Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148

EN
EUROPEAN
COMMISSION
Brussels, 16.12.2020
COM(2020) 823 final
2020/0359 (COD)
Proposal for a
DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
on measures for a high common level of cybersecurity across the Union, repealing
Directive (EU) 2016/1148
(Text with EEA relevance)
{SEC(2020) 430 final} - {SWD(2020) 344 final} - {SWD(2020) 345 final}
Europaudvalget 2020
KOM (2020) 0823
Offentligt
EN 1 EN
EXPLANATORY MEMORANDUM
1. CONTEXT OF THE PROPOSAL
• Reasons for and objectives of the proposal
This proposal is part of a package of measures to improve further the resilience and incident
response capacities of public and private entities, competent authorities and the Union as a
whole in the field of cybersecurity and critical infrastructure protection. It is in line with the
Commission’s priorities to make Europe fit for the digital age and to build a future-ready
economy that works for the people. Cybersecurity is a priority in the Commission’s response
to the COVID-19 crisis. The package includes a new Strategy on Cybersecurity with the aim
of strengthening the Union’s strategic autonomy to improve its resilience and collective
response and to build an open and global internet. Finally, the package contains a proposal for
a directive on the resilience of critical operators of essential services, which aims to mitigate
physical threats against such operators.
This proposal builds on and repeals Directive (EU) 2016/1148 on security of network and
information systems (NIS Directive), which is the first piece of EU-wide legislation on
cybersecurity and provides legal measures to boost the overall level of cybersecurity in the
Union. The NIS Directive has (1) contributed to improving cybersecurity capabilities at
national level by requiring Member States to adopt national cybersecurity strategies and to
appoint cybersecurity authorities; (2) increased cooperation between Member States at Union
level by setting up various fora facilitating the exchange of strategic and operational
information; and (3) improved the cyber resilience of public and private entities in seven
specific sectors (energy, transport, banking, financial market infrastructures, healthcare,
drinking water supply and distribution, and digital infrastructures) and across three digital
services (online marketplaces, online search engines and cloud computing services) by
requiring Member States to ensure that operators of essential services and digital service
providers put in place cybersecurity requirements and report incidents.
The proposal modernises the existing legal framework taking account of the increased
digitisation of the internal market in recent years and an evolving cybersecurity threat
landscape. Both developments have been further amplified since the onset of the COVID-19
crisis. The proposal also addresses several weaknesses that prevented the NIS Directive from
unlocking its full potential.
Notwithstanding its notable achievements, the NIS Directive, which paved the way for a
significant change in mind-set, in relation to the institutional and regulatory approach to
cybersecurity in many Member States, has also proven its limitations. The digital
transformation of society (intensified by the COVID-19 crisis) has expanded the threat
landscape and is bringing about new challenges which require adapted and innovative
responses. The number of cyber -attacks continues to rise, with increasingly sophisticated
attacks coming from a wide range of sources inside and outside the EU.
The evaluation on the functioning of the NIS Directive, conducted for the purposes of the
Impact Assessment, identified the following issues: (1) the low level of cyber resilience of
businesses operating in the EU; (2) the inconsistent resilience across Member States and
sectors; and (3) the low level of joint situational awareness and lack of joint crisis response.
For example, certain major hospitals in a Member State do not fall within the scope of the
NIS Directive and hence are not required to implement the resulting security measures, while
in another Member State almost every single healthcare provider in the country is covered by
the NIS security requirements.
EN 2 EN
Being an initiative within the Regulatory Fitness Programme (REFIT), the proposal aims at
reducing the regulatory burden for competent authorities and compliance costs for public and
private entities. Most notably, this is achieved by abolishing the obligation of competent
authorities to identify operators of essential services and by increasing the level of
harmonisation of security and reporting requirements to facilitate regulatory compliance for
entities providing cross-border services. At the same time, competent authorities will also be
given a number of new tasks, including the supervision of entities in sectors so far not covered
by the NIS Directive.
• Consistency with existing policy provisions in the policy area
This proposal is part of a wider set of existing legal instruments and upcoming initiatives at
Union level aimed at increasing the resilience of public and private entities against threats.
In the area of cybersecurity, these are notably Directive (EU) 2018/1972 establishing the
European Electronic Communications Code (the cybersecurity-related provisions of which
will be replaced by the provisions of the proposal at hand) and the proposal for a Regulation
on digital operational resilience for the financial sector (COM(2020) 595 final), which will be
considered as lex specialis to the proposal at hand once both acts have come into force.
In the area of physical security, the proposal complements the proposal for a Directive on the
resilience of critical entities, which revises Directive 2008/114/EC on the identification and
designation of European critical infrastructures and the assessment of the need to improve
their protection (ECI Directive), which establishes a Union process for identifying and
designating European critical infrastructures, and sets out an approach for improving their
protection. In July 2020, the Commission adopted the EU Security Union Strategy1
, which
acknowledged the increasing interconnection and interdependency between physical and
digital infrastructures. It underlined the need for a more coherent and consistent approach
between the ECI Directive and the Directive (EU) 2016/1148 concerning measures for a high
common level of security of network and information systems across the Union.
The proposal is therefore closely aligned with the proposal for a Directive on the resilience of
critical entities, which aims at enhancing the resilience of critical entities against physical
threats in a large number of sectors. The proposal aims to ensure that competent authorities
under both legal acts take complementary measures and exchange information as necessary
regarding cyber and non-cyber resilience, and that particularly critical operators in the sectors
considered to be ‘essential’ per the proposal at hand are also subject to more general
resilience-enhancing obligations with an emphasis on non-cyber risks.
• Consistency with other Union policies
As set-out in the Communication ‘Shaping Europe’s digital future’2
, it is crucial for Europe to
reap all the benefits of the digital age and to strengthen its industry and innovation capacity,
within safe and ethical boundaries. The European strategy for data sets out four pillars – data
protection, fundamental rights, safety and cybersecurity – as essential pre-requisites for a
society empowered by the use of data.
1
COM(2020)605 final.
2
COM(2020)67 final.
EN 3 EN
In a resolution from 12 March 2019, the European Parliament called “[…] on the Commission
to assess the need to further enlarge the scope of the NIS Directive to other critical sectors
and services that are not covered by sector-specific legislation”.3
The Council, in its
conclusions from 9 June 2020, welcomed “[…] the Commission’s plans to ensure consistent
rules for market operators and facilitate secure, robust and appropriate information-sharing
on threats as well as incidents, including through a review of the Directive on security of
network and information systems (NIS Directive), to pursue options for improved cyber
resilience and more effective responses to cyber-attacks, particularly on essential economic
and societal activities, whilst respecting Member States’ competences, including the
responsibility for their national security.”4
Furthermore, the proposed legal act is without
prejudice to the application of competition rules laid down in the Treaty on the Functioning of
the European Union (TFEU).
Given that a significant part of the cybersecurity threats have their origin outside of the EU, a
coherent approach to international cooperation is needed. This Directive shall constitute a
reference model to be promoted in the context of the EU’s cooperation with third countries,
notably when providing external technical assistance.
2. LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY
• Legal basis
The legal basis for the NIS Directive is Article 114 of the Treaty on the Functioning of the
European Union, whose objective is the establishment and functioning of the internal market
by enhancing measures for the approximation of national rules. As held by the Court of
Justice of the EU in its judgement in Case C-58/08 Vodafone and others, the resort to Article
114 TFEU is justified where there are differences between national rules which have a direct
effect on the functioning of the internal market. Equally, the Court held that where an act
based on Article 114 TFEU has already removed any obstacle to trade in the area that it
harmonises, the Union legislature cannot be denied the possibility of adapting that act to any
change in circumstances or development of knowledge having regard to its task of
safeguarding the general interests recognised by the Treaty. Finally, the Court held that the
measures for the approximation covered by article 114 TFEU are intended to allow a margin
of discretion, depending on the general context and the specific circumstances of the matter to
be harmonised, as to the method of approximation most appropriate to achieve the desired
result. The proposed legal act would remove obstacles to, and improve the establishment and
functioning of the internal market for essential and important entities by: establishing clear
generally applicable rules on the scope of application of the NIS Directive, harmonising the
rules applicable in the area of cybersecurity risk management and incident reporting. Current
disparities in this area, both at legislative and supervisory levels, as well as national and EU
levels, are obstacles to the internal market because entities that engage in cross-border
activities face different, and possibly overlapping, regulatory requirements and/or their
application, to the detriment of the exercise of their freedoms of establishment and of
provision of services. Different rules also have a negative impact on the conditions of
competition in the internal market when it comes to entities of the same type in different
Member States.
3
https://www.europarl.europa.eu/doceo/document/TA-8-2019-0156_EN.html
4
https://data.consilium.europa.eu/doc/document/ST-8711-2020-INIT/en/pdf
EN 4 EN
• Subsidiarity (for non-exclusive competence)
Cybersecurity resilience across the Union cannot be effective if approached in a disparate
manner through national or regional silos. The NIS Directive partly addressed this
shortcoming, by setting a framework for network and information systems security at national
and Union levels. However, its transposition and implementation also brought to light
inherent shortcomings and limits of certain provisions or approaches, such as the unclear
delimitation of the scope of the directive leading to significant differences in the extent and
depth of de facto EU intervention at Member State level. Furthermore, since the COVID-19
crisis, the European economy has grown even more dependent on network and information
systems than ever before and sectors and services are increasingly interconnected. EU
intervention going beyond the current measures of the NIS Directive is justified mainly by: (i)
the increasingly cross-border nature of the NIS-related threats and challenges; (ii) the
potential of Union’s action to improve and facilitate effective and coordinated national
policies; and (iii) the contribution of concerted and collaborative policy actions to effective
protection of data protection and privacy.
• Proportionality
The rules proposed in this Directive do not go beyond what is necessary to meet the specific
objectives satisfactorily. The envisaged alignment and streamlining of security measures and
reporting obligations relate to Member States and businesses’ requests to improve the current
framework.
The proposal takes account of the already existing practices in the Member States. An
enhanced level of protection achieved through such streamlined and coordinated requirements
is proportionate to the increasingly high risks faced including those presenting a cross-border
element; they are reasonable and generally corresponding to the interest of the entities
involved in ensuring continuity and quality of their services. The costs for ensuring systematic
cooperation amongst Member States would be small as compared to the economic and
societal losses and damages caused by cybersecurity incidents. Furthermore, the stakeholder
consultations held in the context of the review of the NIS Directive, including the results of
the Open Public Consultation and targeted surveys, show support for the revision of the NIS
Directive along the above-mentioned lines.
• Choice of the instrument
The proposal will further streamline the obligations imposed on businesses and ensure a
higher level of harmonisation thereof. At the same time, the proposal aims at providing
Member States with the flexibility needed to take into account national specificities (such the
possibility to identify additional essential or important entities going beyond the baseline set
by the legal act). The future legal instrument should therefore be a Directive, as this legal
instrument allows for targeted improved harmonisation as well as a certain degree of
flexibility for competent authorities.
EN 5 EN
3. RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER
CONSULTATIONS AND IMPACT ASSESSMENTS
• Ex-post evaluations/fitness checks of existing legislation
The Commission has carried out an evaluation of the functioning of the NIS Directive.5
It has
analysed its relevance, EU added value, coherence, effectiveness and efficiency. The main
findings of this analysis are:
 The scope of the NIS Directive is too limited in terms of the sectors covered, mainly
due to: (i) increased digitisation in recent years and a higher degree of
interconnectedness, (ii) the scope of the NIS Directive no longer reflecting all
digitised sectors providing key services to the economy and society as a whole.
 The NIS Directive is not sufficiently clear when it comes to the scope for operators
of essential services and its provisions do not provide sufficient clarity regarding
national competence over digital service providers. This has led to a situation in
which certain types of entities have not been identified in all Member States and are
therefore not required to put in place security measures and report incidents.
 The NIS Directive allowed wide discretion to the Member States when laying down
security and incident reporting requirements for operators of essential services
(hereinafter called ‘OES(s)’). The evaluation shows that in some instances Member
States have implemented these requirements in significantly different ways, creating
additional burden for companies operating in more than one Member State.
 The supervision and enforcement regime of the NIS Directive is ineffective. For
example, Member States have been very reluctant to apply penalties to entities
failing to put in place security requirements or report incidents. This can have
negative consequences for the cyber resilience of individual entities.
 The financial and human resources set aside by Member States for fulfilling their
tasks (such as OES identification or supervision), and consequently the different
levels of maturity in dealing with cybersecurity risks, vary greatly. This further
exacerbates the differences in cyber resilience between Member States.
 Member States do not share information systematically with one another, with
negative consequences in particular for the effectiveness of the cybersecurity
measures and for the level of joint situational awareness at EU level. This is also the
case for information sharing among private entities, and for the engagement between
the EU level cooperation structures and private entities.
• Stakeholder consultations
The Commission has consulted a broad range of stakeholders. Member States and
stakeholders were invited to participate in the Open Public Consultation and in the surveys
and workshops organised by Wavestone, CEPS and ICF, who the Commission has contracted
to carry out a study supporting the review of the NIS Directive. The consulted stakeholders
included competent authorities, Union bodies dealing with cybersecurity, operators of
essential services, digital service providers, entities providing services outside the scope of the
current NIS Directive, trade associations and consumer organisations and citizens.
5
[Annex 5 of the Impact Assessment]
EN 6 EN
In addition, the Commission has been in constant touch with the competent authorities in
charge of implementing the NIS Directive. The Cooperation Group has extensively covered
various cross-cutting and sectoral implementation aspects. Finally, during its NIS country
visits in 2019 and 2020, the Commission has interviewed 154 public and private entities, as
well as 117 competent authorities.
• Collection and use of expertise
The Commission has contracted a consortium of Wavestone, CEPS and ICF to support the
Commission in the review of the NIS Directive.6
The contractor has not only reached out to
the stakeholders directly affected by the NIS Directive through target surveys and workshops
but has also consulted with a wide range of experts in the field of cybersecurity, such as
cybersecurity researchers and cybersecurity industry professionals.
• Impact assessment
This proposal is accompanied by an impact assessment7
, which was submitted to the
Regulatory Scrutiny Board (RSB) on 23 October 2020 and received a positive opinion with
comments by the RSB on 20 November 2020. The RSB recommended improvements in some
areas with a view to: (1) better reflect the role of cross-border spillovers in the problem
analysis; (2) better explain what success would look like for the initiative; (3) further justify
the list of policy options; (4) further elaborate on the costs of the proposed measures. The
impact assessment was adjusted to address these points, as well as more detailed comments
from the RSB. It now includes more detailed explanations of the role of cross-border
spillovers in the field of cybersecurity, a clearer overview of how success can be measured, a
more detailed explanation of the design and logic behind the different policy options and
actions considered within these options, a more detailed explanation of the aspects analysed in
relation to the sectorial scope of the NIS Directive and further clarifications regarding costs.
The Commission considered a number of policy options for improving the legal framework in
the area of cyber resilience and incident response:
 “Do nothing”: The NIS Directive would remain unchanged and no other measures of
non-legislative nature would be taken to target the problems identified by the
evaluation of the NIS Directive.
 Option 1: There would be no changes at legislative level. Instead, the Commission
would issue recommendations and guidelines (such as on the identification of
operators of essential services, security requirements, incident notification
procedures and supervision), upon consultation of the Cooperation Group, the EU
Agency for Cybersecurity (ENISA) and, as applicable, the network of Computer
security incident response teams (CSIRTs).
 Option 2: This option entails targeted amendments to the NIS Directive, including an
extension of the scope and several other amendments that would aim at guaranteeing
certain immediate solutions to the problems identified, providing more clarity and
further harmonisation (such as provisions to harmonise identification thresholds).
6
Study to support the review of Directive (EU) 2016/1148 concerning measures for a high common level
of security of network and information systems across the Union (NIS Directive) – N° 2020-665.
Wavestone, CEPS and ICF.
7
[Links to final document and to the summary sheet to be added.]
EN 7 EN
The amended NIS Directive would however maintain the main building blocks,
approach and rationale.
 Option 3: This scenario entails systemic and structural changes to the NIS Directive
(through a new directive) envisaging a more fundamental shift of approach towards
covering a wider segment of the economies across the Union, yet with a more
focused supervision targeting big and key players. It would also streamline the
obligations imposed on businesses and ensure a higher level of harmonisation
thereof, create a more effective setting for operational aspects, as well as establish a
clear basis for enhanced shared responsibilities and accountability of various
stakeholders on cybersecurity measures.
The Impact Assessment concludes that the preferred option is option 3 (i.e. systemic and
structural changes to the NIS framework). In terms of effectiveness, the preferred option
would clearly determine the scope of application of the NIS Directive, extended to a more
representative fraction of EU economies and societies, and the streamlining of requirements,
along with a more defined framework for supervision and enforcement that would aim at
increasing the level of compliance. It also entails measures aimed at improving policy
building approaches at Member States level and changing the paradigm thereof, promoting
new frameworks for supplier relationships risk management and coordinated vulnerability
disclosure. At the same time, the preferred policy option establishes a clear basis for shared
responsibilities and accountability and envisages mechanisms aimed at fostering more trust
among Member States, both authorities and industry, incentivising information sharing and
ensuring a more operational approach, such as the mutual assistance and the peer-review
mechanisms. This option would also provide for an EU crisis management framework,
building on recently launched EU operational network, and would ensure more involvement
of ENISA, within its current mandate, in holding an accurate overview of the cybersecurity
state of the Union.
In terms of efficiency, while the preferred option would entail additional compliance and
enforcement costs for businesses and Member States, it would also lead to efficient trade-offs
and synergies, with the best potential out of all policy options analysed to ensure an increased
and consistent level of cyber resilience of key entities across the Union that would eventually
lead to cost savings for both businesses and society. This policy option would lead to certain
additional administrative burden and compliance costs for the Member States authorities.
However, on balance, on the medium and long term it would also bring substantial benefits
through increased cooperation among Member States, including at operational level, as well
as incentivising, through mutual assistance, peer-review mechanisms and better overview of
and interaction with key businesses, an overall increase in cybersecurity capabilities at
national and regional level. The preferred policy option would also ensure to a great extent
coherence with other legislation, initiatives or policy measures, including sector-specific lex
specialis.
Addressing the currently persisting insufficiency of cybersecurity preparedness at a Member
State level and at the level of companies and other organisations could result in efficiency
gains and reduction of additional costs resulting from cybersecurity incidents.
 For essential and important entities, increasing the level of cybersecurity
preparedness could result in mitigating potential loss of revenue due to disruptions –
including from industrial espionage – and could reduce the large expenses for an ad-
hoc threat mitigation. Such gains are likely to outweigh the necessary investment
costs. Reducing fragmentation in the internal market would also improve the level
playing field among operators.
EN 8 EN
 For Member States, it could further reduce the risk of growing budgetary expenses
for ad-hoc threat mitigation and additional costs in case of emergencies related to
cybersecurity incidents.
 For citizens, addressing cybersecurity incidents it is expected to result in reduced loss
of income due to economic disruption.
The increased levels of cybersecurity across the Member States and the ability of companies
and authorities to respond quickly to an incident and mitigate its impact will most likely result
in an increase of the overall trust of citizens in the digital economy, which might have a
positive impact on growth and investment.
Increasing the overall level of cybersecurity is likely to lead to an increased overall security
and smooth uninterrupted functioning of essential services, which are critical for the society.
The initiative may also contribute to other social impacts such as reduced levels of cybercrime
and terrorism and increased civil protection. Increasing the level of cyber preparedness for
businesses and other organisations may avoid potential financial losses as a result of
cyberattacks thus preventing the need to lay off employees.
Increasing the overall level of cybersecurity could also lead to the prevention of
environmental risks/damage in case of an attack on an essential service. This could be
particularly valid for the energy, water supply and distribution or transport sectors. By
strengthening the cybersecurity capabilities, the initiative could lead to more use being made
of latest generation ICT infrastructures and services that are also environmentally more
sustainable and to the replacement of inefficient and less secure legacy infrastructures. This is
expected to contribute also to reducing the number of costly cyber incidents, freeing up
resources available for sustainable investments.
• Regulatory fitness and simplification
The proposal foresees a general exclusion of micro and small entities from the NIS scope and
a lighter ex-post supervisory regime applied to a large number of the new entities under the
revised scope (so-called important entities). These measures aim to minimise and balance the
burden put on companies and public administrations. Furthermore, the proposal replaces the
complex identification system for operators of essential services with a generally applicable
obligation and introduces a higher level of harmonisation of security and reporting
obligations, which would decrease compliance burden, especially for entities providing cross-
border services.
The proposal minimizes compliance costs for SMEs, as entities are required to take only those
measures necessary to ensure a level of security of network and information systems that is
appropriate to the risk presented.
• Fundamental rights
The EU is committed to ensuring high standards of protection of fundamental rights. All
voluntary information sharing arrangements between entities that this Directive promotes
would be conducted in trusted environments in full respect of Union data protection rules,
notably Regulation (EU) 2016/679 of the European Parliament and of the Council8
.
8
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement of
EN 9 EN
4. BUDGETARY IMPLICATIONS
See financial fiche
5. OTHER ELEMENTS
• Implementation plans and monitoring, evaluation and reporting arrangements
The proposal includes a general plan for monitoring and evaluating the impact on the specific
objectives, requiring the Commission to carry out a review at least [54 months] after the date
of entry into force, and to report to the European Parliament and the Council on its main
findings.
The review is to be conducted in line with the Commission’s Better Regulation Guidelines.
• Detailed explanation of the specific provisions of the proposal
The proposal is structured around several main policy areas, which are inter-related and serve
the purpose of raising the level of cybersecurity in the Union.
Subject matter and scope (Article 1 and Article 2)
The Directive, in particular: (a) lays down obligations for the Member States to adopt a
national cybersecurity strategy, designate competent national authorities, single points of
contact and CSIRTs; (b) provides that Member States shall lay down cybersecurity risk
management and reporting obligations for entities referred to as essential entities in Annex I
and important entities in Annex II; (c) provides that Member States shall lay down obligations
on cybersecurity information sharing.
It applies to certain public or private essential entities operating in the sectors listed in Annex
I (energy; transport; banking; financial market infrastructures; health, drinking water; waste
water; digital infrastructure; public administration and space) and certain important entities
operating in the sectors listed in Annex II (postal and courier services; waste management;
manufacture, production and distribution of chemicals; food production, processing and
distribution; manufacturing and digital providers). Micro and small entities within the
meaning of Commission Recommendation 2003/361/EC of 6 May 2003 are excluded from
the scope of the Directive, except for providers of electronic communications networks or of
publicly available electronic communications services, trust service providers, Top-level
domain name (TLD) name registries and public administration, and certain other entities, such
as the sole provider of a service in a Member State.
National cybersecurity frameworks (Articles 5 to 11)
Member States are required to adopt a national cybersecurity strategy defining the strategic
objectives and appropriate policy and regulatory measures with a view to achieving and
maintaining a high level of cybersecurity.
The Directive also establishes a framework for Coordinated Vulnerability Disclosure and
requires Member States to designate CSIRTs to act as trusted intermediaries and facilitate the
interaction between the reporting entities and the manufacturers or providers of ICT products
such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016,
p. 1).
EN 10 EN
and ICT services. ENISA is required to develop and maintain a European vulnerability
registry for the discovered vulnerabilities.
Member States are required to put in place National Cybersecurity Crisis Management
Frameworks, inter alia by designating national competent authorities responsible for the
management of large-scale cybersecurity incidents and crises.
Member States are also required to designate one or more national competent authorities on
cybersecurity for the supervisory tasks under this Directive and a national single point of
contact on cybersecurity (SPOC) to exercise a liaison function to ensure cross-border
cooperation of Member State authorities. Member States are also required to designate
CSIRTs.
Cooperation (Articles 12 to 16)
The Directive establishes a Cooperation Group to support and facilitate strategic cooperation
and the exchange of information among Member States and to develop trust and confidence.
It also establishes a CSIRTs network to contribute to the development of confidence and trust
between the Member States and to promote swift and effective operational cooperation.
A European Cyber Crises Liaison Organisation Network (EU - CyCLONe) is established to
support the coordinated management of large-scale cybersecurity incidents and crises and to
ensure the regular exchange of information among Member States and EU institutions.
ENISA is required to issue in cooperation with the Commission a biennial report on the state
of cybersecurity in the Union.
The Commission is required to establish a peer-review system allowing regular peer-reviews
of the Member States’ effectiveness of cybersecurity policies.
Cybersecurity risk management and reporting obligations (Articles 17 to 23)
The Directive requires Member States to provide that management bodies of all entities under
the scope to approve the cybersecurity risk management measures taken by the respective
entities and to follow specific cybersecurity-related training.
Member States are required to ensure that entities under the scope take appropriate and
proportionate technical and organisational measures to manage the cybersecurity risks posed
to the security of network and information systems. They are also required to ensure that
entities notify the national competent authorities or the CSIRTs of any cybersecurity incident
having a significant impact on the provision of the service they provide.
TLD registries and the entities providing domain name registration services for the TLD shall
collect and maintain accurate and complete domain name registration data. Furthermore, such
entities are required to provide efficient access to domain registration data for legitimate
access seekers.
Jurisdiction and Registration (Articles 24 and 25)
As a rule, essential and important entities are deemed to be under the jurisdiction of the
Member State where they provide their services. However, certain types of entities (DNS
service providers, TLD name registries, cloud computing service providers, data centre
EN 11 EN
service providers and content delivery network providers, as well as certain digital providers)
are deemed to be under the jurisdiction of the Member State in which they have their main
establishment in the Union. This is to ensure that such entities do not face a multitude of
different legal requirements, as they provide services across borders to a particularly high
extent. ENISA is required to create and maintain a registry of the later type of entities.
Information sharing (Articles 26 and 27)
Member States shall provide rules enabling entities to engage in cybersecurity-related
information sharing within the framework of specific cybersecurity information-sharing
arrangements, in compliance with Article 101 TFEU. In addition, Member States shall allow
entities outside the scope of this Directive to report, on a voluntary basis, significant incidents,
cyber threats or near misses.
Supervision and enforcement (Articles 28 to 34)
Competent authorities are required to supervise the entities under the scope of the Directive,
and in particular to ensure their compliance with the security and incident notification
requirements. It distinguishes between an ex ante supervisory regime for essential entities and
an ex post supervisory regime for important entities, the later requiring competent authorities
to take action when provided with evidence or indication that an important entity does not
meet the security and incident notification requirements.
The Directive also requires Members States to impose administrative fines to essential and
important entities and defines certain maximum fines.
Member States are required to cooperate and assist each other as necessary when entities
provide services in more than one Member State or when an entity’s main establishment or its
representative is located in a certain Member State but its network and information systems
are located in one or more other Member States.
EN 12 EN
2020/0359 (COD)
Proposal for a
DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
on measures for a high common level of cybersecurity across the Union, repealing
Directive (EU) 2016/1148
(Text with EEA relevance)
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
Having regard to the Treaty on the Functioning of the European Union, and in particular
Article 114 thereof,
Having regard to the proposal from the European Commission,
After transmission of the draft legislative act to the national parliaments,
Having regard to the opinion of the European Economic and Social Committee9
,
Having regard to the opinion of the Committee of the Regions10
,
Acting in accordance with the ordinary legislative procedure,
Whereas:
(1) Directive (EU) 2016/1148 of the European Parliament and the Council11
aimed at
building cybersecurity capabilities across the Union, mitigating threats to network and
information systems used to provide essential services in key sectors and ensuring the
continuity of such services when facing cybersecurity incidents, thus contributing to
the Union's economy and society to function effectively.
(2) Since the entry into force of Directive (EU) 2016/1148 significant progress has been
made in increasing the Union’s level of cybersecurity resilience. The review of that
Directive has shown that it has served as a catalyst for the institutional and regulatory
approach to cybersecurity in the Union, paving the way for a significant change in
mind-set. That Directive has ensured the completion of national frameworks by
defining national cybersecurity strategies, establishing national capabilities, and
implementing regulatory measures covering essential infrastructures and actors
identified by each Member State. It has also contributed to cooperation at Union level
through the establishment of the Cooperation Group12
and a network of national
Computer Security Incident Response Teams (‘CSIRTs network’)13
. Notwithstanding
those achievements, the review of Directive (EU) 2016/1148 has revealed inherent
9
OJ C , , p. .
10
OJ C , , p. .
11
Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning
measures for a high common level of security of network and information systems across the Union (OJ
L 194/1, 19.7.2016 p. 1).
12
Article 11 of Directive (EU) 2016/1148.
13
Article 12 of Directive (EU) 2016/1148.
EN 13 EN
shortcomings that prevent it from addressing effectively contemporaneous and
emerging cybersecurity challenges.
(3) Network and information systems have developed into a central feature of everyday
life with the speedy digital transformation and interconnectedness of society, including
in cross-border exchanges. That development has led to an expansion of the
cybersecurity threat landscape, bringing about new challenges, which require adapted,
coordinated and innovative responses in all Member States. The number, magnitude,
sophistication, frequency and impact of cybersecurity incidents are increasing, and
present a major threat to the functioning of network and information systems. As a
result, cyber incidents can impede the pursuit of economic activities in the internal
market, generate financial losses, undermine user confidence and cause major damage
to the Union economy and society. Cybersecurity preparedness and effectiveness are
therefore now more essential than ever to the proper functioning of the internal
market.
(4) The legal basis of Directive (EU) 1148/2016 was Article 114 of the Treaty on the
Functioning of the European Union (TFEU), the objective of which is the
establishment and functioning of the internal market by enhancing measures for the
approximation of national rules. The cybersecurity requirements imposed on entities
providing services or economically relevant activities vary considerably among
Member States in terms of type of requirement, their level of detail and the method of
supervision. Those disparities entail additional costs and create difficulties for
undertakings that offer goods or services cross-border. Requirements imposed by one
Member State that are different from, or even in conflict with, those imposed by
another Member State, may substantially affect those cross-border activities.
Furthermore, the possibility of suboptimal design or implementation of cybersecurity
standards in one Member State is likely to have repercussions on the level of
cybersecurity of other Member States, notably given the intense cross-border
exchanges. The review of Directive (EU) 2016/1148 has shown a wide divergence in
its implementation by Member States, including in relation to its scope, the
delimitation of which was very largely left to the discretion of the Member States.
Directive (EU) 2016/1148 also provided the Member States with very wide discretion
as regards implementing the security and incident reporting obligations set out therein.
Those obligations were therefore implemented in significantly different ways at
national level. Similar divergence in the implementation occurred in relation to that
Directive’s provisions on supervision and enforcement.
(5) All those divergences entail a fragmentation of the internal market and are liable to
have a prejudicial effect on its functioning, affecting in particular the cross-border
provision of services and level of cybersecurity resilience due to the application of
different standards. This Directive aims to remove such wide divergences among
Member States, in particular by setting out minimum rules regarding the functioning
of a coordinated regulatory framework, by laying down mechanisms for the effective
cooperation among the responsible authorities in each Member State, by updating the
list of sectors and activities subject to cybersecurity obligations and by providing
effective remedies and sanctions which are instrumental to the effective enforcement
of those obligations. Therefore, Directive (EU) 2016/1148 should be repealed and
replaced by this Directive.
(6) This Directive leaves unaffected the ability of Member States to take the necessary
measures to ensure the protection of the essential interests of their security, to
safeguard public policy and public security, and to allow for the investigation,
EN 14 EN
detection and prosecution of criminal offences, in compliance with Union law. In
accordance with Article 346 TFEU, no Member State is to be obliged to supply
information the disclosure of which would be contrary to the essential interests of its
public security. In this context, national and Union rules for protecting classified
information, non-disclosure agreements, and informal non-disclosure agreements such
as the Traffic Light Protocol14
, are of relevance.
(7) With the repeal of Directive (EU) 2016/1148, the scope of application by sectors
should be extended to a larger part of the economy in light of the considerations set
out in recitals (4) to (6). The sectors covered by Directive (EU) 2016/1148 should
therefore be extended to provide a comprehensive coverage of the sectors and services
of vital importance for key societal and economic activities within the internal market.
The rules should not be different according to whether the entities are operators of
essential services or digital service providers. That differentiation has proven obsolete,
since it does not reflect the actual importance of the sectors or services for the societal
and economic activities in the internal market.
(8) In accordance with Directive (EU) 2016/1148, Member States were responsible for
determining which entities meet the criteria to qualify as operators of essential services
(‘identification process’). In order to eliminate the wide divergences among Member
States in that regard and ensure legal certainty for the risk management requirements
and reporting obligations for all relevant entities, a uniform criterion should be
established that determines the entities falling within the scope of application of this
Directive. That criterion should consist of the application of the size-cap rule, whereby
all medium and large enterprises, as defined by Commission Recommendation
2003/361/EC15
, that operate within the sectors or provide the type of services covered
by this Directive, fall within its scope. Member States should not be required to
establish a list of the entities that meet this generally applicable size-related criterion.
(9) However, small or micro entities fulfilling certain criteria that indicate a key role for
the economies or societies of Member States or for particular sectors or types of
services, should also be covered by this Directive. Member States should be
responsible for establishing a list of such entities, and submit it to the Commission.
(10) The Commission, in cooperation with the Cooperation Group, may issue guidelines on
the implementation of the criteria applicable to micro and small enterprises.
(11) Depending on the sector in which they operate or the type of service they provide, the
entities falling within the scope of this Directive should be classified into two
categories: essential and important. That categorisation should take into account the
level of criticality of the sector or of the type of service, as well as the level of
dependency of other sectors or types of services. Both essential and important entities
should be subject to the same risk management requirements and reporting
obligations. The supervisory and penalty regimes between these two categories of
entities should be differentiated to ensure a fair balance between requirements and
obligations on one hand, and the administrative burden stemming from the supervision
of compliance on the other hand.
14
The Traffic Light Protocol (TLP) is a means for someone sharing information to inform their audience
about any limitations in further spreading this information. It is used in almost all CSIRT communities
and some Information Analysis and Sharing Centres (ISACs).
15
Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition of micro, small
and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36).
EN 15 EN
(12) Sector-specific legislation and instruments can contribute to ensuring high levels of
cybersecurity, while taking full account of the specificities and complexities of those
sectors. Where a sector–specific Union legal act requires essential or important entities
to adopt cybersecurity risk management measures or to notify incidents or significant
cyber threats of at least an equivalent effect to the obligations laid down in this
Directive, those sector-specific provisions, including on supervision and enforcement,
should apply. The Commission may issue guidelines in relation to the implementation
of the lex specialis. This Directive does not preclude the adoption of additional sector-
specific Union acts addressing cybersecurity risk management measures and incident
notifications. This Directive is without prejudice to the existing implementing powers
that have been conferred to the Commission in a number of sectors, including
transport and energy.
(13) Regulation XXXX/XXXX of the European Parliament and of the Council16
should be
considered to be a sector-specific Union legal act in relation to this Directive with
regard to the financial sector entities. The provisions of Regulation XXXX/XXXX
relating to information and communications technology (ICT) risk management
measures, management of ICT-related incidents and notably incident reporting, as well
as on digital operational resilience testing, information sharing arrangements and ICT
third party risk should apply instead of those set up under this Directive. Member
States should therefore not apply the provisions of this Directive on cybersecurity risk
management and reporting obligations, information sharing and supervision and
enforcement to any financial entities covered by Regulation XXXX/XXXX. At the
same time, it is important to maintain a strong relationship and the exchange of
information with the financial sector under this Directive. To that end, Regulation
XXXX/XXXX allows all financial supervisors, the European Supervisory Authorities
(ESAs) for the financial sector and the national competent authorities under
Regulation XXXX/XXXX, to participate in strategic policy discussions and technical
workings of the Cooperation Group, and to exchange information and cooperate with
the single points of contact designated under this Directive and with the national
CSIRTs. The competent authorities under Regulation XXXX/XXXX should transmit
details of major ICT-related incidents also to the single points of contact designated
under this Directive. Moreover, Member States should continue to include the
financial sector in their cybersecurity strategies and national CSIRTs may cover the
financial sector in their activities.
(14) In view of the interlinkages between cybersecurity and the physical security of entities,
a coherent approach should be ensured between Directive (EU) XXX/XXX of the
European Parliament and of the Council17
and this Directive. To achieve this, Member
States should ensure that critical entities, and equivalent entities, pursuant to Directive
(EU) XXX/XXX are considered to be essential entities under this Directive. Member
States should also ensure that their cybersecurity strategies provide for a policy
framework for enhanced coordination between the competent authority under this
Directive and the one under Directive (EU) XXX/XXX in the context of information
sharing on incidents and cyber threats and the exercise of supervisory tasks.
Authorities under both Directives should cooperate and exchange information,
particularly in relation to the identification of critical entities, cyber threats,
cybersecurity risks, incidents affecting critical entities as well as on the cybersecurity
16
[insert the full title and OJ publication reference when known]
17
[insert the full title and OJ publication reference when known]
EN 16 EN
measures taken by critical entities. Upon request of competent authorities under
Directive (EU) XXX/XXX, competent authorities under this Directive should be
allowed to exercise their supervisory and enforcement powers on an essential entity
identified as critical. Both authorities should cooperate and exchange information for
this purpose.
(15) Upholding and preserving a reliable, resilient and secure domain name system (DNS)
is a key factor in maintaining the integrity of the Internet and is essential for its
continuous and stable operation, on which the digital economy and society depend.
Therefore, this Directive should apply to all providers of DNS services along the DNS
resolution chain, including operators of root name servers, top-level-domain (TLD)
name servers, authoritative name servers for domain names and recursive resolvers.
