Padomes Direktīvas 2014/59/ES (20) 2. panta 1. punkta 35) apakšpunktā. Tāpēc funkcijas, ko uzskata par kritiski svarīgām, ievērojot Direktīvu 2014/59/ES, ir iekļautas kritiski svarīgo funkciju definīcijā šīs regulas nozīmē.

(71)

Neatkarīgi no IKT pakalpojumu atbalstītās funkcijas kritiskuma vai svarīguma ar līgumisku vienošanos jo īpaši būtu jānosaka funkciju un pakalpojumu pilnīgs apraksts, šādu funkciju sniegšanas un datu apstrādes vieta, kā arī jānorāda pakalpojumu līmeņa apraksti. Citi būtiski elementi, lai ļautu finanšu vienībai uzraudzīt ar trešo personu saistīto IKT risku, ir: līguma noteikumi, kuros precizēts, kā trešā persona, kas sniedz IKT pakalpojumus, nodrošina personas datu piekļūstamību, pieejamību, integritāti, drošību un aizsardzību, noteikumi, ar ko tiek garantēta piekļuve datiem un to atgūšana un atgriešana trešās personas, kas sniedz IKT pakalpojumus, maksātnespējas, noregulējuma vai uzņēmējdarbības izbeigšanas gadījumā, kā arī noteikumi, kuros paredzēts, ka trešās personas, kas sniedz IKT pakalpojumus, nodrošina palīdzību ar sniegto pakalpojumu saistītu IKT incidentu gadījumā bez papildu izmaksām vai par iepriekš noteiktu maksu; noteikumi, kuros paredzēts trešās personas, kas sniedz IKT pakalpojumus, pienākums pilnībā sadarboties ar finanšu vienības kompetentajām iestādēm un noregulējuma iestādēm; un noteikumi par izbeigšanas tiesībām un ar tām saistītajiem minimālajiem paziņošanas termiņiem attiecībā uz līgumiskās vienošanās izbeigšanu atbilstoši tam, kā to sagaida kompetentās iestādes un noregulējuma iestādes.

(72)

Papildus šādiem līguma noteikumiem un lai nodrošinātu, ka finanšu vienības saglabā pilnīgu kontroli pār visu notikumu attīstību trešo personu līmenī, kas var mazināt to IKT drošību, līgumos par tādu IKT pakalpojumu sniegšanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, būtu jāparedz arī šādi elementi: pilnīgu pakalpojumu līmeņa aprakstu specifikācija ar precīziem kvantitatīviem un kvalitatīviem darbības mērķiem, lai bez liekas kavēšanās varētu veikt atbilstīgus koriģējošus pasākumus, ja netiek ievēroti saskaņotie pakalpojumu līmeņi; trešās personas, kas sniedz IKT pakalpojumus, attiecīgie saistošie paziņošanas termiņi un ziņošanas pienākumi tādu notikumu gadījumā, kas var būtiski ietekmēt trešās personas, kas sniedz IKT pakalpojumus, spēju efektīvi sniegt savus attiecīgos IKT pakalpojumus; prasība trešai personai, kas sniedz IKT pakalpojumus, īstenot un pārbaudīt uzņēmējdarbības ārkārtas rīcības plānus un ieviest IKT drošības pasākumus, rīkus un politiku, kas ļauj droši sniegt pakalpojumus, kā arī piedalīties un pilnībā sadarboties DVIT, ko veic finanšu vienība.

(73)

Līgumos par tādu IKT pakalpojumu sniegšanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, vajadzētu ietvert arī noteikumus, kas ļauj īstenot finanšu vienības vai ieceltas trešās personas piekļuves, pārbaudes un revīzijas tiesības un tiesības izgatavot kopijas kā svarīgu rīku finanšu vienības veiktās trešās personas, kas sniedz IKT pakalpojumus, darbības rezultātu pastāvīgās uzraudzības procesā, ko papildina pakalpojumu sniedzēja pilnīga sadarbība pārbaužu laikā. Arī finanšu vienības kompetentajai iestādei vajadzētu būt tiesībām ar iepriekšēju paziņojumu pārbaudīt trešo personu, kas sniedz IKT pakalpojumus, un veikt tā revīziju, nodrošinot konfidenciālas informācijas aizsardzību.

(74)

Ar šādu līgumisku vienošanos būtu arī jāparedz skaidri noteiktas atsevišķas atkāpšanās stratēģijas, kas jo īpaši ļauj noteikt obligātus pārejas periodus, kuros trešām personām, kas sniedz IKT pakalpojumus, būtu jāturpina nodrošināt attiecīgos pakalpojumus ar mērķi mazināt traucējumu risku finanšu vienības līmenī, vai jāļauj finanšu vienībai efektīvi pāriet pie citas trešās personas izmantošanas, kas sniedz IKT pakalpojumus, vai arī pāriet uz iekšējiem risinājumiem atbilstīgi sniegtā IKT pakalpojuma sarežģītībai. Turklāt finanšu vienībām, uz kurām attiecas Direktīvas 2014/59/ES darbības joma, būtu jānodrošina, ka attiecīgie līgumi par IKT pakalpojumiem ir stabili un pilnībā izpildāmi minēto finanšu vienību noregulējuma gadījumā. Tādēļ noregulējuma iestādes sagaida, ka minētās finanšu vienības nodrošinās, lai attiecīgie IKT pakalpojumu līgumi būtu noturīgi noregulējuma gadījumā. Kamēr minētās finanšu vienības turpina pildīt savas maksājumu saistības, tām cita starpā būtu jānodrošina, ka attiecīgajos IKT pakalpojumu līgumos ir ietvertas klauzulas par līguma darbības neizbeigšanu, neatcelšanu un nepārveidošanu pārstrukturēšanas vai noregulējuma gadījumā.

(75)

Turklāt, brīvprātīgi izmantojot līguma standartklauzulas, kuras izstrādājušas valsts iestādes vai Savienības iestādes, jo īpaši līguma klauzulas, ko Komisija izstrādājusi attiecībā uz mākoņdatošanas pakalpojumiem, varētu nodrošināt papildu drošību finanšu vienībām un trešām personām, kas sniedz IKT pakalpojumus, uzlabojot to juridisko noteiktību attiecībā uz mākoņdatošanas pakalpojumu izmantošanu finanšu nozarē un to pilnībā saskaņojot ar Savienības finanšu pakalpojumu tiesību aktu prasībām un gaidām. Līguma standartklauzulu izstrāde balstās uz pasākumiem, kas tika paredzēti jau 2018. gada Finanšu tehnoloģijas rīcības plānā, kurā tika izziņots Komisijas nodoms atbalstīt un veicināt līgumu standartklauzulu izstrādi finanšu vienību darbību uzticēšanai ārējiem mākoņdatošanas pakalpojumu sniedzējiem, par pamatu izmantojot starpnozaru mākoņdatošanas pakalpojumu jomas ieinteresēto personu centienus, ko Komisija ar finanšu nozares iesaisti ir veicinājusi.

(76)

Lai veicinātu konverģenci un efektivitāti attiecībā uz uzraudzības pieejām, ar ko pievēršas ar trešo personu saistītajam IKT riskam finanšu nozarē, kā arī lai stiprinātu to finanšu vienību digitālās darbības noturību, kuras tādu IKT pakalpojumu sniegšanai, ar kuriem atbalsta finanšu pakalpojumus, paļaujas uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, un tādējādi palīdzētu saglabāt Savienības finanšu sistēmas stabilitāti un finanšu pakalpojumu iekšējā tirgus integritāti, uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, vajadzētu attiekties Savienības pārraudzības sistēmai. Lai gan pārraudzības sistēmas izveide ir pamatota ar pievienoto vērtību, ko sniedz rīcība Savienības līmenī, un ņemot vērā IKT pakalpojumu izmantošanas būtisko nozīmi un specifiku finanšu pakalpojumu sniegšanā, vienlaikus būtu jāatgādina, ka šis risinājums šķiet piemērots tikai saistībā ar šo regulu, kas īpaši attiecas uz digitālās darbības noturību finanšu nozarē. Tomēr šāda pārraudzības sistēma nebūtu jāuzskata par jaunu Savienības uzraudzības modeli citās finanšu pakalpojumu un darbību jomās.

(77)

Pārraudzības sistēma būtu jāpiemēro tikai kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus. Tādēļ būtu jāparedz izraudzīšanās mehānisms, lai ņemtu vērā, kādā apmērā un veidā finanšu nozare paļaujas uz šādām trešām personām, kas sniedz IKT pakalpojumus. Minētajam mehānismam būtu jāietver kvantitatīvu un kvalitatīvu kritēriju kopums, kas noteiktu svarīguma parametrus kā pamatu iekļaušanai pārraudzības sistēmā. Lai nodrošinātu minētā novērtējuma precizitāti un neatkarīgi no trešās personas, kas sniedz IKT pakalpojumus, korporatīvās struktūras, šādos kritērijos attiecībā uz trešo personu, kas sniedz IKT pakalpojumus un ir daļa no plašākas grupas, būtu jāņem vērā visa trešās personas, kas sniedz IKT pakalpojumus, grupas struktūra. No vienas puses, kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus un kas netiek automātiski izraudzītas, piemērojot minētos kritērijus, vajadzētu būt iespējai brīvprātīgi pievienoties pārraudzības sistēmai, savukārt tās trešās personas, kas sniedz IKT pakalpojumus, uz kurām jau attiecas pārraudzības mehānisma sistēmas, kuru mērķis ir atbalstīt LESD 127. panta 2. punktā minēto Eiropas Centrālo banku sistēmas uzdevumu pildīšanu, būtu jāatbrīvo.

(78)

Līdzīgi arī finanšu vienības, kas sniedz IKT pakalpojumus citām finanšu vienībām, lai gan pieder pie trešo personu, kas sniedz IKT pakalpojumus saskaņā ar šo regulu, kategorijas, būtu jāatbrīvo no pārraudzības sistēmas, jo uz tām jau attiecas uzraudzības mehānismi, kas izveidoti ar attiecīgajiem Savienības finanšu pakalpojumu tiesību aktiem. Attiecīgā gadījumā kompetentajām iestādēm saistībā ar savām uzraudzības darbībām būtu jāņem vērā IKT risks, ko finanšu vienībām rada finanšu vienības, kuras sniedz IKT pakalpojumus. Tāpat, ņemot vērā esošos riska uzraudzības mehānismus grupas līmenī, tāds pats atbrīvojums būtu jāievieš attiecībā uz trešām personām, kas sniedz IKT pakalpojumus galvenokārt savas grupas vienībām. Trešās personas, kas sniedz IKT pakalpojumus tikai vienā dalībvalstī finanšu vienībām, kuras darbojas tikai minētajā dalībvalstī, arī būtu jāatbrīvo no izraudzīšanas mehānisma to ierobežoto darbību un pārrobežu ietekmes neesamības dēļ.

(79)

Finanšu pakalpojumu jomā piedzīvotā digitālā pārveide ir radījusi vēl nepieredzētu IKT pakalpojumu izmantošanas līmeni un paļaušanos uz tiem. Tā kā ir kļuvis neiedomājami sniegt finanšu pakalpojumus, neizmantojot mākoņdatošanas pakalpojumus, programmatūras risinājumus un ar datiem saistītus pakalpojumus, Savienības finanšu ekosistēma ir kļuvusi nesaraujami atkarīga no konkrētiem IKT pakalpojumiem, ko sniedz IKT pakalpojumu sniedzēji. Dažiem no minētajiem piegādātājiem, novatoriem, kas izstrādā un izmanto uz IKT balstītas tehnoloģijas, ir nozīmīga loma finanšu pakalpojumu sniegšanā, vai arī tie ir integrējušies finanšu pakalpojumu vērtības ķēdē. Tādējādi tie ir kļuvuši kritiski svarīgi Savienības finanšu sistēmas stabilitātei un integritātei. Šī plašā paļaušanās uz pakalpojumiem, ko sniedz kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, apvienojumā ar dažādu tirgus dalībnieku informācijas sistēmu savstarpējo atkarību rada tiešu un potenciāli nopietnu risku Savienības finanšu pakalpojumu sistēmai un finanšu pakalpojumu sniegšanas nepārtrauktībai, ja kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, skartu darbības traucējumi vai būtiski kiberincidenti. Kiberincidentiem ir izteikta spēja vairoties un izplatīties visā finanšu sistēmā ievērojami ātrāk nekā citiem riska veidiem, kas tiek uzraudzīti finanšu nozarē, un tie var aptvert dažādas nozares un sniegties pāri ģeogrāfiskajām robežām. Tiem ir potenciāls pāraugt sistēmiskā krīzē, kad uzticēšanās finanšu sistēmai ir mazinājusies reālās ekonomikas atbalsta funkciju traucējumu dēļ vai būtisku finansiālu zaudējumu dēļ, sasniedzot līmeni, ko finanšu sistēma nespēj izturēt vai kam nepieciešama smagu satricinājumu absorbcijas pasākumu īstenošana. Lai novērstu to, ka šādi scenāriji var piepildīties un tādējādi apdraudēt Savienības finanšu stabilitāti un integritāti, ir būtiski nodrošināt uzraudzības prakses konverģenci attiecībā uz tādu risku finanšu jomā, kurš saistīts ar trešo personu, kas sniedz IKT pakalpojumus, jo īpaši ar jauniem noteikumiem, kas ļauj Savienībai pārraudzīt kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus.