(16) Cloud computing services should cover services that allow on-demand and broad
remote access to a scalable and elastic pool of shareable and distributed computing
resources. Those computing resources include resources such as networks, servers or
other infrastructure, operating systems, software, storage, applications and services.
The deployment models of cloud computing should include private, community,
public and hybrid cloud. The aforementioned service and deployment models have the
same meaning as the terms of service and deployment models defined under ISO/IEC
17788:2014 standard. The capability of the cloud computing user to unilaterally self-
provision computing capabilities, such as server time or network storage, without any
human interaction by the cloud computing service provider could be described as on-
demand administration. The term ‘broad remote access’ is used to describe that the
cloud capabilities are provided over the network and accessed through mechanisms
promoting use of heterogeneous thin or thick client platforms (including mobile
phones, tablets, laptops, workstations). The term ‘scalable’ refers to computing
resources that are flexibly allocated by the cloud service provider, irrespective of the
geographical location of the resources, in order to handle fluctuations in demand. The
term ‘elastic pool’ is used to describe those computing resources that are provisioned
and released according to demand in order to rapidly increase and decrease resources
available depending on workload. The term ‘shareable’ is used to describe those
computing resources that are provided to multiple users who share a common access
to the service, but where the processing is carried out separately for each user,
although the service is provided from the same electronic equipment. The term
‘distributed’ is used to describe those computing resources that are located on different
networked computers or devices and which communicate and coordinate among
themselves by message passing.
(17) Given the emergence of innovative technologies and new business models, new cloud
computing deployment and service models are expected to appear on the market in
response to evolving customer needs. In that context, cloud computing services may
be delivered in a highly distributed form, even closer to where data are being
generated or collected, thus moving from the traditional model to a highly distributed
one (‘edge computing’).
(18) Services offered by data centre service providers may not always be provided in a
form of cloud computing service. Accordingly, data centres may not always constitute
a part of cloud computing infrastructure. In order to manage all the risks posed to the
security of network and information systems, this Directive should cover also
providers of such data centre services that are not cloud computing services. For the
purpose of this Directive, the term ‘data centre service’ should cover provision of a
service that encompasses structures, or groups of structures, dedicated to the
EN 17 EN
centralised accommodation, interconnection and operation of information technology
and network equipment providing data storage, processing and transport services
together with all the facilities and infrastructures for power distribution and
environmental control. The term ‘data centre service’ does not apply to in-house,
corporate data centres owned and operated for own purposes of the concerned entity.
(19) Postal service providers within the meaning of Directive 97/67/EC of the European
Parliament and of the Council18
, as well as express and courier delivery service
providers, should be subject to this Directive if they provide at least one of the steps in
the postal delivery chain and in particular clearance, sorting or distribution, including
pick-up services. Transport services that are not undertaken in conjunction with one of
those steps should fall outside of the scope of postal services.
(20) Those growing interdependencies are the result of an increasingly cross-border and
interdependent network of service provision using key infrastructures across the Union
in the sectors of energy, transport, digital infrastructure, drinking and waste water,
health, certain aspects of public administration, as well as space in as far as the
provision of certain services depending on ground-based infrastructures that are
owned, managed and operated either by Member States or by private parties is
concerned, therefore not covering infrastructures owned, managed or operated by or
on behalf of the Union as part of its space programmes. Those interdependencies mean
that any disruption, even one initially confined to one entity or one sector, can have
cascading effects more broadly, potentially resulting in far-reaching and long-lasting
negative impacts in the delivery of services across the internal market. The COVID-19
pandemic has shown the vulnerability of our increasingly interdependent societies in
the face of low-probability risks.
(21) In view of the differences in national governance structures and in order to safeguard
already existing sectoral arrangements or Union supervisory and regulatory bodies,
Member States should be able to designate more than one national competent authority
responsible for fulfilling the tasks linked to the security of the network and
information systems of essential and important entities under this Directive. Member
States should be able to assign this role to an existing authority.
(22) In order to facilitate cross-border cooperation and communication among authorities
and to enable this Directive to be implemented effectively, it is necessary for each
Member State to designate a national single point of contact responsible for
coordinating issues related to the security of network and information systems and
cross-border cooperation at Union level.
(23) Competent authorities or the CSIRTs should receive notifications of incidents from
entities in an effective and efficient way. The single points of contact should be tasked
with forwarding incident notifications to the single points of contact of other affected
Member States. At the level of Member States’ authorities, to ensure one single entry
point in every Member States, the single points of contacts should also be the
addressees of relevant information on incidents concerning financial sector entities
from the competent authorities under Regulation XXXX/XXXX which they should be
able to forward, as appropriate, to the relevant national competent authorities or
CSIRTs under this Directive.
18
Directive 97/67/EC of the European Parliament and of the Council of 15 December 1997 on common
rules for the development of the internal market of Community postal services and the improvement of
quality of service (OJ L 15, 21.1.1998, p. 14).
EN 18 EN
(24) Member States should be adequately equipped, in terms of both technical and
organisational capabilities, to prevent, detect, respond to and mitigate network and
information system incidents and risks. Member States should therefore ensure that
they have well-functioning CSIRTs, also known as computer emergency response
teams (‘CERTs’), complying with essential requirements in order to guarantee
effective and compatible capabilities to deal with incidents and risks and to ensure
efficient cooperation at Union level. In view of enhancing the trust relationship
between the entities and the CSIRTs, in cases where a CSIRT is part of the competent
authority, Member States should consider functional separation between the
operational tasks provided by CSIRTs, notably in relation to information sharing and
support to the entities, and the supervisory activities of competent authorities.
(25) As regards personal data, CSIRTs should be able to provide, in accordance with
Regulation (EU) 2016/679 of the European Parliament and of the Council19
as regards
personal data, on behalf of and upon request by an entity under this Directive, a
proactive scanning of the network and information systems used for the provision of
their services. Member States should aim at ensuring an equal level of technical
capabilities for all sectorial CSIRTs. Member States may request the assistance of the
European Union Agency for Cybersecurity (ENISA) in developing national CSIRTs.
(26) Given the importance of international cooperation on cybersecurity, CSIRTs should be
able to participate in international cooperation networks in addition to the CSIRTs
network established by this Directive.
(27) In accordance with the Annex to Commission Recommendation (EU) 2017/1548 on
Coordinated Response to Large Scale Cybersecurity Incidents and Crises
(‘Blueprint’)20
, a large-scale incident should mean an incident with a significant
impact on at least two Member States or whose disruption exceeds a Member State’s
capacity to respond to it. Depending on their cause and impact, large-scale incidents
may escalate and turn into fully-fledged crises not allowing the proper functioning of
the internal market. Given the wide-ranging scope and, in most cases, the cross-border
nature of such incidents, Member States and relevant Union institutions, bodies and
agencies should cooperate at technical, operational and political level to properly
coordinate the response across the Union.
(28) Since the exploitation of vulnerabilities in network and information systems may
cause significant disruption and harm, swiftly identifying and remedying those
vulnerabilities is an important factor in reducing cybersecurity risk. Entities that
develop such systems should therefore establish appropriate procedures to handle
vulnerabilities when they are discovered. Since vulnerabilities are often discovered
and reported (disclosed) by third parties (reporting entities), the manufacturer or
provider of ICT products or services should also put in place the necessary procedures
to receive vulnerability information from third parties. In this regard, international
standards ISO/IEC 30111 and ISO/IEC 29417 provide guidance on vulnerability
handling and vulnerability disclosure respectively. As regards vulnerability disclosure,
coordination between reporting entities and manufacturers or providers of ICT
19
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement of
such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016,
p. 1).
20
Commission Recommendation (EU) 2017/1584 of 13 September 2017 on coordinated response to
large-scale cybersecurity incidents and crises (OJ L 239, 19.9.2017, p. 36).
EN 19 EN
products or services is particularly important. Coordinated vulnerability disclosure
specifies a structured process through which vulnerabilities are reported to
organisations in a manner allowing the organisation to diagnose and remedy the
vulnerability before detailed vulnerability information is disclosed to third parties or to
the public. Coordinated vulnerability disclosure should also comprise coordination
between the reporting entity and the organisation as regards the timing of remediation
and publication of vulnerabilities.
(29) Member States should therefore take measures to facilitate coordinated vulnerability
disclosure by establishing a relevant national policy. In this regard, Member States
should designate a CSIRT to take the role of ‘coordinator’, acting as an intermediary
between the reporting entities and the manufacturers or providers of ICT products or
services where necessary. The tasks of the CSIRT coordinator should in particular
include identifying and contacting concerned entities, supporting reporting entities,
negotiating disclosure timelines, and managing vulnerabilities that affect multiple
organisations (multi-party vulnerability disclosure). Where vulnerabilities affect
multiple manufacturers or providers of ICT products or services established in more
than one Member State, the designated CSIRTs from each of the affected Member
States should cooperate within the CSIRTs Network.
(30) Access to correct and timely information on vulnerabilities affecting ICT products and
services contributes to an enhanced cybersecurity risk management. In that regard,
sources of publicly available information on vulnerabilities are an important tool for
entities and their users, but also national competent authorities and CSIRTs. For this
reason, ENISA should establish a vulnerability registry where, essential and important
entities and their suppliers, as well as entities which do not fall in the scope of
application of this Directive may, on a voluntary basis, disclose vulnerabilities and
provide the vulnerability information that allows users to take appropriate mitigating
measures.
(31) Although similar vulnerability registries or databases do exist, these are hosted and
maintained by entities which are not established in the Union. A European
vulnerability registry maintained by ENISA would provide improved transparency
regarding the publication process before the vulnerability is officially disclosed, and
resilience in cases of disruptions or interruptions on the provision of similar services.
To avoid duplication of efforts and seek complementarity to the extent possible,
ENISA should explore the possibility of entering into structured cooperation
agreements with similar registries in third country jurisdictions.
(32) The Cooperation Group should establish a work programme every two years including
the actions to be undertaken by the Group to implement its objectives and tasks. The
timeframe of the first programme adopted under this Directive should be aligned with
the timeframe of the last programme adopted under Directive (EU) 2016/1148 in order
to avoid potential disruptions in the work of the Group.
(33) When developing guidance documents, the Cooperation Group should consistently:
map national solutions and experiences, assess the impact of Cooperation Group
deliverables on national approaches, discuss implementation challenges and formulate
specific recommendations to be addressed through better implementation of existing
rules.
(34) The Cooperation Group should remain a flexible forum and be able to react to
changing and new policy priorities and challenges while taking into account the
availability of resources. It should organize regular joint meetings with relevant
EN 20 EN
private stakeholders from across the Union to discuss activities carried out by the
Group and gather input on emerging policy challenges. In order to enhance
cooperation at Union level, the Group should consider inviting Union bodies and
agencies involved in cybersecurity policy, such as the European Cybercrime Centre
(EC3), the European Union Aviation Safety Agency (EASA) and the European Union
Agency for Space Programme (EUSPA) to participate in its work.
(35) The competent authorities and CSIRTs should be empowered to participate in
exchange schemes for officials from other Member States in order to improve
cooperation. The competent authorities should take the necessary measures to enable
officials from other Member States to play an effective role in the activities of the host
competent authority.
(36) The Union should, where appropriate, conclude international agreements, in
accordance with Article 218 TFEU, with third countries or international organisations,
allowing and organising their participation in some activities of the Cooperation
Group and the CSIRTs network. Such agreements should ensure adequate protection
of data.
(37) Member States should contribute to the establishment of the EU Cybersecurity Crisis
Response Framework set out in Recommendation (EU) 2017/1584 through the
existing cooperation networks, notably the Cyber Crisis Liaison Organisation Network
(EU-CyCLONe), CSIRTs network and the Cooperation Group. EU-CyCLONe and the
CSIRTs network should cooperate on the basis of procedural arrangements defining
the modalities of that cooperation. The EU-CyCLONe’s rules of procedures should
further specify the modalities through which the network should function, including
but not limited to roles, cooperation modes, interactions with other relevant actors and
templates for information sharing, as well as means of communication. For crisis
management at Union level, relevant parties should rely on the Integrated Political
Crisis Response (IPCR) arrangements. The Commission should use the ARGUS high-
level cross-sectoral crisis coordination process for this purpose. If the crisis entails an
important external or Common Security and Defence Policy (CSDP) dimension, the
European External Action Service (EEAS) Crisis Response Mechanism (CRM) should
be activated.
(38) For the purposes of this Directive, the term ‘risk’ should refer to the potential for loss
or disruption caused by a cybersecurity incident and should be expressed as a
combination of the magnitude of such loss or disruption and the likelihood of
occurrence of said incident.
(39) For the purposes of this Directive, the term ‘near misses’ should refer to an event
which could potentially have caused harm, but was successfully prevented from fully
transpiring.
(40) Risk-management measures should include measures to identify any risks of incidents,
to prevent, detect and handle incidents and to mitigate their impact. The security of
network and information systems should comprise the security of stored, transmitted
and processed data.
(41) In order to avoid imposing a disproportionate financial and administrative burden on
essential and important entities, the cybersecurity risk management requirements
should be proportionate to the risk presented by the network and information system
concerned, taking into account the state of the art of such measures.
EN 21 EN
(42) Essential and important entities should ensure the security of the network and
information systems which they use in their activities. Those are primarily private
network and information systems managed by their internal IT staff or the security of
which has been outsourced. The cybersecurity risk management and reporting
requirements pursuant to this Directive should apply to the relevant essential and
important entities regardless of whether they perform the maintenance of their network
and information systems internally or outsource it.
(43) Addressing cybersecurity risks stemming from an entity’s supply chain and its
relationship with its suppliers is particularly important given the prevalence of
incidents where entities have fallen victim to cyber-attacks and where malicious actors
were able to compromise the security of an entity’s network and information systems
by exploiting vulnerabilities affecting third party products and services. Entities
should therefore assess and take into account the overall quality of products and
cybersecurity practices of their suppliers and service providers, including their secure
development procedures.
(44) Among service providers, managed security services providers (MSSPs) in areas such
as incident response, penetration testing, security audits and consultancy play a
particularly important role in assisting entities in their efforts to detect and respond to
incidents. Those MSSPs have however also been the targets of cyberattacks
themselves and through their close integration in the operations of operators pose a
particular cybersecurity risk. Entities should therefore exercise increased diligence in
selecting an MSSP.
(45) Entities should also address cybersecurity risks stemming from their interactions and
relationships with other stakeholders within a broader ecosystem. In particular, entities
should take appropriate measures to ensure that their cooperation with academic and
research institutions takes place in line with their cybersecurity policies and follows
good practices as regards secure access and dissemination of information in general
and the protection of intellectual property in particular. Similarly, given the
importance and value of data for the activities of the entities, when relying on data
transformation and data analytics services from third parties, the entities should take
all appropriate cybersecurity measures.
(46) To further address key supply chain risks and assist entities operating in sectors
covered by this Directive to appropriately manage supply chain and supplier related
cybersecurity risks, the Cooperation Group involving relevant national authorities, in
cooperation with the Commission and ENISA, should carry out coordinated sectoral
supply chain risk assessments, as was already done for 5G networks following
Recommendation (EU) 2019/534 on Cybersecurity of 5G networks21
, with the aim of
identifying per sector which are the critical ICT services, systems or products, relevant
threats and vulnerabilities.
(47) The supply chain risk assessments, in light of the features of the sector concerned,
should take into account both technical and, where relevant, non-technical factors
including those defined in Recommendation (EU) 2019/534, in the EU wide
coordinated risk assessment of 5G networks security and in the EU Toolbox on 5G
cybersecurity agreed by the Cooperation Group. To identify the supply chains that
should be subject to a coordinated risk assessment, the following criteria should be
21
Commission Recommendation (EU) 2019/534 of 26 March 2019 Cybersecurity of 5G networks (OJ L
88, 29.3.2019, p. 42).
EN 22 EN
taken into account: (i) the extent to which essential and important entities use and rely
on specific critical ICT services, systems or products; (ii) the relevance of specific
critical ICT services, systems or products for performing critical or sensitive functions,
including the processing of personal data; (iii) the availability of alternative ICT
services, systems or products; (iv) the resilience of the overall supply chain of ICT
services, systems or products against disruptive events and (v) for emerging ICT
services, systems or products, their potential future significance for the entities’
activities.
(48) In order to streamline the legal obligations imposed on providers of public electronic
communications networks or publicly available electronic communications services,
and trust service providers related to the security of their network and information
systems, as well as to enable those entities and their respective competent authorities
to benefit from the legal framework established by this Directive (including
designation of CSIRT responsible for risk and incident handling, participation of
competent authorities and bodies in the work of the Cooperation Group and the CSIRT
network), they should be included in the scope of application of this Directive. The
corresponding provisions laid down in Regulation (EU) No 910/2014 of the European
Parliament and of the Council22
and Directive (EU) 2018/1972 of the European
Parliament and of the Council23
related to the imposition of security and notification
requirement on these types of entities should therefore be repealed. The rules on
reporting obligations should be without prejudice to Regulation (EU) 2016/679 and
Directive 2002/58/EC of the European Parliament and of the Council24
.
(49) Where appropriate and to avoid unnecessary disruption, existing national guidelines
and national legislation adopted for the transposition of the rules related to security
measures laid down in Article 40(1) of Directive (EU) 2018/1972, as well as of the
requirements of Article 40(2) of that Directive concerning the parameters related to the
significance of an incident, should continue to be used by the competent authorities in
charge of supervision and enforcement for the purposes of this Directive.
(50) Given the growing importance of number-independent interpersonal communications
services, it is necessary to ensure that such services are also subject to appropriate
security requirements in view of their specific nature and economic importance.
Providers of such services should thus also ensure a level of security of network and
information systems appropriate to the risk posed. Given that providers of number-
independent interpersonal communications services normally do not exercise actual
control over the transmission of signals over networks, the degree of risk for such
services can be considered in some respects to be lower than for traditional electronic
communications services. The same applies to interpersonal communications services
which make use of numbers and which do not exercise actual control over signal
transmission.
22
Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on
electronic identification and trust services for electronic transactions in the internal market and
repealing Directive 1999/93/EC (OJ L 257, 28.8.2014, p. 73).
23
Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018
establishing the European Electronic Communications Code (OJ L 321, 17.12.2018, p. 36).
24
Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the
processing of personal data and the protection of privacy in the electronic communications sector
(Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).
EN 23 EN
(51) The internal market is more reliant on the functioning of the internet than ever before.
The services of virtually all essential and important entities are dependent on services
provided over the internet. In order to ensure the smooth provision of services
provided by essential and important entities, it is important that public electronic
communications networks, such as, for example, internet backbones or submarine
communications cables, have appropriate cybersecurity measures in place and report
incidents in relation thereto.
(52) Where appropriate, entities should inform their service recipients of particular and
significant threats and of measures they can take to mitigate the resulting risk to
themselves. The requirement to inform those recipients of such threats should not
discharge entities from the obligation to take, at their own expense, appropriate and
immediate measures to prevent or remedy any cyber threats and restore the normal
security level of the service. The provision of such information about security threats
to the recipients should be free of charge.
(53) In particular, providers of public electronic communications networks or publicly
available electronic communications services, should inform the service recipients of
particular and significant cyber threats and of measures they can take to protect the
security of their communications, for instance by using specific types of software or
encryption technologies.
(54) In order to safeguard the security of electronic communications networks and services,
the use of encryption, and in particular end-to-end encryption, should be promoted
and, where necessary, should be mandatory for providers of such services and
networks in accordance with the principles of security and privacy by default and by
design for the purposes of Article 18. The use of end-to-end encryption should be
reconciled with the Member State’ powers to ensure the protection of their essential
security interests and public security, and to permit the investigation, detection and
prosecution of criminal offences in compliance with Union law. Solutions for lawful
access to information in end-to-end encrypted communications should maintain the
effectiveness of encryption in protecting privacy and security of communications,
while providing an effective response to crime.
(55) This Directive lays down a two-stage approach to incident reporting in order to strike
the right balance between, on the one hand, swift reporting that helps mitigate the
potential spread of incidents and allows entities to seek support, and, on the other
hand, in-depth reporting that draws valuable lessons from individual incidents and
improves over time the resilience to cyber threats of individual companies and entire
sectors. Where entities become aware of an incident, they should be required to submit
an initial notification within 24 hours, followed by a final report not later than one
month after. The initial notification should only include the information strictly
necessary to make the competent authorities aware of the incident and allow the entity
to seek assistance, if required. Such notification, where applicable, should indicate
whether the incident is presumably caused by unlawful or malicious action. Member
States should ensure that the requirement to submit this initial notification does not
divert the reporting entity’s resources from activities related to incident handling that
should be prioritised. To further prevent that incident reporting obligations either
divert resources from incident response handling or may otherwise compromise the
entities efforts in that respect, Member States should also provide that, in duly justified
cases and in agreement with the competent authorities or the CSIRT, the entity
concerned can deviate from the deadlines of 24 hours for the initial notification and
one month for the final report.
EN 24 EN
(56) Essential and important entities are often in a situation where a particular incident,
because of its features, needs to be reported to various authorities as a result of
notification obligations included in various legal instruments. Such cases create
additional burdens and may also lead to uncertainties with regard to the format and
procedures of such notifications. In view of this and, for the purposes of simplifying
the reporting of security incidents, Member States should establish a single entry point
for all notifications required under this Directive and also under other Union law such
as Regulation (EU) 2016/679 and Directive 2002/58/EC. ENISA, in cooperation with
the Cooperation Group should develop common notification templates by means of
guidelines that would simplify and streamline the reporting information requested by
Union law and decrease the burdens for companies.
(57) Where it is suspected that an incident is related to serious criminal activities under
Union or national law, Member States should encourage essential and important
entities, on the basis of applicable criminal proceedings rules in compliance with
Union law, to report incidents of a suspected serious criminal nature to the relevant
law enforcement authorities. Where appropriate, and without prejudice to the personal
data protection rules applying to Europol, it is desirable that coordination between
competent authorities and law enforcement authorities of different Member States be
facilitated by the EC3 and ENISA.
(58) Personal data are in many cases compromised as a result of incidents. In this context,
competent authorities should cooperate and exchange information on all relevant
matters with data protection authorities and the supervisory authorities pursuant to
Directive 2002/58/EC.
(59) Maintaining accurate and complete databases of domain names and registration data
(so called ‘WHOIS data’) and providing lawful access to such data is essential to
ensure the security, stability and resilience of the DNS, which in turn contributes to a
high common level of cybersecurity within the Union. Where processing includes
personal data such processing shall comply with Union data protection law.
(60) The availability and timely accessibility of these data to public authorities, including
competent authorities under Union or national law for the prevention, investigation or
prosecution of criminal offences, CERTs, (CSIRTs, and as regards the data of their
clients to providers of electronic communications networks and services and providers
of cybersecurity technologies and services acting on behalf of those clients, is essential
to prevent and combat Domain Name System abuse, in particular to prevent, detect
and respond to cybersecurity incidents. Such access should comply with Union data
protection law insofar as it is related to personal data.
(61) In order to ensure the availability of accurate and complete domain name registration
data, TLD registries and the entities providing domain name registration services for
the TLD (so-called registrars) should collect and guarantee the integrity and
availability of domain names registration data. In particular, TLD registries and the
entities providing domain name registration services for the TLD should establish
policies and procedures to collect and maintain accurate and complete registration
data, as well as to prevent and correct inaccurate registration data in accordance with
Union data protection rules.
(62) TLD registries and the entities providing domain name registration services for them
should make publically available domain name registration data that fall outside the
EN 25 EN
scope of Union data protection rules, such as data that concern legal persons25
. TLD
registries and the entities providing domain name registration services for the TLD
should also enable lawful access to specific domain name registration data concerning
natural persons to legitimate access seekers, in accordance with Union data protection
law. Member States should ensure that TLD registries and the entities providing
domain name registration services for them should respond without undue delay to
requests from legitimate access seekers for the disclosure of domain name registration
data. TLD registries and the entities providing domain name registration services for
them should establish policies and procedures for the publication and disclosure of
registration data, including service level agreements to deal with requests for access
from legitimate access seekers. The access procedure may also include the use of an
interface, portal or other technical tool to provide an efficient system for requesting
and accessing registration data. With a view to promoting harmonised practices across
the internal market, the Commission may adopt guidelines on such procedures without
prejudice to the competences of the European Data Protection Board.
(63) All essential and important entities under this Directive should fall under the
jurisdiction of the Member State where they provide their services. If the entity
provides services in more than one Member State, it should fall under the separate and
concurrent jurisdiction of each of these Member States. The competent authorities of
these Member States should cooperate, provide mutual assistance to each other and
where appropriate, carry out joint supervisory actions.
(64) In order to take account of the cross-border nature of the services and operations of
DNS service providers, TLD name registries, content delivery network providers,
cloud computing service providers, data centre service providers and digital providers,
only one Member State should have jurisdiction over these entities. Jurisdiction should
be attributed to the Member State in which the respective entity has its main
establishment in the Union. The criterion of establishment for the purposes of this
Directive implies the effective exercise of activity through stable arrangements. The
legal form of such arrangements, whether through a branch or a subsidiary with a legal
personality, is not the determining factor in that respect. Whether this criterion is
fulfilled should not depend on whether the network and information systems are
physically located in a given place; the presence and use of such systems do not, in
themselves, constitute such main establishment and are therefore not decisive criteria
for determining the main establishment. The main establishment should be the place
where the decisions related to the cybersecurity risk management measures are taken
in the Union. This will typically correspond to the place of the companies’ central
administration in the Union. If such decisions are not taken in the Union, the main
establishment should be deemed to be in the Member States where the entity has an
establishment with the highest number of employees in the Union. Where the services
are carried out by a group of undertakings, the main establishment of the controlling
undertaking should be considered to be the main establishment of the group of
undertakings.
(65) In cases where a DNS service provider, TLD name registry, content delivery network
provider, cloud computing service provider, data centre service provider and digital
25
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
recital (14) whereby “this Regulation does not cover the processing of personal data which concerns
legal persons and in particular undertakings established as legal persons, including the name and the
form of the legal person and the contact details of the legal person”.
EN 26 EN
provider not established in the Union offers services within the Union, it should
designate a representative. In order to determine whether such an entity is offering
services within the Union, it should be ascertained whether it is apparent that the entity
is planning to offer services to persons in one or more Member States. The mere
accessibility in the Union of the entity’s or an intermediary's website or of an email
address and of other contact details, or the use of a language generally used in the third
country where the entity is established, is as such insufficient to ascertain such an
intention. However, factors such as the use of a language or a currency generally used
in one or more Member States with the possibility of ordering services in that other
language, or the mentioning of customers or users who are in the Union, may make it
apparent that the entity is planning to offer services within the Union. The
representative should act on behalf of the entity and it should be possible for
competent authorities or the CSIRTs to contact the representative. The representative
should be explicitly designated by a written mandate of the entity to act on the latter's
behalf with regard to the latter's obligations under this Directive, including incident
reporting.
(66) Where information considered classified according to national or Union law is
exchanged, reported or otherwise shared under the provisions of this Directive, the
corresponding specific rules on the handling of classified information should be
applied.
(67) With cyber threats becoming more complex and sophisticated, good detection and
prevention measures depend to a large extent on regular threat and vulnerability
intelligence sharing between entities. Information sharing contributes to increased
awareness on cyber threats, which, in turn, enhances the entities’ capacity to prevent
threats from materialising into real incidents and enables the entities to better contain
the effects of incidents and recover more efficiently. In the absence of guidance at
Union level, several factors seem to have inhibited such intelligence sharing, notably
uncertainty over the compatibility with competition and liability rules.
(68) Entities should be encouraged to collectively leverage their individual knowledge and
practical experience at strategic, tactical and operational levels with a view to enhance
their capabilities to adequately assess, monitor, defend against, and respond to, cyber
threats. It is thus necessary to enable the emergence at Union level of mechanisms for
voluntary information sharing arrangements. To this end, Member States should
actively support and encourage also relevant entities not covered by the scope of this
Directive to participate in such information-sharing mechanisms. Those mechanisms
should be conducted in full compliance with the competition rules of the Union as well
as the data protection Union law rules.
(69) The processing of personal data, to the extent strictly necessary and proportionate for
the purposes of ensuring network and information security by entities, public
authorities, CERTs, CSIRTs, and providers of security technologies and services
should constitute a legitimate interest of the data controller concerned, as referred to in
Regulation (EU) 2016/679. That should include measures related to the prevention,
detection, analysis and response to incidents, measures to raise awareness in relation to
specific cyber threats, exchange of information in the context of vulnerability
remediation and coordinated disclosure, as well as the voluntary exchange of
information on those incidents, as well as cyber threats and vulnerabilities, indicators
of compromise, tactics, techniques and procedures, cybersecurity alerts and
configuration tools. Such measures may require the processing of the following types
EN 27 EN
of personal data: IP addresses, uniform resources locators (URLs), domain names, and
email addresses.
(70) In order to strengthen the supervisory powers and actions that help ensure effective
compliance, this Directive should provide for a minimum list of supervisory actions
and means through which competent authorities may supervise essential and important
entities. In addition, this Directive should establish a differentiation of supervisory
regime between essential and important entities with a view to ensuring a fair balance
of obligations for both entities and competent authorities. Thus, essential entities
should be subject to a fully-fledged supervisory regime (ex-ante and ex-post), while
important entities should be subject to a light supervisory regime, ex-post only. For the
latter, this means that important entities should not document systematically
compliance with cybersecurity risk management requirements, while competent
authorities should implement a reactive ex -post approach to supervision and, hence,
not have a general obligation to supervise those entities.
(71) In order to make enforcement effective, a minimum list of administrative sanctions for
breach of the cybersecurity risk management and reporting obligations provided by
this Directive should be laid down, setting up a clear and consistent framework for
such sanctions across the Union. Due regard should be given to the nature, gravity and
duration of the infringement, the actual damage caused or losses incurred or potential
damage or losses that could have been triggered, the intentional or negligent character
of the infringement, actions taken to prevent or mitigate the damage and/or losses
suffered, the degree of responsibility or any relevant previous infringements, the
degree of cooperation with the competent authority and any other aggravating or
mitigating factor. The imposition of penalties including administrative fines should be
subject to appropriate procedural safeguards in accordance with the general principles
of Union law and the Charter of Fundamental Rights of the European Union, including
effective judicial protection and due process.
(72) In order to ensure effective enforcement of the obligations laid down in this Directive,
each competent authority should have the power to impose or request the imposition
of administrative fines.
(73) Where administrative fines are imposed on an undertaking, an undertaking should be
understood to be an undertaking in accordance with Articles 101 and 102 TFEU for
those purposes. Where administrative fines are imposed on persons that are not an
undertaking, the supervisory authority should take account of the general level of
income in the Member State as well as the economic situation of the person in
considering the appropriate amount of the fine. It should be for the Member States to
determine whether and to what extent public authorities should be subject to
administrative fines. Imposing an administrative fine does not affect the application of
other powers by the competent authorities or of other penalties laid down in the
national rules transposing this Directive.
(74) Member States should be able to lay down the rules on criminal penalties for
infringements of the national rules transposing this Directive. However, the imposition
of criminal penalties for infringements of such national rules and of related
administrative penalties should not lead to a breach of the principle of ne bis in idem,
as interpreted by the Court of Justice.
(75) Where this Directive does not harmonise administrative penalties or where necessary
in other cases, for example in cases of serious infringements of the obligations laid
down in this Directive, Member States should implement a system which provides for
EN 28 EN
effective, proportionate and dissuasive penalties. The nature of such penalties, criminal
or administrative, should be determined by Member State law.
(76) In order to further strengthen the effectiveness and dissuasiveness of the penalties
applicable to infringements of obligations laid down pursuant to this Directive, the
competent authorities should be empowered to apply sanctions consisting of the
suspension of a certification or authorisation concerning part or all the services
provided by an essential entity and the imposition of a temporary ban from the
exercise of managerial functions by a natural person. Given their severity and impact
on the entities’ activities and ultimately on their consumers, such sanctions should
only be applied proportionally to the severity of the infringement and taking account
of the specific circumstances of each case, including the intentional or negligent
character of the infringement, actions taken to prevent or mitigate the damage and/or
losses suffered. Such sanctions should only be applied as ultima ratio, meaning only
after the other relevant enforcement actions laid down by this Directive have been
exhausted, and only for the time until the entities to which they apply take the
necessary action to remedy the deficiencies or comply with the requirements of the
competent authority for which such sanctions were applied. The imposition of such
sanctions shall be subject to appropriate procedural safeguards in accordance with the
general principles of Union law and the Charter of Fundamental Rights of the
European Union, including effective judicial protection, due process, presumption of
innocence and right of defence.
(77) This Directive should establish cooperation rules between the competent authorities
and the supervisory authorities in accordance with Regulation (EU) 2016/679 to deal
with infringements related to personal data.
(78) This Directive should aim at ensuring a high level of responsibility for the
cybersecurity risk management measures and reporting obligations at the level of the
organisations. For these reasons, the management bodies of the entities falling within
the scope of this Directive should approve the cybersecurity risk measures and
supervise their implementation.
(79) A peer-review mechanism should be introduced, allowing the assessment by experts
designated by the Member States of the implementation of cybersecurity policies,
including the level of Member States’ capabilities and available resources.
(80) In order to take into account new cyber threats, technological developments or
sectorial specificities, the power to adopt acts in accordance with Article 290 TFEU
should be delegated to the Commission in respect of the elements in relation to risk
management measures required by this Directive. The Commission should also be
empowered to adopt delegated acts establishing which categories of essential entities
shall be required to obtain a certificate and under which specific European
cybersecurity certification schemes. It is of particular importance that the Commission
carry out appropriate consultations during its preparatory work, including at expert
level, and that those consultations be conducted in accordance with the principles laid
down in the Inter-institutional Agreement of 13 April 2016 on Better Law-Making26
.
In particular, to ensure equal participation in the preparation of delegated acts, the
European Parliament and the Council receive all documents at the same time as
Member States' experts, and their experts systematically have access to meetings of
Commission expert groups dealing with the preparation of delegated acts.
26
OJ L 123, 12.5.2016, p. 1.
EN 29 EN
(81) In order to ensure uniform conditions for the implementation of the relevant provisions
of this Directive concerning the procedural arrangements necessary for the functioning
of the Cooperation Group, the technical elements related to risk management measures
or the type of information, the format and the procedure of incident notifications,
implementing powers should be conferred on the Commission. Those powers should
be exercised in accordance with Regulation (EU) No 182/2011 of the European
Parliament and of the Council.27
(82) The Commission should periodically review this Directive, in consultation with
interested parties, in particular with a view to determining the need for modification in
the light of changes to societal, political, technological or market conditions.
(83) Since the objective of this Directive, namely to achieve a high common level of
cybersecurity in the Union, cannot be sufficiently achieved by the Member States but
can rather, by reason of the effects of the action, be better achieved at Union level, the
Union may adopt measures, in accordance with the principle of subsidiarity as set out
in Article 5 of the Treaty on European Union. In accordance with the principle of
proportionality as set out in that Article, this Directive does not go beyond what is
necessary in order to achieve that objective.
(84) This Directive respects the fundamental rights, and observes the principles, recognised
by the Charter of Fundamental Rights of the European Union, in particular the right to
respect for private life and communications, the protection of personal data, the
freedom to conduct a business, the right to property, the right to an effective remedy
before a court and the right to be heard. This Directive should be implemented in
accordance with those rights and principles,
HAVE ADOPTED THIS DIRECTIVE:
CHAPTER I
General provisions
Article 1
Subject matter
1. This Directive lays down measures with a view to ensuring a high common level of
cybersecurity within the Union.
2. To that end, this Directive:
(a) lays down obligations on Member States to adopt national cybersecurity
strategies, designate competent national authorities, single points of
contact and computer security incident response teams (CSIRTs);
(b) lays down cybersecurity risk management and reporting obligations for
entities of a type referred to as essential entities in Annex I and important
entities in Annex II;
27
Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011
laying down the rules and general principles concerning mechanisms for control by the Member States
of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).
EN 30 EN
(c) lays down obligations on cybersecurity information sharing.
Article 2
Scope
1. This Directive applies to public and private entities of a type referred to as essential
entities in Annex I and as important entities in Annex II. This Directive does not
apply to entities that qualify as micro and small enterprises within the meaning of
Commission Recommendation 2003/361/EC.28
2. However, regardless of their size, this Directive also applies to entities referred to in
Annexes I and II, where:
(a) the services are provided by one of the following entities:
(i) public electronic communications networks or publicly available
electronic communications services referred to in point 8 of Annex I;
(ii) trust service providers referred to point 8 of Annex I;
(iii) top–level domain name registries and domain name system (DNS)
service providers referred to in point 8 of Annex I;
(b) the entity is a public administration entity as defined in point 23 of Article 4;
(c) the entity is the sole provider of a service in a Member State;
(d) a potential disruption of the service provided by the entity could have an
impact on public safety, public security or public health;
(e) a potential disruption of the service provided by the entity could induce
systemic risks, in particular for the sectors where such disruption could have a
cross-border impact;
(f) the entity is critical because of its specific importance at regional or national
level for the particular sector or type of service, or for other interdependent
sectors in the Member State;
(g) the entity is identified as a critical entity pursuant to Directive (EU)
XXXX/XXXX of the European Parliament and of the Council29
[Resilience of
Critical Entities Directive], or as an entity equivalent to a critical entity
pursuant to Article 7 of that Directive.