(80)

Pārraudzības sistēma lielā mērā ir atkarīga no sadarbības pakāpes starp galveno pārraugu un kritiski svarīgo trešo personu, kas finanšu vienībām sniedz tādus IKT pakalpojumus, kuri ietekmē finanšu pakalpojumu sniegšanu. Sekmīga pārraudzība cita starpā ir atkarīga no galvenā pārrauga spējas efektīvi veikt uzraudzības uzdevumus un pārbaudes, lai novērtētu noteikumus, kontroli un procesus, ko izmanto kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, kā arī lai novērtētu to darbību iespējamo kumulatīvo ietekmi uz finanšu stabilitāti un finanšu sistēmas integritāti. Vienlaikus ir būtiski, lai kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, ievērotu galvenā pārrauga ieteikumus un kliedētu viņa bažas. Tā kā tādas kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, kuri ietekmē finanšu pakalpojumu sniegšanu, sadarbības trūkums, piemēram, atteikums piešķirt piekļuvi savām telpām vai iesniegt informāciju, galu galā atņemtu galvenajam pārraugam tā būtiski svarīgos rīkus, kas vajadzīgi, lai novērtētu ar trešo personu saistītu IKT risku, un varētu negatīvi ietekmēt finanšu sistēmas finanšu stabilitāti un integritāti, ir jāparedz arī samērīgs sankciju režīms.

(81)

Ņemot vērā iepriekš minēto, galvenā pārrauga vajadzību piemērot soda maksājumus, lai piespiestu kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, ievērot šajā regulā noteiktos pārredzamības un ar piekļuvi saistītos pienākumus, nedrīkstētu apdraudēt grūtības, ko rada minēto soda maksājumu izpilde attiecībā uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus un kas iedibināti trešās valstīs. Lai nodrošinātu šādu sodu izpildāmību un ļautu ātri ieviest procedūras, ar kurām tiek nodrošinātas kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, tiesības uz aizstāvību saistībā ar izraudzīšanas mehānismu un ieteikumu sniegšanu, minētajām kritiski svarīgām trešām personām, kas finanšu vienībām sniedz IKT pakalpojumus, kuri ietekmē finanšu pakalpojumu sniegšanu, būtu jāprasa saglabāt pienācīgu uzņēmējdarbības klātbūtni Savienībā. Ņemot vērā pārraudzības būtību un salīdzināmu pasākumu trūkumu citās jurisdikcijās, nav piemērotu alternatīvu mehānismu, kas nodrošinātu šo mērķi, efektīvi sadarbojoties ar finanšu uzraudzības iestādēm trešās valstīs saistībā ar to digitālo operacionālo risku ietekmes uzraudzību, kurus rada trešās personas, kas sniedz sistēmiskus IKT pakalpojumus un kvalificējas kā kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus un kas iedibinātas trešās valstīs. Tāpēc, lai turpinātu sniegt IKT pakalpojumus finanšu vienībām Savienībā, trešai personai, kas sniedz IKT pakalpojumus un kas iedibināta trešās valstīs, un kas saskaņā ar šo regulu ir izraudzīta par kritiski svarīgu, 12 mēnešu laikā pēc šādas izraudzīšanas būtu jāveic visi nepieciešamie pasākumi, lai nodrošinātu tās nodibināšanu Savienībā, iedibinot meitasuzņēmumu, kā definēts visā Savienības acquis, jo īpaši Eiropas Parlamenta un Padomes Direktīvā 2013/34/ES (21).

(82)

Prasībai izveidot meitasuzņēmumu Savienībā nebūtu jāliedz kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, sniegt IKT pakalpojumus un saistīto tehnisko atbalstu no objektiem un infrastruktūras, kas atrodas ārpus Savienības. Ar šo regulu nenosaka datu teritoriālās ierobežošanas pienākumu, jo tajā nav prasīts, lai datu glabāšana vai apstrāde tiktu veikta Savienībā.

(83)

Kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, būtu jāspēj sniegt IKT pakalpojumus no jebkuras vietas pasaulē, ne obligāti vai ne tikai no telpām, kas atrodas Savienībā. Pārraudzības darbības vispirms būtu jāveic telpās, kas atrodas Savienībā, un mijiedarbojoties ar vienībām, kas atrodas Savienībā, tostarp ar meitasuzņēmumiem, kurus, ievērojot šo regulu, izveidojušas kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus. Tomēr šādas darbības Savienībā varētu būt nepietiekamas, lai galvenais pārraugs varētu pilnībā un efektīvi pildīt savus pienākumus saskaņā ar šo regulu. Tāpēc galvenajam pārraugam būtu jāspēj īstenot savas attiecīgās pārraudzības pilnvaras arī trešās valstīs. Minēto pilnvaru īstenošanai trešās valstīs būtu jāsniedz galvenajam pārraugam iespēja pārbaudīt objektus, no kuriem kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, faktiski nodrošina vai pārvalda IKT pakalpojumus vai tehniskā atbalsta pakalpojumus, un būtu jāsniedz galvenajam pārraugam visaptveroša un operacionāla izpratne par kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, IKT riska pārvaldību. Galvenā pārrauga – kā Savienības aģentūras – iespējai īstenot pilnvaras ārpus Savienības teritorijas vajadzētu būt pienācīgi regulētai ar attiecīgiem nosacījumiem, jo īpaši ar attiecīgās kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, piekrišanu. Tāpat attiecīgās trešās valsts iestādes būtu jāinformē par galvenā pārrauga darbību veikšanu to teritorijā, un būtu jāsaņem to piekrišana. Tomēr, lai nodrošinātu efektīvu īstenošanu un neskarot Savienības iestāžu un dalībvalstu attiecīgās kompetences, šādas pilnvaras ir pilnībā jānostiprina arī, noslēdzot administratīvās sadarbības nolīgumus ar attiecīgās trešās valsts attiecīgajām iestādēm. Tādēļ šai regulai būtu jāļauj EUI noslēgt administratīvās sadarbības nolīgumus ar attiecīgajām trešo valstu iestādēm, kam citādi nevajadzētu radīt juridiskas saistības attiecībā uz Savienību un tās dalībvalstīm.

(84)

Lai atvieglotu saziņu ar galveno pārraugu un nodrošinātu pienācīgu pārstāvību, kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus un ir daļa no grupas, par savu koordinācijas punktu būtu jāizraugās viena juridiska persona.

(85)

Pārraudzības sistēmai nebūtu jāskar dalībvalstu kompetenci veikt savus pārraudzības vai uzraudzības uzdevumus attiecībā uz trešām personām, kas sniedz IKT pakalpojumus un kuras nav izraudzītas par kritiski svarīgām saskaņā ar šo regulu, bet kuras var uzskatīt par svarīgām valsts līmenī.

(86)

Lai izmantotu finanšu pakalpojumu jomas daudzslāņaino institucionālo struktūru, EUI Apvienotajai komitejai būtu jāturpina nodrošināt vispārēju starpnozaru koordināciju attiecībā uz visiem ar IKT risku saistītajiem jautājumiem saskaņā ar tās uzdevumiem kiberdrošības jomā. Tai būtu jāsaņem atbalsts no jaunas apakškomitejas (Pārraudzības forums), kas veic sagatavošanās darbus gan attiecībā uz atsevišķām kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, adresētiem lēmumiem, gan kolektīvu ieteikumu izsniegšanu, jo īpaši attiecībā uz kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pārraudzības programmu salīdzinošo novērtēšanu un IKT koncentrācijas riska jautājumu risināšanas labākās prakses noteikšanu.

(87)

Lai nodrošinātu, ka kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, tiek pienācīgi un efektīvi pārraudzītas Savienības līmenī, šajā regulā ir paredzēts, ka jebkuru no trim EUI varētu izraudzīties par galveno pārraugu. Kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, individuālai piešķiršanai vienai no trim EUI būtu jāizriet no to finanšu vienību dominējošā stāvokļa novērtējuma, kuras darbojas finanšu nozarēs, par kurām minētā EUI ir atbildīga. Šai pieejai būtu jānodrošina līdzsvarots uzdevumu un pienākumu sadalījums starp trim EUI saistībā ar pārraudzības funkciju veikšanu un pēc iespējas labāk jāizmanto cilvēkresursi un tehniskās zināšanas, kas pieejamas katrā no trim EUI.

(88)

Galvenajiem pārraugiem vajadzētu būt piešķirtām vajadzīgajām pilnvarām veikt kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, izmeklēšanu un pārbaudes uz vietas un neklātienē to telpās un atrašanās vietās un iegūt pilnīgu un atjauninātu informāciju. Minētajām pilnvarām būtu jāļauj galvenajam pārraugam gūt patiesu priekšstatu par finanšu vienībām un Savienības finanšu sistēmai radītā, ar trešo personu saistītā IKT riska veidu, apmēru un ietekmi. Galvenās pārraudzības lomas uzticēšana EUI ir priekšnoteikums, lai izprastu un risinātu IKT riska sistēmisko dimensiju finanšu jomā. Kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, ietekme uz Savienības finanšu nozari un iespējamās problēmas, ko rada ar IKT koncentrāciju saistītais risks, prasa īstenot kolektīvu pieeju Savienības līmenī. Vairāku revīziju vienlaicīga veikšana un piekļuves tiesību izmantošana, ko īsteno vairākas kompetentās iestādes atsevišķi ar nelielu koordināciju vai vispār bez tās, neļautu finanšu uzraudzības iestādēm iegūt pilnīgu un visaptverošu pārskatu par trešās personas, kas sniedz IKT pakalpojumus, risku Savienībā, vienlaikus radot arī dublēšanos, slogu un sarežģītību kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ja uz tām attiektos daudzi uzraudzības un pārbaudes pieprasījumi.

(89)

Ņemot vērā būtisko ietekmi, ko rada izraudzīšana par kritiski svarīgu, šai regulai būtu jānodrošina, ka visā pārraudzības sistēmas īstenošanā tiek ievērotas kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, tiesības. Pirms šādi pakalpojumu sniedzēji tiek izraudzīti par kritiski svarīgiem, tiem, piemēram, vajadzētu būt tiesībām iesniegt galvenajam pārraugam pamatotu paziņojumu, kurā ietverta jebkāda ar to izraudzīšanu saistīta būtiska informācija novērtējuma vajadzībām. Tā kā galvenajam pārraugam vajadzētu būt pilnvarotam sniegt ieteikumus par IKT riska jautājumiem un piemērotiem to novēršanas pasākumiem, ietverot pilnvaras iebilst pret konkrētu līgumisku vienošanos, kas ietekmē finanšu vienības vai finanšu sistēmas stabilitāti, kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, arī būtu jādod iespēja pirms minēto ieteikumu pabeigšanas sniegt paskaidrojumus par ieteikumā paredzēto risinājumu paredzamo ietekmi uz klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā, un formulēt risinājumus risku mazināšanai. Kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus un nepiekrīt ieteikumiem, būtu jāiesniedz pamatots paskaidrojums par savu nodomu neapstiprināt ieteikumu. Ja šāds pamatots paskaidrojums nav iesniegts vai ja to uzskata par nepietiekamu, galvenajam pārraugam būtu jāizdod publisks paziņojums, kurā īsumā aprakstīta neatbilstība.

(90)

Kompetentajām iestādēm savās darbībās attiecībā uz finanšu vienību prudenciālo uzraudzību būtu pienācīgi jāiekļauj uzdevums pārbaudīt galvenā pārrauga sniegto ieteikumu faktisku ievērošanu. Kompetentajām iestādēm būtu jāspēj pieprasīt finanšu vienībām veikt papildu pasākumus, lai novērstu riskus, kas identificēti galvenā pārrauga ieteikumos, un tām būtu savlaicīgi jāizdod paziņojumi šajā sakarā. Ja galvenais pārraugs adresē ieteikumus kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus un kuras tiek uzraudzītas saskaņā ar Direktīvu (ES) 2022/2555, kompetentajām iestādēm būtu jāspēj brīvprātīgi un pirms papildu pasākumu pieņemšanas apspriesties ar kompetentajām iestādēm saskaņā ar minēto direktīvu, lai veicinātu koordinētu pieeju attiecībā uz attiecīgajām kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus.

(91)

Pārraudzības īstenošanā būtu jāievēro trīs darbības principi, kuru mērķis ir nodrošināt: a) ciešu koordināciju EUI starpā to galveno pārraugu lomās, izmantojot kopīgu pārraudzības tīklu (JON), b) atbilstību sistēmai, kas izveidota ar Direktīvu (ES) 2022/2555, (izmantojot brīvprātīgu apspriešanos ar struktūrām saskaņā ar minēto direktīvu, lai izvairītos no tādu pasākumu dublēšanās, kuri vērsti uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus), un c) rūpības piemērošanu, lai pēc iespējas samazinātu traucējumu risku pakalpojumiem, ko kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, sniedz klientiem, kuri ir vienības, kas neietilpst šīs regulas darbības jomā.

(92)

Pārraudzības sistēmai nebūtu jāaizstāj vai nekādā veidā vai daļā jāaizvieto prasība finanšu vienībām pašām pārvaldīt riskus, ko rada tādu trešo personu izmantošana, kas sniedz IKT pakalpojumus, tostarp to pienākumu pastāvīgi uzraudzīt līgumiskas vienošanās, kas noslēgtas ar kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus. Tāpat pārraudzības sistēmai nebūtu jāietekmē finanšu vienību pilna atbildība par visu šajā regulā un attiecīgajos finanšu pakalpojumu tiesību aktos noteikto juridisko saistību ievērošanu un to izpildi.

(93)

Lai izvairītos no dublēšanās un pārklāšanās, kompetentajām iestādēm būtu jāatturas individuāli veikt jebkādus pasākumus, kuru mērķis ir uzraudzīt kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, riskus, un šajā ziņā būtu jāuzticas attiecīgā galvenā pārrauga novērtējumam. Jebkurš pasākums jebkurā gadījumā iepriekš būtu jākoordinē un par to jāvienojas ar galveno pārraugu saistībā ar pārraudzības sistēmas uzdevumu veikšanu.

(94)

Lai starptautiskā līmenī veicinātu konverģenci attiecībā uz paraugpraksi, ko izmanto, pārskatot un uzraugot trešo personu, kas sniedz IKT pakalpojumus, digitālo riska pārvaldību, būtu jāmudina EUI noslēgt sadarbības nolīgumus ar attiecīgajām uzraudzības un regulatīvajām trešo valstu iestādēm.

(95)

Lai izmantotu to darbinieku īpašās kompetences, tehniskās prasmes un speciālās zināšanas, kuri specializējas operatīvajā un IKT riska jomā kompetentajās iestādēs, trijās EUI un – brīvprātīgi – kompetentajās iestādēs saskaņā ar Direktīvu (ES) 2022/2555, galvenajam pārraugam būtu jāizmanto valstu uzraudzības spējas un zināšanas un jāizveido īpašas pārbaudes grupas katrai kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, apvienojot daudznozaru grupas, lai atbalstītu pārraudzības darbību sagatavošanu un izpildi, tostarp kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, vispārējas izmeklēšanas un pārbaudes, kā arī pēc tam veicot jebkurus vajadzīgos turpmākos pasākumus.

(96)

Lai gan izmaksas, kas izriet no pārraudzības uzdevumiem, tiktu pilnībā finansētas no maksām, ko iekasē no kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, pirms pārraudzības sistēmas darbības sākuma EUI tomēr, visticamāk, radīsies izmaksas par tādu īpašu IKT sistēmu ieviešanu, kas atbalsta gaidāmo pārraudzību, jo pirms tam būtu jāizstrādā un jāievieš īpašas IKT sistēmas. Tāpēc šajā regulā ir paredzēts hibrīds finansēšanas modelis, saskaņā ar kuru pārraudzības sistēma kā tāda tiktu pilnībā finansēta no maksām, savukārt EUI IKT sistēmu izstrādi finansētu no Savienības un valstu kompetento iestāžu iemaksām.

(97)

Kompetentajām iestādēm vajadzētu būt visām prasītajām uzraudzības, izmeklēšanas un sankciju pilnvarām, lai nodrošinātu, ka tās var pienācīgi pildīt savus pienākumus saskaņā ar šo regulu. Principā tām būtu jāpublicē paziņojumi par to piemērotajiem administratīvajiem sodiem. Tā kā finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus, var būt iedibināti dažādās dalībvalstīs un tos var uzraudzīt dažādas kompetentās iestādes, šīs regulas piemērošana būtu jāveicina, no vienas puses, ar ciešu sadarbību starp attiecīgajām kompetentajām iestādēm, tostarp ar ECB attiecībā uz īpašiem uzdevumiem, ko tai uztic saskaņā ar Padomes Regulu (ES) Nr. 1024/2013, un, no otras puses, ar konsultācijām EUI starpā, veicot savstarpēju informācijas apmaiņu un sniedzot palīdzību saistībā ar attiecīgajām uzraudzības darbībām.

(98)

Lai turpinātu kvantitatīvi un kvalitatīvi raksturot kritērijus attiecībā uz trešo personu, kas sniedz IKT pakalpojumus, izraudzīšanu par kritiski svarīgām un lai saskaņotu pārraudzības maksas, būtu jādeleģē Komisijai pilnvaras pieņemt aktus saskaņā ar LESD 290. pantu, lai papildinātu šo regulu, sīkāk precizējot sistēmisko ietekmi, kāda trešās personas, kas sniedz IKT pakalpojumus, atteicei vai darbības traucējumam varētu būt uz finanšu vienībām, kurām tā sniedz IKT pakalpojumus, tādu globālo sistēmiski nozīmīgu iestāžu (G-SNI) vai citu sistēmiski nozīmīgu iestāžu (C-SNI) skaitu, kuras paļaujas uz attiecīgo trešo personu, kas sniedz IKT pakalpojumus, aktīvu trešo personu, kas sniedz IKT pakalpojumus, skaitu konkrētajā tirgū, uz izmaksām, kādas ir datu un IKT darba slodzes migrēšanai uz citu trešo personu, kas sniedz IKT pakalpojumus, kā arī pārraudzības maksu apmēru un to, kādā veidā tās ir jāmaksā. Ir īpaši būtiski, lai Komisija, veicot sagatavošanas darbus, rīkotu atbilstīgas apspriešanās, tostarp ekspertu līmenī, un lai minētās apspriešanās tiktu rīkotas saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu (22). Jo īpaši, lai deleģēto aktu sagatavošanā nodrošinātu vienādu dalību, Eiropas Parlamentam un Padomei visi dokumenti būtu jāsaņem vienlaicīgi ar dalībvalstu ekspertiem, un minēto iestāžu ekspertiem vajadzētu būt sistemātiskai piekļuvei Komisijas ekspertu grupu sanāksmēm, kurās notiek deleģēto aktu sagatavošana.

(99)

Regulatīvajiem tehniskajiem standartiem būtu jānodrošina šajā regulā noteikto prasību konsekventa saskaņošana. Tā kā EUI ir struktūras, kam ir ļoti specializētas zināšanas, tās būtu jāpilnvaro izstrādāt un iesniegt Komisijai ar politikas izvēlēm nesaistītu regulatīvu tehnisko standartu projektus. Būtu jāizstrādā regulatīvie tehniskie standarti tādās jomās kā IKT riska pārvaldība, ziņošana par būtiskiem ar IKT saistītiem incidentiem, testēšana, kā arī saistībā ar galvenajām prasībām ar trešo personu saistīta IKT riska stabilai uzraudzībai. Komisijai un EUI būtu jānodrošina, lai visas finanšu vienības varētu piemērot minētos standartus un prasības tā, lai piemērošana būtu samērīga ar minēto vienību lielumu un vispārējo riska profilu un pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību. Komisija būtu jāpilnvaro pieņemt šādus regulatīvos tehniskos standartus, pieņemot deleģēšanas aktus saskaņā ar LESD 290. pantu un saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

(100)

Lai atvieglotu ar IKT saistītu būtisku incidentu un būtisku ar maksājumiem saistītu darbības vai drošības incidentu ziņojumu salīdzināmību, kā arī lai nodrošinātu pārredzamību attiecībā uz līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ko sniedz trešās personas, kas sniedz IKT pakalpojumus, EUI būtu jāizstrādā īstenošanas tehnisko standartu projekti, ar kuriem izveido standartizētas veidnes, veidlapas un procedūras finanšu vienībām, ar ko ziņot par būtiskiem ar IKT saistītiem incidentiem un būtiskiem ar maksājumiem saistītiem darbības vai drošības incidentiem, kā arī standartizētas veidnes informācijas reģistram. Izstrādājot minētos standartus, EUI būtu jāņem vērā finanšu vienības lielums un vispārējais riska profils, kā arī tās pakalpojumu, darbību un operāciju veids, apmērs un sarežģītība. Komisija būtu jāpilnvaro pieņemt šādus īstenošanas tehniskos standartus, pieņemot īstenošanas aktus saskaņā ar LESD 291. pantu un saskaņā ar 15. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

(101)

Tā kā papildu prasības jau ir noteiktas ar deleģētiem un īstenošanas aktiem, kuru pamatā ir Eiropas Parlamenta un Padomes Regulās (EK) Nr. 1060/2009 (23), (ES) Nr. 648/2012 (24), (ES) Nr. 600/2014 (25) un (ES) Nr. 909/2014 (26) paredzētie tehniskie normatīvie un īstenošanas tehniskie standarti, ir lietderīgi pilnvarot EUI individuāli vai kopīgi ar Apvienotās komitejas starpniecību iesniegt Komisijai regulatīvos un īstenošanas tehniskos standartus, lai pieņemtu deleģētos un īstenošanas aktus, ar kuriem īsteno un atjaunina esošos IKT riska pārvaldības noteikumus.

(102)

Ņemot vērā to, ka šī regula kopā ar Eiropas Parlamenta un Padomes Direktīvu (ES) Nr. 2022/2556 (27) paredz konsolidēt IKT riska pārvaldības noteikumus, kas ir iekļauti vairākās Savienības finanšu pakalpojumu jomas acquis regulās un direktīvās, tostarp Eiropas Parlamenta un Padomes Regulās (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (28), lai nodrošinātu pilnīgu konsekvenci, minētās regulas būtu jāgroza, lai precizētu, ka šajā regulā ir paredzēti piemērojamie ar IKT risku saistītie noteikumi.

(103)

Tādēļ ar operacionālo risku saistīto attiecīgo pantu darbības joma, uz kuru pamata Regulās (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 ir piešķirtas pilnvaras pieņemt deleģētos un īstenošanas aktus, būtu jāsašaurina, lai šajā regulā iekļautu visus noteikumus, kas attiecas uz digitālās darbības noturības aspektiem, kuri pašlaik ir minēto regulu daļa.

(104)

Iespējamais sistēmiskais kiberrisks, kas saistīts ar tādu IKT infrastruktūru izmantošanu, kuras nodrošina maksājumu sistēmu darbību un maksājumu apstrādes darbību nodrošināšanu, būtu pienācīgi jārisina Savienības līmenī, izmantojot saskaņotus digitālās noturības noteikumus. Šajā nolūkā Komisijai būtu ātri jāizvērtē nepieciešamība pārskatīt šīs regulas darbības jomu, vienlaikus saskaņojot šādu pārskatīšanu ar Direktīvā (ES) 2015/2366 paredzētās visaptverošās pārskatīšanas rezultātiem. Daudzi plaša mēroga uzbrukumi pēdējo desmit gadu laikā liecina, ka maksājumu sistēmas ir kļuvušas pakļautas kiberdraudiem. Maksājumu sistēmas un maksājumu apstrādes darbības ir ieguvušas būtisku nozīmi Savienības finanšu tirgu darbībā, jo tās ir maksājumu pakalpojumu ķēdes pamatā un tām ir spēcīgas saiknes ar vispārējo finanšu sistēmu. Kiberuzbrukumi šādām sistēmām var izraisīt smagus darbības traucējumus, kas tieši ietekmē ekonomiskās pamatfunkcijas, piemēram, maksājumu atvieglošanu, un netieši ietekmē saistītos ekonomiskos procesus. Kamēr Savienības līmenī nav ieviests saskaņots režīms un maksājumu sistēmu operatoru un apstrādes vienību uzraudzība, dalībvalstis, piemērojot noteikumus maksājumu sistēmu operatoriem un apstrādes vienībām, ko uzrauga to jurisdikcijā, nolūkā piemērot līdzīgu tirgus praksi var iedvesmoties no šajā regulā noteiktajām digitālās darbības noturības prasībām.

(105)

Ņemot vērā to, ka šīs regulas mērķi – proti, augsta digitālās darbības noturības līmeņa sasniegšanu regulētām finanšu vienībām – nevar pietiekami labi sasniegt dalībvalstīs, jo ir jāsaskaņo dažādi atšķirīgi noteikumi Savienības un dalībvalstu tiesībās, bet tā mēroga un iedarbības dēļ minēto mērķi var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai.

(106)

Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (29) 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2021. gada 10. maijā (30) sniedza atzinumu,

(1)

Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/1148 (4) mērķis bija veidot kiberdrošības spējas Savienībā, mazināt draudus tīklu un informācijas sistēmām, ko izmanto pamatpakalpojumu sniegšanai svarīgās nozarēs, un nodrošināt šādu pakalpojumu nepārtrauktību, saskaroties ar incidentiem, un tādējādi sniedzot ieguldījumu Savienības drošībā un tās ekonomikas un sabiedrības efektīvā darbībā.

(2)

Kopš Direktīvas (ES) 2016/1148 stāšanās spēkā Savienības kibernoturības līmeņa paaugstināšanā ir panākts ievērojams progress. Minētās direktīvas pārskatīšana apliecināja, ka tā ir kalpojusi par katalizatoru institucionālajai un regulatīvajai pieejai attiecībā uz kiberdrošību Savienībā, bruģējot ceļu būtiskām domāšanas veida pārmaiņām. Direktīva ir nodrošinājusi, ka tiek pabeigti tīklu un informācijas sistēmu drošības valstu satvari, nosakot valstu tīklu un informācijas sistēmu drošības stratēģijas, veidojot valstu spējas un īstenojot regulatīvus pasākumus, kas aptver būtiskas infrastruktūras un vienības, kuras identificējusi katra dalībvalsts. Direktīva (ES) 2016/1148 ir arī veicinājusi sadarbību Savienības līmenī, izveidojot sadarbības grupu un valstu datordrošības incidentu reaģēšanas vienību tīklu. Neraugoties uz šiem sasniegumiem, Direktīvas (ES) 2016/1148 pārskatīšanas gaitā ir konstatētas tai piemītošas nepilnības, kas liedz tai rezultatīvi risināt pašreizējās un jaunās kiberdrošības problēmas.