Member States shall establish a list of entities identified pursuant to points (b) to (f)
and submit it to the Commission by [6 months after the transposition deadline].
Member States shall review the list, on a regular basis, and at least every two years
thereafter and, where appropriate, update it.
3. This Directive is without prejudice to the competences of Member States concerning
the maintenance of public security, defence and national security in compliance with
Union law.
28
Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition of micro, small
and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36).
29
[insert the full title and OJ publication reference when known]
EN 31 EN
4. This Directive applies without prejudice to Council Directive 2008/114/EC30
and
Directives 2011/93/EU31
and 2013/40/EU32
of the European Parliament and of the
Council.
5. Without prejudice to Article 346 TFEU, information that is confidential pursuant to
Union and national rules, such as rules on business confidentiality, shall be
exchanged with the Commission and other relevant authorities only where that
exchange is necessary for the application of this Directive. The information
exchanged shall be limited to that which is relevant and proportionate to the purpose
of that exchange. The exchange of information shall preserve the confidentiality of
that information and protect the security and commercial interests of essential or
important entities.
6. Where provisions of sector–specific acts of Union law require essential or important
entities either to adopt cybersecurity risk management measures or to notify incidents
or significant cyber threats, and where those requirements are at least equivalent in
effect to the obligations laid down in this Directive, the relevant provisions of this
Directive, including the provision on supervision and enforcement laid down in
Chapter VI, shall not apply.
Article 3
Minimum harmonisation
Without prejudice to their other obligations under Union law, Member States may, in
accordance with this Directive, adopt or maintain provisions ensuring a higher level of
cybersecurity.
Article 4
Definitions
For the purposes of this Directive, the following definitions apply:
(1) ‘network and information system’ means:
(a) an electronic communications network within the meaning of Article 2(1) of
Directive (EU) 2018/1972;
(b) any device or group of inter–connected or related devices, one or more of
which, pursuant to a program, perform automatic processing of digital data;
30
Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European
critical infrastructures and the assessment of the need to improve their protection (OJ L 345,
23.12.2008, p. 75).
31
Directive 2011/93/EU of the European Parliament and of the Council of 13 December 2011 on
combating the sexual abuse and sexual exploitation of children and child pornography, and replacing
Council Framework Decision 2004/68/JHA (OJ L 335, 17.12.2011, p. 1).
32
Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks
against information systems and replacing Council Framework Decision 2005/222/JHA (OJ L 218,
14.8.2013, p. 8).
EN 32 EN
(c) digital data stored, processed, retrieved or transmitted by elements covered
under points (a) and (b) for the purposes of their operation, use, protection and
maintenance;
(2) ‘security of network and information systems’ means the ability of network and
information systems to resist, at a given level of confidence, any action that
compromises the availability, authenticity, integrity or confidentiality of stored or
transmitted or processed data or the related services offered by, or accessible via,
those network and information systems;
(3) ‘cybersecurity’ means cybersecurity within the meaning of Article 2(1) of Regulation
(EU) 2019/881 of the European Parliament and of the Council33
;
(4) ‘national strategy on cybersecurity’ means a coherent framework of a Member State
providing strategic objectives and priorities on the security of network and
information systems in that Member State;
(5) ‘incident’ means any event compromising the availability, authenticity, integrity or
confidentiality of stored, transmitted or processed data or of the related services
offered by, or accessible via, network and information systems;
(6) ‘incident handling’ means all actions and procedures aiming at detection, analysis
and containment of and a response to an incident;
(7) ‘cyber threat’ means a cyber threat within the meaning Article 2(8) of Regulation
(EU) 2019/881;
(8) ‘vulnerability’ means a weakness, susceptibility or flaw of an asset, system, process
or control that can be exploited by a cyber threat;
(9) ‘representative’ means any natural or legal person established in the Union explicitly
designated to act on behalf of i) a DNS service provider, a top-level domain (TLD)
name registry, a cloud computing service provider, a data centre service provider, a
content delivery network provider as referred to in point 8 of Annex I or ii) entities
referred to in point 6 of Annex II that are not established in the Union, which may be
addressed by a national competent authority or a CSIRT instead of the entity with
regard to the obligations of that entity under this Directive;
(10) ‘standard’ means a standard within the meaning of Article 2(1) of Regulation (EU)
No 1025/2012 of the European Parliament and of the Council34
;
(11) ‘technical specification’ means a technical specification within the meaning of
Article 2(4) of Regulation (EU) No 1025/2012;
(12) ‘internet exchange point (IXP)’ means a network facility which enables the
interconnection of more than two independent networks (autonomous systems),
primarily for the purpose of facilitating the exchange of internet traffic; an IXP
33
Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA
(the European Union Agency for Cybersecurity and on information and communications technology
cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)(OJ L 151,
7.6.2019, p.15).
34
Regulation (EU) No 1025/2012 of the European Parliament and of the Council 25 October 2012 on
European standardization, amending Council Directives 89/686/EEC and 93/15/EEC and Directives
94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of
the European Parliament and of the Council and repealing Council decision 87/95/EEC and Decision
No 1673/2006/EC of the European Parliament and of the Council (OJ L 316,14.11.2012,p.12).
EN 33 EN
provides interconnection only for autonomous systems; an IXP does not require the
internet traffic passing between any pair of participating autonomous systems to pass
through any third autonomous system, nor does it alter or otherwise interfere with
such traffic;
(13) ‘domain name system (DNS)’ means a hierarchical distributed naming system which
allows end-users to reach services and resources on the internet;
(14) ‘DNS service provider’ means an entity that provides recursive or authoritative
domain name resolution services to internet end-users and other DNS service
providers;
(15) ‘top–level domain name registry’ means an entity which has been delegated a
specific TLD and is responsible for administering the TLD including the registration
of domain names under the TLD and the technical operation of the TLD, including
the operation of its name servers, the maintenance of its databases and the
distribution of TLD zone files across name servers;
(16) ‘digital service’ means a service within the meaning of Article 1(1)(b) of Directive
(EU) 2015/1535 of the European Parliament and of the Council 35
;
(17) ‘online marketplace’ means a digital service within the meaning of Article 2 point
(n) of Directive 2005/29/EC of the European Parliament and of the Council36
;
(18) ‘online search engine’ means a digital service within the meaning of Article 2(5) of
Regulation (EU) 2019/1150 of the European Parliament and of the Council37
;
(19) ‘cloud computing service’ means a digital service that enables on-demand
administration and broad remote access to a scalable and elastic pool of shareable
and distributed computing resources;
(20) ‘data centre service’ means a service that encompasses structures, or groups of
structures, dedicated to the centralised accommodation, interconnection and
operation of information technology and network equipment providing data storage,
processing and transport services together with all the facilities and infrastructures
for power distribution and environmental control;
(21) ‘content delivery network’ means a network of geographically distributed servers for
the purpose of ensuring high availability, accessibility or fast delivery of digital
content and services to internet users on behalf of content and service providers;
(22) ‘social networking services platform’ means a platform that enables end-users to
connect, share, discover and communicate with each other across multiple devices,
and in particular, via chats, posts, videos and recommendations);
35
Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying
down a procedure for the provision of information in the field of technical regulations and of rules on
Information Society services (OJ L. 241, 17.9.2015, p.1).
36
Directive 2005/29/EC of the European Parliament and of the Council of 11 May 2005 concerning unfair
business-to-consumer commercial practices in the internal market and amending Council Directive
84/450/EEC, Directives 97/7/EC, 98/27/EC and 2002/65/EC of the European Parliament and of the
Council and Regulation (EC) No 2006/2004 of the European Parliament and of the Council (‘Unfair
Commercial Practices Directive’) (OJ L 149, 11.6.2005, p. 22).
37
Regulation (EU) 2019/1150 of the European Parliament and of the Council of 20 June 2019 on
promoting fairness and transparency for business users of online intermediation services (OJ L 186,
11.7.2019, p. 57).
EN 34 EN
(23) ‘public administration entity’ means an entity in a Member State that complies with
the following criteria:
(a) it is established for the purpose of meeting needs in the general interest and
does not have an industrial or commercial character;
(b) it has legal personality;
(c) it is financed, for the most part, by the State, regional authority, or by other
bodies governed by public law; or it is subject to management supervision by
those authorities or bodies; or it has an administrative, managerial or
supervisory board, more than half of whose members are appointed by the
State, regional authorities, or by other bodies governed by public law;
(d) it has the power to address to natural or legal persons administrative or
regulatory decisions affecting their rights in the cross-border movement of
persons, goods, services or capital.
Public administration entities that carry out activities in the areas of public security,
law enforcement, defence or national security are excluded.
(24) ‘entity’ means any natural or legal person created and recognised as such under the
national law of its place of establishment, which may, acting under its own name,
exercise rights and be subject to obligations;
(25) ‘essential entity’ means any entity of a type referred to as an essential entity in
Annex I;
(26) ‘important entity’ means any entity of a type referred to as an important entity in
Annex II.
CHAPTER II
Coordinated cybersecurity regulatory frameworks
Article 5
National cybersecurity strategy
1. Each Member State shall adopt a national cybersecurity strategy defining the
strategic objectives and appropriate policy and regulatory measures, with a view to
achieving and maintaining a high level of cybersecurity. The national cybersecurity
strategy shall include, in particular, the following:
(a) a definition of objectives and priorities of the Member States’ strategy on
cybersecurity;
(b) a governance framework to achieve those objectives and priorities, including
the policies referred to in paragraph 2 and the roles and responsibilities of
public bodies and entities as well as other relevant actors;
(c) an assessment to identify relevant assets and cybersecurity risks in that
Member State;
(d) an identification of the measures ensuring preparedness, response and recovery
to incidents, including cooperation between the public and private sectors;
EN 35 EN
(e) a list of the various authorities and actors involved in the implementation of the
national cybersecurity strategy;
(f) a policy framework for enhanced coordination between the competent
authorities under this Directive and Directive (EU) XXXX/XXXX of the
European Parliament and of the Council38
[Resilience of Critical Entities
Directive] for the purposes of information sharing on incidents and cyber
threats and the exercise of supervisory tasks.
2. As part of the national cybersecurity strategy, Member States shall in particular adopt
the following policies:
(a) a policy addressing cybersecurity in the supply chain for ICT products and
services used by essential and important entities for the provision of their
services;
(b) guidelines regarding the inclusion and specification of cybersecurity-related
requirements for ICT products and service in public procurement;
(c) a policy to promote and facilitate coordinated vulnerability disclosure within
the meaning of Article 6;
(d) a policy related to sustaining the general availability and integrity of the public
core of the open internet;
(e) a policy on promoting and developing cybersecurity skills, awareness raising
and research and development initiatives;
(f) a policy on supporting academic and research institutions to develop
cybersecurity tools and secure network infrastructure;
(g) a policy, relevant procedures and appropriate information-sharing tools to
support voluntary cybersecurity information sharing between companies in
compliance with Union law;
(h) a policy addressing specific needs of SMEs, in particular those excluded from
the scope of this Directive, in relation to guidance and support in improving
their resilience to cybersecurity threats.
3. Member States shall notify their national cybersecurity strategies to the Commission
within three months from their adoption. Member States may exclude specific
information from the notification where and to the extent that it is strictly necessary
to preserve national security.
4. Member States shall assess their national cybersecurity strategies at least every four
years on the basis of key performance indicators and, where necessary, amend them.
The European Union Agency for Cybersecurity (ENISA) shall assist Member States,
upon request, in the development of a national strategy and of key performance
indicators for the assessment of the strategy.
Article 6
Coordinated vulnerability disclosure and a European vulnerability registry
38
[insert the full title and OJ publication reference when known]
EN 36 EN
1. Each Member State shall designate one of its CSIRTs as referred to in Article 9 as a
coordinator for the purpose of coordinated vulnerability disclosure. The designated
CSIRT shall act as a trusted intermediary, facilitating, where necessary, the
interaction between the reporting entity and the manufacturer or provider of ICT
products or ICT services. Where the reported vulnerability concerns multiple
manufacturers or providers of ICT products or ICT services across the Union, the
designated CSIRT of each Member State concerned shall cooperate with the CSIRT
network.
2. ENISA shall develop and maintain a European vulnerability registry. To that end,
ENISA shall establish and maintain the appropriate information systems, policies and
procedures with a view in particular to enabling important and essential entities and
their suppliers of network and information systems to disclose and register
vulnerabilities present in ICT products or ICT services, as well as to provide access
to the information on vulnerabilities contained in the registry to all interested parties.
The registry shall, in particular, include information describing the vulnerability, the
affected ICT product or ICT services and the severity of the vulnerability in terms of
the circumstances under which it may be exploited, the availability of related patches
and, in the absence of available patches, guidance addressed to users of vulnerable
products and services as to how the risks resulting from disclosed vulnerabilities may
be mitigated.
Article 7
National cybersecurity crisis management frameworks
1. Each Member State shall designate one or more competent authorities responsible for
the management of large-scale incidents and crises. Member States shall ensure that
competent authorities have adequate resources to perform, in an effective and
efficient manner, the tasks assigned to them.
2. Each Member State shall identify capabilities, assets and procedures that can be
deployed in case of a crisis for the purposes of this Directive.
3. Each Member State shall adopt a national cybersecurity incident and crisis response
plan where objectives and modalities in the management of large-scale cybersecurity
incidents and crises are set out. The plan shall lay down, in particular, the following:
(a) objectives of national preparedness measures and activities;
(b) tasks and responsibilities of the national competent authorities;
(c) crisis management procedures and information exchange channels;
(d) preparedness measures, including exercises and training activities;
(e) relevant public and private interested parties and infrastructure involved;
(f) national procedures and arrangements between relevant national authorities and
bodies to ensure the Member State’s effective participation in and support of
the coordinated management of large-scale cybersecurity incidents and crises
at Union level.
4. Member States shall communicate to the Commission the designation of their
competent authorities referred to in paragraph 1 and submit their national
cybersecurity incident and crisis response plans as referred to in paragraph 3 within
EN 37 EN
three months from that designation and the adoption of those plans. Member States
may exclude specific information from the plan where and to the extent that it is
strictly necessary for their national security.
Article 8
National competent authorities and single points of contact
1. Each Member State shall designate one or more competent authorities responsible for
cybersecurity and for the supervisory tasks referred to in Chapter VI of this
Directive. Member States may designate to that effect an existing authority or
existing authorities.
2. The competent authorities referred to paragraph 1 shall monitor the application of
this Directive at national level.
3. Each Member State shall designate one national single point of contact on
cybersecurity (‘single point of contact’). Where a Member State designates only one
competent authority, that competent authority shall also be the single point of contact
for that Member State.
4. Each single point of contact shall exercise a liaison function to ensure cross–border
cooperation of its Member State’s authorities with the relevant authorities in other
Member States, as well as to ensure cross-sectorial cooperation with other national
competent authorities within its Member State.
5. Member States shall ensure that the competent authorities referred to in paragraph 1
and the single points of contact have adequate resources to carry out, in an effective
and efficient manner, the tasks assigned to them and thereby to fulfil the objectives
of this Directive. Member States shall ensure effective, efficient and secure
cooperation of the designated representatives in the Cooperation Group referred to in
Article 12.
6. Each Member State shall notify to the Commission, without undue delay, the
designation of the competent authority referred to in paragraph 1 and single point of
contact referred to in paragraph 3, their tasks, and any subsequent change thereto.
Each Member State shall make public their designation. The Commission shall
publish the list of the designated single points of contacts.
Article 9
Computer security incident response teams (CSIRTs)
1. Each Member State shall designate one or more CSIRTs which shall comply with the
requirements set out in Article 10(1), covering at least the sectors, subsectors or
entities referred to in Annexes I and II, and be responsible for incident handling in
accordance with a well–defined process. A CSIRT may be established within a
competent authority referred to in Article 8.
2. Member States shall ensure that each CSIRT has adequate resources to carry out
effectively their tasks as set out in Article 10(2).
3. Member States shall ensure that each CSIRT has at its disposal an appropriate,
secure, and resilient communication and information infrastructure to exchange
EN 38 EN
information with essential and important entities and other relevant interested parties.
To this end, Member States shall ensure that the CSIRTs contribute to the
deployment of secure information sharing tools.
4. CSIRTs shall cooperate and, where appropriate, exchange relevant information in
accordance with Article 26 with trusted sectorial or cross-sectorial communities of
essential and important entities.
5. CSIRTs shall participate in peer reviews organised in accordance with Article 16.
6. Member States shall ensure the effective, efficient and secure cooperation of their
CSIRTs in the CSIRTs network referred to in Article 13.
7. Member States shall communicate to the Commission without undue delay the
CSIRTs designated in accordance with paragraph 1, the CSIRT coordinator
designated in accordance with Article 6(1) and their respective tasks provided in
relation to the entities referred to in Annexes I and II.
8. Member States may request the assistance of ENISA in developing national CSIRTs.
Article 10
Requirements and tasks of CSIRTs
1. CSIRTs shall comply with the following requirements:
(a) CSIRTs shall ensure a high level of availability of their communications
services by avoiding single points of failure, and shall have several means for
being contacted and for contacting others at all times. CSIRTs shall clearly
specify the communication channels and make them known to constituency
and cooperative partners;
(b) CSIRTs’ premises and the supporting information systems shall be located in
secure sites;
(c) CSIRTs shall be equipped with an appropriate system for managing and
routing requests, in particular, to facilitate effective and efficient handovers;
(d) CSIRTs shall be adequately staffed to ensure availability at all times;
(e) CSIRTs shall be equipped with redundant systems and backup working space
to ensure continuity of its services;
(f) CSIRTs shall have the possibility to participate in international cooperation
networks.
2. CSIRTs shall have the following tasks:
(a) monitoring cyber threats, vulnerabilities and incidents at national level;
(b) providing early warning, alerts, announcements and dissemination of
information to essential and important entities as well as to other relevant
interested parties on cyber threats, vulnerabilities and incidents;
(c) responding to incidents;
(d) providing dynamic risk and incident analysis and situational awareness
regarding cybersecurity;
EN 39 EN
(e) providing, upon request of an entity, a proactive scanning of the network and
information systems used for the provision of their services;
(f) participating in the CSIRTs network and providing mutual assistance to other
members of the network upon their request.
3. CSIRTs shall establish cooperation relationships with relevant actors in the private
sector, with a view to better achieving the objectives of the Directive.
4. In order to facilitate cooperation, CSIRTs shall promote the adoption and use of
common or standardised practices, classification schemes and taxonomies in relation
to the following:
(a) incident handling procedures;
(b) cybersecurity crisis management;
(c) coordinated vulnerability disclosure.
Article 11
Cooperation at national level
1. Where they are separate, the competent authorities referred to in Article 8, the single
point of contact and the CSIRT(s) of the same Member State shall cooperate with
each other with regard to the fulfilment of the obligations laid down in this Directive.
2. Member States shall ensure that either their competent authorities or their CSIRTs
receive notifications on incidents, and significant cyber threats and near misses
submitted pursuant to this Directive. Where a Member State decides that its CSIRTs
shall not receive those notifications, the CSIRTs shall, to the extent necessary to
carry out their tasks, be granted access to data on incidents notified by the essential
or important entities, pursuant to Article 20.
3. Each Member State shall ensure that its competent authorities or CSIRTs inform its
single point of contact of notifications on incidents, significant cyber threats and near
misses submitted pursuant to this Directive.
4. To the extent necessary to effectively carry out the tasks and obligations laid down in
this Directive, Member States shall ensure appropriate cooperation between the
competent authorities and single points of contact and law enforcement authorities,
data protection authorities, and the authorities responsible for critical infrastructure
pursuant to Directive (EU) XXXX/XXXX [Resilience of Critical Entities Directive]
and the national financial authorities designated in accordance with Regulation (EU)
XXXX/XXXX of the European Parliament and of the Council39
[the DORA
Regulation] within that Member State.
5. Member States shall ensure that their competent authorities regularly provide
information to competent authorities designated pursuant to Directive (EU)
XXXX/XXXX [Resilience of Critical Entities Directive] on cybersecurity risks,
cyber threats and incidents affecting essential entities identified as critical, or as
entities equivalent to critical entities, pursuant to Directive (EU) XXXX/XXXX
39
[insert the full title and OJ publication reference when known]
EN 40 EN
[Resilience of Critical Entities Directive], as well as the measures taken by
competent authorities in response to those risks and incidents.
CHAPTER III
Cooperation
Article 12
Cooperation Group
1. In order to support and to facilitate strategic cooperation and the exchange of
information among Member States in the field of application of the Directive, a
Cooperation Group is established.
2. The Cooperation Group shall carry out its tasks on the basis of biennial work
programmes referred to in paragraph 6.
3. The Cooperation Group shall be composed of representatives of Member States, the
Commission and ENISA. The European External Action Service shall participate in
the activities of the Cooperation Group as an observer. The European Supervisory
Authorities (ESAs) in accordance with Article 17(5)(c) of Regulation (EU)
XXXX/XXXX [the DORA Regulation] may participate in the activities of the
Cooperation Group.
Where appropriate, the Cooperation Group may invite representatives of relevant
stakeholders to participate in its work.
The Commission shall provide the secretariat.
4. The Cooperation Group shall have the following tasks:
(a) providing guidance to competent authorities in relation to the
transposition and implementation of this Directive;
(b) exchanging best practices and information in relation to the
implementation of this Directive, including in relation to cyber threats,
incidents, vulnerabilities, near misses, awareness-raising initiatives,
trainings, exercises and skills, building capacity as well as standards and
technical specifications;
(c) exchanging advice and cooperating with the Commission on emerging
cybersecurity policy initiatives;
(d) exchanging advice and cooperating with the Commission on draft
Commission implementing or delegated acts adopted pursuant to this
Directive;
(e) exchanging best practices and information with relevant Union
institutions, bodies, offices and agencies;
(f) discussing reports on the peer review referred to in Article 16(7);
(g) discussing results from joint-supervisory activities in cross-border cases
as referred to in Article 34;
EN 41 EN
(h) providing strategic guidance to the CSIRTs network on specific emerging
issues;
(i) contributing to cybersecurity capabilities across the Union by facilitating
the exchange of national officials through a capacity building programme
involving staff from the Member States’ competent authorities or
CSIRTs;
(j) organising regular joint meetings with relevant private interested parties
from across the Union to discuss activities carried out by the Group and
gather input on emerging policy challenges;
(k) discussing the work undertaken in relation to cybersecurity exercises,
including the work done by ENISA.
5. The Cooperation Group may request from the CSIRT network a technical report on
selected topics.
6. By …  24 months after the date of entry into force of this Directive and every two
years thereafter, the Cooperation Group shall establish a work programme in respect
of actions to be undertaken to implement its objectives and tasks. The timeframe of
the first programme adopted under this Directive shall be aligned with the timeframe
of the last programme adopted under Directive (EU) 2016/1148.
7. The Commission may adopt implementing acts laying down procedural
arrangements necessary for the functioning of the Cooperation Group. Those
implementing acts shall be adopted in accordance with the examination procedure
referred to in Article 37(2).
8. The Cooperation Group shall meet regularly and at least once a year with the Critical
Entities Resilience Group established under Directive (EU) XXXX/XXXX
[Resilience of Critical Entities Directive] to promote strategic cooperation and
exchange of information.
Article 13
CSIRTs network
1. In order to contribute to the development of confidence and trust and to promote
swift and effective operational cooperation among Member States, a network of the
national CSIRTs is established.
2. The CSIRTs network shall be composed of representatives of the Member States’
CSIRTs and CERT–EU. The Commission shall participate in the CSIRTs network as
an observer. ENISA shall provide the secretariat and shall actively support
cooperation among the CSIRTs.
3. The CSIRTs network shall have the following tasks:
(a) exchanging information on CSIRTs’ capabilities;
(b) exchanging relevant information on incidents, near misses, cyber threats, risks
and vulnerabilities;
(c) at the request of a representative of the CSIRT network potentially affected by
an incident, exchanging and discussing information in relation to that incident
and associated cyber threats, risks and vulnerabilities;
EN 42 EN
(d) at the request of a representative of the CSIRT network, discussing and, where
possible, implementing a coordinated response to an incident that has been
identified within the jurisdiction of that Member State;
(e) providing Member States with support in addressing cross–border incidents
pursuant to this Directive;
(f) cooperating and providing assistance to designated CSIRTs referred to in
Article 6 with regard to the management of multiparty coordinated disclosure
of vulnerabilities affecting multiple manufacturers or providers of ICT
products, ICT services and ICT processes established in different Member
States;
(g) discussing and identifying further forms of operational cooperation, including
in relation to:
(i) categories of cyber threats and incidents;
(ii) early warnings;
(iii) mutual assistance;
(iv) principles and modalities for coordination in response to cross–border
risks and incidents;
(v) contribution to the national cybersecurity incident and crisis response
plan referred to in Article 7 (3);
(h) informing the Cooperation Group of its activities and of the further forms of
operational cooperation discussed pursuant to point (g), where necessary,
requesting guidance in that regard;
(i) taking stock from cybersecurity exercises, including from those organised by
ENISA;
(j) at the request of an individual CSIRT, discussing the capabilities and
preparedness of that CSIRT;
(k) cooperating and exchanging information with regional and Union-level
Security Operations Centres (SOCs) in order to improve common situational
awareness on incidents and threats across the Union;
(l) discussing the peer-review reports referred to in Article 16(7);
(m) issuing guidelines in order to facilitate the convergence of operational practices
with regard to the application of the provisions of this Article concerning
operational cooperation.
4. For the purpose of the review referred to in Article 35 and by 24 months after the
date of entry into force of this Directive, and every two years thereafter, the CSIRTs
network shall assess the progress made with the operational cooperation and produce
a report. The report shall, in particular, draw conclusions on the outcomes of the peer
reviews referred to in Article 16 carried out in relation to national CSIRTs, including
conclusions and recommendations, pursued under this Article. That report shall also
be submitted to the Cooperation Group.
5. The CSIRTs network shall adopt its own rules of procedure.
EN 43 EN
Article 14
The European cyber crises liaison organisation network (EU - CyCLONe)
1. In order to support the coordinated management of large-scale cybersecurity
incidents and crises at operational level and to ensure the regular exchange of
information among Member States and Union institutions, bodies and agencies, the
European Cyber Crises Liaison Organisation Network (EU - CyCLONe) is hereby
established.
2. EU-CyCLONe shall be composed of the representatives of Member States’ crisis
management authorities designated in accordance with Article 7, the Commission
and ENISA. ENISA shall provide the secretariat of the network and support the
secure exchange of information.
3. EU-CyCLONe shall have the following tasks:
(a) increasing the level of preparedness of the management of large scale incidents
and crises;
(b) developing a shared situational awareness of relevant cybersecurity events;
(c) coordinating large scale incidents and crisis management and supporting
decision-making at political level in relation to such incidents and crisis;
(d) discussing national cybersecurity incident and response plans referred to in
Article 7(2).
4. EU-CyCLONe shall adopt its rules of procedure.
5. EU-CyCLONe shall regularly report to the Cooperation Group on cyber threats,
incidents and trends, focusing in particular on their impact on essential and important
entities.
6. EU-CyCLONe shall cooperate with the CSIRTs network on the basis of agreed
procedural arrangements.
Article 15
Report on the state of cybersecurity in the Union
1. ENISA shall issue, in cooperation with the Commission, a biennial report on the state
of cybersecurity in the Union. The report shall in particular include an assessment of
the following:
(a) the development of cybersecurity capabilities across the Union;
(b) the technical, financial and human resources available to competent authorities
and cybersecurity policies, and the implementation of supervisory measures
and enforcement actions in light of the outcomes of peer reviews referred to in
Article 16;
(c) a cybersecurity index providing for an aggregated assessment of the maturity
level of cybersecurity capabilities.
2. The report shall include particular policy recommendations for increasing the level of
cybersecurity across the Union and a summary of the findings for the particular
EN 44 EN
period from the Agency’s EU Cybersecurity Technical Situation Reports issued by
ENISA in accordance with Article 7(6) of Regulation (EU) 2019/881.
Article 16
Peer-reviews
1. The Commission shall establish, after consulting the Cooperation Group and ENISA,
and at the latest by 18 months following the entry into force of this Directive, the
methodology and content of a peer-review system for assessing the effectiveness of
the Member States’ cybersecurity policies. The reviews shall be conducted by
cybersecurity technical experts drawn from Member States different than the one
reviewed and shall cover at least the following:
(i) the effectiveness of the implementation of the cybersecurity risk management
requirements and reporting obligations referred to in Articles 18 and 20;
(ii) the level of capabilities, including the available financial, technical and human
resources, and the effectiveness of the exercise of the tasks of the national
competent authorities;
(iii) the operational capabilities and effectiveness of CSIRTs;
(iv) the effectiveness of mutual assistance referred to in Article 34;
(v) the effectiveness of the information-sharing framework, referred to in Article
26 of this Directive.
2. The methodology shall include objective, non-discriminatory, fair and transparent
criteria on the basis of which the Member States shall designate experts eligible to
carry out the peer reviews. ENISA and the Commission shall designate experts to
participate as observers in the peer-reviews. The Commission, supported by ENISA,
shall establish within the methodology as referred to in paragraph 1 an objective,
non-discriminatory, fair and transparent system for the selection and the random
allocation of experts for each peer review.
3. The organisational aspects of the peer reviews shall be decided by the Commission,
supported by ENISA, and, following consultation of the Cooperation Group, be
based on criteria defined in the methodology referred to in paragraph 1. Peer reviews
shall assess the aspects referred to in paragraph 1 for all Member States and sectors,
including targeted issues specific to one or several Member States or one or several
sectors.
4. Peer reviews shall entail actual or virtual on-site visits and off-site exchanges. In
view of the principle of good cooperation, the Member States being reviewed shall
provide the designated experts with the requested information necessary for the
assessment of the reviewed aspects. Any information obtained through the peer
review process shall be used solely for that purpose. The experts participating in the
peer review shall not disclose any sensitive or confidential information obtained in
the course of that review to any third parties.
5. Once reviewed in a Member State, the same aspects shall not be subject to further
peer review within that Member State during the two years following the conclusion
of a peer review, unless otherwise decided by the Commission, upon consultation
with ENISA and the Cooperation Group.
EN 45 EN
6. Member State shall ensure that any risk of conflict of interests concerning the
designated experts are revealed to the other Member States, the Commission and
ENISA without undue delay.
7. Experts participating in peer reviews shall draft reports on the findings and
conclusions of the reviews. The reports shall be submitted to the Commission, the
Cooperation Group, the CSIRTs network and ENISA. The reports shall be discussed
in the Cooperation Group and the CSIRTs network. The reports may be published on
the dedicated website of the Cooperation Group.
CHAPTER IV
Cybersecurity risk management and reporting obligations
SECTION I
Cybersecurity risk management and reporting
Article 17
Governance
1. Member States shall ensure that the management bodies of essential and important
entities approve the cybersecurity risk management measures taken by those entities
in order to comply with Article 18, supervise its implementation and be accountable
for the non-compliance by the entities with the obligations under this Article.
2. Member States shall ensure that members of the management body follow specific
trainings, on a regular basis, to gain sufficient knowledge and skills in order to
apprehend and assess cybersecurity risks and management practices and their impact
on the operations of the entity.
Article 18
Cybersecurity risk management measures
1. Member States shall ensure that essential and important entities shall take
appropriate and proportionate technical and organisational measures to manage the
risks posed to the security of network and information systems which those entities
use in the provision of their services. Having regard to the state of the art, those
measures shall ensure a level of security of network and information systems
appropriate to the risk presented.
2. The measures referred to in paragraph 1 shall include at least the following:
(a) risk analysis and information system security policies;
(b) incident handling (prevention, detection, and response to incidents);
(c) business continuity and crisis management;
EN 46 EN
(d) supply chain security including security-related aspects concerning the
relationships between each entity and its suppliers or service providers such as
providers of data storage and processing services or managed security services;
(e) security in network and information systems acquisition, development and
maintenance, including vulnerability handling and disclosure;
(f) policies and procedures (testing and auditing) to assess the effectiveness of
cybersecurity risk management measures;
(g) the use of cryptography and encryption.
3. Member States shall ensure that, where considering appropriate measures referred to
in point (d) of paragraph 2, entities shall take into account the vulnerabilities specific
to each supplier and service provider and the overall quality of products and
cybersecurity practices of their suppliers and service providers, including their secure
development procedures.
4. Member States shall ensure that where an entity finds that respectively its services or
tasks are not in compliance with the requirements laid down in paragraph 2, it shall,
without undue delay, take all necessary corrective measures to bring the service
concerned into compliance.
5. The Commission may adopt implementing acts in order to lay down the technical
and the methodological specifications of the elements referred to in paragraph 2.
Where preparing those acts, the Commission shall proceed in accordance with the
examination procedure referred to in Article 37(2) and follow, to the greatest extent
possible, international and European standards, as well as relevant technical
specifications.
6. The Commission is empowered to adopt delegated acts in accordance with Article 36
to supplement the elements laid down in paragraph 2 to take account of new cyber
threats, technological developments or sectorial specificities.
Article 19
EU coordinated risk assessments of critical supply chains
1. The Cooperation Group, in cooperation with the Commission and ENISA, may carry
out coordinated security risk assessments of specific critical ICT services, systems or
products supply chains, taking into account technical and, where relevant, non-
technical risk factors.
2. The Commission, after consulting with the Cooperation Group and ENISA, shall
identify the specific critical ICT services, systems or products that may be subject to
the coordinated risk assessment referred to in paragraph 1.
Article 20
Reporting obligations
1. Member States shall ensure that essential and important entities notify, without
undue delay, the competent authorities or the CSIRT in accordance with paragraphs
EN 47 EN
3 and 4 of any incident having a significant impact on the provision of their services.
Where appropriate, those entities shall notify, without undue delay, the recipients of
their services of incidents that are likely to adversely affect the provision of that
service. Member States shall ensure that those entities report, among others, any
information enabling the competent authorities or the CSIRT to determine any cross-
border impact of the incident.
2. Member States shall ensure that essential and important entities notify, without
undue delay, the competent authorities or the CSIRT of any significant cyber threat
that those entities identify that could have potentially resulted in a significant
incident.
Where applicable, those entities shall notify, without undue delay, the recipients of
their services that are potentially affected by a significant cyber threat of any
measures or remedies that those recipients can take in response to that threat. Where
appropriate, the entities shall also notify those recipients of the threat itself. The
notification shall not make the notifying entity subject to increased liability.
3. An incident shall be considered significant if:
(a) the incident has caused or has the potential to cause substantial operational
disruption or financial losses for the entity concerned;
(b) the incident has affected or has the potential to affect other natural or legal
persons by causing considerable material or non-material losses.
4. Member States shall ensure that, for the purpose of the notification under paragraph
1, the entities concerned shall submit to the competent authorities or the CSIRT:
(a) without undue delay and in any event within 24 hours after having
become aware of the incident, an initial notification, which, where
applicable, shall indicate whether the incident is presumably caused by
unlawful or malicious action;
(b) upon the request of a competent authority or a CSIRT, an intermediate
report on relevant status updates;
(c) a final report not later than one month after the submission of the report
under point (a), including at least the following:
(i) a detailed description of the incident, its severity and impact;
(ii) the type of threat or root cause that likely triggered the incident;
(iii) applied and ongoing mitigation measures.
Member States shall provide that in duly justified cases and in agreement with the
competent authorities or the CSIRT, the entity concerned can deviate from the
deadlines laid down in points (a) and (c).
5. The competent national authorities or the CSIRT shall provide, within 24 hours after
receiving the initial notification referred to in point (a) of paragraph 4, a response to
the notifying entity, including initial feedback on the incident and, upon request of
the entity, guidance on the implementation of possible mitigation measures. Where
the CSIRT did not receive the notification referred to in paragraph 1 , the guidance
shall be provided by the competent authority in collaboration with the CSIRT. The
CSIRT shall provide additional technical support if the concerned entity so requests.
Where the incident is suspected to be of criminal nature, the competent national
EN 48 EN
authorities or the CSIRT shall also provide guidance on reporting the incident to law
enforcement authorities.
6. Where appropriate, and in particular where the incident referred to in paragraph 1
concerns two or more Member States, the competent authority or the CSIRT shall
inform the other affected Member States and ENISA of the incident. In so doing, the
competent authorities, CSIRTs and single points of contact shall, in accordance with
Union law or national legislation that complies with Union law, preserve the entity’s
security and commercial interests as well as the confidentiality of the information
provided.
7. Where public awareness is necessary to prevent an incident or to deal with an
ongoing incident, or where disclosure of the incident is otherwise in the public
interest, the competent authority or the CSIRT, and where appropriate the authorities
or the CSIRTs of other Member States concerned may, after consulting the entity
concerned, inform the public about the incident or require the entity to do so.
8. At the request of the competent authority or the CSIRT, the single point of contact
shall forward notifications received pursuant to paragraphs 1 and 2 to the single
points of contact of other affected Member States.
9. The single point of contact shall submit to ENISA on a monthly basis a summary
report including anonymised and aggregated data on incidents, significant cyber
threats and near misses notified in accordance with paragraphs 1 and 2 and in
accordance with Article 27. In order to contribute to the provision of comparable
information, ENISA may issue technical guidance on the parameters of the
information included in the summary report.
10. Competent authorities shall provide to the competent authorities designated pursuant
to Directive (EU) XXXX/XXXX [Resilience of Critical Entities Directive]
information on incidents and cyber threats notified in accordance with paragraphs 1
and 2 by essential entities identified as critical entities, or as entities equivalent to
critical entities, pursuant to Directive (EU) XXXX/XXXX [Resilience of Critical
Entities Directive].