(3)

Tīklu un informācijas sistēmas ir kļuvušas par būtisku iezīmi ikdienas dzīvē, ko raksturo ātra digitālā pārkārtošanās un sabiedrības savstarpējā savienotība, tai skaitā pārrobežu sakaros. Šīs attīstības rezultātā ir paplašinājusies kiberdraudu aina, rodoties jaunām problēmām, kurām ir vajadzīgi pielāgoti, koordinēti un inovatīvi reaģēšanas pasākumi visās dalībvalstīs. Incidentu skaits, apmērs, sarežģītība, biežums un ietekme pieaug un būtiski apdraud tīklu un informācijas sistēmu darbību. Līdz ar to incidenti var kavēt saimniecisko darbību īstenošanu iekšējā tirgū, radīt finansiālus zaudējumus, apdraudēt lietotāju uzticēšanos un radīt lielu kaitējumu Savienības ekonomikai un sabiedrībai. Tāpēc sagatavotība un rezultativitāte kiberdrošības jomā tagad iekšējā tirgus pienācīgai darbībai ir vēl svarīgāka nekā jebkad iepriekš. Turklāt kiberdrošība daudzās kritiskās nozarēs ir būtisks faktors, kas dod iespēju sekmīgi īstenot digitālo pārkārtošanos un pilnībā izmantot digitalizācijas dotos saimnieciskos, sociālos un ilgtspējīgos ieguvumus.

(4)

Direktīvas (ES) 2016/1148 juridiskais pamats bija Līguma par Eiropas Savienības darbību (LESD) 114. pants, kura mērķis ir nodrošināt iekšējā tirgus izveidi un darbību, uzlabojot valstu regulējumu tuvināšanas pasākumus. Kiberdrošības prasības, kas noteiktas vienībām, kuras sniedz pakalpojumus vai veic darbības, kuras ir ekonomiski nozīmīgas, ievērojami atšķiras starp dalībvalstīm prasību veida, detalizācijas līmeņa un uzraudzības metodes ziņā. Minētās atšķirības rada papildu izmaksas un grūtības vienībām, kas piedāvā preces vai pakalpojumus pāri robežām. Prasības, ko nosaka viena dalībvalsts un kas atšķiras no citas dalībvalsts noteiktajām prasībām vai pat ir pretrunā tām, var šādas pārrobežu darbības būtiski ietekmēt. Turklāt iespējai, ka kiberdrošības prasības vienā dalībvalstī nav adekvāti izstrādātas vai netiek adekvāti īstenotas, ļoti iespējams, var būt ietekme uz pārējo dalībvalstu kiberdrošības līmeni, jo īpaši ņemot vērā intensīvos pārrobežu sakarus. Direktīvas (ES) 2016/1148 pārskatīšanā ir atklājies, ka tās īstenošana dalībvalstīs ievērojami atšķiras, arī attiecībā uz tās darbības jomu, kuras precīza noteikšana lielā mērā tika atstāta dalībvalstu ziņā. Direktīva (ES) 2016/1148 arī deva dalībvalstīm ļoti plašu rīcības brīvību attiecībā uz tajā noteikto drošības un incidentu paziņošanas pienākumu ieviešanu. Tāpēc minētie pienākumi dalībvalstu līmenī tika ieviesti ļoti atšķirīgi. Līdzīgas atšķirības pastāv Direktīvas (ES) 2016/1148 noteikumu par uzraudzību un izpildes panākšanu ieviešanā.

(5)

Visas šīs atšķirības sadrumstalo iekšējo tirgu un var prejudiciāli ietekmēt tā darbību, jo īpaši skarot pakalpojumu pārrobežu sniegšanu un kibernoturības līmeni dažādu pasākumu piemērošanas dēļ. Galu galā minētās atšķirības varētu novest pie lielākas dažu dalībvalstu ievainojamības pret kiberdraudiem un potenciālas plašākas ietekmes Savienībā. Šīs direktīvas mērķis ir izbeigt šādas plašas atšķirības starp dalībvalstīm, jo īpaši paredzot minimālos noteikumus par koordinēta tiesiskā regulējuma darbību, nosakot mehānismus rezultatīvai atbildīgo iestāžu sadarbībai katrā dalībvalstī, atjauninot to nozaru un darbību sarakstu, uz kurām attiecas kiberdrošības pienākumi, un paredzot iedarbīgus tiesiskās aizsardzības līdzekļus un izpildes panākšanas pasākumus, kas ir svarīgi rezultatīvai šo pienākumu izpildes panākšanai. Tāpēc Direktīva (ES) 2016/1148 būtu jāatceļ un jāaizstāj ar šo direktīvu.

(6)

Līdz ar Direktīvas (ES) 2016/1148 atcelšanu būtu jāpaplašina piemērošanas joma pa nozarēm, aptverot lielāku ekonomikas daļu, lai nodrošinātu tādu nozaru un pakalpojumu pilnīgu aptvērumu, kas ir izšķirīgi svarīgas būtiskām sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū. Šī direktīva jo īpaši tiecas novērst trūkumus, kas saistīti ar pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju diferenciāciju, kura ir izrādījusies novecojusi, jo neatspoguļo nozaru vai pakalpojumu nozīmīgumu sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū.

(7)

Saskaņā ar Direktīvu (ES) 2016/1148 dalībvalstīm bija pienākums identificēt vienības, kuras atbilst kritērijiem, lai tās varētu uzskatīt par pamatpakalpojumu sniedzējiem. Lai šajā ziņā mazinātu lielās atšķirības starp dalībvalstīm un nodrošinātu juridisko noteiktību attiecībā uz kiberdrošība risku pārvaldības pasākumiem un ziņošanas pienākumiem visām attiecīgajām vienībām, būtu jāievieš vienots kritērijs tādu vienību noteikšanai, kuras ietilpst šīs direktīvas darbības jomā. Minētajam kritērijam vajadzētu būt maksimālā lieluma noteikumam, saskaņā ar kuru visas vienības, kas kvalificējas kā vidējie uzņēmumi saskaņā ar Komisijas Ieteikuma 2003/361/EK (5) pielikuma 2. pantu vai pārsniedz vidējiem uzņēmumiem noteiktos maksimālos lielumus, kuri paredzēti minētā panta 1. punktā, un kas darbojas šīs direktīvas aptvertajās nozarēs un sniedz tās aptvertos pakalpojumus, vai veic tās aptvertās darbības, ietilpst tās darbības jomā. Dalībvalstīm būtu arī jāparedz, ka šīs direktīvas darbības jomā ietilpst konkrēti mazie uzņēmumi un mikrouzņēmumi, kā definēts minētā pielikuma 2. panta 2. un 3. punktā, kas atbilst konkrētiem kritērijiem, kuri liecina par svarīgu lomu sabiedrībā, ekonomikā vai konkrētās nozarēs vai pakalpojumu veidos.

(8)

Valsts pārvaldes vienību izslēgšana no šīs direktīvas darbības jomas būtu jāpiemēro vienībām, kuru darbības galvenokārt tiek veiktas valsts drošības, sabiedriskās drošības, aizsardzības vai tiesībaizsardzības jomā, tostarp noziedzīgu nodarījumu novēršanā, izmeklēšanā, atklāšanā un kriminālvajāšanā par tiem. Tomēr no šīs direktīvas darbības jomas nebūtu jāizslēdz valsts pārvaldes vienības, kuru darbības ir tikai maznozīmīgi saistītas ar minētajām jomām. Šajā direktīvā vienības, kam ir regulatīva kompetence, neuzskata par tādām, kas veic darbības tiesībaizsardzības jomā, un tāpēc tās nav izslēgtas no šīs direktīvas darbības jomas. No šīs direktīvas darbības jomas ir izslēgtas valsts pārvaldes vienības, kas ir izveidotas kopīgi ar trešo valsti saskaņā ar starptautisku nolīgumu. Šo direktīvu nepiemēro dalībvalstu diplomātiskajām un konsulārajām pārstāvniecībām trešās valstīs vai to tīklu un informācijas sistēmām, ciktāl šādas sistēmas atrodas pārstāvniecības telpās vai ir paredzētas lietotājiem trešā valstī.

(9)

Dalībvalstīm būtu jāspēj veikt nepieciešamos pasākumus, lai nodrošinātu būtisko valsts drošības interešu aizsardzību, sabiedrisko kārtību un sabiedrisko drošību un lai varētu novērst, izmeklēt un atklāt noziedzīgus nodarījumus un veikt kriminālvajāšanu par tiem. Šajā nolūkā dalībvalstīm būtu jāspēj paredzēt, ka konkrētas vienības, kas veic darbības valsts drošības, sabiedriskās drošības, aizsardzības vai tiesībaizsardzības jomā, tostarp noziedzīgu nodarījumu novēršanā, izmeklēšanā, atklāšanā un kriminālvajāšanā par tiem, ir atbrīvotas no dažiem šajā direktīvā noteiktajiem pienākumiem attiecībā uz minētajām darbībām. Ja vienība sniedz pakalpojumus tikai valsts pārvaldes vienībai, kas ir izslēgta no šīs direktīvas darbības jomas, dalībvalstīm būtu jāspēj atbrīvot minēto vienību no dažiem šajā direktīvā noteiktajiem pienākumiem attiecībā uz minētajiem pakalpojumiem. Turklāt nevajadzētu būt prasībai dalībvalstīm sniegt informāciju, kuras izpaušana būtu pretrunā to būtiskajām valsts drošības, sabiedriskās drošības vai aizsardzības interesēm. Šajā ziņā būtu jāņem vērā Savienības vai valstu noteikumi par klasificētas informācijas aizsardzību, vienošanās par neizpaušanu un neformālas vienošanās par informācijas neizpaušanu, piemēram, gaismas signālu protokols. Gaismas signālu protokols ir jāsaprot kā līdzeklis, ar ko sniegt informāciju par jebkādiem ierobežojumiem attiecībā uz tālāku informācijas izplatīšanu. To izmanto gandrīz visās datordrošības incidentu reaģēšanas vienībās (CSIRT) un dažos informācijas analīzes un kopīgošanas centros.

(10)

Lai gan šī direktīva attiecas uz vienībām, kas veic darbības elektroenerģijas ražošanā kodolelektrostacijās, dažas no minētajām darbībām var būt saistītas ar valsts drošību. Ja tā ir, dalībvalstij būtu jāspēj pildīt savu pienākumu sargāt valsts drošību attiecībā uz minētajām darbībām, tostarp darbībām kodolenerģijas vērtības ķēdē, saskaņā ar Līgumiem.

(11)

Dažas vienības veic darbības valsts drošības, sabiedriskās drošības, aizsardzības vai tiesībaizsardzības jomā, tostarp noziedzīgu nodarījumu novēršanā, izmeklēšanā, atklāšanā un kriminālvajāšanā par tiem, bet vienlaikus sniedz arī uzticamības pakalpojumus. Uzticamības pakalpojumu sniedzējiem, kas ietilpst Eiropas Parlamenta un Padomes Regula (ES) Nr. 910/2014 (6) darbības jomā, būtu jāietilpst šīs direktīvas darbības jomā, lai nodrošinātu tādu pašu drošības prasību un uzraudzības līmeni, kāds iepriekš bija noteikts minētajā regulā attiecībā uz uzticamības pakalpojumu sniedzējiem. Atbilstoši dažu konkrētu pakalpojumu izslēgšanai no Regulas (ES) Nr. 910/2014 darbības jomas šo direktīvu nevajadzētu piemērot tādu uzticamības pakalpojumu sniegšanai, kurus izmanto vienīgi slēgtās sistēmās, kas izriet no valsts tiesību aktiem vai nolīgumiem starp noteiktu dalībnieku kopu.

(12)

Pasta pakalpojumu sniedzēji, kā tie definēti Eiropas Parlamenta un Padomes Direktīvā 97/67/EK (7), tostarp kurjerpiegādes pakalpojumu sniedzēji, šīs direktīvas darbības jomā būtu jāiekļauj tad, ja tie nodrošina vismaz vienu no posmiem pasta piegādes ķēdē, jo īpaši, ja tie sniedz pasta sūtījumu atmuitošanas, šķirošanas, transporta vai sadales pakalpojumus, tostarp savākšanas pakalpojumus, bet vienlaikus būtu jāņem vērā tas, kādā mērā tie ir atkarīgi no tīklu un informācijas sistēmām. Transporta pakalpojumi, kurus neveic saistībā ar kādu no minētajiem posmiem, no pasta pakalpojumu jomas būtu jāizslēdz.

(13)

Ņemot vērā kiberdraudu pastiprināšanos un pieaugošo sarežģītību, dalībvalstīm būtu jācenšas nodrošināt, ka vienības, kas ir izslēgtas no šīs direktīvas darbības jomas, sasniedz augstu kiberdrošības līmeni, un atbalstīt tādu līdzvērtīgu kiberdrošības riska pārvaldības pasākumu īstenošanu, kas atbilst minēto vienību sensitīvajam raksturam.

(14)

Jebkādai persondatu apstrādei saskaņā ar šo direktīvu piemēro Savienības datu aizsardzības tiesību aktus un Savienības privātuma tiesību aktus. Konkrētāk, šī direktīva neskar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (8) un Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (9). Tādēļ šai direktīvai cita starpā nebūtu jāskar tādu iestāžu uzdevumi un pilnvaras, kuras ir kompetentas uzraudzīt atbilstību piemērojamajiem Savienības datu aizsardzības tiesību aktiem un Savienības privātuma tiesību aktiem.

(15)

Vienības, kuras ietilpst šīs direktīvas darbības jomā, attiecībā uz atbilstību kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem būtu jāiedala divās kategorijās, proti, būtiskajās vienībās un svarīgajās vienībās, atspoguļojot to, kādā mērā tās ir kritiski svarīgas to nozares vai sniegto pakalpojumu veida aspektā, kā arī to lielumu. Minētajā sakarā attiecīgā gadījumā būtu pienācīgi jāņem vērā visi attiecīgie nozaru riska novērtējumi vai norādījumi, ko sniegušas kompetentās iestādes. Uzraudzības un izpildes režīmi minētajām divām vienību kategorijām būtu jādiferencē, lai nodrošinātu taisnīgu līdzsvaru starp prasībām un pienākumiem, kas balstīti uz risku, no vienas puses, un administratīvo slogu, kas izriet no atbilstības uzraudzības, no otras puses.

(16)

Lai izvairītos no tā, ka vienības, kurām ir partneruzņēmumi vai kuras ir saistīti uzņēmumi, tiek uzskatītas par būtiskām vai svarīgām vienībām, ja tas būtu nesamērīgi, dalībvalstis, piemērojot Ieteikuma 2003/361/EK pielikuma 6. panta 2. punktu, var ņemt vērā vienības neatkarības pakāpi attiecībā pret tās partneri vai saistītajiem uzņēmumiem. Konkrētāk, dalībvalstis var ņemt vērā to, ka vienība ir neatkarīga no sava partnera vai saistītajiem uzņēmumiem to tīklu un informācijas sistēmu ziņā, ko šī vienība izmanto savu pakalpojumu sniegšanā, un tās sniegto pakalpojumu ziņā. Uz šā pamata attiecīgā gadījumā dalībvalstis var uzskatīt, ka šāda vienība nekvalificējas kā vidējs uzņēmums saskaņā ar Ieteikuma 2003/361/EK 2. pantu vai nepārsniedz minētā panta 1. punktā paredzētos maksimālos lielumus vidējiem uzņēmumiem, ja pēc tam, kad ir ņemta vērā šīs vienības neatkarības pakāpe, tiktu uzskatīts, ka šī vienība nekvalificētos kā vidējs uzņēmums vai nepārsniegtu minētos maksimālos lielumus, ja tiktu ņemti vērā tikai tās pašas dati vien. Tas neskar šajā direktīvā noteiktos to partneru un saistīto uzņēmumu pienākumus, kuri ietilpst šīs direktīvas darbības jomā.

(17)

Dalībvalstīm būtu jāspēj nolemt, ka vienības, kas pirms šīs direktīvas stāšanās spēkā identificētas kā pamatpakalpojumu sniedzēji saskaņā ar Direktīvu (ES) 2016/1148, ir uzskatāmas par būtiskām vienībām.

(18)

Lai nodrošinātu skaidru pārskatu par vienībām, kas ir šīs direktīvas darbības jomā, dalībvalstīm būtu jāizveido saraksts ar būtiskajām un svarīgajām vienībām, kā arī vienībām, kuras sniedz domēnu nosaukumu reģistrācijas pakalpojumus. Minētajā nolūkā dalībvalstīm būtu jāprasa, lai vienības kompetentajām iestādēm iesniedz vismaz šādu informāciju: nosaukumu, adresi un atjauninātu kontaktinformāciju, tostarp vienības e-pasta adreses, IP adrešu diapazonus un tālruņa numurus, un attiecīgā gadījumā pielikumos minētās attiecīgās nozares un apakšnozares, kā arī attiecīgā gadījumā to dalībvalstu sarakstu, kurās tās sniedz pakalpojumus, kas ietilpst šīs direktīvas darbības jomā. Šajā nolūkā Komisijai ar Eiropas Savienības Kiberdrošības aģentūras (ENISA) palīdzību bez nepamatotas kavēšanās būtu jāsniedz pamatnostādnes un veidnes attiecībā uz pienākumu iesniegt informāciju. Lai atvieglotu būtisko un svarīgo vienību, kā arī vienību, kuras sniedz domēnu nosaukumu reģistrācijas pakalpojumus, saraksta izveidi un atjaunināšanu, dalībvalstīm būtu jāspēj izveidot valsts mehānismus, ko vienības varētu izmantot, lai reģistrētos pašas. Ja pastāv valsts līmeņa reģistri, dalībvalstis var lemt par piemērotiem mehānismiem, kas ļauj identificēt vienības, kuras ietilpst šīs direktīvas darbības jomā.

(19)

Dalībvalstīm vajadzētu būt atbildīgām par to, lai Komisijai tiktu iesniegts vismaz to būtisko un svarīgo vienību skaits katrā nozarē un apakšnozarē, kas minētas pielikumos, kā arī relevanta informācija par identificēto vienību skaitu un to no šajā direktīvā paredzētajiem noteikumiem, uz kura pamata tās identificētas, un pakalpojumu veidu, ko tās sniedz. Dalībvalstis tiek mudinātas ar Komisiju apmainīties ar informāciju par būtiskajām un svarīgajām vienībām un – liela mēroga kiberdrošības incidenta gadījumā – ar relevantu informāciju, piemēram, attiecīgās vienības nosaukumu.

(20)

Komisijai sadarbībā ar sadarbības grupu un pēc apspriešanās ar attiecīgajām ieinteresētajām personām būtu jāsniedz pamatnostādnes par to, kā īstenot mikrouzņēmumiem un mazajiem uzņēmumiem piemērojamos kritērijus, pēc kuriem novērtēt, vai tie ietilpst šīs direktīvas darbības jomā. Komisijai būtu arī jānodrošina, ka piemēroti norādījumi tiek sniegti mikrouzņēmumiem un mazajiem uzņēmumiem, kuri ietilpst šīs direktīvas darbības jomā. Komisijai ar dalībvalstu palīdzību būtu minētajā nolūkā jādara pieejama informācija mikrouzņēmumiem un mazajiem uzņēmumiem.

(21)

Komisija varētu sniegt norādījumus, lai palīdzētu dalībvalstīm īstenot šīs direktīvas noteikumus par darbības jomu un izvērtēt saskaņā ar šo direktīvu veicamo pienākumu proporcionalitāti, jo īpaši attiecībā uz vienībām ar sarežģītiem uzņēmējdarbības modeļiem vai darbības vidēm, kur vienība vienlaikus var atbilst kritērijiem, kas noteikti gan būtiskām, gan svarīgām vienībām, vai vienlaikus veikt darbības, no kurām daļa ietilpst šīs direktīvas darbības jomā, bet citas no tās ir izslēgtas.

(22)

Šajā direktīvā ir noteikts pamats kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem nozarēs, kas ietilpst tās darbības jomā. Lai izvairītos no Savienības tiesību aktos paredzēto kiberdrošības noteikumu sadrumstalotības, ja tiek uzskatīts, ka augsta kiberdrošības līmeņa nodrošināšanai Savienībā ir nepieciešami papildu nozarspecifiski Savienības tiesību akti, kas attiecas uz kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem, Komisijai būtu jānovērtē, vai šādus papildu noteikumus varētu paredzēt īstenošanas aktā saskaņā ar šo direktīvu. Ja šāds īstenošanas akts minētajam nolūkam nav piemērots, nozarspecifiski Savienības tiesību akti varētu palīdzēt nodrošināt Savienībā augstu kiberdrošības līmeni, vienlaikus pilnībā ņemot vērā attiecīgo nozaru specifiku un sarežģītību. Šajā nolūkā šī direktīva neliedz pieņemt papildu nozarspecifiskus Savienības tiesību aktus, kas pievēršas kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem un kas pienācīgi ņem vērā nepieciešamību pēc vispusīgas un konsekventas kiberdrošības sistēmas. Šī direktīva neskar pastāvošās īstenošanas pilnvaras, kas Komisijai piešķirtas vairākās nozarēs, tai skaitā transporta un enerģētikas nozarē.

(23)

Ja nozarspecifiska Savienības tiesību akta noteikumi prasa būtiskajām vai svarīgajām vienībām pieņemt kiberdrošības risku pārvaldības pasākumus vai ziņot par būtiskiem incidentiem un ja šādas prasības to ietekmes ziņā ir vismaz līdzvērtīgas šajā direktīvā noteiktajiem pienākumiem, minētos noteikumus, tostarp noteikumus par uzraudzību un izpildes panākšanu, būtu jāpiemēro šādām vienībām. Ja nozarspecifisks Savienības tiesību akts neaptver visas vienības konkrētā nozarē, kas ietilpst šīs direktīvas darbības jomā, attiecīgos šīs direktīvas būtu jāturpina piemērot vienībām, uz kurām minētais akts neattiecas.

(24)

Ja nozarspecifiska Savienības tiesību akta noteikumi prasa, lai būtiskās vai svarīgās vienības izpilda ziņošanas prasības, kuras iedarbības ziņā ir vismaz līdzvērtīgas šajā direktīvā noteiktajiem ziņošanas pienākumiem, būtu jānodrošina incidentu paziņojumu apstrādes saskaņotība un rezultativitāte. Minētajā nolūkā nozarspecifiska Savienības tiesību akta noteikumiem saistībā ar incidentu paziņošanu būtu jānodrošina CSIRT, kompetentajām iestādēm vai vienotajiem kiberdrošības kontaktpunktiem (vienotie kontaktpunkti), ko paredz šī direktīva, tūlītēja piekļuve paziņojumiem par incidentiem, kas iesniegti saskaņā ar nozarspecifisko Savienības tiesību aktu. Konkrētāk, šādu tūlītēju piekļuvi var nodrošināt, ja incidentu paziņojumi bez nepamatotas kavēšanās tiek nosūtīti CSIRT, kompetentajai iestādei vai vienotajam kontaktpunktam, ko paredz šī direktīva. Attiecīgā gadījumā dalībvalstīm būtu jāievieš automātisks un tiešs ziņošanas mehānisms, kas nodrošina sistemātisku un tūlītēju informācijas kopīgošanu ar CSIRT, kompetentajām iestādēm vai vienotajiem kontaktpunktiem attiecībā uz šādu incidentu paziņojumu apstrādi. Lai vienkāršotu ziņošanu un ieviestu automātiskās un tiešās ziņošanas mehānismu, dalībvalstis saskaņā ar nozarspecifisko Savienības tiesību aktu varētu izmantot vienotu iesniegšanas punktu.

(25)

Nozarspecifiskos Savienības tiesību aktos, kas paredz kiberdrošības risku pārvaldības pasākumus vai ziņošanas pienākumus, kuri iedarbības ziņā ir vismaz līdzvērtīgi tiem, kas noteikti šajā direktīvā, varētu paredzēt, ka kompetentās iestādes, ko paredz šādi akti, savas uzraudzības un izpildes panākšanas pilnvaras attiecībā uz šādiem pasākumiem vai pienākumiem īsteno ar šajā direktīvā minēto kompetento iestāžu palīdzību. Attiecīgās kompetentās iestādes šajā nolūkā varētu izveidot sadarbības mehānismus. Šādos sadarbības mehānismos cita starpā varētu precizēt uzraudzības darbību koordinēšanas procedūras, tostarp izmeklēšanas un uz vietas veicamu inspekciju procedūras saskaņā ar valsts tiesību aktiem, un mehānismu relevantas informācijas apmaiņai starp kompetentajām iestādēm par uzraudzību un izpildes panākšanu, tostarp piekļuvi ar kiberjautājumiem saistītai informācijai, ko pieprasa šajā direktīvā minētās kompetentās iestādes.

(26)

Ja nozarspecifiski Savienības tiesību akti prasa vai rada stimulus vienībām paziņot par būtiskiem kiberdraudiem, dalībvalstīm būtu jāmudina informācijā par būtiskiem kiberdraudiem dalīties arī ar šajā direktīvā paredzētajām CSIRT, kompetentajām iestādēm vai vienotajiem kontaktpunktiem, lai nodrošinātu minēto struktūru labāku informētību par kiberdraudu ainu un lai tās varētu rezultatīvi un savlaicīgi reaģēt, ja būtiskie kiberdraudi īstenotos.

(27)

Turpmākos nozarspecifiskos Savienības tiesību aktos būtu pienācīgi jāņem vērā šajā direktīvā noteiktās definīcijas un uzraudzības un izpildes panākšanas sistēma.

(28)

Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (10) būtu jāuzskata par nozarspecifisku Savienības tiesību aktu saistībā ar šo direktīvu attiecībā uz finanšu vienībām. Šajā direktīvā izklāstīto noteikumu vietā būtu jāpiemēro Regulas (ES) 2022/2554 noteikumi par informācijas un komunikācijas tehnoloģiju (IKT) risku pārvaldību, ar IKT saistītu incidentu pārvaldību un jo īpaši lielu ar IKT saistītu incidentu paziņošanu, kā arī par digitālās darbības noturības testēšanu, informācijas kopīgošanas mehānismiem un ar trešo personu saistītu IKT risku. Tāpēc dalībvalstīm šīs direktīvas noteikumi par kiberdrošības risku pārvaldību un ziņošanas pienākumiem, kā arī uzraudzību un izpildes panākšanu nebūtu jāpiemēro finanšu vienībām, uz kurām attiecas Regula (ES) 2022/2554. Vienlaikus ir svarīgi uzturēt ciešas attiecības un informācijas apmaiņu ar finanšu sektoru saskaņā ar šo direktīvu. Šajā nolūkā Regula (ES) 2022/2554 Eiropas uzraudzības iestādēm (EUI) un kompetentajām iestādēm saskaņā ar minēto regulu dod iespēju piedalīties sadarbības grupas darbībās un apmainīties ar informāciju un sadarboties ar vienotajiem kontaktpunktiem, kā arī ar CSIRT un kompetentajām iestādēm saskaņā ar šo direktīvu. Kompetentajām iestādēm atbilstoši Regulai (ES) 2022/2554 arī būtu jānosūta ziņas par būtiskiem ar IKT saistītiem incidentiem un, attiecīgā gadījumā, par būtiskiem kiberdraudiem CSIRT, kompetentajām iestādēm vai vienotajiem kontaktpunktiem, kas minēti šajā direktīvā. To var panākt, nodrošinot tūlītēju piekļuvi paziņojumiem par incidentiem un tos pārsūtot vai nu tieši, vai izmantojot vienotu iesniegšanas punktu. Turklāt dalībvalstīm arī turpmāk būtu jāiekļauj finanšu sektors savās kiberdrošības stratēģijās, un CSIRT savās darbībās var aptvert finanšu sektoru.