11. The Commission, may adopt implementing acts further specifying the type of
information, the format and the procedure of a notification submitted pursuant to
paragraphs 1 and 2. The Commission may also adopt implementing acts to further
specify the cases in which an incident shall be considered significant as referred to in
paragraph 3. Those implementing acts shall be adopted in accordance with the
examination procedure referred to in Article 37(2).
Article 21
Use of European cybersecurity certification schemes
1. In order to demonstrate compliance with certain requirements of Article 18, Member
States may require essential and important entities to certify certain ICT products,
ICT services and ICT processes under specific European cybersecurity certification
schemes adopted pursuant to Article 49 of Regulation (EU) 2019/881. The products,
services and processes subject to certification may be developed by an essential or
important entity or procured from third parties.
EN 49 EN
2. The Commission shall be empowered to adopt delegated acts specifying which
categories of essential entities shall be required to obtain a certificate and under
which specific European cybersecurity certification schemes pursuant to paragraph 1.
The delegated acts shall be adopted in accordance with Article 36.
3. The Commission may request ENISA to prepare a candidate scheme pursuant to
Article 48(2) of Regulation (EU) 2019/881 in cases where no appropriate European
cybersecurity certification scheme for the purposes of paragraph 2 is available.
Article 22
Standardisation
1. In order to promote the convergent implementation of Article 18(1) and (2), Member
States shall, without imposing or discriminating in favour of the use of a particular
type of technology, encourage the use of European or internationally accepted
standards and specifications relevant to the security of network and information
systems.
2. ENISA, in collaboration with Member States, shall draw up advice and guidelines
regarding the technical areas to be considered in relation to paragraph 1 as well as
regarding already existing standards, including Member States' national standards,
which would allow for those areas to be covered.
Article 23
Databases of domain names and registration data
1. For the purpose of contributing to the security, stability and resilience of the DNS,
Member States shall ensure that TLD registries and the entities providing domain
name registration services for the TLD shall collect and maintain accurate and
complete domain name registration data in a dedicated database facility with due
diligence subject to Union data protection law as regards data which are personal
data.
2. Member States shall ensure that the databases of domain name registration data
referred to in paragraph 1 contain relevant information to identify and contact the
holders of the domain names and the points of contact administering the domain
names under the TLDs.
3. Member States shall ensure that the TLD registries and the entities providing domain
name registration services for the TLD have policies and procedures in place to
ensure that the databases include accurate and complete information. Member States
shall ensure that such policies and procedures are made publicly available.
4. Member States shall ensure that the TLD registries and the entities providing domain
name registration services for the TLD publish, without undue delay after the
registration of a domain name, domain registration data which are not personal data.
5. Member States shall ensure that the TLD registries and the entities providing domain
name registration services for the TLD provide access to specific domain name
registration data upon lawful and duly justified requests of legitimate access seekers,
in compliance with Union data protection law. Member States shall ensure that the
EN 50 EN
TLD registries and the entities providing domain name registration services for the
TLD reply without undue delay to all requests for access. Member States shall ensure
that policies and procedures to disclose such data are made publicly available.
Section II
Jurisdiction and Registration
Article 24
Jurisdiction and territoriality
1. DNS service providers, TLD name registries, cloud computing service providers,
data centre service providers and content delivery network providers referred to in
point 8 of Annex I, as well as digital providers referred to in point 6 of Annex II shall
be deemed to be under the jurisdiction of the Member State in which they have their
main establishment in the Union.
2. For the purposes of this Directive, entities referred to in paragraph 1 shall be deemed
to have their main establishment in the Union in the Member State where the
decisions related to the cybersecurity risk management measures are taken. If such
decisions are not taken in any establishment in the Union, the main establishment
shall be deemed to be in the Member State where the entities have the establishment
with the highest number of employees in the Union.
3. If an entity referred to in paragraph 1 is not established in the Union, but offers
services within the Union, it shall designate a representative in the Union. The
representative shall be established in one of those Member States where the services
are offered. Such entity shall be deemed to be under the jurisdiction of the Member
State where the representative is established. In the absence of a designated
representative within the Union under this Article, any Member State in which the
entity provides services may take legal actions against the entity for non-compliance
with the obligations under this Directive.
4. The designation of a representative by an entity referred to in paragraph 1 shall be
without prejudice to legal actions, which could be initiated against the entity itself.
Article 25
Registry for essential and important entities
1. ENISA shall create and maintain a registry for essential and important entities
referred to in Article 24(1). The entities shall submit the following information to
ENISA by [12 months after entering into force of the Directive at the latest]:
(a) the name of the entity;
(b) the address of its main establishment and its other legal establishments in the
Union or, if not established in the Union, of its representative designated
pursuant to Article 24(3);
(c) up-to-date contact details, including email addresses and telephone numbers of
the entities.
EN 51 EN
2. The entities referred to in paragraph 1 shall notify ENISA about any changes to the
details they submitted under paragraph 1 without delay, and in any event, within
three months from the date on which the change took effect.
3. Upon receipt of the information under paragraph 1, ENISA shall forward it to the
single points of contact depending on the indicated location of each entity’s main
establishment or, if it is not established in the Union, of its designated representative.
Where an entity referred to in paragraph 1 has besides its main establishment in the
Union further establishments in other Member States, ENISA shall also inform the
single points of contact of those Member States.
4. Where an entity fails to register its activity or to provide the relevant information
within the deadline set out in paragraph 1, any Member State where the entity
provides services shall be competent to ensure that entity’s compliance with the
obligations laid down in this Directive.
CHAPTER V
Information sharing
Article 26
Cybersecurity information-sharing arrangements
1. Without prejudice to Regulation (EU) 2016/679, Member States shall ensure that
essential and important entities may exchange relevant cybersecurity information
among themselves including information relating to cyber threats, vulnerabilities,
indicators of compromise, tactics, techniques and procedures, cybersecurity alerts
and configuration tools, where such information sharing:
(a) aims at preventing, detecting, responding to or mitigating incidents;
(b) enhances the level of cybersecurity, in particular through raising awareness in
relation to cyber threats, limiting or impeding such threats ‘ability to spread,
supporting a range of defensive capabilities, vulnerability remediation and
disclosure, threat detection techniques, mitigation strategies, or response and
recovery stages.
2. Member States shall ensure that the exchange of information takes place within
trusted communities of essential and important entities. Such exchange shall be
implemented through information sharing arrangements in respect of the potentially
sensitive nature of the information shared and in compliance with the rules of Union
law referred to in paragraph 1.
3. Member States shall set out rules specifying the procedure, operational elements
(including the use of dedicated ICT platforms), content and conditions of the
information sharing arrangements referred to in paragraph 2. Such rules shall also lay
down the details of the involvement of public authorities in such arrangements, as
well as operational elements, including the use of dedicated IT platforms. Member
States shall offer support to the application of such arrangements in accordance with
their policies referred to in Article 5(2) (g).
EN 52 EN
4. Essential and important entities shall notify the competent authorities of their
participation in the information-sharing arrangements referred to in paragraph 2,
upon entering into such arrangements, or, as applicable, of their withdrawal from
such arrangements, once the withdrawal takes effect.
5. In compliance with Union law, ENISA shall support the establishment of
cybersecurity information-sharing arrangements referred to in paragraph 2 by
providing best practices and guidance.
Article 27
Voluntary notification of relevant information
Member States shall ensure that, without prejudice to Article 3, entities falling outside the
scope of this Directive may submit notifications, on a voluntary basis, of significant incidents,
cyber threats or near misses. When processing notifications, Member States shall act in
accordance with the procedure laid down in Article 20. Member States may prioritise the
processing of mandatory notifications over voluntary notifications. Voluntary reporting shall
not result in the imposition of any additional obligations upon the reporting entity to which it
would not have been subject had it not submitted the notification.
CHAPTER VI
Supervision and enforcement
Article 28
General aspects concerning supervision and enforcement
1. Member States shall ensure that competent authorities effectively monitor and take
the measures necessary to ensure compliance with this Directive, in particular the
obligations laid down in Articles 18 and 20.
2. Competent authorities shall work in close cooperation with data protection
authorities when addressing incidents resulting in personal data breaches.
Article 29
Supervision and enforcement for essential entities
1. Member States shall ensure that the measures of supervision or enforcement imposed
on essential entities in respect of the obligations set out in this Directive are effective,
proportionate and dissuasive, taking into account the circumstances of each
individual case.
2. Member States shall ensure that competent authorities, where exercising their
supervisory tasks in relation to essential entities, have the power to subject those
entities to:
(a) on-site inspections and off-site supervision, including random checks;
(b) regular audits;
EN 53 EN
(c) targeted security audits based on risk assessments or risk-related available
information;
(d) security scans based on objective, non-discriminatory, fair and transparent risk
assessment criteria;
(e) requests of information necessary to assess the cybersecurity measures adopted
by the entity, including documented cybersecurity policies, as well as
compliance with the obligation to notify the ENISA pursuant to Article 25 (1)
and (2);
(f) requests to access data, documents or any information necessary for the
performance of their supervisory tasks;
(g) requests for evidence of implementation of cybersecurity policies, such as the
results of security audits carried out by a qualified auditor and the respective
underlying evidence.
3. Where exercising their powers under points (e) to (g) of paragraph 2, the competent
authorities shall state the purpose of the request and specify the information
requested.
4. Member States shall ensure that competent authorities, where exercising their
enforcement powers in relation to essential entities, have the power to:
(a) issue warnings on the entities’ non-compliance with the obligations laid down
in this Directive;
(b) issue binding instructions or an order requiring those entities to remedy the
deficiencies identified or the infringements of the obligations laid down in this
Directive;
(c) order those entities to cease conduct that is non-compliant with the obligations
laid down in this Directive and desist from repeating that conduct;
(d) order those entities to bring their risk management measures and/or reporting
obligations in compliance with the obligations laid down in Articles 18 and 20
in a specified manner and within a specified period;
(e) order those entities to inform the natural or legal person(s) to whom they
provide services or activities which are potentially affected by a significant
cyber threat of any possible protective or remedial measures which can be
taken by those natural or legal person(s) in response to that threat;
(f) order those entities to implement the recommendations provided as a result of a
security audit within a reasonable deadline;
(g) designate a monitoring officer with well-defined tasks over a determined
period of time to oversee the compliance with their obligations provided for by
Articles 18 and 20;
(h) order those entities to make public aspects of non-compliance with the
obligations laid down in this Directive in a specified manner;
(i) make a public statement which identifies the legal and natural person(s)
responsible for the infringement of an obligation laid down in this Directive
and the nature of that infringement;
(j) impose or request the imposition by the relevant bodies or courts according to
national laws of an administrative fine pursuant to Article 31 in addition to, or
EN 54 EN
instead of, the measures referred to in points (a) to (i) of this paragraph,
depending on the circumstances of each individual case.
5. Where enforcement actions adopted pursuant to points (a) to (d) and (f) of paragraph
(4) prove ineffective, Member States shall ensure that competent authorities have the
power to establish a deadline within which the essential entity is requested to take the
necessary action to remedy the deficiencies or comply with the requirements of those
authorities. If the requested action is not taken within the deadline set, Member
States shall ensure that the competent authorities have the power to:
(a) suspend or request a certification or authorisation body to suspend a
certification or authorisation concerning part or all the services or activities
provided by an essential entity;
(b) impose or request the imposition by the relevant bodies or courts according to
national laws of a temporary ban against any person discharging managerial
responsibilities at chief executive officer or legal representative level in that
essential entity, and of any other natural person held responsible for the breach,
from exercising managerial functions in that entity.
These sanctions shall be applied only until the entity takes the necessary action to
remedy the deficiencies or comply with the requirements of the competent authority
for which such sanctions were applied.
6. Member States shall ensure that any natural person responsible for or acting as a
representative of an essential entity on the basis of the power to represent it, the
authority to take decisions on its behalf or the authority to exercise control of it has
the powers to ensure its compliance with the obligations laid down in this Directive.
Member States shall ensure that those natural persons may be held liable for breach
of their duties to ensure compliance with the obligations laid down in this Directive.
7. Where taking any of the enforcement actions or applying any sanctions pursuant to
paragraphs 4 and 5, the competent authorities shall comply with the rights of the
defence and take account of the circumstances of each individual case and, as a
minimum, take due account of:
(a) the seriousness of the infringement and the importance of the provisions
breached. Among the infringements that should be considered as serious:
repeated violations, failure to notify or remedy incidents with a significant
disruptive effect, failure to remedy deficiencies following binding instructions
from competent authorities obstruction of audits or monitoring activities
ordered by the competent authority following the finding of an infringement,
providing false or grossly inaccurate information in relation to risk
management requirements or reporting obligations set out in Articles 18 and
20.
(b) the duration of the infringement, including the element of repeated
infringements;
(c) the actual damage caused or losses incurred or potential damage or losses that
could have been triggered, insofar as they can be determined. Where evaluating
this aspect, account shall be taken, amongst others, of actual or potential
financial or economic losses, effects on other services, number of users
affected or potentially affected;
(d) the intentional or negligent character of the infringement;
EN 55 EN
(e) measures taken by the entity to prevent or mitigate the damage and/or losses;
(f) adherence to approved codes of conduct or approved certification mechanisms;
(g) the level of cooperation of the natural or legal person(s) held responsible with
the competent authorities.
8. The competent authorities shall set out a detailed reasoning for their enforcement
decisions. Before taking such decisions, the competent authorities shall notify the
entities concerned of their preliminary findings and allow a reasonable time for those
entities to submit observations.
9. Member States shall ensure that their competent authorities inform the relevant
competent authorities of the Member State concerned designated pursuant to
Directive (EU) XXXX/XXXX [Resilience of Critical Entities Directive] when
exercising their supervisory and enforcement powers aimed at ensuring compliance
of an essential entity identified as critical, or as an entity equivalent to a critical
entity, under Directive (EU) XXXX/XXXX [Resilience of Critical Entities
Directive] with the obligations pursuant to this Directive. Upon request of competent
authorities under Directive (EU) XXXX/XXXX [Resilience of Critical Entities
Directive], competent authorities may exercise their supervisory and enforcement
powers on an essential entity identified as critical or equivalent.
Article 30
Supervision and enforcement for important entities
1. When provided with evidence or indication that an important entity is not in
compliance with the obligations laid down in this Directive, and in particular in
Articles 18 and 20, Member States shall ensure that the competent authorities take
action, where necessary, through ex post supervisory measures.
2. Member States shall ensure that the competent authorities, where exercising their
supervisory tasks in relation to important entities, have the power to subject those
entities to:
(a) on-site inspections and off-site ex post supervision;
(b) targeted security audits based on risk assessments or risk-related available
information;
(c) security scans based on objective, fair and transparent risk assessment criteria;
(d) requests for any information necessary to assess ex-post the cybersecurity
measures, including documented cybersecurity policies, as well as compliance
with the obligation to notify ENISA pursuant to Article 25(1) and (2);
(e) requests to access data, documents and/or information necessary for the
performance of the supervisory tasks.
3. Where exercising their powers pursuant to points (d) or (e) of paragraph 2, the
competent authorities shall state the purpose of the request and specify the
information requested.
4. Member States shall ensure that the competent authorities, where exercising their
enforcement powers in relation to important entities, have the power to:
EN 56 EN
(a) issue warnings on the entities’ non-compliance with the obligations laid down
in this Directive;
(b) issue binding instructions or an order requiring those entities to remedy the
deficiencies identified or the infringement of the obligations laid down in this
Directive;
(c) order those entities to cease conduct that is in non-compliant with the
obligations laid down in this Directive and desist from repeating that conduct;
(d) order those entities to bring their risk management measures or the reporting
obligations in compliance with the obligations laid down in Articles 18 and 20
in a specified manner and within a specified period;
(e) order those entities to inform the natural or legal person(s) to whom they
provide services or activities which are potentially affected by a significant
cyber threat of any possible protective or remedial measures which can be
taken by those natural or legal person(s) in response to that threat;
(f) order those entities to implement the recommendations provided as a result of a
security audit within a reasonable deadline;
(g) order those entities to make public aspects of non-compliance with their
obligations laid down in this Directive in a specified manner;
(h) make a public statement which identifies the legal and natural person(s)
responsible for the infringement of an obligation laid down in this Directive
and the nature of that infringement;
(i) impose or request the imposition by the relevant bodies or courts according to
national laws of an administrative fine pursuant to Article 31 in addition to, or
instead of, the measures referred to in points (a) to (h) of this paragraph,
depending on the circumstances of each individual case.
5. Article 29 (6) to (8) shall also apply to the supervisory and enforcement measures
provided for in this Article for the important entities listed in Annex II.
Article 31
General conditions for imposing administrative fines on essential and important entities
1. Member States shall ensure that the imposition of administrative fines on essential
and important entities pursuant to this Article in respect of infringements of the
obligations laid down in this Directive are, in each individual case, effective,
proportionate and dissuasive.
2. Administrative fines shall, depending on the circumstances of each individual case,
be imposed in addition to, or instead of, measures referred to in points (a) to (i) of
Article 29(4), Article 29(5) and points (a) to (h) of Article 30(4).
3. Where deciding whether to impose an administrative fine and deciding on its amount
in each individual case due regard shall be given, as a minimum, to the elements
provided for in Article 29(7).
4. Member States shall ensure that infringements of the obligations laid down in Article
18 or Article 20 shall, in accordance with paragraphs 2 and 3 of this Article, be
subject to administrative fines of a maximum of at least 10 000 000 EUR or up to 2%
EN 57 EN
of the total worldwide annual turnover of the undertaking to which the essential or
important entity belongs in the preceding financial year, whichever is higher.
5. Member States may provide for the power to impose periodic penalty payments in
order to compel an essential or important entity to cease an infringement in
accordance with a prior decision of the competent authority.
6. Without prejudice to the powers of competent authorities pursuant to Articles 29 and
30, each Member State may lay down the rules on whether and to what extent
administrative fines may be imposed on public administration entities referred to in
Article 4(23) subject to the obligations provided for by this Directive.
Article 32
Infringements entailing a personal data breach
1. Where the competent authorities have indications that the infringement by an
essential or important entity of the obligations laid down in Articles 18 and 20 entails
a personal data breach, as defined by Article 4(12) of Regulation (EU) 2016/679
which shall be notified pursuant to Article 33 of that Regulation, they shall inform
the supervisory authorities competent pursuant to Articles 55 and 56 of that
Regulation within a reasonable period of time.
2. Where the supervisory authorities competent in accordance with Articles 55 and 56
of Regulation (EU) 2016/679 decide to exercise their powers pursuant to Article
58(i) of that Regulation and impose an administrative fine, the competent authorities
shall not impose an administrative fine for the same infringement under Article 31 of
this Directive. The competent authorities may, however, apply the enforcement
actions or exercise the sanctioning powers provided for in points (a) to (i) of Article
29 (4), Article 29 (5), and points (a) to (h) of Article 30 (4) of this Directive.
3. Where the supervisory authority competent pursuant to Regulation (EU) 2016/679 is
established in another Member State than the competent authority, the competent
authority may inform the supervisory authority established in the same Member
State.
Article 33
Penalties
1. Member States shall lay down rules on penalties applicable to the infringements of
national provisions adopted pursuant to this Directive, and shall take all measures
necessary to ensure that they are implemented. The penalties provided for shall be
effective, proportionate and dissuasive.
2. Member States shall, by [two] years following the entry into force of this Directive,
notify the Commission of those rules and of those measures and shall notify it,
without undue delay of any subsequent amendment affecting them.
EN 58 EN
Article 34
Mutual assistance
1. Where an essential or important entity is providing services in more than one
Member State, or has its main establishment or a representative in a Member State,
but its network and information systems are located in one or more other Member
States, the competent authority of the Member State of the main establishment or
other establishment or of the representative, and the competent authorities of those
other Member States shall cooperate with and assist each other as necessary. That
cooperation shall entail, at least, that:
(a) the competent authorities applying supervisory or enforcement measures in a
Member State shall, via the single point of contact, inform and consult the
competent authorities in the other Member States concerned on the supervisory
and enforcement measures taken and their follow-up, in accordance with
Articles 29 and 30;
(b) a competent authority may request another competent authority to take the
supervisory or enforcement measures referred to in Articles 29 and 30;
(c) a competent authority shall, upon receipt of a justified request from another
competent authority, provide the other competent authority with assistance so
that the supervision or enforcement actions referred to in Articles 29 and 30
can be implemented in an effective, efficient and consistent manner. Such
mutual assistance may cover information requests and supervisory measures,
including requests to carry out on-site inspections or off-site supervision or
targeted security audits. A competent authority to which a request for
assistance is addressed may not refuse that request unless, after an exchange
with the other authorities concerned, ENISA and the Commission, it is
established that either the authority is not competent to provide the requested
assistance or the requested assistance is not proportionate to the supervisory
tasks of the competent authority carried out in accordance with Article 29 or
Article 30.
2. Where appropriate and with common agreement, competent authorities from
different Member States may carry out the joint supervisory actions referred to in
Articles 29 and 30.
CHAPTER VII
Transitional and final provisions
Article 35
Review
The Commission shall periodically review the functioning of this Directive, and report to the
European Parliament and to the Council. The report shall in particular assess the relevance of
sectors, subsectors, size and type of entities referred to in Annexes I and II for the functioning
of the economy and society in relation to cybersecurity. For this purpose and with a view to
further advancing the strategic and operational cooperation, the Commission shall take into
account the reports of the Cooperation Group and the CSIRTs network on the experience
EN 59 EN
gained at a strategic and operational level. The first report shall be submitted by… 54 months
after the date of entry into force of this Directive.
Article 36
Exercise of the delegation
1. The power to adopt delegated acts is conferred on the Commission subject to the
conditions laid down in this Article.
2. The power to adopt delegated acts referred to in Articles 18(6) and 21(2) shall be
conferred on the Commission for a period of five years from […]
3. The delegation of power referred to in Articles 18(6) and 21(2) may be revoked at
any time by the European Parliament or by the Council. A decision to revoke shall
put an end to the delegation of the power specified in that decision. It shall take
effect the day following the publication of the decision in the Official Journal of the
European Union or at a later date specified therein. It shall not affect the validity of
any delegated acts already in force.
4. Before adopting a delegated act, the Commission shall consult experts designated by
each Member State in accordance with principles laid down in the Inter-institutional
Agreement of 13 April 2016 on Better Law-Making.
5. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to
the European Parliament and to the Council.
6. A delegated act adopted pursuant to Articles 18(6) and 21(2) shall enter into force
only if no objection has been expressed either by the European Parliament or by the
Council within a period of two months of notification of that act to the European
Parliament and to the Council or if, before the expiry of that period, the European
Parliament and the Council have both informed the Commission that they will not
object. That period shall be extended by two months at the initiative of the European
Parliament or of the Council.
Article 37
Committee procedure
1. The Commission shall be assisted by a committee. That committee shall be a
committee within the meaning of Regulation (EU) No 182/2011.
2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No
182/2011 shall apply.
3. Where the opinion of the committee is to be obtained by written procedure, that
procedure shall be terminated without result when, within the time-limit for delivery
of the opinion, the chair of the committee so decides or a committee member so
requests.
EN 60 EN
Article 38
Transposition
1. Member States shall adopt and publish, by … 18 months after the date of entry into
force of this Directive, the laws, regulations and administrative provisions necessary
to comply with this Directive. They shall immediately inform the Commission
thereof. They shall apply those measures from … [one day after the date referred to
in the first subparagraph].
2. When Member States adopt those measures, they shall contain a reference to this
Directive or shall be accompanied by such reference on the occasion of their official
publication. The methods of making such reference shall be laid down by Member
States.
Article 39
Amendment of Regulation (EU) No 910/2014
Article 19 of Regulation (EU) No 910/2014 is deleted.
Article 40
Amendment of Directive (EU) 2018/1972
Articles 40 and 41 of Directive (EU) 2018/1972 are deleted.
Article 41
Repeal
Directive (EU) 2016/1148 is repealed with effect from.. [ date of transposition deadline of the
Directive].
References to Directive (EU) 2016/1148 shall be construed as references to this Directive and
read in accordance with the correlation table set out in Annex III.
Article 42
Entry into force
This Directive shall enter into force on the twentieth day following that of its publication in
the Official Journal of the European Union.
EN 61 EN
Article 43
Addressees
This Directive is addressed to the Member States.
Done at Brussels,
For the European Parliament For the Council
The President The President
EN 1 EN
LEGISLATIVE FINANCIAL STATEMENT
Contents
1. FRAMEWORK OF THE PROPOSAL/INITIATIVE................................................. 2
1.1. Title of the proposal/initiative...................................................................................... 2
1.2. Policy area(s) concerned (Programme cluster)............................................................ 2
1.3. The proposal/initiative relates to:................................................................................. 2
1.4. Grounds for the proposal/initiative .............................................................................. 2
1.4.1. Requirement(s) to be met in the short or long term including a detailed timeline for
roll-out of the implementation of the initiative............................................................ 2
1.4.2. Added value of Union involvement (it may result from different factors, e.g.
coordination gains, legal certainty, greater effectiveness or complementarities). For
the purposes of this point 'added value of Union involvement' is the value resulting
from Union intervention which is additional to the value that would have been
otherwise created by Member States alone.................................................................. 2
1.4.3. Lessons learned from similar experiences in the past.................................................. 3
1.4.4. Compatibility and possible synergy with other appropriate instruments..................... 3
1.5. Duration and financial impact...................................................................................... 4
1.6. Management mode(s) planned..................................................................................... 4
2. MANAGEMENT MEASURES................................................................................... 6
2.1. Monitoring and reporting rules .................................................................................... 6
2.2. Management and control system(s) ............................................................................. 6
2.2.1. Justification of the management mode(s), the funding implementation mechanism(s),
the payment modalities and the control strategy proposed .......................................... 6
2.2.2. Information concerning the risks identified and the internal control system(s) set up
to mitigate them............................................................................................................ 6
2.2.3. Estimation and justification of the cost-effectiveness of the controls (ratio of "control
costs ÷ value of the related funds managed"), and assessment of the expected levels
of risk of error (at payment & at closure) .................................................................... 6
2.3. Measures to prevent fraud and irregularities................................................................ 6
3. ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE.............. 7
3.1. Heading of the multiannual financial framework and new expenditure budget line(s)
proposed....................................................................................................................... 7
3.2. Estimated impact on expenditure................................................................................. 8
3.2.1. Summary of estimated impact on expenditure............................................................. 8
3.2.2. Summary of estimated impact on appropriations of an administrative nature........... 11
3.2.3. Third-party contributions ........................................................................................... 13
3.3. Estimated impact on revenue ..................................................................................... 13
EN 2 EN
1. FRAMEWORK OF THE PROPOSAL/INITIATIVE
1.1. Title of the proposal/initiative
Proposal for a Directive concerning measures for a high common level of
cybersecurity across the Union, repealing Directive (EU) 2016/1148
1.2. Policy area(s) concerned (Programme cluster)
Communications Networks, Content and Technology
1.3. The proposal/initiative relates to:
 a new action
 a new action following a pilot project/preparatory action40
 the extension of an existing action
 a merger or redirection of one or more actions towards another/a new action
1.4. Grounds for the proposal/initiative
1.4.1. Requirement(s) to be met in the short or long term including a detailed timeline for
roll-out of the implementation of the initiative
The revision’s objective is to increase the level of cyber resilience of a
comprehensive set of businesses operating in the European Union across all relevant
sectors, to reduce inconsistencies in the resilience across the internal market in the
sectors already covered by the Directive and to improve the level of joint situational
awareness and the collective capability to prepare and respond.
1.4.2. Added value of Union involvement (it may result from different factors, e.g.
coordination gains, legal certainty, greater effectiveness or complementarities). For
the purposes of this point 'added value of Union involvement' is the value resulting
from Union intervention which is additional to the value that would have been
otherwise created by Member States alone.
Cybersecurity resilience across the Union cannot be effective if approached in a
disparate manner through national or regional silos. The NIS Directive came to
address this shortcoming, by setting a framework for network and information
systems security at national and Union levels. However, the first periodical review of
the NIS Directive pointed to a number of inherent flaws, which have eventually led
to considerable disparities across the Member States in terms of capabilities,
planning and level of protection, which affect at the same time the level playing field
for similar companies on the internal market.
The EU intervention going beyond the current measures of the NIS Directive is
justified mainly by: (i) the cross-border nature of the problem; (ii) the potential of
EU action to improve and facilitate effective national policies; (iii) the contribution
of concerted and collaborative NIS policy actions to effective protection of data
protection and privacy.
The stated objectives can hence be better achieved via EU level action, rather than by
the Member States alone.
40
As referred to in Article 58(2)(a) or (b) of the Financial Regulation.
EN 3 EN
1.4.3. Lessons learned from similar experiences in the past
The NIS Directive is the first horizontal internal market instrument aimed at
improving the resilience of networks and systems in the Union against cybersecurity
risks. It has already contributed greatly to raising the common level of cybersecurity
amongst the Member States. However, the review of the functioning and
implementation of the Directive have pointed to a number of shortcomings, which, in
addition to the growing digitalisation and need for more up-to-date response, have to
be addressed in a revised legal act.
1.4.4. Compatibility and possible synergy with other appropriate instruments
The new proposal is fully consistent and coherent with other related initiatives such
as the proposal for Regulation on Digital Operational Resilience for the financial
Sector (“DORA”) and the proposal for Directive on the resilience of critical
operators of essential services. It is also consistent with the European Electronic
Communication Code, the General Data Protection Regulation and the eIDAS
Regulation.
The proposal is an essential part of the EU Security Union Strategy.
EN 4 EN
1.5. Duration and financial impact
 limited duration
–  in effect from [DD/MM]YYYY to [DD/MM]YYYY
–  Financial impact from YYYY to YYYY for commitment appropriations and
from YYYY to YYYY for payment appropriations.
 unlimited duration
– Implementation with a start-up period from 2022 to 2025
– followed by full-scale operation.
1.6. Management mode(s) planned41
Direct management by the Commission
–  by its departments, including by its staff in the Union delegations;
– by the executive agencies
 Shared management with the Member States
 Indirect management by entrusting budget implementation tasks to:
–  third countries or the bodies they have designated;
–  international organisations and their agencies (to be specified);
– the EIB and the European Investment Fund;
– X bodies referred to in Articles 70 and 71 of the Financial Regulation;
–  public law bodies;
–  bodies governed by private law with a public service mission to the extent that
they provide adequate financial guarantees;
–  bodies governed by the private law of a Member State that are entrusted with
the implementation of a public-private partnership and that provide adequate
financial guarantees;
–  persons entrusted with the implementation of specific actions in the CFSP
pursuant to Title V of the TEU, and identified in the relevant basic act.
– If more than one management mode is indicated, please provide details in the ‘Comments’ section.
Comments
The European Union Agency for Cybersecurity, ENISA, which has been granted a new
permanent mandate by the Cybersecurity Act would assist the Member States and the
Commission in the implementation of the revised NIS Directive.
As a result of the revised NIS Directive, as of 2022/23, ENISA will have additional action
areas. While these action areas would be covered by ENISA’s general tasks according to its
mandate, they will result in additional workload for the agency. More precisely, in addition to
its current action areas, under the Commission proposal for a revised NIS Directive ENISA
will be required also to specifically incorporate into its work programme among others the
41
Details of management modes and references to the Financial Regulation may be found on the
BudgWeb site:
https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx
EN 5 EN
following actions: (i) to develop and maintain a European vulnerability registry (Article 6 (2)
of the proposal), (ii) to provide the secretariat of the European Cyber Crises Liaison
Organisation Network (CyCLONe), (Article 14 of the proposal) and to issue an annual report
on the state of cybersecurity in the EU (Article 15 of the proposal), (iii) to support the
organisation of peer reviews between Member States (Article 16 of the proposal), (iv) to
collect aggregated incident data from Member States and issue technical guidance (Article 20
(9) of the proposal), (v) to create and maintain a registry for entities providing cross-border
services (Article 25 of the proposal).
Therefore, a request for 5 supplementary FTEs will be made from 2022 with the
corresponding budget about €0,61M per year to cover these new posts (see separate Financial
Statement for agencies).
EN 6 EN
2. MANAGEMENT MEASURES
2.1. Monitoring and reporting rules
Specify frequency and conditions.
The Commission will periodically review the functioning of the Directive and report
to the European Parliament and the Council, the first time three years after the entry
into force.
The Commission will also assess the correct transposition of the Directive by the
Member States.
2.2. Management and control system(s)
2.2.1. Justification of the management mode(s), the funding implementation mechanism(s),
the payment modalities and the control strategy proposed
The unit within DG CNECT in charge of the policy field will manage the
implementation of the Directive.
2.2.2. Information concerning the risks identified and the internal control system(s) set up
to mitigate them
Very low risk, as the NIS Directive ecosystem is already in place.
2.2.3. Estimation and justification of the cost-effectiveness of the controls (ratio of "control
costs ÷ value of the related funds managed"), and assessment of the expected levels
of risk of error (at payment & at closure)
Not relevant. Only use of administrative budget (“Global envelope”).
2.3. Measures to prevent fraud and irregularities
Specify existing or envisaged prevention and protection measures, e.g. from the Anti-Fraud Strategy.
Not relevant. Only use of administrative budget (“Global envelope”).
EN 7 EN
3. ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE
3.1. Heading of the multiannual financial framework and new expenditure budget
line(s) proposed
Heading of
multiannual
financial
framework
Budget line
Type of
expenditure
Contribution
Number
[Heading…7……………………...…………]
Diff./Non-
diff.42
from
EFTA
countries43
from
candidate
countries44
from
third
countrie
s
within the
meaning of
Article [21(2)(b)]
of the Financial
Regulation
20 02 06 management
expenditures
20 02 06
Non diff
NO NO NO NO
42
Diff. = Differentiated appropriations / Non-diff. = Non-differentiated appropriations.
43
EFTA: European Free Trade Association.
44
Candidate countries and, where applicable, potential candidates from the Western Balkans.
EN 8 EN
3.2. Estimated impact on expenditure
3.2.1. Summary of estimated impact on expenditure
EUR million (to three decimal places)
Heading of multiannual financial
framework
<…> [Heading……………...……………………………………………………………]
2021 2022 2023 2024 2025 2026 2027
Post
2027
TOTAL
Operational appropriations (split according to
the budget lines listed under 3.1)
Commitments (1)
Payments (2)
Appropriations of an administrative nature
financed from the envelope of the programme45
Commitments =
Payments
(3)
TOTAL appropriations for the envelope
of the programme
Commitments =1+3
Payments =2+3
Heading of multiannual financial
framework
7
‘Administrative expenditure’
Meetings:Plenary meetings of the NIS Cooperation Group take place usually 4 times
a year. The Commission covers costs related to catering and travel expenses of
representatives of 27 Member States (one representative per MS). Costs of one
meeting could reach up to €15K.
Missions: Missions are releated to monitoring of the implementation of the NIS
Directive. Example: In one year (May 2019- July 2020) we were supposed to
organized so called 'NIS country visits' and visit all 27 MS in order to discuss
45
Technical and/or administrative assistance and expenditure in support of the implementation of EU programmes and/or actions (former ‘BA’ lines), indirect research,
direct research.
EN 9 EN
implementation of the NIS Directive across the EU.
This section should be filled in using the 'budget data of an administrative nature' to be firstly introduced in the Annex to the Legislative
Financial Statement , which is uploaded to DECIDE for interservice consultation purposes.
EN 10 EN
EUR million (to three decimal places)
2021 2022 2023 2024 2025 2026 2027
Post
2027
TOTAL
Human resources 1,14 1,14 1,14 1,14 1,14 1,14 1,14 7,98
Other administrative expenditure 0,09 0,09 0,09 0,09 0,09 0,09 0,09 0,63
TOTAL appropriations under HEADING
7 of the multiannual financial framework
(Total commitments =
Total payments)
1,23 1,23 1,23 1,23 1,23 1,23 1,23 8,61
EUR million (to three decimal places)
2021 2022 2023 2024 2025 2026 2027
Post
2027
TOTAL
TOTAL appropriations
across HEADINGS
of the multiannual financial framework
Commitments
Payments
EN 11 EN
3.2.2. Summary of estimated impact on appropriations of an administrative nature
–  The proposal/initiative does not require the use of appropriations of an
administrative nature
– X The proposal/initiative requires the use of appropriations of an
administrative nature, as explained below:
EUR million (to three decimal places)
Years 2021 2022 2023 2024 2025 2026 2027 TOTAL
HEADING 7
of the multiannual
financial framework
Human resources 1,14 1,14 1,14 1,14 1,14 1,14 1,14 7,98
Other administrative
expenditure
0,09 0,09 0,09 0,09 0,09 0,09 0,09 0,63
Subtotal HEADING 7
of the multiannual
financial framework
1,23 1,23 1,23 1,23 1,23 1,23 1,23 8,61
Outside HEADING 746
of the multiannual
financial framework
Human resources
Other expenditure
of an administrative
nature
Subtotal
outside HEADING 7
of the multiannual
financial framework
TOTAL 1,23 1,23 1,23 1,23 1,23 1,23 1,23 8,61
The appropriations required for human resources and other expenditure of an administrative nature will be met by
appropriations from the DG that are already assigned to management of the action and/or have been redeployed within the
DG, together if necessary with any additional allocation which may be granted to the managing DG under the annual
allocation procedure and in the light of budgetary constraints.
46
Technical and/or administrative assistance and expenditure in support of the implementation of
EU programmes and/or actions (former ‘BA’ lines), indirect research, direct research.
EN 12 EN
3.2.2.1. Estimated requirements of human resources
–  The proposal/initiative does not require the use of human resources.
– X The proposal/initiative requires the use of human resources, as
explained below:
Estimate to be expressed in full time equivalent units
Years 2021 2022 2023 2024 2025 2026 2027
 Establishment plan posts (officials and temporary staff)
Headquarters and Commission’s
Representation Offices
6 6 6 6 6 6 6
Delegations
Research
 External staff (in Full Time Equivalent unit: FTE) - AC, AL, END, INT and JED 47
Heading 7
Financed from
HEADING 7 of
the multiannual
financial
framework
- at Headquarters 3 3 3 3 3 3 3
- in Delegations
Financed from the
envelope of the
programme 48
- at Headquarters
- in Delegations
Research
Other (specify)
TOTAL 9 9 9 9 9 9 9
The human resources required will be met by staff from the DG who are already assigned to management of the
action and/or have been redeployed within the DG, together if necessary with any additional allocation which
may be granted to the managing DG under the annual allocation procedure and in the light of budgetary
constraints.
Description of tasks to be carried out:
Officials and temporary staff  Preparation of delegated acts according to Article 18 (6), Article 21 (2), Article
36;
 Preparation of implementing acts according to Article 12 (8), Article 18 (5),
Article 20 (11);
 Providing a Secretariat for the NIS Cooperation Group;
 Organization of the NIS Cooperation Group’s plenary meetings and work
stream meetings;
 Coordination of work of Member States on various documents (guidelines,
toolboxes, etc.);
 Liaison with other Commission services, ENISA and national authorities in
view of implementing the NIS Directive;
 Analysis of national methods and best practices related to the implementation of
the NIS Directive.
External staff Support to all above tasks as necessary
47
AC= Contract Staff; AL = Local Staff; END = Seconded National Expert; INT = agency staff;
JPD= Junior Professionals in Delegations.
48
Sub-ceiling for external staff covered by operational appropriations (former ‘BA’ lines).
EN 13 EN
3.2.3. Third-party contributions
The proposal/initiative:
– X does not provide for co-financing by third parties
–  provides for the co-financing by third parties estimated below:
Appropriations in EUR million (to three decimal places)
Years 2021 2022 2023 2024 2025 2026 2027 TOTAL
Specify the co-financing
body
TOTAL appropriations
co-financed
3.3. Estimated impact on revenue
– X The proposal/initiative has no financial impact on revenue.
–  The proposal/initiative has the following financial impact:
 on own resources
 on other revenue
please indicate, if the revenue is assigned to expenditure lines 
EUR million (to three decimal places)
Budget revenue line:
Impact of the proposal/initiative49
2021 2022 2023 2024 2025 2026 2027
Article ………….
For assigned revenue, specify the budget expenditure line(s) affected.
Other remarks (e.g. method/formula used for calculating the impact on revenue or any other
information).
49
As regards traditional own resources (customs duties, sugar levies), the amounts indicated must be net
amounts, i.e. gross amounts after deduction of 20 % for collection costs.
EN 1 EN
ANNEX
to the LEGISLATIVE FINANCIAL STATEMENT
Name of the proposal/initiative:
Proposal for a Directive revising Directive (EU) 2016/1148 of the European Parliament and of
the Council of 6 July 2016 concerning measures for a high common level of security of network
and information systems across the Union
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
1. NUMBER and COST of HUMAN RESOURCES CONSIDERED NECESSARY
2. COST of OTHER ADMINISTRATIVE EXPENDITURE
3. METHODS of CALCULATION USED for ESTIMATING COSTS
3.1 Human resources
3.2 Other administrative expenditure
This annex, to be completed by each DGs/Services participing to the proposal/initiative, must accompany the
legislative financial statement when the inter-services consultation is launched.
The data tables are used as a source for the tables contained in the legislative financial statement. They are strictly
for internal use within the Commission.
EN 2 E
1. Cost of human resources considered necessary
 The proposal/initiative does not require the use of human resources
X The proposal/initiative requires the use of human resources, as explained below:
EUR million (to three decimal places)
HEADING 7
of the multiannual
financial framework
2021 2022 2023 2024 2025 2026 2027 TOTAL
FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations
 Establishment plan posts (officials and temporary staff)
Headquarters and
Commission’s
Representation
Offices
AD 6 0.9 6 0.9 6 0.9 6 0.9 6 0.9 6 0.9 6 0.9 42 6,3
AST
in Union
Delegations
AD
AST
 External staff 500.24
Global envelope
AC 3 0.24 3 0.24 3 0.24 3 0.24 3 0.24 3 0.24 3 0.24 21 1.68
END
INT
in Union
Delegations
AC
AL
50
AC = Contract Staff; AL = Local Staff; END = Seconded National Expert; INT= agency staff; JPD= Junior Professionals in Delegations.
EN 3 E
END
INT
JPD
Other budget lines
(specify)
Subtotal –
HEADING 7
of the
multiannual
financial
framework
9 1.14 9 1.14 9 1.14 9 1.14 9 1.14 9 1.14 9 1.14 63 7.98
The human resources required will be met by staff from the DG who are already assigned to management of the action and/or have been redeployed within the DG, together if necessary with any additional
allocation which may be granted to the managing DG under the annual allocation procedure and in the light of budgetary constraints.
EN 4 E
Outside HEADING 7
of the multiannual financial
framework
2021 2022 2023 2024 2025 2025 2025 TOTAL
FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations FTE Appropriations
 Establishment plan posts (officials and temporary staff)
Research
AD
AST
 External staff 51
External staff
from
operational
appropriations
(former ‘BA’
lines).
- at
Headquarters
AC
END
INT
- in Union
delegations
AC
AL
END
INT
JPD
Research)
AC
END
INT
51
AC = Contract Staff; AL = Local Staff; END = Seconded National Expert; INT= agency staff; JPD= Junior Professionals in Delegations.
EN 5 E
Other budget lines (specify)
Subtotal – Outside
HEADING 7
of the multiannual financial
framework
The human resources required will be met by staff from the DG who are already assigned to management of the action and/or have been redeployed within the DG, together if necessary with
any additional allocation which may be granted to the managing DG under the annual allocation procedure and in the light of budgetary constraints.
EN 6 E
Estimated impact on ENISA’s human resources
The European Union Agency for Cybersecurity, ENISA, which has been granted a new permanent mandate by the Cybersecurity Act
would assist the Member States and the Commission in the implementation of the revised NIS Directive.
As a result of the revised NIS Directive, as of 2022/23, ENISA will have additional action areas. While these action areas would be
covered by ENISA’s general tasks according to its mandate, they will result in additional workload for the agency. More precisely, in
addition to its current action areas, under the Commission proposal for a revised NIS Directive ENISA will be required also to specifically
incorporate into its work programme among others the following actions: (i) to develop and maintain a European vulnerability registry
(Article 6 (2) of the proposal), (ii) to provide the secretariat of the European Cyber Crises Liaison Organisation Network (CyCLONe),
(Article 14 of the proposal) and to issue an annual report on the state of cybersecurity in the EU (Article 15 of the proposal), (iii) to
support the organisation of peer reviews between Member States (Article 16 of the proposal), (iv) to collect aggregated incident data from
Member States and issue technical guidance (Article 20 (9) of the proposal), (v) to create and maintain a registry for entities providing
cross-border services (Article 25 of the proposal).
Therefore, a request for 5 supplementary FTEs will be made from 2022 with the corresponding budget about €0,61M per year to cover
these new posts (see separate Financial Statement for agencies).
Therefore, a request for 5 supplementary FTEs will be made from 2022 with the corresponding budget to cover these new posts.
 The proposal/initiative does not require the use of appropriations of an administrative nature
X The proposal/initiative requires the use of appropriations of an administrative nature, as explained below:
EUR million (to three decimal places)
Year
N
52
2022
Year
N+1
2023
Year
N+2
2024
Year
N+3
2025
Enter as many years as necessary to
show the duration of the impact (see
point 1.6)
TOTAL
Temporary agents (AD
Grades)
0.450 0.450 0.450 0.450 0.450 0.450 2.7
52
Year N is the year in which implementation of the proposal/initiative starts. Please replace "N" by the expected first year of implementation (for instance: 2021). The
same for the following years.
EN 7 E
Temporary agents
(AST grades)
Contract staff 0.160 0.160 0.160 0.160 0.160 0.160
Seconded National
Experts
0.96
TOTAL 0.61 0.61 0.61 0.61 0.61 0.61 3.66
Staff requirements (FTE):
Year
N
53
2022
Year
N+1
2023
Year
N+2
2024
Year
N+3
2025
Enter as many years as necessary to
show the duration of the impact (see
point 1.6)
TOTAL
Temporary agents (AD
Grades)
3 3 3 3 3 3 18
Temporary agents
(AST grades)
Contract staff 2 2 2 2 2 2 12
Seconded National
Experts
53
Year N is the year in which implementation of the proposal/initiative starts. Please replace "N" by the expected first year of implementation (for instance: 2021). The
same for the following years.
EN 8 E
TOTAL 5 5 5 5 5 5 30
2. Cost of other administrative expenditure
 The proposal/initiative does not require the use of administrative appropriations
X The proposal/initiative requires the use of administrative appropriations, as explained below:
EUR million (to three decimal places)
HEADING 7
of the multiannual financial framework
2021 2022 2023 2024 2025 2026 2027 Total
At headquarters:
Mission and representation expenses 0.03 0.03 0.03 0.03 0.03 0.03 0.03 0.21
Conference and meeting costs 0.06 0.06 0.06 0.06 0.06 0.06 0.06 0.42
Committees54
Studies and consultations
Information and management systems
ICT equipment and services55
54
Specify the type of committee and the group to which it belongs.
55
ICT: Information and Communication Technologies: DIGIT must be consulted.
EN 9 E
Other budget lines (specify where necessary)
In Union delegations
Missions, conferences and representation expenses
Further training of staff
Acquisition, renting and related expenditure
Equipment, furniture, supplies and services
Subtotal HEADING 7
of the multiannual financial framework
0.09 0.09 0.09 0.09 0.09 0.09 0.09 0.63
EN 10 E
EUR million (to three decimal places)
Outside HEADING 7
of the multiannual financial framework
2021 2022 2023 2024 2025 2026 2027 Total
Expenditure on technical and administrative assistance
(not including external staff) from operational
appropriations (former 'BA' lines)
- at Headquarters
- in Union delegations
Other management expenditure for research
Other budget lines (specify where necessary)
Sub-total – Outside HEADING 7
of the multiannual financial framework
TOTAL
HEADING 7 and Outside HEADING 7
of the multiannual financial framework
1.23 1,23 1,23 1,23 1,23 1,23 1,23 8.61
The administrative appropriations required will be met by the appropriations which are already assigned to management of the action and/or which have been redeployed, together if
necessary with any additional allocation which may be granted to the managing DG under the annual allocation procedure and in the light of existing budgetary constraints.
EN 11 EN
3. Methods of calculation used to estimate costs
3.1 Human resources
This part sets out the method of calculation used to estimate the human resources considered necessary
(workload assumptions, including specific jobs (Sysper 2 work profiles), staff categories and the corresponding
average costs)
HEADING 7 of the multiannual financial framework
NB: The average costs for each category of staff at Headquarters are available on BudgWeb:
https://myintracomm.ec.europa.eu/budgweb/EN/pre/legalbasis/Pages/pre-040-020_preparation.aspx
 Officials and temporary staff
6 FTE officials (average cost 0.150) = 0.9 by year
- Preparation of delegated acts according to Article 18 (6), Article 21 (2),
Article 36;
- Preparation of implementing acts according to Article 12 (8), Article 18
(5), Article 20 (11);
- Providing a Secretariat for the NIS Cooperation Group;
- Organization of the NIS Cooperation Group’s plenary meetings and
work stream meetings;
- Coordination of work of Member States on various documents
(guidelines, toolboxes, etc.);
- Liaison with other Commission services, ENISA and national
authorities in view of implementing the NIS Directive;
- Analysis of national methods and best practices related to the
implementation of the NIS Directive.
 External staff
3 AC (average cost 0.08) = 0.24 by year
- Support to all above tasks as necessary
Outside HEADING 7 of the multiannual financial framework
 Only posts financed from the research budget
 External staff
3.2 Other administrative expenditure
Give details of the method of calculation used for each budget line
EN 12 EN
and in particular the underlying assumptions (e.g. number of meetings per year, average costs, etc.)
HEADING 7 of the multiannual financial framework
Meetings: Plenary meetings of the NIS Cooperation Group take place usually 4 times a year.
The Commission covers costs related to catering and travel expenses of representatives of 27
Member States (one representative per MS). Costs of one meeting could reach up to €15K,
which gives €60K per year.
Missions: Missions are releated to monitoring of the implementation of the NIS Directive.
Example: In one year (May 2019- July 2020) we were supposed to organized so called 'NIS
country visits' and visit all 27 MS in order to discuss
implementation of the NIS Directive across the EU.
Outside HEADING 7 of the multiannual financial framework
EN 13 EN
ANNEX 7
to the
COMMISSION DECISION
on the Internal Rules on the implementation of the general budget of the European Union
(European Commission section) for the attention of the Commission departments
LEGISLATIVE FINANCIAL STATEMENT 'AGENCIES'
This LFS covers the request to increase the staff of ENISA by 5 FTEs from 2022 to perform
supplementary activities linked to the implementation of the NIS Directive. These activities are
already covered by the ENISA mandate.
EN 14 EN
Contents
1. FRAMEWORK OF THE PROPOSAL/INITIATIVE............................................... 16
1.1. Title of the proposal/initiative.................................................................................... 16
1.2. Policy area(s) concerned ............................................................................................ 16
1.3. The proposal relates to ............................................................................................... 16
1.4. Objective(s)................................................................................................................ 16
1.4.1. General objective(s) ................................................................................................... 16
1.4.2. Specific objective(s)................................................................................................... 16
1.4.3. Expected result(s) and impact.................................................................................... 18
1.4.4. Indicators of performance .......................................................................................... 18
1.5. Grounds for the proposal/initiative ............................................................................ 19
1.5.1. Requirement(s) to be met in the short or long term including a detailed timeline for roll-out of
the implementation of the initiative ........................................................................... 19
1.5.2. Added value of Union involvement (it may result from different factors, e.g. coordination
gains, legal certainty, greater effectiveness or complementarities). For the purposes of this
point 'added value of Union involvement' is the value resulting from Union intervention which
is additional to the value that would have been otherwise created by Member States alone.
.................................................................................................................................... 19
1.5.3. Lessons learned from similar experiences in the past................................................ 20
1.5.4. Compatibility with the Multiannual Financial Framework and possible synergies with other
appropriate instruments.............................................................................................. 20
1.5.5. Assessment of the different available financing options, including scope for redeployment
.................................................................................................................................... 20
1.6. Duration and financial impact of the proposal/initiative ........................................... 21
1.7. Management mode(s) planned................................................................................... 21
2. MANAGEMENT MEASURES ................................................................................ 23
2.1. Monitoring and reporting rules .................................................................................. 23
2.2. Management and control system(s) ........................................................................... 23
2.2.1. Justification of the management mode(s), the funding implementation mechanism(s), the
payment modalities and the control strategy proposed.............................................. 23
2.2.2. Information concerning the risks identified and the internal control system(s) set up to mitigate
them............................................................................................................................ 23
2.2.3. Estimation and justification of the cost-effectiveness of the controls (ratio of "control costs ÷
value of the related funds managed"), and assessment of the expected levels of risk of error (at
payment & at closure)................................................................................................ 23
2.3. Measures to prevent fraud and irregularities.............................................................. 24
3. ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE............ 24
EN 15 EN
3.1. Heading(s) of the multiannual financial framework and expenditure budget line(s) affected
.................................................................................................................................... 24
3.2. Estimated impact on expenditure............................................................................... 26
3.2.1. Summary of estimated impact on expenditure........................................................... 26
3.2.2. Estimated impact on [body]'s appropriations............................................................. 28
3.2.3. Estimated impact on [body]'s human resources......................................................... 29
3.2.4. Compatibility with the current multiannual financial framework ............................. 32
3.2.5. Third-party contributions ........................................................................................... 32
3.3. Estimated impact on revenue ..................................................................................... 33
EN 16 EN
1. FRAMEWORK OF THE PROPOSAL/INITIATIVE
1.1. Title of the proposal/initiative
Proposal for a Directive concerning measures for a high common level of cybersecurity across
the Union, repealing Directive (EU) 2016/1148
1.2. Policy area(s) concerned
Communications Networks, Content and Technology
1.3. The proposal relates to
 a new action
 a new action following a pilot project/preparatory action56
 the extension of an existing action
 a merger of one or more actions towards another/a new action
1.4. Objective(s)
1.4.1. General objective(s)
The revision’s objective is to increase the level of cyber resilience of a comprehensive set of
businesses operating in the European Union across all relevant sectors, to reduce
inconsistencies in the resilience across the internal market in the sectors already covered by
the Directive and to improve the level of joint situational awareness and the collective
capability to prepare and respond.
1.4.2. Specific objective(s)
In order to address the problem of low level of cyber resilience of businesses operating in the
European Union, the specific objective is to ensure that entities in all sectors that are
dependent on network and information systems and that provide key services to the economy
and society as a whole are required to take cybersecurity measures and report incidents with a
view to increasing the overall level of cyber resilience throughout the internal market.
In order to address the problem of inconsistent resilience across Member States and sectors,
the specific objective is to ensure that all entities that are active in sectors covered by the NIS
legal framework and that are similar in size and have a comparable role are subject to the same
regulatory regime (are either inside or outside the scope) no matter under which jurisdiction
they fall within the EU.
In order to ensure that all entities that are active in sectors covered by the NIS legal framework
are required to follow the same obligations based on the concept of risk management when it
comes to security measures and must report all incidents based on a uniform set of criteria, the
specific objectives are to ensure that competent authorities enforce the rules laid down by the
legal instrument more effectively through aligned supervisory and enforcement measures and
to ensure a comparable level of resources across Member States allocated to competent
authorities that would allow them to fulfil the core tasks laid out by the NIS framework.
56
As referred to in Article 58(2)(a) or (b) of the Financial Regulation.
EN 17 EN
In order to address the problem of joint situational awareness and lack of joint crisis response,
the specific objective is to ensure that essential information is exchanged between Member
States by introducing clear obligations for competent authorities to share information and
cooperate when it comes to cyber threats and incidents and by developing a Union joint
operational crisis response capacity.
EN 18 EN
1.4.3. Expected result(s) and impact
Specify the effects which the proposal/initiative should have on the beneficiaries/groups targeted.
The proposal is expected to bring significant benefits: estimates indicate that it may lead to a
reduction in cost of cybersecurity incidents by EUR 11.3 billion. The sectorial scope would be
considerably enlarged under the NIS framework, but next to the above benefits, the burden
that may be created by the NIS requirements, notably from the supervision perspective, would
also be balanced for both the new entities to be covered and the competent authorities. This is
because the new NIS framework would establish a two layer approach, with a focus on big
and key entities and a differentiation of supervisory regime that allows only ex post
supervision for a large number thereof, notably those considered ‘important’ yet not
‘essential’.
Overall, the proposal would lead to efficient trade-offs and synergies, with the best potential
out of all policy options analysed to ensure an increased and consistent level of cyber
resilience of key entities across the Union that would eventually lead to cost savings for both
businesses and society.
The proposal would also lead to certain compliance and enforcement costs for the relevant
Member States authorities (an overall increase of about 20-30% of resources was estimated).
However, the new framework would also bring substantial benefits through a better overview
of and interaction with key businesses, enhanced cross-border operational cooperation, as well
as mutual assistance and peer-review mechanisms. This would lead to an overall increase in
cybersecurity capabilities across Member States.
For the companies that would fall under the scope of the NIS framework, it is estimated that
they would need an increase of maximum 22% of their current ICT security spending for the
first years following the introduction of the new NIS framework (this would be 12% for
companies already under the scope of the current NIS Directive). However, this average
increase of ICT security spending would lead to a proportionate benefit of such investments,
notably due to a considerable reduction in cost of cybersecurity incidents (estimated to EUR
118 billion over ten years).
Small- and micro-businesses would be exempted from the scope of the NIS framework. For
medium-sized enterprises, it can be expected that there would be an increase in the level of
ICT security spending in the first years following the introduction of the new NIS framework.
At the same time, raising the level of security requirements for these entities would also
incentivise their cybersecurity capabilities and help improve their ICT risk management.
There would be an impact on national budgets and administrations: an estimated increase of
approximately 20-30% of resources would be expected in the short and medium term.
No other significant negative impacts are expected. The proposal is expected to lead to more
robust cybersecurity capabilities and consequently would have a more substantial mitigating
impact on the number and severity of incidents, including data breaches. It is also likely to
have a positive impact on ensuring a level playing field across Member States of all entities
covered under the NIS scope and reduce cybersecurity information asymmetries.
1.4.4. Indicators of performance
Specify the indicators for monitoring progress and achievements.
The assessment of indicators will be conducted by the Commission, with the support of
ENISA and the Cooperation Group, starting three years following the entry into force of the
EN 19 EN
new NIS legal act. Some of the monitoring indicators based on which the success of the NIS
review would be assessed are as follows:
• Improved handling of incidents: By taking cybersecurity measures, companies are not
only improving their ability to avoid certain incidents entirely, but also their incident response
capacity. Measures of success are therefore i) the reduction of average time it takes to detect
an incident, ii) the time it takes organisations on average to recover from an incident and iii)
the average cost of a damage caused by an incident.
• Increased awareness of cybersecurity risks by the top management of companies: By
requiring companies to take measures, a revised NIS Directive would contribute to raising
awareness of cybersecurity related risks amongst the top management. This can be measured
by studying to which extent companies under the NIS scope are prioritising cybersecurity in
internal company policies and processes as evidenced by internal documentation, relevant
training programmes and awareness activities for the employees and prioritising security-
related ICT investment. The management of all essential and important entities should also be
aware of the rules laid down by the NIS Directive.
• Levelling sector-specific spending: ICT security spending varies considerably between
sectors in the EU. By requiring companies in more sectors to take measures, deviations from
the average sector-specific ICT security spending as a percentage of overall ICT spending
should diminish between sectors and across Member States.
• Stronger competent authorities and increased cooperation: A revised NIS Directive
would potentially confer additional tasks on competent authorities. This would have a
measurable impact on the financial and human resources dedicated to cybersecurity agencies
at national level and should also have a positive impact on the capacity of competent
authorities to proactively cooperate and therefore increase the number of cases where
competent authorities are engaging with each other for the purpose of dealing with cross-
border incidents or carrying out joint supervisory activities.
• Increased information sharing: The revised NIS would also improve information sharing
among companies and with competent authorities. One of the targets of the review could be to
increase the number of entities participating in the various forms of information sharing.
1.5. Grounds for the proposal/initiative
1.5.1. Requirement(s) to be met in the short or long term including a detailed timeline for roll-out of
the implementation of the initiative
The proposal aims to increase the level of cyber resilience of a comprehensive set of
businesses operating in the European Union across all relevant sectors, to reduce
inconsistencies in the resilience across the internal market in the sectors already covered by
the Directive and to improve the level of joint situational awareness and the collective
capability to prepare and respond. It will build on what has been achieved with the
implementation of Directive (EU) 2016/1148 for the past 4 years.
1.5.2. Added value of Union involvement (it may result from different factors, e.g. coordination
gains, legal certainty, greater effectiveness or complementarities). For the purposes of this
point 'added value of Union involvement' is the value resulting from Union intervention which
is additional to the value that would have been otherwise created by Member States alone.
Cybersecurity resilience across the Union cannot be effective if approached in a disparate
manner through national or regional silos. The NIS Directive came to address this
EN 20 EN
shortcoming, by setting a framework for network and information systems security at national
and Union levels. However, the first periodical review of the NIS Directive pointed to a
number of inherent flaws, which have eventually led to considerable disparities across the
Member States in terms of capabilities, planning and level of protection, which affect at the
same time the level playing field for similar companies on the internal market.
The EU intervention going beyond the current measures of the NIS Directive is justified
mainly by: (i) the cross-border nature of the problem; (ii) the potential of EU action to
improve and facilitate effective national policies; (iii) the contribution of concerted and
collaborative NIS policy actions to effective protection of data protection and privacy.
The stated objectives can hence be better achieved via EU level action, rather than by the
Member States alone.
1.5.3. Lessons learned from similar experiences in the past
The NIS Directive is the first horizontal internal market instrument aimed at improving the
resilience of networks and systems in the Union against cybersecurity risks. Since its entry
into force in 2016, it has already contributed greatly to raising the common level of
cybersecurity amongst the Member States. However, the review of the functioning and
implementation of the Directive have pointed to a number of shortcomings, which, in addition
to the growing digitalisation and need for more up-to-date response, have to be addressed in a
revised legal act.
1.5.4. Compatibility with the Multiannual Financial Framework and possible synergies with other
appropriate instruments
The new proposal is fully consistent and coherent with other related initiatives such as the
proposal for Regulation on Digital Operational Resilience for the financial Sector (“DORA”)
and the proposal for Directive on the resilience of critical operators of essential services. It is
also consistent with the European Electronic Communication Code, the General Data
Protection Regulation and the eIDAS Regulation.
The proposal is an essential part of the EU Security Union Strategy.
1.5.5. Assessment of the different available financing options, including scope for redeployment
The management of these tasks by ENISA necessitates specific profiles and supplementary
workload which cannot be absorbed without any increase of human resources.
EN 21 EN
1.6. Duration and financial impact of the proposal/initiative
 limited duration
–  Proposal/initiative in effect from [DD/MM]YYYY to [DD/MM]YYYY
–  Financial impact from YYYY to YYYY
 unlimited duration
– Implementation with a start-up period from 2022 to 2025,
– followed by full-scale operation.
1.7. Management mode(s) planned57
 Direct management by the Commission
through
–  executive agencies
 Shared management with the Member States
X Indirect management by entrusting budget implementation tasks to:
 international organisations and their agencies (to be specified);
the EIB and the European Investment Fund;
 bodies referred to in Articles 70 and 71;
 public law bodies;
 bodies governed by private law with a public service mission to the extent that they provide
adequate financial guarantees;
 bodies governed by the private law of a Member State that are entrusted with the
implementation of a public-private partnership and that provide adequate financial guarantees;
 persons entrusted with the implementation of specific actions in the CFSP pursuant to
Title V of the TEU, and identified in the relevant basic act.
Comments
The European Union Agency for Cybersecurity, ENISA, which has been granted a new permanent
mandate by the Cybersecurity Act would assist the Member States and the Commission in the
implementation of the revised NIS Directive.
As a result of the revised NIS Directive, as of 2022/23, ENISA will have additional action areas. While
these action areas would be covered by ENISA’s general tasks according to its mandate, they will
result in additional workload for the agency. More precisely, in addition to its current action areas,
under the Commission proposal for a revised NIS Directive ENISA will be required also to specifically
incorporate into its work programme among others the following actions: (i) to develop and maintain a
European vulnerability registry (Article 6 (2) of the proposal), (ii) to provide the secretariat of the
European Cyber Crises Liaison Organisation Network (CyCLONe), (Article 14 of the proposal) and to
issue an annual report on the state of cybersecurity in the EU (Article 15 of the proposal), (iii) to
57
Details of management modes and references to the Financial Regulation may be found on the BudgWeb site:
https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx.
EN 22 EN
support the organisation of peer reviews between Member States (Article 16 of the proposal), (iv) to
collect aggregated incident data from Member States and issue technical guidance (Article 20 (9) of the
proposal), (v) to create and maintain a registry for entities providing cross-border services (Article 25
of the proposal).
Therefore, a request for 5 supplementary FTEs will be made from 2022 with the corresponding budget
about €0,61M per year to cover these new posts.
EN 23 EN
2. MANAGEMENT MEASURES
2.1. Monitoring and reporting rules
Specify frequency and conditions.
The Commission will periodically review the functioning of the Directive and report to the
European Parliament and the Council, the first time three years after the entry into force.
The Commission will also assess the correct transposition of the Directive by the Member
States.
The monitoring and reporting of the proposal will follow the principles outlined in ENISA’s
permanent mandate under REGULATION (EU) 2019/881 (Cybersecurity Act).
The data sources used for the planned monitoring would mostly be from ENISA, the
Cooperation Group, the CSIRTs Network and the Member States' authorities. Besides the data
gathered from the reports (including the annual activity reports) of ENISA, the Cooperation
Group and the CSIRTs Network, specific data gathering tools could be used when needed (for
example surveys to national authorities, Eurobarometer and reports from Cybersecurity Month
campaign and the pan-European exercises).
2.2. Management and control system(s)
2.2.1. Justification of the management mode(s), the funding implementation mechanism(s), the
payment modalities and the control strategy proposed
The unit within DG CNECT in charge of the policy field will manage the implementation of
the Directive.
As regards ENISA’s management, Article 15 of the Cybersecurity Act provides a detailed list
of the control functions of ENISA’s Management Board.
Under Article 31 of the Cybersecurity Act, ENISA’s Executive Director is responsible for the
implementation of ENISA’s budget and the Commission’s internal auditor exercises the same
powers over ENISA as over the Commission departments. ENISA’s Management Board
delivers an opinion on ENISA’s final accounts.
2.2.2. Information concerning the risks identified and the internal control system(s) set up to
mitigate them
Very low risk, as the NIS Directive ecosystem is already in place, and already covers ENISA,
which has a permanent mandate following the entry into force of the Cybersecurity Act in
2019.
2.2.3. Estimation and justification of the cost-effectiveness of the controls (ratio of "control costs ÷
value of the related funds managed"), and assessment of the expected levels of risk of error (at
payment & at closure)
The requested budgetary increase applies Title 1 and is intended to finance salaries. This means a very
low risk of error at payment level.
EN 24 EN
2.3. Measures to prevent fraud and irregularities
Specify existing or envisaged prevention and protection measures, e.g. from the Anti-Fraud Strategy.
The ENISA’s prevention and protection measures would apply, specifically:
- Payments for any service or studies requested are checked by the agency’s staff prior to
payment, taking into account any contractual obligations, economic principles and good
financial or management practice. Anti-fraud provisions (supervision, reporting requirements,
etc.) will be included in all agreements and contracts concluded between the agency and
recipients of any payments.
- In order to combat fraud, corruption and other unlawful activities the provisions of
Regulation (EU, Euratom) No 883/2013 of the European Parliament and of the Council of
25 May 1999 concerning investigations conducted by the European Anti-fraud Office (OLAF)
shall apply without restriction.
- Under Article 33 of the CSA, by 28 December 2019 ENISA acceded to the Inter-institutional
Agreement of 25 May 1999 between the European Parliament and the Council of the
European Union and the Commission of the European Communities concerning internal
investigations by the European Anti-fraud Office (OLAF). ENISA shall issue, without delay,
the appropriate provisions applicable to all the employees of the agency.
3. ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE
3.1. Heading(s) of the multiannual financial framework and expenditure budget line(s)
affected
 Existing budget lines
In order of multiannual financial framework headings and budget lines.
Heading of
multiannual
financial
framework
Budget line
Type of
expenditure
Contribution
Number Diff./Non-
diff.58
from
EFTA
countries
59
from
candidate
countries60
from third
countries
within the meaning
of Article 21(2)(b)
of the Financial
Regulation
2
02 10 04
./Non-diff. YES NO NO /NO
 New budget lines requested
In order of multiannual financial framework headings and budget lines.
Heading of
multiannual
Budget line
Type of
expenditure
Contribution
58
Diff. = Differentiated appropriations / Non-diff. = Non-differentiated appropriations.
59
EFTA: European Free Trade Association.
60
Candidate countries and, where applicable, potential candidates from the Western Balkans.
EN 25 EN
financial
framework Number Diff./non-
diff.
from
EFTA
countries
from
candidate
countries
from third
countries
within the meaning
of Article 21(2)(b)
of the Financial
Regulation
[XX.YY.YY.YY]
YES/NO YES/NO YES/NO YES/NO
EN 26 E
3.2. Estimated impact on expenditure
3.2.1. Summary of estimated impact on expenditure
EUR million (to three decimal places)
Heading of multiannual financial
framework
Number
[Headin…2 Single Market, Innovation and
Digital…………...………………………………………………………]
[Body]: <…ENISA….>
Year
N61
2022
Year
N+1
2023
Year
N+2
2024
Year
N+3
2025
Enter as many years as
necessary to show the duration
of the impact (see point 1.6)
2026 2027
TOTAL
Title 1:
Commitments (1) 0.61 0.61 0.61 0.61 0.61 0.61 3.66
Payments (2) 0.61 0.61 0.61 0.61 0.61 0.61 3.66
Title 2:
Commitments (1a)
Payments (2a)
Title 3: Commitments (3a)
Payments (3b)
TOTAL appropriations
for [body] <ENISA…….>
Commitments
=1+1a
+3a 0.61 0.61 O.61 0.61 0.61 0.61 3.66
Payments
=2+2a
+3b
0.61 0.61 0.61 0.61 0.61 0.61 3.66
61
Year N is the year in which implementation of the proposal/initiative starts. Please replace "N" by the expected first year of implementation (for instance: 2021). The
same for the following years.
EN 27 E
Heading of multiannual financial
framework
5 ‘Administrative expenditure’
EUR million (to three decimal places)
Year
N
Year
N+1
Year
N+2
Year
N+3
Enter as many years as
necessary to show the duration
of the impact (see point 1.6)
TOTAL
DG: <…….>
 Human Resources
 Other administrative expenditure
TOTAL DG <…….> Appropriations
TOTAL appropriations
under HEADING 5
of the multiannual financial framework
(Total commitments =
Total payments)
EUR million (to three decimal places)
Year
N62
2022
Year
N+1
2023
Year
N+2
2024
Year
N+3
2025
Enter as many years as
necessary to show the duration
of the impact (see point 1.6)
2026 2027
TOTAL
TOTAL appropriations
under HEADINGS 1 to 5
of the multiannual financial framework
Commitments 0.61 0.61 0.61 0.61 0.61 0.61 3.66
Payments 0.61 0.61 0.61 0.61 0.61 0.61 3.66
62
Year N is the year in which implementation of the proposal/initiative starts. Please replace "N" by the expected first year of implementation (for instance: 2021). The
same for the following years.
EN 28 EN
3.2.2. Estimated impact on [body]'s appropriations
– x The proposal/initiative does not require the use of operational appropriations
–  The proposal/initiative requires the use of operational appropriations, as explained below:
Commitment appropriations in EUR million (to three decimal places)
Indicate
objectives and
outputs

Year
N
Year
N+1
Year
N+2
Year
N+3
Enter as many years as necessary to show the
duration of the impact (see point 1.6)
TOTAL
OUTPUTS
Type63
Avera
ge
cost
No
Cost
No
Cost
No
Cost
No
Cost
No
Cost
No
Cost
No
Cost
Total
No
Total
cost
SPECIFIC OBJECTIVE No 164
…
- Output
- Output
- Output
Subtotal for specific objective No 1
SPECIFIC OBJECTIVE No 2 ...
- Output
Subtotal for specific objective No 2
TOTAL COST
63
Outputs are products and services to be supplied (e.g.: number of student exchanges financed, number of km of roads built, etc.).
64
As described in point 1.4.2. ‘Specific objective(s)…’
EN 29 EN
3.2.3. Estimated impact on ENISA’s human resources
3.2.3.1. Summary
As a result of the revised NIS Directive, as of 2022/23, ENISA will have additional
tasks. While these tasks would be covered by ENISA’s mandate, they will result in
additional workload for the agency. More precisely, in addition to its current tasks,
under the Commission proposal for a revised NIS Directive ENISA will be tasked
among others (i) to develop and maintain a European vulnerability registry (Article 6
(2)), (ii) to provide the secretariat of the European Cyber Crises Liaison Organisation
Network (CyCLONe), (Article 14) and to issue an annual report on the state of
cybersecurity in the EU (Article 15), (iii) to support the organisation of peer reviews
between Member States (Article 16), (iv) to collect aggregated incident data from
Member States and issue technical guidance (Article 20 (9)), (v) to create and
maintain a registry for entities providing cross-border services (Article 25).
Therefore, a request for 5 supplementary FTEs will be made from 2022 with the
corresponding budget to cover these new posts.
–  The proposal/initiative does not require the use of appropriations of an
administrative nature
– X The proposal/initiative requires the use of appropriations of an
administrative nature, as explained below:
EUR million (to three decimal places)
Year
N 65
2022
Year
N+1
2023
Year
N+2
2024
Year
N+3
2025
Enter as many years as necessary to
show the duration of the impact (see
point 1.6)
2026 2027
TOTAL
Temporary agents (AD
Grades)
0.450 0.450 0.450 0.450 0.450 0.450 2.7
Temporary agents
(AST grades)
Contract staff 0.160 0.160 0.160 0.160 0.160 0.160 0.96
Seconded National
Experts
TOTAL 0.61 0.61 0.61 0.61 0.61 0.61 3.66
Staff requirements (FTE):
65
Year N is the year in which implementation of the proposal/initiative starts. Please replace "N" by the
expected first year of implementation (for instance: 2021). The same for the following years.