(29)

Lai izvairītos no aviācijas nozares vienībām piemēroto kiberdrošības pienākumu nepilnībām vai dublēšanās, Eiropas Parlamenta un Padomes Regulā (EK) Nr. 300/2008 (11) un Regulā (ES) 2018/1139 paredzētajām (12) valsts iestādēm un šajā direktīvā paredzētajām kompetentajām iestādēm būtu jāsadarbojas saistībā ar kiberdrošības risku pārvaldības pasākumu īstenošanu un atbilstības minētajiem pasākumiem uzraudzību valsts līmenī. Šajā direktīvā paredzētās kompetentās iestādes varētu uzskatīt, ka vienības atbilstība drošības prasībām, kuras noteiktas Regulās (EK) Nr. 300/2008 un (ES) 2018/1139 un attiecīgajos deleģētajos un īstenošanas aktos, kas pieņemti, ievērojot minētās regulas, nozīmē atbilstību attiecīgajām šajā direktīvā noteiktajām prasībām.

(30)

Ņemot vērā saiknes starp vienību kiberdrošību un fizisko drošību, būtu jānodrošina, ka Eiropas Parlamenta un Padomes Direktīvas (ES) 2022/2557 (13) un šīs direktīvas pieejas ir saskanīgas. Lai to panāktu, vienības, kas identificētas kā kritiskās vienības saskaņā ar Direktīvu (ES) 2022/2557, būtu jāuzskata par būtiskām vienībām saskaņā ar šo direktīvu. Turklāt katrai dalībvalstij būtu jānodrošina, ka tās valsts kiberdrošības stratēģijā ir paredzēts rīcībpolitikas satvars pastiprinātai koordinācijai minētajā dalībvalstī starp tās kompetentajām iestādēm saskaņā ar šo direktīvu un kompetentajām iestādēm saskaņā ar Direktīvu (ES) 2022/2557 tādas informācijas kopīgošanas kontekstā, kas attiecas uz riskiem, kiberdraudiem un incidentiem, kā arī ar kiberdrošību nesaistītiem riskiem, draudiem un incidentiem un uzraudzības uzdevumu veikšanu. Šajā direktīvā paredzētajām kompetentajām iestādēm un Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm būtu jāsadarbojas un jāapmainās ar informāciju bez nepamatotas kavēšanās, jo īpaši attiecībā uz kritisko vienību noteikšanu, riskiem, kiberdraudiem un incidentiem, kā arī attiecibā uz ar kiberdrošību nesaistītiem riskiem, draudiem un incidentiem, kas ietekmē kritiskās vienības, tostarp kiberdrošības un fiziskiem pasākumiem, ko veikušas kritiskās vienības, kā arī attiecībā uz šādām vienībām veikto uzraudzības darbību rezultātiem.

Turklāt, lai racionalizētu uzraudzības darbības starp šajā direktīvā paredzētajām kompetentajām iestādēm un Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm, un lai attiecīgajām vienībām mazinātu administratīvo slogu, minētajām kompetentajām iestādēm būtu jācenšas saskaņot incidentu paziņošanas veidnes un uzraudzības procesus. Attiecīgā gadījumā Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm būtu jāspēj pieprasīt šajā direktīvā paredzētajām kompetentajām iestādēm īstenot savas uzraudzības un izpildes panākšanas pilnvaras attiecībā uz vienību, kas ir identificēta kā kritiska vienība saskaņā ar Direktīvu (ES) 2022/2557 Šajā nolūkā šajā direktīvā paredzētajām kompetentajām iestādēm un Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm būtu jāsadarbojas un jāapmainās ar informāciju, ja iespējams – reāllaikā.

(31)

Vienības, kas pieder pie digitālās infrastruktūras nozares, būtībā balstās uz tīklu un informācijas sistēmām, un tāpēc ar pienākumiem, kas minētajām vienībām paredzēti šajā direktīvā, būtu visaptveroši jāpievēršas šādu sistēmu fiziskajai drošībai kā daļai no to kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem. Tā kā šī direktīva aptver minētos jautājumus, Direktīvas (ES) 2022/2557 II, IV un VI nodaļā noteiktos pienākumus šādām vienībām nepiemēro.

(32)

Uzticamas, noturīgas un drošas domēnu nosaukumu sistēmas (DNS) veicināšana un saglabāšana ir svarīgs faktors interneta integritātes uzturēšanā un ir svarīga tā nepārtrauktai un stabilai darbībai, no kuras ir atkarīga digitālā ekonomika un sabiedrība. Tāpēc šī direktīva būtu jāpiemēro augstākā līmeņa domēnu (ALD) nosaukumu reģistriem un DNS pakalpojumu sniedzējiem, kas jāsaprot kā vienības, kas sniedz publiski pieejamus interneta galalietotājiem domātus rekursīvu domēnu nosaukumu atrises pakalpojumus vai autoritatīvu domēnu nosaukumu atrises pakalpojumus trešām personām. Šī direktīva nebūtu jāpiemēro saknes nosaukumu serveriem.

(33)

Mākoņdatošanas pakalpojumiem būtu jāaptver digitāli pakalpojumi, kas dod iespēju plaši un attālināti piekļūt kopīgojamu datošanas resursu mērogojamam un elastīgam pūlam un pēc pieprasījuma to pārvaldīt, arī tad, ja šādi resursi ir izvietoti vairākās vietās. Datošanas resursi ietver tādus resursus kā tīkli, serveri vai cita infrastruktūra, operētājsistēmas, programmatūra, glabāšana, lietotnes un pakalpojumi. Mākoņdatošanas pakalpojumu modeļi cita starpā ietver infrastruktūru kā pakalpojumu (IaaS), platformu kā pakalpojumu (PaaS), programmatūru kā pakalpojumu (SaaS) un tīklu kā pakalpojumu (NaaS). Mākoņdatošanas izvietošanas modeļos būtu jāiekļauj privāts, kopienas, publisks un hibrīds mākonis. Mākoņdatošanas pakalpojumu un izvietošanas modeļu nozīme ir tāda pati kā terminiem “pakalpojums” un “izvietošanas modeļi” standartā ISO/IEC 17788:2014. Mākoņdatošanas lietotāja spēju vienpusēji sev nodrošināt datošanas spējas, piemēram, servera laiku vai glabāšanu tīklā, bez cilvēka mijiedarbības ar mākoņpakalpojumu sniedzēju varētu raksturot kā pārvaldību pēc pieprasījuma.

Termins “plaša un attālināta piekļuve” ir izmantots, lai raksturotu to, ka mākoņdatošanas spējas tiek nodrošinātas visā tīklā un tām piekļūst, izmantojot mehānismus, kas veicina neviendabīgu plāno vai biezo klientiem paredzēto platformu, tai skaitā mobilo tālruņu, planšetdatoru, klēpjdatoru un darbstaciju, izmantošanu. Termins “mērogojams” attiecas uz datošanas resursiem, kurus mākoņpakalpojuma sniedzējs elastīgi piešķir neatkarīgi no resursu ģeogrāfiskās atrašanās vietas, lai risinātu pieprasījuma svārstības. Termins “elastīgs pūls” ir izmantots, lai aprakstītu tos datošanas resursus, kuri tiek nodrošināti un atbrīvoti atbilstoši pieprasījumam, lai pieejamos resursus atkarībā no noslodzes ātri palielinātu vai samazinātu. Termins “kopīgojams” ir izmantots, lai aprakstītu datošanas resursus, kas tiek sniegti daudziem lietotājiem, kuriem ir kopīga piekļuve pakalpojumam, bet apstrāde notiek katram lietotājam atsevišķi, kaut arī pakalpojums tiek sniegts no vienas un tās pašas elektroniskās iekārtas. Termins “sadalīts” ir izmantots, lai aprakstītu datošanas resursus, kas atrodas dažādos tīklotos datoros vai ierīcēs un kas īsteno savstarpēju saziņu un koordināciju, izmantojot ziņojumu sūtīšanu.

(34)

Ņemot vērā inovatīvu tehnoloģiju un jaunu darbības modeļu parādīšanos, paredzams, ka, reaģējot uz jaunām klientu vajadzībām, iekšējā tirgū parādīsies jauni mākoņdatošanas pakalpojumu un izvietošanas modeļi. Šajā kontekstā mākoņpakalpojumi var būt sniegti īpaši sadalītā formā, pat tuvāk vietai, kur dati tiek ģenerēti vai savākti, tādējādi pārejot no tradicionālā modeļa uz īpaši sadalītu modeli (“perifērdatošana”).

(35)

Pakalpojumi, ko piedāvā datu centru pakalpojumu sniedzēji, ne vienmēr tiek sniegti mākoņpakalpojuma veidā. Tas nozīmē, ka datu centri var nebūt daļa no mākoņdatošanas infrastruktūras. Tāpēc, lai pārvaldītu visus riskus tīklu un informācijas sistēmu drošībai, šī direktīva būtu jāattiecina arī uz tādu datu centru pakalpojumu sniedzējiem, kuri nav mākoņpakalpojumi. Šajā direktīvā termins “datu centra pakalpojums” būtu jāattiecina uz tāda pakalpojuma sniegšanu, kas ietver struktūras vai struktūru grupas, kuras paredzētas tāda informācijas tehnoloģiju (IT) un tīkla aprīkojuma centralizētai izmitināšanai, savstarpējai savienošanai un darbībai, kas sniedz datu uzglabāšanas, apstrādes un transportēšanas pakalpojumus kopā ar visām ierīcēm un infrastruktūrām jaudas sadalei un vides kontrolei. Terminam “datu centra pakalpojums” nebūtu jāattiecas uz iekšējiem korporatīviem datu centriem, ko attiecīgā vienība tur īpašumā un ekspluatē savām vajadzībām.

(36)

Pētniecības darbībām ir būtiska loma jaunu produktu un procesu izstrādē. Daudzas no minētajām darbībām veic vienības, kas savu pētījumu rezultātus kopīgo, izplata vai izmanto komerciāliem mērķiem. Tāpēc minētās vienības var būt svarīgi vērtības ķēžu dalībnieki, un tas nozīmē, ka to tīklu un informācijas sistēmu drošība ir iekšējā tirgus vispārējās kiberdrošības neatņemama daļa. Pētniecības organizācijas būtu jāsaprot kā citu starpā tādas vienības, kuru darbību būtiskā daļa ir vērsta uz lietišķo pētniecību vai eksperimentālo izstrādi – kā tā saprasta Ekonomiskās sadarbības un attīstības organizācijas 2015. gada Frascati rokasgrāmatā par pētniecības un eksperimentālās izstrādes datu vākšanas un ziņošanas pamatnostādnēm –, lai to rezultātus izmantotu komerciāliem mērķiem, piemēram, produkta ražošanai vai produkta vai procesa izstrādei, vai pakalpojuma sniegšanai, vai to tirdzniecībai.

(37)

Pieaugošā savstarpējā atkarība izriet no tā, ka pakalpojumu sniegšanas tīklam aizvien lielākā mērā ir pārrobežu raksturs un piemīt savstarpējā atkarība, proti, tas izmanto pamata infrastruktūras visā Savienībā tādās nozarēs kā enerģētika, transports, digitālā infrastruktūra, dzeramais ūdens un notekūdeņi, veselība, konkrēti valsts pārvaldes aspekti, kā arī kosmoss, ciktāl runa ir par tādu konkrētu pakalpojumu sniegšanu, kuri ir atkarīgi no virszemes infrastruktūrām, ko tur īpašumā, pārvalda vai ekspluatē dalībvalstis vai privātas puses, tādējādi neaptverot infrastruktūras, ko tur īpašumā, pārvalda vai ekspluatē Savienība vai tās vārdā kā daļu no tās kosmosa programmas. Šī savstarpējā atkarība nozīmē, ka jebkuram traucējumam, pat tādam, kas sākotnēji skar tikai vienu vienību vai vienu nozari, var būt plašāka lavīnveida ietekme, kura potenciāli var izraisīt tālejošas un ilgstošas negatīvas sekas pakalpojumu sniegšanā iekšējā tirgū. Kiberuzbrukumu pastiprināšanās Covid-19 pandēmijas laikā ir parādījusi arvien vairāk savstarpēji atkarīgo sabiedrību neaizsargātību pret zemas varbūtības riskiem.

(38)

Ņemot vērā atšķirības valstu pārvaldes struktūrās un lai neskartu jau pastāvošos nozaru pasākumus vai Savienības uzraudzības un regulatīvās struktūras, dalībvalstīm būtu jāspēj izraudzīties vai izveidot vienu vai vairākas kompetentās iestādes, kas atbild par kiberdrošību un šajā direktīvā paredzētajiem uzraudzības uzdevumiem.