EN 30 EN
Year
N 66
2022
Year
N+1
2023
Year
N+2
2024
Year
N+3
2025
Enter as many years as necessary to
show the duration of the impact (see
point 1.6)
2026 2027
TOTAL
Temporary agents (AD
Grades)
3 3 3 3 3 3 18
Temporary agents
(AST grades)
Contract staff 2 2 2 2 2 2 12
Seconded National
Experts
TOTAL 5 5 5 5 5 5 30
3.2.3.2. Estimated requirements of human resources for the parent DG
–  The proposal/initiative does not require the use of human resources.
–  The proposal/initiative requires the use of human resources, as explained
below:
Estimate to be expressed in full amounts (or at most to one decimal place)
Year
N
Year
N+1
Year
N+2
Year
N+3
Enter as many years as
necessary to show the
duration of the impact (see
point 1.6)
Establishment plan posts (officials and
temporary staff)
XX 01 01 01 (Headquarters and
Commission’s Representation
Offices)
XX 01 01 02 (Delegations)
XX 01 05 01 (Indirect research)
10 01 05 01 (Direct research)
 External staff (in Full Time Equivalent
unit: FTE)67
66
Year N is the year in which implementation of the proposal/initiative starts. Please replace "N" by the
expected first year of implementation (for instance: 2021). The same for the following years.
EN 31 EN
XX 01 02 01 (AC, END, INT from
the ‘global envelope’)
XX 01 02 02 (AC, AL, END, INT
and JPD in the Delegations)
XX 01 04
yy68
- at
Headquarters69
- in
Delegations
XX 01 05 02 (AC, END, INT –
Indirect research)
10 01 05 02 (AC, END, INT –
Direct research)
Other budget lines (specify)
TOTAL
XX is the policy area or budget title concerned.
The human resources required will be met by staff from the DG who are already assigned to
management of the action and/or have been redeployed within the DG, together if necessary
with any additional allocation which may be granted to the managing DG under the annual
allocation procedure and in the light of budgetary constraints.
Description of tasks to be carried out:
Officials and temporary staff
External staff
Description of the calculation of cost for FTE units should be included in the Annex V,
section 3.
67
AC = Contract Staff; AL = Local Staff; END = Seconded National Expert; INT = agency staff; JPD =
Junior Professionals in Delegations .
68
Sub-ceiling for external staff covered by operational appropriations (former ‘BA’ lines).
69
Mainly for the Structural Funds, the European Agricultural Fund for Rural Development (EAFRD) and
the European Fisheries Fund (EFF).
EN 32 EN
3.2.4. Compatibility with the current multiannual financial framework
– X The proposal/initiative is compatible the current multiannual financial
framework.
–  The proposal/initiative will entail reprogramming of the relevant heading in the
multiannual financial framework.
Explain what reprogramming is required, specifying the budget lines concerned and the corresponding
amounts.
The proposal is compatible with the 21/27 MFF.
The offsetting of the budget requested to cover the increase of HR resources in ENISA will be done
by reducing by the same amount the budget of the Digital Europe Programme (DEP) in the same
Heading.
–  The proposal/initiative requires application of the flexibility instrument or
revision of the multiannual financial framework70
.
Explain what is required, specifying the headings and budget lines concerned and the corresponding
amounts.
3.2.5. Third-party contributions
– The proposal/initiative does not provide for co-financing by third parties.
– The proposal/initiative provides for the co-financing estimated below:
EUR million (to three decimal places)
Year
N
Year
N+1
Year
N+2
Year
N+3
Enter as many years as necessary
to show the duration of the
impact (see point 1.6)
Total
Specify the co-financing
body
TOTAL appropriations
co-financed
70
See Articles 11 and 17 of Council Regulation (EU, Euratom) No 1311/2013 laying down the
multiannual financial framework for the years 2014-2020.
EN 33 EN
3.3. Estimated impact on revenue
–  The proposal/initiative has no financial impact on revenue.
–  The proposal/initiative has the following financial impact:
 on own resources
 on other revenue
 please indicate, if the revenue is assigned to expenditure lines
EUR million (to three decimal places)
Budget revenue line:
Appropriation
s available for
the current
financial year
Impact of the proposal/initiative71
Year
N
Year
N+1
Year
N+2
Year
N+3
Enter as many years as necessary to show
the duration of the impact (see point 1.6)
Article ………….
For miscellaneous ‘assigned’ revenue, specify the budget expenditure line(s) affected.
Specify the method for calculating the impact on revenue.
71
As regards traditional own resources (customs duties, sugar levies), the amounts indicated must be net
amounts, i.e. gross amounts after deduction of 20 % for collection costs.


EN EN
EUROPEAN
COMMISSION
Brussels, 16.12.2020
COM(2020) 823 final
ANNEXES 1 to 3
ANNEXES
to the
Proposal for a
DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
on measures for a high common level of cybersecurity across the Union, repealing
Directive 2016/1148
{SEC(2020) 430 final} - {SWD(2020) 344 final} - {SWD(2020) 345 final}
Europaudvalget 2020
KOM (2020) 0823
Offentligt
1
ANNEX I
ESSENTIAL ENTITIES:
SECTORS, SUBSECTORS AND TYPES OF ENTITIES
Sector Subsector Type of entity
1. Energy (a) Electricity — Electricity undertakings referred to
in point (57) of Article 2 of
Directive (EU) 2019/944, which
carry out the function of ‘supply’
referred to in point (12) of Article 2
of that Directive (1
)
— Distribution system operators
referred to in point (29) of Article 2
of Directive (EU) 2019/944
— Transmission system operators
referred to in point (35) of Article 2
of Directive (EU) 2019/944
— Producers referred to in point (38)
of Article 2 of Directive (EU)
2019/944
 Nominated electricity market
operators referred to in point 8 of
Article 2 of Regulation (EU)
2019/943 (2
)
— Electricity market participants
referred to in point (25) of Article 2
of Regulation (EU) 2019/943
providing aggregation, demand
response or energy storage services
referred to in points (18), (20) and
(59) of Article 2 of Directive (EU)
1
Directive (EU) 2019/944 of the European Parliament and of the Council of 5 June 2019 on common rules for
the internal market for electricity and amending Directive 2012/27/EU (OJ L 158, 14.6.2019, p.125).
2
Regulation (EU) 2019/943 of the European Parliament and of the Council on the internal market for electricity
(OJ L 158, 14.6.2019, p. 54).
2
2019/944
(b) District heating and
cooling
— District heating or district cooling
referred to in point (19) of Article 2
of the Directive (EU) 2018/2001 (3
)
on the promotion of the use of
energy from renewable sources
(c) Oil — Operators of oil transmission
pipelines
— Operators of oil production, refining
and treatment facilities, storage and
transmission
 Central oil stockholding entities
referred to in point (f) of Article 2 of
Council Directive 2009/119/EC (4
)
(d) Gas — Supply undertakings referred to in
point (8) of Article 2 of Directive
(EU) 2009/73/EC (5
)
— Distribution system operators
referred to in point (6) of Article 2
of Directive 2009/73/EC
— Transmission system operators
referred to point (4) of Article 2 of
Directive 2009/73/EC
— Storage system operators referred to
in point (10) of Article 2 of
Directive 2009/73/EC
— LNG system operators referred to in
point (12) of Article 2 of Directive
2009/73/EC
3
Directive (EU) 2018/2001 of the European Parliament and of the Council of 11 December 2018 on the
promotion of the use of energy from renewable sources (OJ L 328, 21.12.2018, p. 82).
4
Council Directive 2009/119/EC of 14 September 2009 imposing an obligation on Member States to maintain
minimum stocks of crude oil and/or petroleum products (OJ L 265, 9.10.2009, p.9).
5
Directive 2009/73/EC of the European Parliament and of the Council of 13 July 2009 concerning common
rules for the internal market in natural gas and repealing Directive 2003/55/EC (OJ L 211, 14.8.2009, p. 94).
3
— Natural gas undertakings as defined
in point (1) of Article 2 of Directive
2009/73/EC
— Operators of natural gas refining
and treatment facilities
(e) Hydrogen Operators of hydrogen production,
storage and transmission
2. Transport (a) Air — Air carriers referred to in point (4)
of Article 3 of Regulation (EC) No
300/2008 (6
)
— Airport managing bodies referred to
in point (2) of Article 2 of Directive
2009/12/EC(7
), airports referred to
in point (1) of Article 2 of that
Directive, including the core
airports listed in Section 2 of Annex
II to Regulation (EU) No 1315/2013
(8
), and entities operating ancillary
installations contained within
airports
— Traffic management control
operators providing air traffic
control (ATC) services referred to in
point (1) of Article 2 of Regulation
(EC) No 549/2004 (9
)
6
Regulation (EC) No 300/2008 of the European Parliament and of the Council of 11 March 2008 on common
rules in the field of civil aviation security and repealing Regulation (EC) No 2320/2002 (OJ L 97, 9.4.2008,
p.72).
7
Directive 2009/12/EC of the European Parliament and of the Council of 11 March 2009 on airport charges (OJ
L 70, 14.3.2009, p.11).
8
Regulation (EC) No 1315/2013 of the European Parliament and of the Council of 11 December 2013 on Union
guidelines for the development of the trans-European transport network and repealing Decision No
661/2010/EU (OJ L 348, 20.12.2013, p.1).
9
Regulation (EC) No 549/2004 of the European Parliament and of the Council of 10 March 2004 laying down
the framework for the creation of the single European sky (the framework Regulation) (OJ L 96, 31.3.2004,
p.1).
4
(b) Rail — Infrastructure managers referred to
in point (2) of Article 3 of Directive
2012/34/EU(10
)
— Railway undertakings referred to in
point (1) of Article 3 of Directive
2012/34/EU, including operators of
service facilities referred to in point
(12) of Article 3 of Directive
2012/34/EU
(c) Water — Inland, sea and coastal passenger
and freight water transport
companies, referred to for maritime
transport in Annex I to Regulation
(EC) No 725/2004 (11
), not
including the individual vessels
operated by those companies
— Managing bodies of ports referred to
in point (1) of Article 3 of Directive
2005/65/EC (12
), including their port
facilities referred to in point (11) of
Article 2 of Regulation (EC) No
725/2004, and entities operating
works and equipment contained
within ports
— Operators of vessel traffic services
referred to in point (o) of Article 3
of Directive 2002/59/EC (13
)
(d) Road — Road authorities referred to in point
(12) of Article 2 of Commission
10
Directive 2012/34/EU of the European Parliament and of the Council of 21 November 2012 establishing a
single European railway area (OJ L 343, 14.12.2012, p.32).
11
Regulation (EC) No 725/2004 of the European Parliament and of the Council of 31 March 2004 on enhancing
ship and port facility security (OJ L 129, 29.4.2004, p.6).
12
Directive 2005/65/EC of the European Parliament and of the Council of 26 October 2005 on enhancing port
security (OJ L 310, 25.11.2005, p. 28).
13
Directive 2002/59/EC of the European Parliament and of the Council of 27 June 2002 establishing a
Community vessel traffic monitoring and information system and repealing Council Directive 93/75/EEC
(OJ L 208, 5.8.2002, p.10)
5
Delegated Regulation (EU)
2015/962 (14
) responsible for traffic
management control
— Operators of Intelligent Transport
Systems referred to in point (1) of
Article 4 of Directive 2010/40/EU
(15
)
3. Banking Credit institutions referred to in point
(1) of Article 4 of Regulation (EU) No
575/2013 (16
)
4. Financial market
infrastructures
— Operators of trading venues referred
to in point (24) of Article 4 of
Directive 2014/65/EU (17
)
— Central counterparties (CCPs)
referred to in point (1) of Article 2
of Regulation (EU) No 648/2012
(18
)
5. Health  Healthcare providers referred to in
point (g) of Article 3 of Directive
2011/24/EU (19
)
14
Commission Delegated Regulation (EU) 2015/962 of 18 December 2014 supplementing Directive
2010/40/EU of the European Parliament and of the Council with regard to the provision of EU–wide real–
time traffic information services (OJ L 157, 23.6.2015, p. 21).
15
Directive 2010/40/EU of the European Parliament and of the Council of 7 July 2010 on the framework for the
deployment of Intelligent Transport Systems in the field of road transport and for interfaces with other modes
of transport (OJ L 207, 6.8.2010, p. 1).
16
Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential
requirements for credit institutions and investment firms and amending Regulation (EU) No 648/2012 (OJ L
176, 27.6.2013, p. 1).
17
Directive 2014/65/EU of the European Parliament and of the Council of 15 May 2014 on markets in financial
instruments and amending Directive 2002/92/EC and Directive 2011/61/EU (OJ L 173, 12.6.2014, p. 349).
18
Regulation (EU) No 648/2012 of the European Parliament and of the Council of 4 July 2012 on OTC
derivatives, central counterparties and trade repositories (OJ L 201, 27.7.2012, p. 1).
19
Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of
patients' rights in cross–border healthcare (OJ L 88, 4.4.2011, p. 45).
6
 EU reference laboratories referred to
in Article 15 of Regulation
XXXX/XXXX on serious cross-
border threats to health20
 Entities carrying out research and
development activities of medicinal
products referred to in Article 1
point 2 of Directive 2001/83/EC (21
)
 Entities manufacturing basic
pharmaceutical products and
pharmaceutical preparations referred
to in section C division 21 of NACE
Rev. 2
 Entities manufacturing medical
devices considered as critical during
a public health emergency (‘the
public health emergency critical
devices list’) referred to in Article
20 of Regulation XXXX22
6. Drinking water Suppliers and distributors of water
intended for human consumption
referred to in point (1)(a) of Article 2 of
Council Directive 98/83/EC(23
) but
excluding distributors for whom
distribution of water for human
consumption is only part of their
general activity of distributing other
commodities and goods which are not
considered essential or important
services
7. Waste water Undertakings collecting, disposing or
20
[Regulation of the European Parliament and of the Council on serious cross-border threats to health and
repealing Decision No 1082/2013/EU, reference to be updated once the proposal COM (2020)727 final is
adopted]
21
Directive 2001/83/EC of the European Parliament and of the Council of 6 November 2001 on the community
code relating to medicinal products for human use (OJ L 311, 28.11.2001, p.67).
22
[Regulation of the European Parliament and of the Council on a reinforced role for the European Medicines
Agency in crisis preparedness and management for medicinal produces and medical devices, reference to be
updated once the proposal COM(2020)725 final is adopted]
23
Council Directive 98/83/EC of 3 November 1998 on the quality of water intended for human consumption (OJ
L 330, 5.12.1998, p. 32).
7
treating urban, domestic and industrial
waste water referred to in points (1) to
(3) of Article 2 of Council Directive
91/271/EEC (24
)
8. Digital infrastructure — Internet Exchange Point providers
— DNS service providers
— TLD name registries
— Cloud computing service providers
— Data centre service providers
 Content delivery network providers
— Trust service providers referred to in
point (19) of Article 3 of Regulation
(EU) No 910/2014(25
)
— Providers of public electronic
communications networks referred
to in point (8) of Article 2 of
Directive (EU) 2018/1972(26
) or
providers of electronic
communications services referred to
in point (4) of Article 2 of Directive
(EU) 2018/1972 where their
services are publicly available
9. Public administration  Public administration entities of
central governments
 Public administration entities of
NUTS level 1 regions listed in
24
Council Directive 91/271/EEC of 21 May 1991 concerning urban waste water treatment (OJ L 135, 30.5.1991,
p.40).
25
Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic
identification and trust services for electronic transactions in the internal market and repealing Directive
1999/93/EC (OJ L 257, 28.8.2014, p.73).
26
Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing
the European Electronic Communication Code (OJ L 321, 17.12.2018, p. 36).
8
Annex I of Regulation (EC) No
1059/2003 (27
)
 Public administration entities of
NUTS level 2 regions listed in
Annex I of Regulation (EC) No
1059/2003
10. Space Operators of ground-based
infrastructure, owned, managed and
operated by Member States or by
private parties, that support the
provision of space-based services,
excluding providers of public
electronic communications networks
referred to in point (8) of Article 2 of
Directive (EU) 2018/1972
27
Regulation (EC) No 1059/2003 of the European Parliament and of the Council of 26 May 2003 on the
establishment of a common classification of territorial units for statistics (NUTS) (OJ L 154, 21.6.2003, p. 1).
9
ANNEX II
IMPORTANT ENITIES:
SECTORS, SUBSECTORS AND TYPES OF ENTITIES
Sector Subsector Type of entity
1. Postal and courier
services
Postal service providers referred to in
point (1) of Article 2 of Directive
97/67/EC (28
)and providers of courier
services
2. Waste management Undertakings carrying out waste
management referred to in point (9) of
Article 3 of Directive 2008/98/EC (29
)
but excluding undertakings for whom
waste management is not their principal
economic activity
3. Manufacture,
production and
distribution of
chemicals
Undertakings carrying out the
manufacture, production and
distribution of substances and articles
referred to in points (4), (9) and (14) of
Article 3 of Regulation (EC) No
1907/2006 (30
)
4. Food production,
processing and
distribution
Food businesses referred to in point (2)
of Article 3 of Regulation (EC) No
178/2002 (31
)
5. Manufacturing (a) Manufacture of Entities manufacturing medical devices
28
Directive 97/67/EC of the European Parliament and of the Council of 15 December 1997 on common rules for
the development of the internal market of Community postal services and the improvement of the quality of
service (OJ L 15, 21.1.98, p.14).
29
Directive 2008/98/EC of the European Parliament and of the Council of 19 November 2008 on waste and
repealing certain Directives (OJ L 312, 22.11.2008, p. 3)
30
Regulation (EC) No 1907/2006 of the European Parliament and of the Council of 18 December 2006
concerning registration, evaluation, authorisation and restriction of chemicals (REACH), establishing a
European Chemicals Agency amending Directive 1999/45/EC and repealing Council Regulation (EEC) No
793/93 and Commission Regulation (EC) No 1488/94 as well as Council Directive 76/769/EEC and
Commission Directives 91/155.EEC, 93/67/EEC, 93/105/EC and 2000/21/EC (OJ L 396, 30.12.2006, p. 1).
31
Regulation (EC) No 178/2002 of the European Parliament and of the Council of 28 January 2002 laying down
the general principles and requirements of food law, establishing the European Food Safety Authority and
laying down procedures in matters of food safety (OJ L 31, 1.2.2002, p.1).
10
medical devices and in
vitro diagnostic medical
devices
referred to in Article 2 point 1 of
Regulation (EU) 2017/745(32
), and
entities manufacturing in vitro
diagnostic medical devices referred to
in Article 2 point 2 of Regulation (EU)
2017/746 (33
) with exception of entities
manufacturing medical devices
mentioned in Annex 1, point 5.
(b) Manufacture of
computer, electronic and
optical products
Undertakings carrying out any of the
economic activities referred to in
section C division 26 of NACE Rev. 2
(c) Manufacture of
electrical equipment
Undertakings carrying out any of the
economic activities referred to in
section C division 27 of NACE Rev. 2
(d) Manufacture of
machinery and
equipment n.e.c.
Undertakings carrying out any of the
economic activities referred to in
section C division 28 of NACE Rev. 2
(e) Manufacture of motor
vehicles, trailers and
semi-trailers
Undertakings carrying out any of the
economic activities referred to in
section C division 29 of NACE Rev. 2
(f) Manufacture of other
transport equipment
Undertakings carrying out any of the
economic activities referred to in
section C division 30 of NACE Rev. 2
6. Digital providers — Providers of online marketplaces
— Providers of online search engines
— Providers of social networking
services platform
32
Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices,
amending Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009 and
repealing Council Directives 90/385/EEC and 93/42/EEC (OJ L 117, 5.5.2017, p.1)
33
Regulation (EU) 2017/746 of the European Parliament and of the Council of 5 April 2017 on in vitro
diagnostic medical devices and repealing Directive 98/79/EC and Commission Decision 2010/227/EU (OJ L
117, 5.5.2017, p.176)
11
ANNEX III
CORRELATION TABLE
Directive (EU) 2016/1148 This Directive
Article 1 (1) Article 1 (1)
Article 1 (2) Article 1 (2)
Article 1 (3) -
Article 1 (4) Article 2 (4)
Article 1 (5) Article 2 (5)
Article 1 (6) Article 2 (3)
Article 1 (7) Article 2 (6)
Article 2 -
Article 3 Article 3
Article 4 Article 4
Article 5 -
Article 6 -
Article 7 (1) Article 5 (1)
Article 7 (2) Article 5 (4)
Article 7 (3) Article 5 (3)
Article 8 (1)–(5) Article 8 (1)–(5)
Article 8 (6) Article 11 (4)
Article 8 (7) Article 8 (6)
Article 9 (1)-(3) Article 9 (1)-(3)
Article 9 (4) Article 9 (7)
Article 9 (5) Article 9 (8)
Article 10 (1)-(3) Article 11 (1)-(3)
Article 11 (1) Article 12 (1) –(2)
12
Article 11 (2) Article 12 (3)
Article 11 (3) Article 12(4) and (6)
Article 11 (4) -
Article 11 (5) Article 12 (7)
Article 12 (1)-((5) Article 13 (1)-(5)
Article 13 -
Article 14 (1) Article 18 (1)
Article 14 (2) Article 18 (2)-(4)
Article 14 (3) Article 20 (1)
Article 14 (4) Article 20 (3)
Article 14 (5) Article 20 (5), (6), (8)
Article 14 (6) Article 20 (7)
Article 14 (7) -
Article 15 (1) Article 29 (2)
Article 15 (2)(a) Article 29 (2) (e)
Article 15 (2)(b) Article 29 (2) (g)
Article 15 (2) second indent Article 29 (3)
Article 15 (3) Article 29 (4) (b)
Article 15 (4) Article 28 (2)
Article 16 (1) Article 18 (1), (2)
Article 16 (2) Article 18 (2)-(4)
Article 16 (3) Article 20 (1)
Article 16 (4) Article 20 (3)
Article 16 (5) -
Article 16 (6) Article 20 (6)
Article 16 (7) Article 20 (7)
13
Article 16 (8), (9) Article 20 (11)
Article 16 (10) -
Article 16 (11) Article 2 (1)
Article 17 (1) -
Article 17 (2)(a) Article 29 (2) (e)
Article 17 (2)(b) Article 29 (4) (b)
Article 17 (3) Article 34 (1) (a), (b)
Article 18 (1) Article 24 (1)-(2)
Article 18 (2) Article 24 (3)
Article 18 (3) Article 24 (4)
Article 19 Article 22
Article 20 Article 27
Article 21 Article 33
Article 22 (1)-(2) Article 37 (1)-(2)
Article 23 Article 35
Article 24 -
Article 25 Article 38
Article 26 Article 42
Article 27 Article 43
Annex I(1) Article 10 (1)
Annex I (2) (a) (i)-(iv) Article 10 (2) (a)-(d)
Annex I (2) (a) (v) Article 10 (2) (f)
Annex I (2) (b) Article 10 (3)
Annex I (2) (c) (i)-(ii) Article 10 (4) (a)
Annex II Annex I
Annex III 1, 2 Annex II, 6.
14
Annex III, 3 Annex I, 8.


DA DA
EUROPA-
KOMMISSIONEN
Bruxelles, den 16.12.2020
COM(2020) 823 final
2020/0359 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og
om ophævelse af direktiv (EU) 2016/1148
(EØS-relevant tekst)
{SEC(2020) 430 final} - {SWD(2020) 344 final} - {SWD(2020) 345 final}
Europaudvalget 2020
KOM (2020) 0823
Offentligt
DA 1 DA
BEGRUNDELSE
1. BAGGRUND FOR FORSLAGET
• Forslagets begrundelse og formål
Dette forslag er en del af en pakke af foranstaltninger til yderligere at forbedre offentlige og
private enheders, kompetente myndigheders og Unionens samlede modstandsdygtighed og
beredskabskapacitet inden for cybersikkerhed og beskyttelse af kritisk infrastruktur. Det er i
overensstemmelse med Kommissionens prioriteter om at gøre Europa klar til den digitale
tidsalder og opbygge en fremtidssikret økonomi, der tjener alle. Cybersikkerhed er en prioritet
i Kommissionens reaktion på covid-19-krisen. Pakken omfatter en ny strategi for
cybersikkerhed med det formål at styrke Unionens strategiske autonomi med henblik på at
forbedre dens modstandsdygtighed og kollektive reaktion og opbygge et åbent og globalt
internet. Endelig indeholder pakken et forslag til direktiv om modstandsdygtigheden hos
kritiske operatører af væsentlige tjenester, som har til formål at afbøde fysiske trusler mod
sådanne operatører.
Dette forslag bygger på og ophæver direktiv (EU) 2016/1148 om sikkerhed i net- og
informationssystemer (NIS-direktivet), som er den første EU-retsakt om cybersikkerhed og
indeholder retlige foranstaltninger, der skal styrke det generelle cybersikkerhedsniveau i
Unionen. NIS-direktivet har 1) bidraget til at forbedre cybersikkerhedskapaciteten på nationalt
plan ved at kræve, at medlemsstaterne vedtager nationale cybersikkerhedsstrategier og
udpeger cybersikkerhedsmyndigheder, 2) øget samarbejdet mellem medlemsstaterne på EU-
plan ved at oprette forskellige fora, der letter udvekslingen af strategiske og operationelle
oplysninger og 3) forbedret offentlige og private enheders cyberrobusthed i syv specifikke
sektorer (energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhedspleje,
drikkevandsforsyning og -distribution samt digitale infrastrukturer) og på tværs af tre digitale
tjenester (onlinemarkedspladser, onlinesøgemaskiner og cloud computing-tjenester) ved at
kræve, at medlemsstaterne sikrer, at operatører af væsentlige tjenester og udbydere af digitale
tjenester indfører cybersikkerhedskrav og foretager underretninger om hændelser.
Forslaget moderniserer de eksisterende retlige rammer under hensyntagen til den øgede
digitalisering af det indre marked i de senere år og et trusselsbillede for cybersikkerheden, der
udvikler sig løbende. Begge disse udviklinger er blevet yderligere forstærket, siden covid-19-
krisen satte ind. Forslaget tager også fat på en række svagheder, der forhindrede NIS-
direktivet i at frigøre sit fulde potentiale.
Til trods for sine bemærkelsesværdige resultater har NIS-direktivet, som banede vejen for en
betydelig ændring i tankegangen i forbindelse med den institutionelle og lovgivningsmæssige
tilgang til cybersikkerhed i mange medlemsstater, også vist sig at have sine begrænsninger.
Den digitale omstilling af samfundet (intensiveret af covid-19-krisen) har udvidet
trusselsbilledet og skaber nye udfordringer, som kræver tilpassede og innovative løsninger.
Antallet af cyberangreb stiger fortsat, og der kommer stadig mere sofistikerede angreb fra en
bred vifte af kilder i og uden for EU.
I den evaluering af NIS-direktivets funktion, der blev foretaget med henblik på
konsekvensanalysen, blev der peget på følgende spørgsmål: 1) den lave
cybermodstandsdygtighed blandt virksomheder, der er aktive i EU, 2) inkonsekvent
modstandsdygtighed på tværs af medlemsstater og sektorer og 3) det lave niveau af fælles
situationsbevidsthed og manglen på fælles kriserespons. Visse større hospitaler i en
medlemsstat falder f.eks. ikke ind under NIS-direktivets anvendelsesområde og er derfor ikke
forpligtet til at gennemføre de deraf følgende sikkerhedsforanstaltninger, mens næsten alle
udbydere af sundhedstjenester i en anden medlemsstat er omfattet af NIS-sikkerhedskravene.
DA 2 DA
Da forslaget er et initiativ inden for programmet for målrettet og effektiv regulering (REFIT),
har det til formål at mindske den reguleringsmæssige byrde for de kompetente myndigheder
og overholdelsesomkostningerne for offentlige og private enheder. Dette opnås især ved at
ophæve de kompetente myndigheders forpligtelse til at identificere operatører af væsentlige
tjenester og ved at øge graden af harmonisering af sikkerheds- og underretningskrav for at
lette overholdelsen af lovgivningen for enheder, der leverer grænseoverskridende tjenester.
Samtidig vil de kompetente myndigheder også få tildelt en række nye opgaver, herunder
tilsyn med enheder i sektorer, der hidtil ikke har været omfattet af NIS-direktivet.
• Sammenhæng med de gældende regler på samme område
Dette forslag er en del af en bredere vifte af eksisterende retlige instrumenter og kommende
initiativer på EU-plan, der har til formål at øge offentlige og private enheders
modstandsdygtighed over for trusler.
På cybersikkerhedsområdet er der navnlig tale om direktiv (EU) 2018/1972 om en europæisk
kodeks for elektronisk kommunikation (hvis bestemmelser vedrørende cybersikkerhed vil
blive erstattet af bestemmelserne i nærværende forslag) og forslaget til forordning om digital
operationel modstandsdygtighed i den finansielle sektor (COM(2020) 595 final), som vil blive
betragtet som lex specialis i forhold til det foreliggende forslag, når begge retsakter er trådt i
kraft.
På området fysisk sikkerhed supplerer dette forslag forslaget til direktiv om kritiske enheders
modstandsdygtighed, som reviderer direktiv 2008/114/EF om indkredsning og udpegning af
europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (ECI-
direktivet), hvori der fastlægges en EU-procedure for identifikation og udpegning af
europæisk kritisk infrastruktur og fastlægges en tilgang til forbedring af beskyttelsen heraf. I
juli 2020 vedtog Kommissionen strategien for EU's sikkerhedsunion1
, hvori man anerkendte
den stigende sammenkobling og indbyrdes afhængighed mellem fysiske og digitale
infrastrukturer. Den understregede behovet for en mere sammenhængende og konsekvent
tilgang mellem ECI-direktivet og direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre
et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.
Forslaget er derfor nøje afstemt med forslaget til direktiv om kritiske enheders
modstandsdygtighed, der har til formål at styrke kritiske enheders modstandsdygtighed over
for fysiske trusler i en lang række sektorer. Forslaget har til formål at sikre, at kompetente
myndigheder i henhold til begge retsakter træffer supplerende foranstaltninger og udveksler
oplysninger efter behov vedrørende cyberrobusthed og manglende cyberrobusthed, og at
særligt kritiske operatører i de sektorer, der anses for at være "væsentlige" i henhold til det
foreliggende forslag, også er underlagt mere generelle forpligtelser til at øge
modstandsdygtigheden med vægten lagt på ikkecyberrelaterede risici.
• Sammenhæng med Unionens politik på andre områder
Som beskrevet i meddelelsen "Europas digitale fremtid i støbeskeen"2
er det afgørende, at
Europa høster alle fordelene ved den digitale tidsalder og styrker sin industri- og
innovationskapacitet inden for sikre og etiske grænser. I den europæiske strategi for data
fastsættes der fire søjler — databeskyttelse, grundlæggende rettigheder, sikkerhed og
1
COM(2020) 605 final.
2
COM(2020) 67 final.
DA 3 DA
cybersikkerhed– som væsentlige forudsætninger for et samfund, der styrkes ved brugen af
data.
I sin beslutning af 12. marts 2019 opfordrede Europa-Parlamentet "Kommissionen til at
vurdere behovet for yderligere at udvide NIS-direktivets anvendelsesområde til andre kritiske
sektorer og tjenester, der ikke er omfattet af sektorspecifik lovgivning"3
. Rådet udtrykte i sine
konklusioner af 9. juni 2020 tilfredshed med "[...] Kommissionens planer om at sikre
konsekvente regler for markedsoperatører og fremme sikker, solid og passende
informationsudveksling om trusler såvel som hændelser, herunder gennem en revision af
direktivet om net- og informationssystemer (NIS-direktivet), for at forfølge muligheder for at
forbedre cyberrobustheden og sikre en mere effektiv reaktion på cyberangreb, navnlig om
væsentlige økonomiske og samfundsmæssige aktiviteter, samtidig med at medlemsstaternes
kompetencer, herunder ansvaret for deres nationale sikkerhed, respekteres4
." Den foreslåede
retsakt gælder desuden med forbehold af anvendelsen af konkurrencereglerne som fastsat i
traktaten om Den Europæiske Unions funktionsmåde (TEUF).
Eftersom en betydelig del af truslerne mod cybersikkerheden stammer fra lande uden for EU,
er der behov for en sammenhængende tilgang til internationalt samarbejde. Dette direktiv
udgør en referencemodel, der skal fremmes i forbindelse med EU's samarbejde med
tredjelande, navnlig når der ydes ekstern teknisk bistand.
2. RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG
PROPORTIONALITETSPRINCIPPET
• Retsgrundlag
Retsgrundlaget for NIS-direktivet er artikel 114 i traktaten om Den Europæiske Unions
funktionsmåde, hvis formål er det indre markeds oprettelse og funktion ved at styrke
foranstaltningerne til indbyrdes tilnærmelse af de nationale regler. Som EU-Domstolen
fastslog i sin dom i sag C-58/08 Vodafone m.fl., er anvendelsen af artikel 114 i TEUF
berettiget, når der er forskelle mellem nationale regler, der har direkte indvirkning på det
indre markeds funktion. Domstolen fastslog ligeledes, at når en retsakt baseret på artikel 114 i
TEUF allerede har fjernet enhver hindring for samhandelen på det område, den harmoniserer,
kan EU-lovgiver ikke fratages muligheden for at tilpasse denne retsakt til samtlige ændrede
omstændigheder eller ny viden, henset til den opgave, den har til at sikre beskyttelsen af de
almene hensyn, der er anerkendt i traktaten. Endelig fastslog Domstolen, at de
foranstaltninger med henblik på indbyrdes tilnærmelse, der er omhandlet i artikel 114 TEUF,
har til formål at give en skønsmargen med hensyn til, hvilken tilnærmelsesmetode der er bedst
egnet til at opnå det ønskede resultat, afhængigt af den generelle sammenhæng og de særlige
omstændigheder på området, der skal harmoniseres. Den foreslåede retsakt vil fjerne
hindringer for og forbedre det indre markeds oprettelse og funktion for væsentlige og vigtige
enheder ved at fastlægge klare og almindeligt gældende regler om anvendelsesområdet for
NIS-direktivet, der harmoniserer de regler, som finder anvendelse på styring af
cybersikkerhedsrisici og underretning om hændelser. De nuværende forskelle på dette
område, både på lovgivnings- og tilsynsniveau samt på det nationale plan og EU-plan, udgør
hindringer for det indre marked, fordi enheder, der udøver grænseoverskridende aktiviteter,
står over for forskellige og muligvis overlappende reguleringsmæssige krav og/eller
3
https://www.europarl.europa.eu/doceo/document/TA-8-2019-0156_DA.html.
4
https://data.consilium.europa.eu/doc/document/ST-8711-2020-INIT/da/pdf.
DA 4 DA
anvendelsen af disse på bekostning af udøvelsen af deres etableringsfrihed og retten til fri
udveksling af tjenesteydelser. Forskellige regler har også en negativ indvirkning på
konkurrencevilkårene i det indre marked, når der er tale om enheder af samme type i
forskellige medlemsstater.
• Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)
Modstandsdygtigheden over for cybertrusler i hele Unionen kan ikke være effektiv, hvis der
gribes ind på en uensartet måde gennem nationale eller regionale siloer. NIS-direktivet afhjalp
til dels denne mangel ved at fastlægge en ramme for net- og informationssystemernes
sikkerhed på nationalt plan og EU-plan. Omsættelsen og gennemførelsen af direktivet
afslørede imidlertid også iboende mangler og begrænsninger i visse bestemmelser eller
tilgange, f.eks. den uklare afgrænsning af direktivets anvendelsesområde, der førte til
betydelige forskelle i omfanget og dybden af EU's faktiske indgreb på medlemsstatsplan.
Siden covid-19-krisen er den europæiske økonomi desuden blevet endnu mere afhængig af
net- og informationssystemer end nogensinde før, og sektorer og tjenester er i stigende grad
indbyrdes forbundne. En EU-indsats, der går videre end de nuværende foranstaltninger i NIS-
direktivet, er primært begrundet i: i) de NIS-relaterede truslers og udfordringers stadig mere
grænseoverskridende karakter, ii) potentialet i Unionens indsats med hensyn til at forbedre og
fremme effektive og koordinerede nationale politikker og iii) bidraget fra samordnede og
samarbejdsbaserede politiske tiltag til effektiv beskyttelse af personoplysninger og privatlivets
fred.
• Proportionalitetsprincippet
De regler, der foreslås i dette direktiv, går ikke ud over, hvad der er nødvendigt for at nå de
specifikke mål på tilfredsstillende vis. Den planlagte tilpasning og strømlining af
sikkerhedsforanstaltninger og rapporteringsforpligtelser vedrører medlemsstaternes og
virksomhedernes anmodninger om at forbedre den nuværende ramme.
Forslaget tager hensyn til den allerede eksisterende praksis i medlemsstaterne. Et højere
beskyttelsesniveau, der opnås gennem sådanne strømlinede og koordinerede krav, står i
rimeligt forhold til de stadig større risici, som de står over for, herunder dem, der udgør et
grænseoverskridende element. De er rimelige og svarer generelt til de involverede enheders
interesse i at sikre kontinuiteten og kvaliteten af deres tjenester. Omkostningerne ved at sikre
systematisk samarbejde mellem medlemsstaterne vil være små sammenlignet med de
økonomiske og samfundsmæssige tab og skader forårsaget af cybersikkerhedshændelser.
Desuden viser de høringer af interesserede parter, der blev afholdt i forbindelse med
evalueringen af NIS-direktivet, herunder resultaterne af den åbne offentlige høring og
målrettede undersøgelser, at der er støtte til revisionen af NIS-direktivet i overensstemmelse
med ovennævnte retningslinjer.