(39)

Lai veicinātu pārrobežu sadarbību un saziņu starp iestādēm un lai varētu efektīvi īstenot šo direktīvu, katrai dalībvalstij jāizraugās vienots kontaktpunkts, kas atbild par to jautājumu koordināciju, kuri saistīti ar tīklu un informācijas sistēmu drošību un pārrobežu sadarbību Savienības līmenī.

(40)

Vienotajiem kontaktpunktiem būtu jānodrošina efektīva pārrobežu sadarbība ar citu dalībvalstu attiecīgajām iestādēm un attiecīgā gadījumā ar Komisiju un ENISA. Tāpēc vienotajiem kontaktpunktiem būtu jāuzdod nosūtīt paziņojumus par būtiskiem incidentiem ar pārrobežu ietekmi citu skarto dalībvalstu vienotajiem kontaktpunktiem pēc CSIRT vai kompetentās iestādes pieprasījuma. Valstu līmenī vienotajiem kontaktpunktiem būtu jādara iespējama raita starpnozaru sadarbība ar citām kompetentajām iestādēm. Vienotie kontaktpunkti varētu arī saņemt relevantu informāciju par incidentiem, kas saistīti ar finanšu vienībām, no kompetentajām iestādēm, kas minētas Regulā (ES) 2022/2554, un tiem būtu jāspēj šo informāciju attiecīgā gadījumā pārsūtīt šajā direktīvā paredzētajām CSIRT vai kompetentajām iestādēm.

(41)

Dalībvalstīm vajadzētu būt gan tehnisko, gan organizatorisko spēju ziņā adekvāti aprīkotām, lai novērstu un atklātu incidentus un riskus, reaģētu uz tiem un mazinātu to ietekmi. Tāpēc dalībvalstīm būtu jāizveido vai jāizraugās viena vai vairākas CSIRT saskaņā ar šo direktīvu un jānodrošina, ka tām ir adekvāti resursi un tehniskās spējas. CSIRT būtu jāatbilst šajā direktīvā noteiktajām prasībām, lai garantētu reālas un saderīgas spējas incidentu risināšanai un risku novēršanai un efektīvas sadarbības nodrošināšanai Savienības līmenī. Dalībvalstīm būtu jāspēj par CSIRT izraudzīties jau esošas datorapdraudējumu reaģēšanas vienības (CERT). Lai uzlabotu uzticības pilnas attiecības starp vienībām un CSIRT, gadījumos, kad CSIRT ir kompetentās iestādes daļa, dalībvalstīm būtu jāspēj apsvērt funkcionālu nošķīrumu starp CSIRT veiktajiem operatīvajiem uzdevumiem, jo īpaši attiecībā uz informācijas kopīgošanu un vienībām sniegto palīdzību, un kompetento iestāžu uzraudzības darbībām.

(42)

CSIRT uzdevums ir risināt incidentus. Tas ietver dažkārt sensitīvu datu apstrādi lielā apjomā. Dalībvalstīm būtu jānodrošina, ka CSIRT ir infrastruktūra informācijas kopīgošanai un apstrādei, kā arī labi aprīkots personāls, kas nodrošina to darbību konfidencialitāti un uzticamību. Šajā sakarā CSIRT varētu arī pieņemt rīcības kodeksus.

(43)

Attiecībā uz persondatiem – CSIRT, ja to pieprasa būtiska vai svarīga vienība, būtu jāspēj nodrošināt to pakalpojumu sniegšanai izmantoto tīklu un informācijas sistēmu proaktīvu skenēšanu, ievērojot Regulu (ES) 2016/679. Attiecīgā gadījumā dalībvalstīm būtu jācenšas nodrošināt vienlīdzīgu tehnisko spēju līmeni visām nozaru CSIRT. Dalībvalstīm būtu jāspēj lūgt ENISA palīdzību savu CSIRT izveidē.

(44)

CSIRT būtu jāspēj pēc būtiskas vai svarīgas vienības pieprasījuma uzraudzīt ar internetu saskarsmē esošos vienības aktīvus gan telpās, gan ārpus tām, nolūkā identificēt, izprast un pārvaldīt vienības vispārējos organizatoriskos riskus attiecībā uz jaunidentificētiem piegādes ķēdes apdraudējumiem vai kritiskām ievainojamībām. Vienība būtu jāpamudina paziņot CSIRT, vai tā izmanto priviliģētu pārvaldības saskarni, jo tas varētu ietekmēt mitigācijas darbību veikšanas ātrumu.

(45)

Ņemot vērā to, cik svarīga ir starptautiskā sadarbība kiberdrošības jomā, CSIRT būtu jāspēj piedalīties starptautiskos sadarbības tīklos papildus CSIRT tīklam, ko izveido ar šo direktīvu. Tāpēc, lai veiktu savus uzdevumus, CSIRT un kompetentajām iestādēm būtu jāspēj apmainīties ar informāciju, tostarp persondatiem, ar trešo valstu valsts datordrošības incidentu reaģēšanas vienībām vai kompetentajām iestādēm, ar noteikumu, ka ir izpildīti Savienības datu aizsardzības tiesību aktos paredzētie nosacījumi persondatu nosūtīšanai uz trešām valstīm, cita starpā Regulas (ES) 2016/679 49. panta nosacījumi.

(46)

Ir būtiski nodrošināt adekvātus resursus, lai sasniegtu šīs direktīvas mērķus un dotu iespēju kompetentajām iestādēm un CSIRT veikt tajā noteiktos uzdevumus. Dalībvalstis var valsts līmenī ieviest finansēšanas mehānismu, lai segtu nepieciešamos izdevumus, kas saistīti ar to publisko vienību uzdevumu veikšanu, kuras dalībvalstī saskaņā ar šo direktīvu ir atbildīgas par kiberdrošību. Šādam mehānismam būtu jāatbilst Savienības tiesību aktiem, tam vajadzētu būt samērīgam un nediskriminējošam, un tajā būtu jāņem vērā dažādas pieejas drošu pakalpojumu sniegšanai.

(47)

CSIRT tīklam būtu jāturpina palīdzēt stiprināt paļāvību un uzticēšanos un veicināt ātru un rezultatīvu operatīvo sadarbību starp dalībvalstīm. Lai uzlabotu operatīvo sadarbību Savienības līmenī, CSIRT tīklam būtu jāapsver iespēja aicināt Savienības struktūras un aģentūras, kas iesaistītas kiberdrošības rīcībpolitikā, piemēram, Eiropolu, piedalīties tā darbā.

(48)

Lai sasniegtu un uzturētu augstu kiberdrošības līmeni, šajā direktīvā prasītajām valstu kiberdrošības stratēģijām būtu jāsastāv no saskanīgiem satvariem, kas paredz stratēģiskus mērķus un prioritātes kiberdrošības jomā un pārvaldību to sasniegšanai. Minētās stratēģijas var sastāvēt no viena vai vairākiem leģislatīviem vai neleģislatīviem instrumentiem.

(49)

Kiberhigiēnas rīcībpolitikas nodrošina pamatu tīklu un informācijas sistēmu infrastruktūru, aparatūras, programmatūras un tiešsaistes lietotņu drošības aizsardzībai, kā arī vienību izmantoto uzņēmumu vai galalietotāju datu aizsardzībai. Kiberhigiēnas rīcībpolitikas, kas veido kopīgu prakšu pamatkopu, tostarp programmatūras un aparatūras atjaunināšanu, paroļu maiņu, jaunu uzstādīto produktu pārvaldību, administratora līmeņa piekļuves kontu ierobežošanu un datu dublējumkopiju izveidi, dara iespējamu proaktīvu gatavības un vispārēja drošumu un drošības sistēmu incidentu vai kiberdraudu gadījumā. ENISA būtu jāuzrauga un jāanalizē dalībvalstu kiberhigiēnas rīcībpolitikas.

(50)

Izpratne par kiberdrošību un kiberhigiēnu ir būtiska, lai uzlabotu kiberdrošības līmeni Savienībā, jo īpaši ņemot vērā to, ka pieaug tādu savienoto ierīču skaits, kuras arvien vairāk izmanto kiberuzbrukumos. Būtu jācenšas uzlabot vispārējo izpratni par riskiem, kas saistīti ar šādām ierīcēm, savukārt Savienības līmeņa novērtējumi varētu palīdzēt nodrošināt vienotu izpratni par šādiem riskiem iekšējā tirgū.

(51)

Dalībvalstīm būtu jāveicina jebkādas tādas inovatīvas tehnoloģijas, tostarp mākslīgā intelekta, izmantošana, kas varētu uzlabot kiberuzbrukumu atklāšanu un novēršanu, dodot iespēju resursus cīņai pret kiberuzbrukumiem novirzīt rezultatīvāk. Tāpēc dalībvalstīm savās valsts kiberdrošības stratēģijās būtu jāveicina pētniecības un izstrādes darbības, lai atvieglotu šādu tehnoloģiju izmantošanu, jo īpaši tādu tehnoloģiju izmantošanu, kas saistītas ar automatizētiem vai pusautomatizētiem kiberdrošības rīkiem, un attiecīgā gadījumā tādu datu kopīgošana, kas vajadzīgi, lai apmācītu šādu tehnoloģiju lietotājus un tās uzlabotu. Jebkuras inovatīvas tehnoloģijas, tostarp mākslīgā intelekta, izmantošanai būtu jāatbilst Savienības datu aizsardzības tiesību aktiem, tostarp datu aizsardzības principiem – datu precizitātei, datu minimizēšanai, taisnīgumam un pārredzamībai un datu drošībai, piemēram, mūsdienīgai šifrēšanai. Būtu pilnībā jāizmanto integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma prasības, ko paredz Regula (ES) 2016/679.

(52)

Atvērtā pirmkoda kiberdrošības rīki un lietotnes var paaugstināt atvērtības līmeni un pozitīvi ietekmēt rūpnieciskās inovācijas efektivitāti. Atvērtie standarti veicina drošības rīku sadarbspēju, tādējādi labvēlīgi ietekmējot rūpniecības nozares ieinteresēto personu drošību. Atvērtā pirmkoda kiberdrošības rīki un lietotnes var mobilizēt izstrādātāju kopienu kopumā, darot iespējamu piegādātāju dažādošanu. Atvērtā pirmkoda izmantošana var radīt pārredzamāku ar kiberdrošību saistītu rīku verifikāciju un kopienas virzītu ievainojamības atklāšanu. Tādēļ dalībvalstīm būtu jāspēj veicināt atvērtā pirmkoda programmatūras un atvērto standartu izmantošanu, īstenojot rīcībpolitikas attiecībā uz atvērto datu un atvērtā pirmkoda izmantošanu kā daļu no drošības, ko panāk ar pārredzamību. Rīcībpolitikas, kas veicina atvērtā pirmkoda kiberdrošības rīku ieviešanu un ilgtspējīgu izmantošanu, ir īpaši svarīgas maziem un vidējiem uzņēmumiem, kuri saskaras ar lielām ieviešanas izmaksām, ko varētu minimizēt, samazinot nepieciešamību pēc konkrētām lietotnēm vai rīkiem.

(53)

Sabiedriskie pakalpojumi arvien vairāk tiek savienoti ar pilsētu digitālajiem tīkliem, lai uzlabotu pilsētu transporta tīklus, uzlabotu modernizētu ūdensapgādi un atkritumu apglabāšanas kompleksus un palielinātu apgaismojuma un ēku apkures efektivitāti. Minētie digitalizētie sabiedriskie pakalpojumi var tikt pakļauti kiberuzbrukumiem, un veiksmīga kiberuzbrukuma gadījumā savstarpējās savienotības dēļ tie var kaitēt iedzīvotājiem plašā mērogā. Dalībvalstīm savas kiberdrošības stratēģijas ietvaros būtu jāizstrādā rīcībpolitika, kas pievēršas šādu savienotu vai viedu pilsētu izveidei un to iespējamajai ietekmei uz sabiedrību.

(54)

Pēdējos gados Savienībā ir strauji palielinājies izspiedējprogrammatūras uzbrukumu skaits, kuros ļaunprogrammatūra šifrē datus un sistēmas un pieprasa izpirkuma maksu par atšifrēšanu. Izspiedējprogrammatūras uzbrukumu pieaugošo biežumu un smagumu var noteikt vairāki faktori, piemēram, dažādi uzbrukuma modeļi, noziedzīgas darbības modeļi, kas saistīti ar “izspiedējprogrammatūru kā pakalpojumu” un kriptovalūtām, izpirkuma maksas pieprasīšana un pieaugoši uzbrukumi piegādes ķēdē. Dalībvalstīm to valsts kiberdrošības stratēģijas ietvaros būtu jāizstrādā rīcībpolitika izspiedējprogrammatūras uzbrukumu pieauguma problēmas risināšanai.

(55)

Publiskā un privātā sektora partnerības (PPP) kiberdrošības jomā var nodrošināt pienācīgu sistēmu zināšanu apmaiņai, paraugprakšu kopīgošanai un kopīgas izpratnes gūšanai ieinteresēto personu vidū. Dalībvalstīm būtu jāveicina rīcībpolitikas, kas ir pamatā kiberdrošības PPP izveidei. Minētajās rīcībpolitikās cita starpā būtu jāprecizē tvērums un iesaistītās ieinteresētās personas, pārvaldības modelis, pieejamās finansējuma iespējas un iesaistīto ieinteresēto personu mijiedarbība attiecībā uz PPP. PPP var izmantot privātā sektora vienību specializētās zināšanas, lai palīdzētu kompetentajām iestādēm izstrādāt modernus pakalpojumus un procesus, tostarp informācijas apmaiņu, agrīnus brīdinājumus, kiberdraudu un incidentu jomas mācības, krīzes pārvaldību un noturības plānošanu.