• Valg af retsakt
Forslaget vil yderligere strømline de forpligtelser, der pålægges virksomhederne, og sikre en
højere grad af harmonisering af disse. Samtidig har forslaget til formål at give
medlemsstaterne den fleksibilitet, der er nødvendig for at tage hensyn til særlige nationale
forhold (f.eks. muligheden for at identificere yderligere væsentlige eller vigtige enheder, der
ligger uden for det referencescenarie, som er fastsat i retsakten). Det kommende retlige
instrument bør derfor være et direktiv, da dette retlige instrument giver mulighed for målrettet
forbedret harmonisering og en vis grad af fleksibilitet for de kompetente myndigheder.
DA 5 DA
3. RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF
INTERESSEREDE PARTER OG KONSEKVENSANALYSER
• Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning
Kommissionen har gennemført en evaluering af NIS-direktivets5
funktionsmåde. Den har
analyseret dets relevans, EU-merværdi, sammenhæng, virkningsfuldhed og effektivitet.
Hovedresultaterne af analysen er følgende:
 NIS-direktivets anvendelsesområde er for begrænset med hensyn til de omfattede
sektorer, primært på grund af: i) øget digitalisering i de senere år og en højere grad af
indbyrdes forbundethed og ii) NIS-direktivets anvendelsesområde afspejler ikke
længere alle digitaliserede sektorer, der leverer vigtige tjenester til økonomien og
samfundet som helhed.
 NIS-direktivet er ikke tilstrækkeligt klart med hensyn til anvendelsesområdet for
operatører af væsentlige tjenester, og dets bestemmelser skaber ikke tilstrækkelig
klarhed med hensyn til den nationale kompetence over for udbydere af digitale
tjenester. Dette har ført til en situation, hvor visse typer af enheder ikke er blevet
identificeret i alle medlemsstater og derfor ikke er forpligtet til at indføre
sikkerhedsforanstaltninger og foretage underretninger om hændelser.
 Med fastsættelsen af krav til sikkerheds- og hændelsesunderretninger for operatører
af væsentlige tjenester i NIS-direktivet fik medlemsstaterne vide skønsbeføjelser.
Evalueringen viser, at medlemsstaterne i nogle tilfælde har gennemført disse krav på
særdeles forskellig vis, hvilket har medført yderligere byrder for virksomheder, der
opererer i mere end én medlemsstat.
 NIS-direktivets tilsyns- og håndhævelsesordning er ineffektiv. Medlemsstaterne har
f.eks. været meget tilbageholdende med at indføre sanktioner over for enheder, der
undlader at indføre sikkerhedskrav eller foretage underretninger om hændelser. Dette
kan have negative konsekvenser for individuelle enheders cyberrobusthed.
 De økonomiske og menneskelige ressourcer, som medlemsstaterne har afsat til at
udføre deres opgaver (såsom identifikation af eller tilsyn med operatører af
væsentlige tjenester), og dermed de forskellige modenhedsniveauer i forbindelse med
cybersikkerhedsrisici, varierer meget. Dette øger forskellene i cyberrobusthed
mellem medlemsstaterne yderligere.
 Medlemsstaterne udveksler ikke systematisk oplysninger med hinanden, hvilket
navnlig har negative konsekvenser for effektiviteten af
cybersikkerhedsforanstaltningerne og for niveauet af fælles situationsbevidsthed på
EU-plan. Dette er også tilfældet for udveksling af oplysninger mellem private
enheder og for samarbejdet mellem samarbejdsstrukturer på EU-plan og private
enheder.
• Høringer af interesserede parter
Kommissionen har hørt en lang række interesserede parter. Medlemsstaterne og de
interesserede parter blev opfordret til at deltage i den åbne offentlige høring og i de
undersøgelser og workshopper, der blev afholdt af Wavestone, CEPS og ICF, som
Kommissionen har hyret til at gennemføre en undersøgelse til støtte for evalueringen af NIS-
direktivet. De hørte interesserede parter omfattede kompetente myndigheder, EU-organer, der
5
[Bilag 5 til konsekvensanalysen].
DA 6 DA
beskæftiger sig med cybersikkerhed, operatører af væsentlige tjenester, udbydere af digitale
tjenester, enheder, der leverer tjenester uden for anvendelsesområdet for det nuværende NIS-
direktiv, brancheorganisationer samt forbrugerorganisationer og borgere.
Desuden har Kommissionen været i løbende kontakt med de kompetente myndigheder, der er
ansvarlige for gennemførelsen af NIS-direktivet. Samarbejdsgruppen har i vid udstrækning
behandlet forskellige tværgående og sektorspecifikke gennemførelsesaspekter. Endelig har
Kommissionen under sine NIS-landebesøg i 2019 og 2020 interviewet 154 offentlige og
private enheder samt 117 kompetente myndigheder.
• Indhentning og brug af ekspertbistand
Kommissionen har indgået kontrakt med et konsortium bestående af Wavestone, CEPS og
ICF, som skal støtte Kommissionen i forbindelse med evalueringen af NIS-direktivet6
.
Kontrahenten har ikke kun været i kontakt med de interesserede parter, der er direkte berørt af
NIS-direktivet, gennem målrettede undersøgelser og workshopper, men har også hørt en bred
vifte af eksperter inden for cybersikkerhed, såsom cybersikkerhedsforskere og fagfolk inden
for cybersikkerhedsindustrien.
• Konsekvensanalyse
Dette forslag ledsages af en konsekvensanalyse7
, som blev forelagt Udvalget for
Forskriftskontrol den 23. oktober 2020 og modtog en positiv udtalelse med bemærkninger fra
Udvalget for Forskriftskontrol den 20. november 2020. Udvalget anbefalede forbedringer på
nogle områder med henblik på: 1) bedre at afspejle den rolle, som grænseoverskridende
afsmittende virkninger spiller i problemanalysen, 2) bedre at forklare, hvad det vil medføre, at
initiativet betragtes som en succes, 3) yderligere at begrunde listen over politiske
løsningsmodeller og 4) at give yderligere oplysninger om omkostningerne ved de foreslåede
foranstaltninger. Konsekvensanalysen blev tilpasset for at tage højde for disse punkter samt
mere detaljerede bemærkninger fra Udvalget for Forskriftskontrol. Den indeholder nu mere
detaljerede forklaringer af den rolle, som grænseoverskridende afsmittende virkninger spiller
på cybersikkerhedsområdet, et klarere overblik over, hvordan succes kan måles, en mere
detaljeret redegørelse for udformningen af og logikken bag de forskellige politiske
løsningsmodeller og foranstaltninger, der overvejes inden for disse løsningsmodeller, en mere
detaljeret redegørelse for de aspekter, der er analyseret i forbindelse med NIS-direktivets
sektorspecifikke anvendelsesområde, og yderligere præciseringer vedrørende omkostninger.
Kommissionen overvejede en række politiske løsningsmodeller for at forbedre de retlige
rammer inden for cyberrobusthed og reaktion på hændelser:
 "Ingen foranstaltninger": NIS-direktivet vil forblive uændret, og der vil ikke blive
truffet andre foranstaltninger af ikkelovgivningsmæssig karakter for at rette op på de
problemer, der er identificeret i forbindelse med evalueringen af NIS-direktivet.
 Løsningsmodel 1: Der vil ikke ske nogen ændringer på lovgivningsniveau. I stedet
vil Kommissionen udstede henstillinger og retningslinjer (f.eks. om identifikation af
operatører af væsentlige tjenester, sikkerhedskrav, procedurer for underretning om
6
Study to support the review of Directive (EU) 2016/1148 concerning measures for a high common level
of security of network and information systems across the Union (NIS Directive) –– N° 2020-665.
Wavestone, CEPS og ICF.
7
[Link to final document and the summary sheet to be added (link til endeligt dokument og resumé
tilføjes)].
DA 7 DA
hændelser og tilsyn) efter høring af samarbejdsgruppen, EU's Agentur for
Cybersikkerhed (ENISA) og, hvis det er relevant, netværket af enheder, der
håndterer IT-sikkerhedshændelser (CSIRT'er).
 Løsningsmodel 2: Denne løsningsmodel indebærer målrettede ændringer af NIS-
direktivet, herunder en udvidelse af anvendelsesområdet og flere andre ændringer,
der har til formål at indføre visse umiddelbare løsninger på de konstaterede
problemer, skabe større klarhed og yderligere harmonisering (f.eks. bestemmelser
om harmonisering af tærskelværdier for identifikation). Det ændrede NIS-direktiv vil
dog fortsat indeholde de vigtigste byggesten, tilgangen og begrundelsen.
 Løsningsmodel 3: Dette scenario indebærer systemiske og strukturelle ændringer af
NIS-direktivet (i form af et nyt direktiv) med henblik på en mere grundlæggende
ændring af tilgangen for at dække et større segment af økonomierne i hele Unionen,
men med et mere fokuseret tilsyn rettet mod store og centrale aktører. Det vil også
strømline de forpligtelser, der pålægges virksomhederne, og sikre en højere grad af
harmonisering af disse, skabe en mere effektiv ramme for operationelle aspekter
samt skabe et klart grundlag for øget fælles ansvar og ansvarlighed for forskellige
interessenter i forbindelse med cybersikkerhedsforanstaltninger.
Konsekvensanalysen konkluderer, at den foretrukne løsningsmodel er løsningsmodel 3 (dvs.
systemiske og strukturelle ændringer af NIS-rammen). Med hensyn til effektivitet vil den
foretrukne løsningsmodel klart fastlægge anvendelsesområdet for NIS-direktivet, som udvides
til et mere repræsentativt udsnit af EU's økonomier og samfund, og strømlining af kravene
sammen med en tydeligere defineret ramme for tilsyn og håndhævelse, der sigter mod at øge
overholdelsesgraden. Det omfatter også foranstaltninger, der har til formål at forbedre
tilgangen til politikopbygning på medlemsstatsniveau og ændre paradigmet herfor, fremme
nye rammer for risikostyring i forbindelse med leverandørrelationer og koordineret
offentliggørelse af sårbarheder. Samtidig skaber den foretrukne løsningsmodel et klart
grundlag for delt ansvar og ansvarlighed og omfatter mekanismer, der har til formål at
fremme større tillid mellem medlemsstaterne, både myndighederne og erhvervslivet, tilskynde
til informationsudveksling og sikre en mere operationel tilgang såsom gensidig bistand og
peerevalueringsmekanismer. Denne løsningsmodel vil også skabe en EU-krisestyringsramme,
der bygger på det operationelle EU-netværk, som blev lanceret for nylig, og vil sikre større
inddragelse af ENISA inden for dets nuværende mandat for at opnå et præcist overblik over
Unionens tilstand med hensyn til cybersikkerhed.
For så vidt angår effektivitet vil den foretrukne løsningsmodel ganske vist medføre yderligere
overholdelses- og håndhævelsesomkostninger for virksomheder og medlemsstater, men den
vil også føre til effektive afvejninger og synergier med det bedste potentiale blandt alle de
analyserede politiske løsningsmodeller og sikre en øget og konsekvent grad af cyberrobusthed
hos centrale enheder i hele Unionen, hvilket i sidste ende vil føre til omkostningsbesparelser
for både virksomheder og samfundet. Denne løsningsmodel vil medføre en vis ekstra
administrativ byrde og overholdelsesomkostninger for medlemsstaternes myndigheder. På
mellemlang og lang sigt vil den dog samlet set også medføre betydelige fordele i form af øget
samarbejde mellem medlemsstaterne, herunder på operationelt plan, og, ved hjælp af gensidig
bistand, tilskynde til peerevalueringsmekanismer og bedre overblik over og interaktion med
centrale virksomheder, en generel forøgelse af cybersikkerhedskapaciteten på nationalt og
regionalt plan. Den foretrukne løsningsmodel vil også i vid udstrækning sikre sammenhæng
med anden lovgivning og andre initiativer eller politiske foranstaltninger, herunder
sektorspecifikke lex specialis.
DA 8 DA
Afhjælpning af den nuværende mangel på cybersikkerhedsberedskab på medlemsstatsniveau
og på virksomhedsniveau og i andre organisationer kan føre til effektivitetsgevinster og
reduktion af ekstraomkostninger som følge af cybersikkerhedshændelser.
 For væsentlige og vigtige enheder kan en styrkelse af cybersikkerhedsberedskabet
resultere i en begrænsning af det potentielle indtægtstab som følge af afbrydelser —
herunder som følge af industrispionage — og kan reducere de store udgifter til ad
hoc-trusselsbegrænsning. Sådanne gevinster vil sandsynligvis opveje de nødvendige
investeringsomkostninger. En mindre fragmentering af det indre marked vil også føre
til mere lige vilkår for operatørerne.
 For medlemsstaterne kan det yderligere mindske risikoen for stigende budgetudgifter
til ad hoc-trusselsbegrænsning og yderligere omkostninger i tilfælde af
nødsituationer i forbindelse med cybersikkerhedshændelser.
 For borgerne forventes det, at håndteringen af cybersikkerhedshændelser vil resultere
i et lavere indkomsttab som følge af økonomiske forstyrrelser.
Det øgede cybersikkerhedsniveau i medlemsstaterne og virksomhedernes og myndighedernes
evne til at reagere hurtigt på en hændelse og afbøde dens konsekvenser vil sandsynligvis føre
til en stigning i borgernes generelle tillid til den digitale økonomi, hvilket kan have en positiv
indvirkning på vækst og investeringer.
En styrkelse af det generelle cybersikkerhedsniveau vil sandsynligvis føre til øget sikkerhed
og gnidningsløs uafbrudt drift af væsentlige tjenester, som er af afgørende betydning for
samfundet. Initiativet kan også bidrage til andre samfundsmæssige virkninger såsom lavere
niveauer af cyberkriminalitet og terrorisme og øget civilbeskyttelse. Ved at øge
cyberberedskabet for virksomheder og andre organisationer kan man undgå potentielle
økonomiske tab som følge af cyberangreb og dermed fjerne behovet for at skulle afskedige
medarbejdere.
En styrkelse af det generelle cybersikkerhedsniveau kan også føre til forebyggelse af
miljørisici/miljøskader i tilfælde af et angreb på en væsentlig tjeneste. Dette kan især gælde
for energi-, vandforsynings- og distributionssektoren samt transportsektoren. Ved at styrke
cybersikkerhedskapaciteterne kan initiativet føre til øget brug af den seneste generation af
IKT-infrastrukturer og -tjenester, som også er miljømæssigt mere bæredygtige, og til
udskiftning af ineffektive og mindre sikre eksisterende infrastrukturer. Dette forventes også at
bidrage til at nedbringe antallet af bekostelige cyberhændelser og frigøre ressourcer til
bæredygtige investeringer.
• Målrettet regulering og forenkling
Forslaget indeholder en generel undtagelse for mikrovirksomheder og små enheder fra
anvendelsesområdet for NIS og en mere lempelig ordning for efterfølgende tilsyn for et stort
antal af de nye enheder under det reviderede anvendelsesområde (såkaldt vigtige enheder).
Disse foranstaltninger har til formål at minimere og afbalancere den byrde, der pålægges
virksomheder og offentlige myndigheder. Desuden erstatter forslaget det komplekse
identifikationssystem for operatører af væsentlige tjenester med en generelt gældende
forpligtelse og indfører en højere grad af harmonisering af sikkerheds- og
rapporteringsforpligtelser, hvilket vil mindske overholdelsesbyrden, navnlig for enheder, der
leverer grænseoverskridende tjenester.
DA 9 DA
Forslaget minimerer overholdelsesomkostningerne for SMV'er, da enhederne kun skal træffe
de foranstaltninger, der er nødvendige for at sikre et sikkerhedsniveau for net- og
informationssystemer, der svarer til den risiko, der er forbundet hermed.
• Grundlæggende rettigheder
EU har forpligtet sig at sikre til et højt niveau af beskyttelse af de grundlæggende rettigheder.
Alle frivillige ordninger for udveksling af oplysninger mellem enheder, som dette direktiv
fremmer, vil blive gennemført i sikre miljøer under fuld overholdelse af Unionens
databeskyttelsesregler, navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/6798
.
4. VIRKNINGER FOR BUDGETTET
Se finansieringsoversigten
5. ANDRE FORHOLD
• Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og
rapportering
Forslaget indeholder en generel plan for overvågning og evaluering af indvirkningen på de
specifikke mål, som kræver, at Kommissionen foretager en evaluering tidligst [54 måneder]
efter forordningens ikrafttrædelsesdato og aflægger rapport til Europa-Parlamentet og Rådet
om sine vigtigste konklusioner.
Denne revision skal foretages i overensstemmelse med Kommissionens retningslinjer for
bedre regulering.
• Nærmere redegørelse for de enkelte bestemmelser i forslaget
Forslaget er bygget op omkring flere vigtige politikområder, som er indbyrdes forbundne og
har til formål at højne cybersikkerhedsniveauet i Unionen.
Genstand og anvendelsesområde (artikel 1 og artikel 2)
Det gælder navnlig, at direktivet indeholder a) forpligtelser om, at medlemsstaterne skal
vedtage en national cybersikkerhedsstrategi, udpege kompetente nationale myndigheder,
centrale kontaktpunkter og CSIRT'er, b) bestemmelser om, at medlemsstaterne skal fastsætte
forpligtelser om risikostyring og rapportering vedrørende cybersikkerhed for enheder, der
benævnes væsentlige enheder i bilag I og vigtige enheder i bilag II, og c) bestemmelser om, at
medlemsstaterne skal fastsætte forpligtelser vedrørende udveksling af
cybersikkerhedsoplysninger.
Det finder anvendelse på visse offentlige eller private væsentlige enheder, der opererer inden
for de sektorer, som er opført i bilag I (energi, transport, bankvæsen, finansielle
markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig
forvaltning og rummet) og visse vigtige enheder, der opererer inden for de sektorer, der er
opført i bilag II (post- og kurertjenester, affaldshåndtering, fremstilling, fremstilling og
distribution af kemikalier, fødevareproduktion, -forarbejdning og -distribution,
8
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119
af 4.5.2016, s. 1).
DA 10 DA
fremstillingsvirksomhed og digitale udbydere). Mikrovirksomheder og små enheder som
omhandlet i Kommissionens henstilling 2003/361/EF af 6. maj 2003 er udelukket fra
direktivets anvendelsesområde, undtagen udbydere af elektroniske kommunikationsnet eller
offentligt tilgængelige elektroniske kommunikationstjenester, tillidstjenesteudbydere,
topdomænenavneregistraturer og offentlig forvaltning samt visse andre enheder såsom den
eneste udbyder af en tjeneste i en medlemsstat.
Nationale rammer for cybersikkerhed (artikel 5-11)
Medlemsstaterne skal vedtage en national cybersikkerhedsstrategi, der definerer de strategiske
mål og passende politiske og reguleringsmæssige foranstaltninger med henblik på at opnå og
opretholde et højt cybersikkerhedsniveau.
Direktivet fastlægger også en ramme for koordineret underretning om sårbarheder og
pålægger medlemsstaterne at udpege CSIRT'er, der skal fungere som betroede formidlere og
lette samspillet mellem de underrettende enheder og producenter eller udbydere af IKT-
produkter og -tjenester. ENISA skal udvikle og vedligeholde et europæisk sårbarhedsregister
for de konstaterede sårbarheder.
Medlemsstaterne skal indføre nationale rammer for styring af cybersikkerhedskriser, bl.a. ved
at udpege nationale kompetente myndigheder med ansvar for håndteringen af væsentlige
cybersikkerhedshændelser og -kriser.
Medlemsstaterne skal også udpege en eller flere nationale kompetente myndigheder inden for
cybersikkerhed til at varetage tilsynsopgaverne i henhold til dette direktiv og et nationalt
centralt kontaktpunkt for cybersikkerhed (SPOC) til at varetage en forbindelsesfunktion for at
sikre grænseoverskridende samarbejde mellem medlemsstaternes myndigheder.
Medlemsstaterne skal også udpege CSIRT'er.
Samarbejde (artikel 12-16)
Ved direktivet nedsættes der en samarbejdsgruppe, der skal støtte og lette det strategiske
samarbejde og udvekslingen af oplysninger mellem medlemsstaterne og udvikle tillid. Der
oprettes også et CSIRT-netværk, der skal bidrage til udviklingen af tillid mellem
medlemsstaterne og fremme et hurtigt og effektivt operationelt samarbejde.
Der oprettes et europæisk netværk af cybersikkerhedsorganisationer (EU-CyCLONe) for at
støtte den koordinerede håndtering af væsentlige cybersikkerhedshændelser og -kriser og
sikre regelmæssig udveksling af oplysninger mellem medlemsstaterne og EU-institutionerne.
ENISA skal i samarbejde med Kommissionen hvert andet år udsende en rapport om
cybersikkerhedssituationen i Unionen.
Kommissionen skal etablere et peerevalueringssystem, der giver mulighed for regelmæssige
peerevalueringer af medlemsstaternes politikker for cybersikkerhed.
Forpligtelser vedrørende risikostyring og rapportering i forbindelse med cybersikkerhed
(artikel 17-23)
I henhold til direktivet skal medlemsstaterne fastsætte bestemmelser om, at ledelsesorganer i
alle enheder, der er omfattet af anvendelsesområdet, skal godkende de
DA 11 DA
risikohåndteringsforanstaltninger vedrørende cybersikkerhed, der træffes af de respektive
enheder, og følge specifik cybersikkerhedsrelateret uddannelse.
Medlemsstaterne skal sikre, at enheder inden for anvendelsesområdet træffer passende og
forholdsmæssige tekniske og organisatoriske foranstaltninger for at håndtere de
cybersikkerhedsrisici, der er forbundet med sikkerheden i net- og informationssystemer. De
skal også sikre, at enheder underretter de nationale kompetente myndigheder eller CSIRT'erne
om enhver cybersikkerhedshændelse, der har en væsentlig indvirkning på leveringen af den
tjeneste, de udbyder.
Topdomænenavneregistraturer og enheder, der leverer domænenavnsregistreringstjenester for
topdomænet, indsamler og vedligeholder nøjagtige og fuldstændige oplysninger om
domænenavnsregistrering. Desuden er sådanne enheder forpligtet til at give lovlige
adgangssøgende effektiv adgang til registreringsdata.
Kompetence og registrering (artikel 24 og 25)
Som hovedregel anses væsentlige og vigtige enheder for at være underlagt jurisdiktionen i den
medlemsstat, hvor de leverer deres tjenester. Visse typer af enheder (udbydere af DNS-
tjenester, topdomænenavneregistraturer, udbydere af cloud computing-tjenester, udbydere af
datacentertjenester og udbydere af indholdsleveringsnetværk samt visse digitale udbydere)
anses dog for at være underlagt jurisdiktionen i den medlemsstat, hvor de har deres
hovedforretningssted i Unionen. Dette skal sikre, at sådanne enheder ikke stilles over for en
lang række forskellige retlige krav, eftersom de i særlig høj grad leverer tjenesteydelser på
tværs af grænserne. ENISA skal oprette og føre et register over den sidstnævnte type enheder.
Udveksling af oplysninger (artikel 26 og 27)
Medlemsstaterne fastsætter regler, der gør det muligt for enheder at deltage i udveksling af
cybersikkerhedsrelaterede oplysninger inden for rammerne af specifikke ordninger for
udveksling af cybersikkerhedsoplysninger i overensstemmelse med artikel 101 i TEUF.
Desuden tillader medlemsstaterne enheder, der ikke er omfattet af dette direktiv, frivilligt at
foretage underretninger om væsentlige hændelser, cybertrusler eller nærvedhændelser.
Tilsyn og håndhævelse (artikel 28-34)
De kompetente myndigheder skal føre tilsyn med de enheder, der er omfattet af direktivet, og
navnlig sikre, at de overholder kravene til sikkerhed og underretning om hændelser. Der
skelnes mellem en forudgående tilsynsordning for væsentlige enheder og en ordning for
efterfølgende tilsyn med vigtige enheder, idet det senere kræves, at de kompetente
myndigheder træffer foranstaltninger, når de får forelagt dokumentation for eller tegn på, at en
vigtig enhed ikke opfylder kravene til sikkerhed og underretning om hændelser.
Direktivet pålægger også medlemsstaterne at pålægge væsentlige og vigtige enheder
administrative bøder og fastsætter visse maksimumsbøder.
Medlemsstaterne skal samarbejde og bistå hinanden efter behov, når enheder leverer
tjenesteydelser i mere end én medlemsstat, eller når en enheds hovedvirksomhed eller dens
repræsentant er beliggende i en bestemt medlemsstat, mens dens net- og informationssystemer
er beliggende i en eller flere andre medlemsstater.
DA 12 DA
2020/0359 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og
om ophævelse af direktiv (EU) 2016/1148
(EØS-relevant tekst)
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg9
,
under henvisning til udtalelse fra Regionsudvalget10
,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1) Europa-Parlamentets og Rådets direktiv (EU) 2016/114811
tog sigte på at opbygge
cybersikkerhedskapaciteter i hele Unionen, afbøde trusler mod net- og
informationssystemer, der anvendes til at levere væsentlige tjenester i nøglesektorer,
og sikre kontinuiteten i sådanne tjenester, når de står over for
cybersikkerhedshændelser, og dermed bidrage til Unionens økonomi og samfund, så
de kan fungere effektivt.
(2) Siden ikrafttrædelsen af direktiv (EU) 2016/1148 er der gjort betydelige fremskridt
med hensyn til at øge EU's modstandsdygtighed over for cybertrusler. Evalueringen af
dette direktiv har vist, at det har fungeret som katalysator for den institutionelle og
lovgivningsmæssige tilgang til cybersikkerhed i Unionen og har banet vejen for en
betydelig holdningsændring. Direktivet har sikret færdiggørelsen af de nationale
rammer ved at fastlægge nationale cybersikkerhedsstrategier, etablere nationale
kapaciteter og gennemføre lovgivningsmæssige foranstaltninger, der omfatter
væsentlige infrastrukturer og aktører, som hver medlemsstat har udpeget. Det har også
bidraget til samarbejdet på EU-plan gennem oprettelsen af samarbejdsgruppen12
og et
netværk af nationale enheder, der håndterer IT-sikkerhedshændelser ("CSIRT-
netværket")13
. Uanset disse resultater har evalueringen af direktiv (EU) 2016/1148
9
EUT C , , s. .
10
EUT C , , s. .
11
Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af
19.7.2016, s. 1).
12
Artikel 11 i direktiv (EU) 2016/1148.
13
Artikel 12 i direktiv (EU) 2016/1148.
DA 13 DA
afsløret iboende mangler, der forhindrer det i effektivt at tackle aktuelle og nye
cybersikkerhedsudfordringer.
(3) Net- og informationssystemer har udviklet sig til et centralt element i hverdagen med
den hurtige digitale omstilling og forbundethed i samfundet, herunder i forbindelse
med grænseoverskridende udvekslinger. Denne udvikling har ført til en udvidelse af
antallet og typen af trusler mod cybersikkerheden og skabt nye udfordringer, som
kræver tilpassede, koordinerede og innovative svar i alle medlemsstater. Antallet,
omfanget, den avancerede karakter, hyppigheden og virkningen af
cybersikkerhedshændelser er stigende og udgør en alvorlig trussel mod net- og
informationssystemernes funktion. Som følge heraf kan cyberhændelser hindre
udøvelsen af økonomiske aktiviteter i det indre marked, medføre økonomiske tab,
underminere brugernes tillid og forårsage store skader på Unionens økonomi og
samfund. Cybersikkerhedsberedskab og -effektivitet er derfor mere afgørende for et
velfungerende indre marked end nogensinde før.
(4) Retsgrundlaget for direktiv 1148/2016/EU var artikel 114 i traktaten om Den
Europæiske Unions funktionsmåde (TEUF), hvis formål er det indre markeds
oprettelse og funktion ved at styrke foranstaltninger til indbyrdes tilnærmelse af de
nationale regler. De cybersikkerhedskrav, der pålægges enheder, som leverer tjenester
eller økonomisk relevante aktiviteter, varierer betydeligt fra medlemsstat til
medlemsstat med hensyn til typen af krav, detaljeringsgrad og tilsynsmetode. Disse
forskelle medfører yderligere omkostninger og skaber vanskeligheder for
virksomheder, der udbyder varer eller tjenesteydelser på tværs af grænserne. Krav, der
stilles af en medlemsstat, og som er forskellige fra eller endog i konflikt med dem, der
er pålagt af en anden medlemsstat, kan påvirke disse grænseoverskridende aktiviteter i
væsentlig grad. Desuden vil muligheden for en suboptimal udformning eller
gennemførelse af cybersikkerhedsstandarder i én medlemsstat sandsynligvis have
konsekvenser for cybersikkerhedsniveauet i andre medlemsstater, navnlig i betragtning
af de intense grænseoverskridende udvekslinger. Evalueringen af direktiv (EU)
2016/1148 har vist, at der er store forskelle i medlemsstaternes gennemførelse af det,
herunder med hensyn til dets anvendelsesområde, hvis afgrænsning i vid udstrækning
blev overladt til medlemsstaternes skøn. Direktiv (EU) 2016/1148 gav også
medlemsstaterne meget vide skønsbeføjelser med hensyn til gennemførelsen af de
sikkerheds- og hændelsesrapporteringsforpligtelser, der er fastsat deri. Disse
forpligtelser blev derfor gennemført på vidt forskellige måder på nationalt plan.
Lignende forskelle i gennemførelsen forekom i forhold til direktivets bestemmelser
om tilsyn og håndhævelse.
(5) Alle disse forskelle medfører en fragmentering af det indre marked og kan have en
negativ indvirkning på dets funktion og navnlig påvirke den grænseoverskridende
levering af tjenester og cyberrobustheden som følge af anvendelsen af forskellige
standarder. Dette direktiv har til formål at fjerne sådanne store forskelle mellem
medlemsstaterne, navnlig ved at fastsætte minimumsregler for, hvordan en koordineret
reguleringsramme fungerer, ved at fastlægge mekanismer for effektivt samarbejde
mellem de ansvarlige myndigheder i hver medlemsstat, ved at ajourføre listen over
sektorer og aktiviteter, der er omfattet af cybersikkerhedsforpligtelser, og ved at
tilvejebringe effektive retsmidler og sanktioner, der er afgørende for en effektiv
håndhævelse af disse forpligtelser. Derfor bør direktiv (EU) 2016/1148 ophæves og
erstattes af dette direktiv.
(6) Dette direktiv er ikke til hinder for, at hver medlemsstat kan træffe de nødvendige
foranstaltninger for at sikre beskyttelsen af sine væsentlige sikkerhedsinteresser,
DA 14 DA
opretholde den offentlige orden og sikkerhed samt tillade efterforskning, afsløring og
retsforfølgelse af strafbare handlinger i overensstemmelse med EU-retten. I henhold til
artikel 346 i TEUF er ingen medlemsstat forpligtet til at meddele oplysninger, hvis
udbredelse efter dens opfattelse ville stride mod dens væsentlige sikkerhedsinteresser.
I den forbindelse er nationale regler og EU-regler om beskyttelse af fortrolige
oplysninger, hemmeligholdelsesaftaler og uformelle hemmeligholdelsesaftaler, f.eks.
Traffic Light Protocol14
, af betydning.
(7) Med ophævelsen af direktiv (EU) 2016/1148 bør anvendelsesområdet for de enkelte
sektorer udvides til at omfatte en større del af økonomien i lyset af overvejelserne i
betragtning 4-6. De sektorer, der er omfattet af direktiv (EU) 2016/1148, bør derfor
udvides til at omfatte sektorer og tjenesteydelser af vital betydning for vigtige
samfundsmæssige og økonomiske aktiviteter i det indre marked. Reglerne bør ikke
være forskellige, alt efter om enhederne er operatører af væsentlige tjenester eller
udbydere af digitale tjenester. Denne differentiering har vist sig at være forældet, da
den ikke afspejler sektorernes eller tjenesteydelsernes reelle betydning for de
samfundsmæssige og økonomiske aktiviteter i det indre marked.
(8) I overensstemmelse med direktiv (EU) 2016/1148 havde medlemsstaterne ansvaret for
at afgøre, hvilke enheder der opfylder kriterierne for at blive betragtet som operatører
af væsentlige tjenester ("identifikationsproces"). For at fjerne de store forskelle
mellem medlemsstaterne i denne henseende og garantere retssikkerhed med hensyn til
risikostyringskravene og underretningsforpligtelserne for alle relevante enheder bør
der fastsættes et ensartet kriterium for, hvilke enheder der er omfattet af dette direktivs
anvendelsesområde. Dette kriterium bør bestå i anvendelsen af reglen om
størrelsesloftet, ifølge hvilken alle mellemstore og store virksomheder, som omhandlet
i Kommissionens henstilling 2003/361/EF15
, som opererer inden for de sektorer eller
leverer den type tjenester, der er omfattet af dette direktiv, er omfattet af direktivets
anvendelsesområde. Medlemsstaterne bør ikke være forpligtet til at opstille en liste
over de enheder, der opfylder dette generelt gældende størrelsesrelaterede kriterium.
(9) Små enheder eller mikroenheder, der opfylder visse kriterier, som indikerer, at de
spiller en central rolle for medlemsstaternes økonomier eller samfund eller for
bestemte sektorer eller typer af tjenesteydelser, bør dog også være omfattet af dette
direktiv. Medlemsstaterne bør være ansvarlige for at opstille en liste over sådanne
enheder og forelægge den for Kommissionen.
(10) Kommissionen kan i samarbejde med samarbejdsgruppen udstede retningslinjer for
gennemførelsen af de kriterier, der gælder for mikrovirksomheder og små
virksomheder.
(11) Afhængigt af hvilken sektor de opererer i, eller hvilken type tjeneste de leverer, bør de
enheder, der er omfattet af dette direktiv, inddeles i to kategorier: væsentlige og
vigtige. Denne kategorisering bør tage hensyn til sektorens eller tjenesteydelsens
kritiske betydning samt graden af afhængighed af andre sektorer eller typer af
tjenester. Både væsentlige og vigtige enheder bør være underlagt de samme
14
Traffic Light Protocol (TLP) giver en person, der deler oplysninger, mulighed for at informere sit
publikum om eventuelle begrænsninger for videreformidlingen af disse oplysninger. Den anvendes i
næsten alle CSIRT-fællesskaber samt visse informationsanalyse- og informationsdelingscentre
(ISAC'er).
15
Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og
mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).
DA 15 DA
risikostyringskrav og rapporteringsforpligtelser. Tilsyns- og sanktionsordningerne bør
differentieres mellem disse to kategorier af enheder for at sikre en rimelig balance
mellem krav og forpligtelser på den ene side og den administrative byrde, der følger af
tilsynet med overholdelsen, på den anden side.
(12) Sektorspecifik lovgivning og sektorspecifikke instrumenter kan bidrage til at sikre et
højt cybersikkerhedsniveau, samtidig med at der fuldt ud tages hensyn til disse
sektorers særlige og komplekse karakter. Hvis en sektorspecifik EU-retsakt kræver, at
væsentlige eller vigtige enheder vedtager foranstaltninger til håndtering af
cybersikkerhedsrisici eller foretager underretninger om hændelser eller væsentlige
cybertrusler med en virkning, der mindst svarer til de forpligtelser, der er fastsat i dette
direktiv, bør disse sektorspecifikke bestemmelser, herunder om tilsyn og håndhævelse,
finde anvendelse. Kommissionen kan udstede retningslinjer for gennemførelsen af lex
specialis. Dette direktiv udelukker ikke vedtagelsen af yderligere sektorspecifikke EU-
retsakter vedrørende foranstaltninger til håndtering af cybersikkerhedsrisici og
hændelsesunderretninger. Dette direktiv berører ikke de eksisterende
gennemførelsesbeføjelser, der er tillagt Kommissionen inden for en række sektorer,
herunder transport og energi.
(13) Europa-Parlamentets og Rådets forordning XXXX/XXXX16
bør betragtes som en
sektorspecifik EU-retsakt i forbindelse med dette direktiv for så vidt angår enheder i
den finansielle sektor. Bestemmelserne i forordning XXXX/XXXX om
risikostyringsforanstaltninger vedrørende informations- og kommunikationsteknologi
(IKT), håndtering af IKT-relaterede hændelser og navnlig underretning om hændelser
samt om afprøvning af digital operationel modstandsdygtighed, informationsdeling og
IKT-tredjepartsrisiko bør finde anvendelse i stedet for bestemmelserne i dette direktiv.
Medlemsstaterne bør derfor ikke anvende bestemmelserne i dette direktiv om
forpligtelser til risikostyring og rapportering vedrørende cybersikkerhed,
informationsdeling samt tilsyn og håndhævelse på finansielle enheder, der er omfattet
af forordning XXXX/XXXX. Samtidig er det vigtigt at opretholde stærke forbindelser
og udveksle oplysninger med den finansielle sektor i henhold til dette direktiv. Med
henblik herpå giver forordning XXXX/XXXX alle finansielle tilsynsmyndigheder, de
europæiske tilsynsmyndigheder (ESA'er) for den finansielle sektor og de nationale
kompetente myndigheder i henhold til forordning XXXX/XXXX mulighed for at
deltage i strategiske politiske drøftelser og teknisk arbejde i samarbejdsgruppen samt
udveksle oplysninger og samarbejde med de centrale kontaktpunkter, der er udpeget i
henhold til dette direktiv, og med de nationale CSIRT'er. De kompetente myndigheder
i henhold til forordning XXXX/XXXX bør også fremsende oplysninger om større
IKT-relaterede hændelser til de centrale kontaktpunkter, der er udpeget i henhold til
dette direktiv. Desuden bør medlemsstaterne fortsat medtage den finansielle sektor i
deres cybersikkerhedsstrategier, og nationale CSIRT'er kan dække den finansielle
sektor i deres aktiviteter.