(56)

Dalībvalstīm to valsts kiberdrošības stratēģijās būtu jārisina konkrētas mazo un vidējo uzņēmumu kiberdrošības vajadzības. Savienībā mazo un vidējo uzņēmumu īpatsvars rūpniecības un uzņēmējdarbības tirgū ir liels, un bieži vien tiem ir grūtības pielāgoties jaunai uzņēmējdarbības praksei lielākā mērā savienotā pasaulē un digitālā vidē laikā, kad darbinieki strādā no mājām un uzņēmējdarbība arvien biežāk notiek tiešsaistē. Daļai mazo un vidējo uzņēmumu kiberdrošības ziņā ir īpašas grūtības, piemēram, vāja izpratne par kiberdrošību, attālās IT drošības trūkums, augstās kiberdrošības risinājumu izmaksas un augstāks apdraudējuma, piemēram, izspiedējprogrammatūras draudu, līmenis, un šādu problēmu risināšanai tiem būtu jāsaņem padomi un atbalsts. Mazie un vidējie uzņēmumi arvien vairāk kļūst par mērķi uzbrukumos piegādes ķēdēm, jo tiem ir mazāk stingri kiberdrošības risku pārvaldības pasākumi un uzbrukumu pārvaldība, un ierobežoti drošības resursi. Šādi uzbrukumi piegādes ķēdēm neietekmē mazos un vidējos uzņēmumus un to darbību vien: tiem var būt arī lavīnveida ietekme uz lielākiem uzbrukumiem vienībām, kurām mazie un vidējie uzņēmumi nodrošina piegādes. Dalībvalstīm ar valsts kiberdrošības stratēģijām būtu jāpalīdz mazajiem un vidējiem uzņēmumiem risināt problēmas to piegādes ķēdēs. Dalībvalstīm vajadzētu būt valsts vai reģionāla līmeņa kontaktpunktam maziem un vidējiem uzņēmumiem, kurš sniedz norādījumus un palīdzību maziem un vidējiem uzņēmumiem vai nosūta tos pie attiecīgajām struktūrām, lai tie saņemtu norādījumus un palīdzību ar kiberdrošību saistītos jautājumos. Dalībvalstis tiek arī mudinātas piedāvāt tādus pakalpojumus kā tīmekļa vietņu konfigurācija un datu reģistrēšana, kas to darītu iespējamu mikrouzņēmumiem un mazajiem uzņēmumiem, kuriem šādu spēju nav.

(57)

Dalībvalstīm valsts kiberdrošības stratēģijās būtu jāpieņem rīcībpolitikas aktīvas kiberaizsardzības veicināšanai plašākas aizsardzības stratēģijas satvarā. Aktīva kiberaizsardzība ir nevis reaģēšana, bet gan aktīva tīkla drošības pārkāpumu nepieļaušana, atklāšana, uzraudzība, analīze un mitigācija apvienojumā ar spēju izmantošanu cietušajā tīklā un ārpus tā. Tās ietvaros dalībvalstis varētu dažām vienībām piedāvāt bezmaksas pakalpojumus vai rīkus, tostarp pašapkalpošanās pārbaudes, atklāšanas rīkus un vietņu bloķēšanas pakalpojumus. Spēja ātri un automātiski kopīgot un izprast informāciju par draudiem un to analīzi, kiberdarbības brīdinājumi un atbildes reakcija ir izšķirīgi svarīga, lai būtu iespējami saskaņoti centieni veiksmīgi nepieļaut, atklāt, risināt un bloķēt uzbrukumus tīklu un informācijas sistēmām. Aktīva kiberaizsardzība ir balstīta uz defensīvu stratēģiju, kas izslēdz ofensīvus pasākumus.

(58)

Ņemot vērā to, ka tīklu un informācijas sistēmu ievainojamību izmantošana var izraisīt būtiskus traucējumus un kaitējumu, riska mazināšanā svarīgs faktors ir šādu ievainojamību ātra apzināšana un novēršana. Tāpēc vienībām, kas izstrādā vai pārvalda tīklu un informācijas sistēmas, būtu jāievieš pienācīgas procedūras, kā rīkoties, kad tiek atklāta ievainojamība. Tā kā ievainojamību bieži konstatē un izpauž trešās personas, IKT produktu ražotājam vai IKT pakalpojumu sniedzējam būtu arī jāievieš nepieciešamās procedūras informācijas par ievainojamību saņemšanai no trešām personām. Šajā sakarā norādījumus par rīcību ievainojamības gadījumā un ievainojamības izpaušanu sniedz attiecīgi starptautiskie standarti ISO/IEC 30111 un ISO/IEC 29147. Labāka koordinācija starp ziņotājām fiziskām un juridiskām personām un IKT produktu ražotājiem vai IKT pakalpojumu sniedzējiem ir īpaši svarīga, lai sekmētu brīvprātīgu ievainojamības izpaušanas sistēmu. Koordinēta ievainojamības izpaušana ir strukturēts process, kurā potenciāli ievainojamu IKT produktu ražotājiem vai potenciāli ievainojamu IKT pakalpojumu sniedzējiem par ievainojamību tiek ziņots tā, lai ievainojamību varētu diagnosticēt un izlabot, pirms sīkāka informācija par to tiek izpausta trešām personām vai sabiedrībai. Koordinētā ievainojamības izpaušanā būtu jāietver arī koordinācija starp ziņotāju fizisku vai juridisku personu un potenciāli ievainojamu IKT produktu vai IKT pakalpojumu ražotāju vai sniedzēju attiecībā uz ievainojamības izlabošanas un publiskošanas termiņu.

(59)

Komisijai, ENISA un dalībvalstīm būtu jāturpina veicināt saskaņotību ar starptautiskajiem standartiem un pastāvošajām nozares paraugpraksēm kiberdrošības risku pārvaldības jomā, piemēram, piegādes ķēdes drošības novērtēšanas, informācijas kopīgošanas un ievainojamības izpaušanas jomā.

(60)

Dalībvalstīm sadarbībā ar ENISA būtu jāveic pasākumi, lai veicinātu koordinētu ievainojamības izpaušanu, ieviešot atbilstošu valsts rīcībpolitiku. Ar valsts rīcībpolitiku dalībvalstīm būtu jācenšas, cik vien iespējams, risināt problēmas, kas skar ievainojamības pētniekus, tostarp to, ka tiem var tikt noteikta kriminālatbildība saskaņā ar valsts tiesību aktiem. Ņemot vērā, ka fiziskas un juridiskas personas, kas pēta ievainojamību, dažās dalībvalstīs varētu būt pakļautas kriminālatbildībai un civiltiesiskajai atbildībai, dalībvalstis tiek mudinātas pieņemt pamatnostādnes par kriminālvajāšanas neīstenošanu pret pētniekiem informācijas drošības jomā un viņu darbību atbrīvošanu no civiltiesiskās atbildības.

(61)

Dalībvalstīm būtu jāizraugās viena no savām CSIRT par koordinatori, kas vajadzības gadījumā darbotos kā uzticama starpniece starp ziņotājām fiziskajām un juridiskajām personām un tādu IKT produktu ražotājiem vai IKT pakalpojumu sniedzējiem, ko ievainojamība, visticamāk, skars. Par koordinatori izraudzītās CSIRT uzdevumiem būtu jāietver attiecīgo vienību identificēšana un sazināšanās ar tām, palīdzība fiziskajām un juridiskajām personām, kas ziņo par ievainojamību, sarunas par izpaušanas termiņiem un tādu ievainojamību pārvaldību, kuras ietekmē vairākas vienības (daudzpusējā koordinētā ievainojamības izpaušana). Ja paziņotā ievainojamība varētu būtiski ietekmēt vienības vairāk nekā vienā dalībvalstī, par koordinatorēm izraudzītajām CSIRT attiecīgos gadījumos būtu jāsadarbojas CSIRT tīklā.

(62)

Piekļuve pareizai un savlaicīgai informācijai par ievainojamībām, kas skar IKT produktus un IKT pakalpojumus, veicina labāku kiberdrošības risku pārvaldību. Publiski pieejamas informācijas par ievainojamībām avoti ir svarīgs rīks vienībām un to pakalpojumu lietotājiem, kā arī kompetentajām iestādēm un CSIRT. Šā iemesla dēļ ENISA būtu jāizveido Eiropas ievainojamību datubāze, kurā vienības, neatkarīgi no tā, vai tās ir šīs direktīvas darbības jomā, un to tīklu un informācijas sistēmu nodrošinātāji, kā arī kompetentās iestādes un CSIRT var brīvprātīgi izpaust un reģistrēt publiski zināmas ievainojamības, lai lietotāji varētu veikt pienācīgus mitigācijas pasākumus. Minētās datubāzes mērķis būtu risināt unikālās problēmas, ko draudi rada Savienības vienībām. Turklāt ENISA būtu jāizveido pienācīga publiskošanas procesa procedūra, lai dotu vienībām laiku veikt mitigācijas pasākumus attiecībā uz to ievainojamībām, un jāizmanto jaunākie kiberdrošības risku pārvaldības pasākumi, kā arī mašīnlasāmas datu kopas un attiecīgas saskarnes. Lai veicinātu ievainojamību izpaušanas kultūru, atklāšanai nevajadzētu kaitēt ziņotājai fiziskai vai juridiskai personai.

(63)

Lai gan līdzīgi ievainojamību reģistri un datubāzes jau pastāv, to mitinātājas un uzturētājas ir vienības, kas nav iedibinātas Savienībā. ENISA uzturēta Eiropas ievainojamību datubāze nodrošinātu labāku pārredzamību attiecībā uz publiskošanas procesu, pirms ievainojamība tiek publiski izpausta, un noturību gadījumā, kad notiek traucējumi vai pārtraukums līdzīgu pakalpojumu sniegšanā. Lai pēc iespējas izvairītos no centienu dublēšanās un nodrošinātu komplementaritāti, ENISA būtu jāizskata iespēja slēgt strukturētus sadarbības nolīgumus ar līdzīgiem reģistriem vai datubāzēm, kas ir trešo valstu jurisdikcijā. Konkrētāk, ENISA būtu jāizskata iespēja cieši sadarboties ar kopējās ievainojamību un eksponētību (CVE) sistēmas operatoriem.

(64)

Sadarbības grupai būtu jāatbalsta un jāveicina stratēģiskā sadarbība un informācijas apmaiņa, kā arī jāstiprina dalībvalstu savstarpējā uzticēšanās un paļāvība. Sadarbības grupai ik divus gadus būtu jāizstrādā darba programma. Darba programmā būtu jāiekļauj darbības, kas sadarbības grupai jāveic, lai sasniegtu savus mērķus un izpildītus savus uzdevumus. Lai izvairītos no iespējamiem traucējumiem sadarbības grupas darbā, saskaņā ar šo direktīvu pieņemamās pirmās darba programmas izstrādes termiņš būtu jāpielāgo pēdējās saskaņā ar Direktīvu (ES) 2016/1148 izstrādātās darba programmas termiņam.

(65)

Izstrādājot norādījumu dokumentus, sadarbības grupai būtu konsekventi jāapzina valsts risinājumi un pieredze, jānovērtē sadarbības grupas nodevumu ietekme uz valstu pieejām, jāapspriež īstenošanas problēmas un jāformulē konkrēti ieteikumi, jo īpaši par to, kā atvieglot saskaņošanu šīs direktīvas transponēšanā dalībvalstīs, kas jāizpilda, labāk īstenojot pastāvošos noteikumus. Sadarbības grupa varētu arī apzināt valstu risinājumus nolūkā veicināt katrā konkrētajā nozarē izmantoto kiberdrošības risinājumu saderību Savienībā. Tas ir īpaši būtiski nozarēm, kurām ir starptautisks vai pārrobežu raksturs.

(66)

Sadarbības grupai arī turpmāk vajadzētu būt elastīgam forumam un būtu jāspēj reaģēt uz mainīgām un jaunām rīcībpolitikas prioritātēm un problēmām, vienlaikus ņemot vērā resursu pieejamību. Tā varētu organizēt regulāras kopīgas sanāksmes ar attiecīgajām privātā sektora ieinteresētajām personām no visas Savienības, lai apspriestu sadarbības grupas veiktās darbības un vāktu datus un informāciju par jaunām rīcībpolitiskām problēmām. Papildus tam sadarbības grupai būtu regulāri jānovērtē stāvoklis kiberdraudu vai incidentu, piemēram, izspiedējprogrammatūras, jomā. Lai uzlabotu sadarbību Savienības līmenī, sadarbības grupai būtu jāapsver iespēja pieaicināt attiecīgās Savienības iestādes, struktūras, birojus un aģentūras, kas iesaistītas kiberdrošības rīcībpolitikā, piemēram, Eiropas Parlamentu, Eiropolu, Eiropas Datu aizsardzības kolēģiju, Eiropas Savienības Aviācijas drošības aģentūru, kura izveidota ar Regulu (ES) 2018/1139, un Eiropas Savienības Kosmosa programmas aģentūru, kura izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/696 (14), lai tās piedalītos tās darbā.