(14) I betragtning af de indbyrdes forbindelser mellem cybersikkerhed og enheders fysiske
sikkerhed bør der sikres en sammenhængende tilgang mellem Europa-Parlamentets og
Rådets direktiv (EU) XXX/XXX17
og dette direktiv. Med henblik herpå bør
medlemsstaterne sikre, at kritiske enheder og tilsvarende enheder i henhold til direktiv
16
[insert the full title and OJ publication reference when known (indsæt den fulde titel og EUT-reference,
når den kendes)].
17
[insert the full title and OJ publication reference when known (indsæt den fulde titel og EUT-reference,
når den kendes)].
DA 16 DA
(EU) XXX/XXX betragtes som væsentlige enheder i henhold til dette direktiv.
Medlemsstaterne bør også sikre, at deres cybersikkerhedsstrategier skaber en politisk
ramme for øget koordinering mellem den kompetente myndighed i henhold til dette
direktiv og den kompetente myndighed i henhold til direktiv (EU) XXX/XXX i
forbindelse med udveksling af oplysninger om hændelser og cybertrusler og udøvelse
af tilsynsopgaver. Myndigheder i henhold til begge direktiver bør samarbejde og
udveksle oplysninger, navnlig i forbindelse med identifikation af kritiske enheder,
cybertrusler, cybersikkerhedsrisici, hændelser, der påvirker kritiske enheder, samt om
de cybersikkerhedsforanstaltninger, der træffes af kritiske enheder. Efter anmodning
fra kompetente myndigheder i henhold til direktiv (EU) XXX/XXX bør kompetente
myndigheder i henhold til dette direktiv have mulighed for at udøve deres tilsyns- og
håndhævelsesbeføjelser over for en væsentlig enhed, der er udpeget som kritisk.
Begge myndigheder bør samarbejde og udveksle oplysninger med henblik herpå.
(15) Opretholdelse og bevarelse af et pålideligt, modstandsdygtigt og sikkert
domænenavnesystem (DNS) er en afgørende faktor for at bevare internettets integritet
og er afgørende for dets fortsatte og stabile drift, som den digitale økonomi og det
digitale samfund er afhængige af. Derfor bør dette direktiv finde anvendelse på alle
udbydere af DNS-tjenester i DNS-oversættelseskæden, herunder operatører af
rodnavneservere, navneservere for topdomæner (TLD), autoritative navneservere til
domænenavne og rekursive resolvere.
(16) Cloud computing-tjenester bør omfatte tjenester, der giver mulighed for on demand-
adgang og bred fjernadgang til en skalerbar og elastisk pulje af delelige og
distribuerede computerressourcer. Disse computerressourcer omfatter ressourcer
såsom netværk, servere og anden infrastruktur, operativsystemer, software, lagring,
applikationer og tjenester. Ibrugtagningsmodellerne for cloud computing bør omfatte
privat, samfundsmæssig, offentlig og hybrid cloud. Ovennævnte tjeneste- og
ibrugtagningsmodeller har samme betydning som de tjeneste- og
ibrugtagningsmodeller, der er defineret i ISO/IEC 17788: 2014-standarden. Cloud
computing-brugerens mulighed for ensidigt selvforsynende databehandlingskapacitet,
såsom servertid eller netlagring, uden nogen menneskelig interaktion fra udbyderen af
cloud computing-tjenesters side, kan beskrives som on demand-administration.
Udtrykket "bred fjernadgang" anvendes til at beskrive, at cloud-kapaciteten leveres
over nettet og tilgås gennem mekanismer, der fremmer brugen af heterogene tynde
eller tykke klientplatforme (herunder mobiltelefoner, tablets, bærbare computere og
arbejdsstationer). Udtrykket "skalerbar" henviser til databehandlingsressourcer, der
fordeles fleksibelt af udbyderen af cloud computing-tjenester, uanset ressourcernes
geografiske placering, med henblik på at håndtere udsving i efterspørgslen. Udtrykket
"elastisk pulje" bruges til at beskrive de IT-ressourcer, der tilvejebringes og stilles til
rådighed alt efter efterspørgslen for hurtigt at øge eller mindske de tilgængelige
ressourcer alt efter arbejdsbyrden. Udtrykket "delbar" bruges til at beskrive de IT-
ressourcer, der leveres til flere brugere, som deler en fælles adgang til tjenesten, men
hvor databehandlingen foretages særskilt for hver bruger, selv om tjenesten leveres fra
samme elektroniske udstyr. Udtrykket "distribueret" anvendes til at beskrive de
databehandlingsressourcer, der befinder sig på forskellige netforbundne computere
eller enheder, og som kommunikerer og koordinerer indbyrdes ved at sende
meddelelser.
(17) I lyset af fremkomsten af innovative teknologier og nye forretningsmodeller forventes
nye udrulnings- og tjenestemodeller for cloud computing at dukke op på markedet som
reaktion på nye kundebehov. I denne forbindelse kan cloud computing-tjenester
DA 17 DA
leveres i en meget distribueret form, endnu tættere på de steder, hvor dataene
genereres eller indsamles, hvorved man bevæger sig væk fra den traditionelle model
og i retning af en meget distribueret model ("edge computing").
(18) Tjenester, der udbydes af datacentertjenesteudbydere, leveres ikke altid i form af cloud
computing-tjenester. Datacentre udgør derfor ikke altid en del af cloud computing-
infrastrukturen. For at styre alle de risici, der er forbundet med sikkerheden i net- og
informationssystemer, bør dette direktiv også omfatte udbydere af sådanne
datacentertjenester, som ikke er cloud computing-tjenester. I dette direktiv bør
begrebet "datacentertjeneste" omfatte levering af en tjeneste, der omfatter strukturer
eller grupper af strukturer, som er beregnet til central indkvartering, sammenkobling
og drift af informationsteknologi og netværksudstyr, der leverer datalagrings-,
behandlings- og transporttjenester, samt alle faciliteter og infrastrukturer til
energidistribution og miljøkontrol. Begrebet "datacentertjeneste" finder ikke
anvendelse på interne datacentre, der ejes og drives af den pågældende enhed til eget
brug.
(19) Udbydere af posttjenester som omhandlet i Europa-Parlamentets og Rådets direktiv
97/67/EF18
samt udbydere af ekspres- og kurertjenester bør være omfattet af dette
direktiv, hvis de leverer mindst ét led i postbefordringskæden og navnlig indsamling,
sortering eller omdeling, herunder afhentning. Transporttjenester, der ikke udføres i
forbindelse med et af disse trin, bør falde uden for posttjenesternes
anvendelsesområde.
(20) Denne voksende indbyrdes afhængighed er resultatet af et stadig mere
grænseoverskridende og indbyrdes afhængighedsskabende net af tjenester, der
anvender centrale infrastrukturer i hele Unionen inden for sektorerne energi, transport,
digital infrastruktur, drikkevand og spildevand, sundhed, visse aspekter af den
offentlige forvaltning samt rummet, for så vidt som leveringen af visse tjenester, der er
afhængige af jordbaserede infrastrukturer, som ejes, forvaltes og drives enten af
medlemsstaterne eller af private parter, derfor ikke omfatter infrastruktur, der ejes,
forvaltes eller drives af eller på vegne af Unionen som en del af dens rumprogrammer.
Disse indbyrdes afhængighedsforhold betyder, at enhver afbrydelse, selv en, der
oprindeligt var begrænset til én enhed eller én sektor, kan have kaskadevirkninger
mere generelt, hvilket potentielt kan føre til vidtrækkende og langvarige negative
virkninger for leveringen af tjenester i hele det indre marked. Covid-19-pandemien har
vist, at vores stadig mere indbyrdes afhængige samfund er sårbare over for risici med
lav sandsynlighed.
(21) I betragtning af forskellene i de nationale forvaltningsstrukturer og for at beskytte
allerede eksisterende sektorspecifikke ordninger eller Unionens tilsyns- og
tilsynsorganer bør medlemsstaterne kunne udpege mere end én national kompetent
myndighed, der er ansvarlig for at udføre de opgaver, som er forbundet med
sikkerheden i væsentlige og vigtige enheders net- og informationssystemer i henhold
til dette direktiv. Medlemsstaterne bør kunne tildele en eksisterende myndighed denne
rolle.
(22) For at lette grænseoverskridende samarbejde og kommunikation mellem myndigheder
og muliggøre en effektiv gennemførelse af dette direktiv er det nødvendigt, at hver
18
Europa-Parlamentets og Rådets direktiv 97/67/EF af 15. december 1997 om fælles regler for udvikling
af Fællesskabets indre marked for posttjenester og forbedring af disse tjenesters kvalitet (EFT L 15 af
21.1.1998, s. 14).
DA 18 DA
medlemsstat udpeger et nationalt centralt kontaktpunkt med ansvar for koordinering af
spørgsmål vedrørende sikkerheden i net- og informationssystemer og
grænseoverskridende samarbejde på EU-plan.
(23) De kompetente myndigheder eller CSIRT'erne bør modtage anmeldelser af hændelser
fra enheder på en effektiv måde. De centrale kontaktpunkter bør have til opgave at
videresende anmeldelser af hændelser til de centrale kontaktpunkter i andre berørte
medlemsstater. Inden for medlemsstaternes myndigheder bør de centrale
kontaktpunkter for at sikre, at der forefindes et enkelt kontaktpunkt i hver
medlemsstat, også være adressaterne for relevante oplysninger om hændelser
vedrørende enheder i den finansielle sektor fra de kompetente myndigheder i henhold
til forordning XXXX/XXXX, som de i givet fald bør kunne fremsende til de relevante
nationale kompetente myndigheder eller CSIRT'er i henhold til dette direktiv.
(24) Medlemsstaterne bør være udstyret med både tilstrækkelig teknisk og organisatorisk
kapacitet til at forebygge, detektere, reagere på og afhjælpe hændelser og risici i net-
og informationssystemer. Medlemsstaterne bør derfor sikre sig, at de har
velfungerende CSIRT'er, også kendt som IT-beredskabsenheder ("CERT'er"), som
opfylder de væsentlige krav med henblik for at sikre effektive og kompatible
kapaciteter til at reagere på hændelser og risici og til sikre et effektivt samarbejde på
EU-plan. Med henblik på at styrke tillidsforholdet mellem enhederne og CSIRT'erne
bør medlemsstaterne i tilfælde, hvor en CSIRT er en del af den kompetente
myndighed, overveje en funktionel adskillelse mellem CSIRT'ernes operationelle
opgaver, navnlig i forbindelse med udveksling af oplysninger og støtte til enhederne,
og de kompetente myndigheders tilsynsaktiviteter.
(25) For så vidt angår personoplysninger bør CSIRT'er i overensstemmelse med Europa-
Parlamentets og Rådets forordning (EU) 2016/67919
for så vidt angår
personoplysninger på vegne af og efter anmodning fra en enhed i henhold til dette
direktiv være i stand til at foretage en proaktiv scanning af de net- og
informationssystemer, der anvendes til levering af deres tjenester. Medlemsstaterne
bør tilstræbe at sikre et ensartet niveau af teknisk kapacitet for alle sektorspecifikke
CSIRT'er. Medlemsstaterne kan anmode Den Europæiske Unions Agentur for
Cybersikkerhed (ENISA) om bistand til at udvikle nationale CSIRT'er.
(26) I betragtning af betydningen af internationalt samarbejde om cybersikkerhed bør
CSIRT'er kunne deltage i internationale samarbejdsnetværk i tillæg til de CSIRT-
netværk, der er oprettet ved dette direktiv.
(27) I overensstemmelse med bilaget til Kommissionens henstilling (EU) 2017/1548 om
koordineret reaktion på store cybersikkerhedshændelser og -kriser ("planen")20
skal en
væsentlig hændelse forstås som en hændelse med en betydelig indvirkning på mindst
to medlemsstater, eller hvis forstyrrende virkninger overstiger en medlemsstats
kapacitet til at reagere på den. Alt efter årsag og virkning kan væsentlige hændelser
eskalere og udvikle sig til fuldgyldige kriser, der forhindrer det indre markeds korrekte
funktion. I betragtning af sådanne begivenheders vidtrækkende omfang og i de fleste
19
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119
af 4.5.2016, s. 1).
20
Kommissionens henstilling (EU) 2017/1584 af 13. september 2017 om en koordineret reaktion på
væsentlige cybersikkerhedshændelser og -kriser (EUT L 239 af 19.9.2017, s. 36).
DA 19 DA
tilfælde grænseoverskridende karakter bør medlemsstaterne og relevante EU-
institutioner, -organer og -agenturer samarbejde på teknisk, operationelt og politisk
plan for at koordinere indsatsen i hele Unionen.
(28) Eftersom udnyttelsen af sårbarheder i net- og informationssystemer kan forårsage
betydelige forstyrrelser og skader, er hurtig identifikation og afhjælpning af disse
sårbarheder en vigtig faktor med hensyn til at reducere cybersikkerhedsrisikoen.
Enheder, der udvikler sådanne systemer, bør derfor indføre passende procedurer til
håndtering af sårbarheder, når de opdages. Da sårbarheder ofte opdages og indberettes
(afsløres) af tredjeparter (underrettende enheder), bør producenten eller udbyderen af
IKT-produkter eller -tjenester også indføre de nødvendige procedurer for modtagelse
af sårbarhedsoplysninger fra tredjeparter. I denne forbindelse indeholder de
internationale standarder ISO/IEC 30111 og ISO/IEC 29417 vejledning om
henholdsvis håndtering af sårbarheder og offentliggørelse af sårbarheder. Hvad angår
oplysninger om sårbarheder er koordinering mellem de underrettende enheder og
producenter eller udbydere af IKT-produkter eller -tjenester særlig vigtig. Koordineret
offentliggørelse af sårbarheder angiver en struktureret proces, hvorigennem
sårbarheder indberettes til organisationer på en måde, der gør det muligt for
organisationen at diagnosticere og afhjælpe sårbarheden, inden detaljerede
sårbarhedsoplysninger videregives til tredjeparter eller offentligheden. Koordineret
offentliggørelse af sårbarheder bør også omfatte koordinering mellem den
underrettende enhed og organisationen med hensyn til tidspunktet for afhjælpning og
offentliggørelse af sårbarheder.
(29) Medlemsstaterne bør derfor træffe foranstaltninger til at fremme koordineret
offentliggørelse af sårbarheder ved at fastlægge en relevant national politik. I denne
forbindelse bør medlemsstaterne udpege en CSIRT til at påtage sig rollen som
"koordinator", der fungerer som formidler mellem de underrettende enheder og
producenter eller udbydere af IKT-produkter eller -tjenester, hvor det er nødvendigt.
CSIRT-koordinatorens opgaver bør navnlig omfatte identifikation af og kontakt til
berørte enheder, støtte til underrettende enheder, forhandling af tidsfrister for
offentliggørelse og håndtering af sårbarheder, der påvirker flere organisationer
(offentliggørelse af sårbarheder med flere parter). Hvis sårbarheder påvirker flere
producenter eller udbydere af IKT-produkter eller -tjenester, der er etableret i mere
end én medlemsstat, bør de udpegede CSIRT'er fra hver af de berørte medlemsstater
samarbejde inden for CSIRT-netværket.
(30) Adgang til korrekte og rettidige oplysninger om sårbarheder, der påvirker IKT-
produkter og -tjenester, bidrager til en forbedret risikostyring i forbindelse med
cybersikkerhed. I denne henseende er kilder til offentligt tilgængelige oplysninger om
sårbarheder et vigtigt redskab for enheder og deres brugere, men også for nationale
kompetente myndigheder og CSIRT'er. Derfor bør ENISA oprette et
sårbarhedsregister, hvor væsentlige og vigtige enheder og deres leverandører samt
enheder, der ikke er omfattet af dette direktivs anvendelsesområde, på frivillig basis
kan afsløre sårbarheder og fremlægge de sårbarhedsoplysninger, der gør det muligt for
brugerne at træffe passende afhjælpende foranstaltninger.
(31) Selv om der findes lignende sårbarhedsregistre eller -databaser, hostes og
vedligeholdes disse af enheder, der ikke er etableret i Unionen. Et europæisk
sårbarhedsregister, der føres af ENISA, vil give større gennemsigtighed med hensyn til
offentliggørelsesprocessen, inden sårbarheden offentliggøres officielt, og
modstandsdygtighed i tilfælde af forstyrrelser eller afbrydelser af leveringen af
tilsvarende tjenester. For at undgå dobbeltarbejde og tilstræbe komplementaritet i
DA 20 DA
videst muligt omfang bør ENISA undersøge muligheden for at indgå strukturerede
samarbejdsaftaler med lignende registre i tredjelandes jurisdiktioner.
(32) Samarbejdsgruppen bør hvert andet år udarbejde et arbejdsprogram, der omfatter de
foranstaltninger, som gruppen skal gennemføre for at nå sine mål og udføre sine
opgaver. Tidsrammen for det første program, der vedtages i henhold til dette direktiv,
bør tilpasses tidsrammen for det sidste program, der er vedtaget i henhold til direktiv
(EU) 2016/1148, for at undgå potentielle afbrydelser af gruppens arbejde.
(33) Når samarbejdsgruppen udarbejder vejledningsdokumenter, bør den konsekvent:
kortlægge nationale løsninger og erfaringer, vurdere virkningen af
samarbejdsgruppens resultater på nationale tilgange, drøfte
gennemførelsesudfordringer og formulere specifikke anbefalinger, der skal tackles
gennem bedre gennemførelse af eksisterende regler.
(34) Samarbejdsgruppen bør fortsat være et fleksibelt forum og være i stand til at reagere
på skiftende og nye politiske prioriteter og udfordringer, samtidig med at der tages
hensyn til de disponible ressourcer. Den bør tilrettelægge regelmæssige fælles møder
med relevante private interessenter fra hele Unionen for at drøfte gruppens aktiviteter
og indsamle input om nye politiske udfordringer. For at styrke samarbejdet på EU-
plan bør gruppen overveje at indbyde de EU-organer og -agenturer, der er involveret i
cybersikkerhedspolitikken, såsom Det Europæiske Center til Bekæmpelse af IT-
Kriminalitet (EC3), Den Europæiske Unions Luftfartssikkerhedsagentur (EASA) og
Den Europæiske Unions Agentur for Rumprogrammet (EUSPA), til at deltage i dets
arbejde.
(35) De kompetente myndigheder og CSIRT'er bør have beføjelse til at deltage i
udvekslingsordninger for embedsmænd fra andre medlemsstater for at forbedre
samarbejdet. De kompetente myndigheder bør træffe de foranstaltninger, der er
nødvendige for at sætte embedsmænd fra andre medlemsstater i stand til at spille en
effektiv rolle i den kompetente myndigheds aktiviteter.
(36) Unionen bør, hvor det er relevant, i overensstemmelse med artikel 218 i TEUF indgå
internationale aftaler med tredjelande eller internationale organisationer, som giver
disse mulighed for og tilrettelægger deres deltagelse i nogle af samarbejdsgruppens
aktiviteter og CSIRT-netværket. Sådanne aftaler bør sikre tilstrækkelig
databeskyttelse.
(37) Medlemsstaterne bør bidrage til oprettelsen af EU's krisereaktionsramme for
cybersikkerhed som fastsat i henstilling (EU) 2017/1584 gennem de eksisterende
samarbejdsnetværk, navnlig netværket af cyberkrisecentre (EU-CyCLONe), CSIRT-
netværket og samarbejdsgruppen. EU-CyCLONe og CSIRT-netværket bør samarbejde
på grundlag af proceduremæssige ordninger, der fastlægger de nærmere bestemmelser
for dette samarbejde. EU-CyCLONe's forretningsorden bør yderligere præcisere,
hvordan netværket skal fungere, herunder, men ikke begrænset til, roller,
samarbejdsmetoder, interaktion med andre relevante aktører og modeller for
informationsudveksling samt kommunikationsmidler. Med hensyn til krisestyring på
EU-plan bør de relevante parter være afhængige af de integrerede ordninger for
politisk kriserespons (IPCR). Kommissionen bør anvende den tværsektorielle
krisekoordinationsproces på højt niveau i ARGUS til dette formål. Hvis krisen har en
vigtig ekstern dimension eller berører den fælles sikkerheds- og forsvarspolitik
(FSFP), bør EU-Udenrigstjenestens krisereaktionsmekanisme (CRM) aktiveres.
DA 21 DA
(38) I dette direktiv henviser udtrykket "risiko" til risikoen for tab eller afbrydelse som
følge af en cybersikkerhedshændelse og bør udtrykkes som en kombination af
omfanget af et sådant tab eller en sådan afbrydelse og sandsynligheden for, at
hændelsen indtræffer.
(39) I dette direktiv forstås udtrykket "nærvedhændelse" som en begivenhed, der potentielt
kunne have forvoldt skade, men hvor det lykkedes at forhindre, at den indtraf fuldt ud.
(40) Risikostyringsforanstaltninger bør omfatte foranstaltninger til at identificere alle risici
for hændelser, forebygge, detektere og håndtere hændelser og begrænse deres
konsekvenser. Sikkerheden i net- og informationssystemer bør omfatte sikkerheden for
lagrede, overførte og behandlede data.
(41) Med henblik på at undgå, at operatører af væsentlige og vigtige enheder pålægges en
uforholdsmæssig stor økonomisk og administrativ byrde, bør kravene til
risikohåndtering stå i et rimeligt forhold til den risiko, der er forbundet med det
pågældende net- og informationssystem, under hensyntagen til sådanne
foranstaltningers aktuelle stade.
(42) Væsentlige og vigtige enheder bør garantere sikkerheden i de net- og
informationssystemer, som de anvender i forbindelse med deres aktiviteter. Der er
primært tale om private net- og informationssystemer, der forvaltes af deres interne IT-
personale, eller hvis sikkerhed er blevet outsourcet. Kravene til risikostyring og
rapportering vedrørende cybersikkerhed i henhold til dette direktiv bør finde
anvendelse på de relevante væsentlige og vigtige enheder, uanset om de udfører
vedligeholdelsen af deres net- og informationssystemer internt eller outsourcer den.
(43) Håndtering af cybersikkerhedsrisici, der stammer fra en enheds forsyningskæde og
dens forhold til sine leverandører, er særlig vigtig i betragtning af udbredelsen af
hændelser, hvor enheder er blevet ofre for cyberangreb, og hvor ondsindede aktører
har været i stand til at bringe sikkerheden i en enheds net- og informationssystemer i
fare ved at udnytte sårbarheder, der påvirker tredjepartsprodukter og -tjenester.
Enheder bør derfor vurdere og tage hensyn til den generelle kvalitet af deres
leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder
deres sikre udviklingsprocedurer.
(44) Blandt tjenesteudbydere spiller forvaltede udbydere af sikkerhedstjenester (MSSP'er)
på områder som reaktion på hændelser, penetrationstest, sikkerhedsrevisioner og
konsulentbistand en særlig vigtig rolle med hensyn til at bistå enheder i deres
bestræbelser på at opdage og reagere på hændelser. Disse MSSP'er har imidlertid også
selv været mål for cyberangreb og udgør i kraft af deres tætte integration i
operatørernes aktiviteter en særlig cybersikkerhedsrisiko. Enheder bør derfor udvise
øget omhu ved udvælgelsen af en MSSP.
(45) Enheder bør også tage højde for cybersikkerhedsrisici, der stammer fra deres samspil
og forbindelser med andre interessenter inden for et bredere økosystem. Navnlig bør
enheder træffe passende foranstaltninger til at sikre, at deres samarbejde med
akademiske institutioner og forskningsinstitutioner finder sted i overensstemmelse
med deres cybersikkerhedspolitikker og følger god praksis med hensyn til sikker
adgang til og formidling af oplysninger generelt og beskyttelse af intellektuel ejendom
i særdeleshed. På samme måde bør enhederne i betragtning af dataenes betydning og
værdi for enhedernes aktiviteter, træffe alle passende cybersikkerhedsforanstaltninger,
når de benytter sig af datatransformations- og dataanalysetjenester fra tredjeparter.
DA 22 DA
(46) For yderligere at håndtere centrale risici i forsyningskæden og bistå enheder, der
opererer i sektorer, som er omfattet af dette direktiv, med at håndtere
cybersikkerhedsrisici i forsyningskæden og vedrørende leverandører hensigtsmæssigt,
bør samarbejdsgruppen, der involverer relevante nationale myndigheder, i samarbejde
med Kommissionen og ENISA foretage koordinerede sektorbaserede
risikovurderinger af forsyningskæden, som det allerede er sket for 5G-net i henhold til
henstilling (EU) 2019/534 om cybersikkerhed i 5G-net21
med henblik på inden for
hver enkelt sektor at identificere de kritiske IKT-tjenester, -systemer eller -produkter,
relevante trusler og sårbarheder.
(47) Ved risikovurderingen af forsyningskæden bør der i lyset af kendetegnene ved den
pågældende sektor tages hensyn til både tekniske og, hvor det er relevant, ikketekniske
faktorer, herunder dem, der er defineret i henstilling (EU) 2019/534, i den EU-
dækkende koordinerede risikovurdering af 5G-netsikkerhed og i EU-værktøjskassen
om 5G-cybersikkerhed, som samarbejdsgruppen er nået til enighed om. For at udpege
de forsyningskæder, der bør gøres til genstand for en koordineret risikovurdering, bør
følgende kriterier tages i betragtning: i) i hvilket omfang væsentlige og vigtige enheder
anvender og er afhængige af specifikke kritiske IKT-tjenester, -systemer eller -
produkter, ii) relevansen af specifikke kritiske IKT-tjenester, -systemer eller -
produkter til udførelse af kritiske eller følsomme funktioner, herunder behandling af
personoplysninger, iii) adgangen til alternative IKT-tjenester, -systemer eller -
produkter, iv) modstandsdygtigheden i den samlede forsyningskæde for IKT-tjenester,
-systemer eller -produkter over for afbrydelser og v) for nye IKT-tjenester, -systemer
eller -produkter, deres potentielle fremtidige betydning for enhedernes aktiviteter.
(48) For at strømline de retlige forpligtelser, der pålægges udbydere af offentlige
elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske
kommunikationstjenester og tillidstjenesteydere i forbindelse med sikkerheden i deres
net- og informationssystemer, og for at gøre det muligt for disse enheder og deres
respektive kompetente myndigheder at drage fordel af de retlige rammer, der er fastsat
i dette direktiv (herunder udpegelse af en CSIRT, der er ansvarlig for risiko- og
hændelseshåndtering, kompetente myndigheders og organers deltagelse i
samarbejdsgruppens og CSIRT-netværkets arbejde), bør de være omfattet af dette
direktivs anvendelsesområde. De tilsvarende bestemmelser i Europa-Parlamentets og
Rådets forordning (EU) nr. 910/201422
og Europa-Parlamentets og Rådets direktiv
(EU) 2018/197223
vedrørende indførelse af sikkerhedskrav og underretningspligt for
disse typer enheder bør derfor ophæves. Reglerne om rapporteringsforpligtelser bør
ikke berøre forordning (EU) 2016/679 og Europa-Parlamentets og Rådets direktiv
2002/58/EF24
.
(49) Hvor det er hensigtsmæssigt og for at undgå unødige afbrydelser, bør de kompetente
myndigheder med ansvar for tilsyn og håndhævelse fortsat anvende eksisterende
21
Kommissionens henstilling (EU) 2019/534 af 26. marts 2019 Cybersikkerheden i forbindelse med 5G-
net (EUT L 88 af 29.3.2019, s. 42).
22
Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk
identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om
ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).
23
Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en
europæisk kodeks for elektronisk kommunikation (EUT L 321 af 17.12.2018, s. 36).
24
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af
personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv
om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
DA 23 DA
nationale retningslinjer og national lovgivning, der er vedtaget med henblik på
gennemførelse af reglerne vedrørende sikkerhedsforanstaltninger i artikel 40, stk. 1, i
direktiv (EU) 2018/1972, samt af kravene i artikel 40, stk. 2, i nævnte direktiv om
parametre vedrørende en hændelses indvirkning.
(50) I betragtning af nummeruafhængige interpersonelle kommunikationstjenesters
stigende betydning er det nødvendigt at sikre, at sådanne tjenester også er omfattet af
passende sikkerhedskrav i lyset af deres særlige karakter og økonomiske betydning.
Leverandører af sådanne tjenester bør således også garantere et sikkerhedsniveau for
net- og informationssystemer, der står i forhold til risikoen. Da udbydere af
nummeruafhængige interpersonelle kommunikationstjenester normalt ikke udøver
egentlig kontrol over transmissionen af signaler via net, kan risikoen i forbindelse med
disse tjenester i visse henseender anses for at være lavere end i forbindelse med
traditionelle elektroniske kommunikationstjenester. Det samme gælder interpersonelle
kommunikationstjenester, der anvender numre, og som ikke udøver faktisk kontrol
over signaltransmission.
(51) Det indre marked er mere afhængigt af internettets funktion end nogensinde før.
Næsten alle væsentlige og vigtige enheders tjenester er afhængige af tjenester, der
leveres over internettet. For at sikre en problemfri levering af tjenester, der udbydes af
væsentlige og vigtige enheder, er det vigtigt, at offentlige elektroniske
kommunikationsnet, som f.eks. internetbasisnettet eller undersøiske
kommunikationskabler, har indført passende cybersikkerhedsforanstaltninger og
foretager underretninger om hændelser i forbindelse hermed.
(52) Hvor det er relevant, bør enheder underrette deres tjenestemodtagere om særlige og
væsentlige trusler og om de foranstaltninger, de kan træffe for at afbøde den deraf
følgende risiko for dem selv. Kravet om at underrette disse modtagere om sådanne
trusler bør ikke fritage enhederne for forpligtelsen til for egen regning at træffe
passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe eventuelle
cybertrusler og genoprette tjenestens normale sikkerhedsniveau. Sådanne oplysninger
om sikkerhedstrusler bør stilles gratis til rådighed for modtagerne.
(53) Det gælder navnlig, at udbydere af offentlige elektroniske kommunikationsnet eller
offentligt tilgængelige elektroniske kommunikationstjenester bør informere
modtagerne af tjenesten om særlige og væsentlige trusler og om, hvordan de kan sikre
deres kommunikation, f.eks. ved at anvende bestemte typer software eller
krypteringsteknologier.
(54) For at beskytte sikkerheden i elektroniske kommunikationsnet og -tjenester bør brugen
af kryptering, navnlig end-to-end-kryptering, fremmes og om nødvendigt være
obligatorisk for udbydere af sådanne tjenester og net i overensstemmelse med
principperne om sikkerhed og privatlivsbeskyttelse gennem standardindstillinger og
indbygget privatlivsbeskyttelse med henblik på artikel 18. Brugen af end-to-end-
kryptering bør forenes med medlemsstaternes beføjelser til at sikre beskyttelsen af
deres væsentlige sikkerhedsinteresser og den offentlige sikkerhed og til at muliggøre
efterforskning, afsløring og retsforfølgning af strafbare handlinger i overensstemmelse
med EU-retten. Løsninger for lovlig adgang til oplysninger i end-to-end-krypteret
kommunikation bør opretholde krypteringens effektivitet med hensyn til at beskytte
privatlivets fred og kommunikationssikkerheden og samtidig sikre en effektiv
bekæmpelse af kriminalitet.
(55) I dette direktiv fastlægges en totrinstilgang for underretning om hændelser med
henblik på at finde den rette balance mellem på den ene side hurtig indberetning, der
DA 24 DA
bidrager til at afbøde den potentielle spredning af hændelser og giver enheder
mulighed for at søge støtte, og på den anden side grundig indberetning, der udleder
værdifulde erfaringer af individuelle hændelser og med tiden forbedrer individuelle
virksomheders og hele sektorers modstandsdygtighed over for cybertrusler. Hvis
enheder bliver opmærksomme på en hændelse, bør de være forpligtet til at indsende en
første underretning inden for 24 timer efterfulgt af en endelig rapport senest en måned
efter. Den første underretning bør kun indeholde de oplysninger, der er strengt
nødvendige for at gøre de kompetente myndigheder opmærksomme på hændelsen og
give enheden mulighed for at søge bistand, hvis det er nødvendigt. En sådan
underretning bør, hvor det er relevant, angive, om hændelsen formodes at være
forårsaget af ulovlige eller ondsindede handlinger. Medlemsstaterne bør sikre, at
kravet om at foretage denne første underretning ikke fjerner den underrettende enheds
ressourcer fra aktiviteter vedrørende håndtering af hændelser, der bør prioriteres. For
yderligere at forhindre, at forpligtelser til underretning om hændelser enten
omdirigerer ressourcer fra håndtering af hændelser eller på anden måde kan bringe
enhedernes indsats i den forbindelse i fare, bør medlemsstaterne også fastsætte, at den
pågældende enhed i behørigt begrundede tilfælde og efter aftale med de kompetente
myndigheder eller CSIRT'en kan afvige fra fristerne på 24 timer for den første
underretning og en måned for den endelige rapport.
(56) Væsentlige og vigtige enheder befinder sig ofte i en situation, hvor en bestemt
hændelse på grund af dens karakteristika skal indberettes til forskellige myndigheder
som følge af underretningspligten i forskellige retsakter. Sådanne tilfælde medfører
yderligere byrder og kan også føre til usikkerhed med hensyn til formatet af og
procedurerne for sådanne meddelelser. Med henblik herpå og med henblik på at
forenkle indberetningen af sikkerhedshændelser bør medlemsstaterne oprette et fælles
kontaktpunkt for alle meddelelser, der kræves i henhold til dette direktiv og også i
henhold til anden EU-lovgivning såsom forordning (EU) 2016/679 og direktiv
2002/58/EF. ENISA bør i samarbejde med samarbejdsgruppen udvikle fælles
underretningsmodeller ved hjælp af retningslinjer, der vil forenkle og strømline de
underretningsoplysninger, der kræves i henhold til EU-retten, og mindske byrderne for
virksomhederne.
(57) Hvis der er mistanke om, at en hændelse har forbindelse til alvorlige kriminelle
aktiviteter i henhold til EU-retten eller national ret, bør medlemsstaterne opfordre
væsentlige og vigtige enheder til på grundlag af gældende strafferetsplejeregler i
overensstemmelse med EU-retten at indberette hændelser af formodet alvorlig
kriminel karakter til de relevante retshåndhævende myndigheder. Hvor det er relevant,
og uden at det berører de regler om beskyttelse af personoplysninger, der gælder for
Europol, er det ønskeligt, at EC3 og ENISA letter koordineringen mellem de
kompetente myndigheder og de retshåndhævende myndigheder i forskellige
medlemsstater.
(58) Personoplysninger bliver i mange tilfælde kompromitteret som følge af hændelser. I
denne forbindelse bør de kompetente myndigheder samarbejde og udveksle
oplysninger om alle relevante spørgsmål med databeskyttelsesmyndighederne og
tilsynsmyndighederne i henhold til direktiv 2002/58/EF.
(59) Det er afgørende at vedligeholde nøjagtige og fuldstændige databaser over
domænenavne og registreringsdata (såkaldte "WHOIS-data") og give lovlig adgang til
sådanne data for at sikre DNS'ens sikkerhed, stabilitet og modstandsdygtighed, hvilket
igen bidrager til et højt fælles cybersikkerhedsniveau i Unionen. Hvis behandlingen
DA 25 DA
omfatter personoplysninger, skal denne behandling være i overensstemmelse med
EU's databeskyttelseslovgivning.
(60) Offentlige myndigheders, herunder kompetente myndigheder i henhold til EU-retten
eller national ret med henblik på forebyggelse, efterforskning eller retsforfølgning af
strafbare handlinger, CERT'er, CSIRT'er og for så vidt angår deres kunders data til
udbydere af elektroniske kommunikationsnet og -tjenester og udbydere af
cybersikkerhedsteknologier og -tjenester, der handler på vegne af disse kunder,
mulighed for at tilgå og få rettidig adgang til disse data er afgørende for at forebygge
og bekæmpe misbrug af domænenavnesystemet, navnlig for at forebygge, opdage og
reagere på cybersikkerhedshændelser. En sådan adgang bør ske i overensstemmelse
med EU's databeskyttelseslovgivning, for så vidt som den vedrører personoplysninger.
(61) For at sikre, at der er adgang til nøjagtige og fuldstændige data til registrering af
domænenavne, bør topdomæneregistraturer og enheder, der leverer tjenester til
registrering af domænenavne (såkaldte registratorer), indsamle og garantere
integriteten og tilgængeligheden af registreringsdata for domænenavne.
Topdomæneregistraturer og enheder, der leverer domænenavneregistreringstjenester
for topdomænet, bør navnlig fastlægge politikker og procedurer for indsamling og
vedligeholdelse af nøjagtige og fuldstændige registreringsdata samt for at forhindre og
korrigere unøjagtige registreringsdata i overensstemmelse med EU's
databeskyttelsesregler.
(62) Topdomæneregistraturer og enheder, der leverer tjenester til registrering af
domænenavne for dem, bør offentliggøre oplysninger om registrering af
domænenavne, der falder uden for anvendelsesområdet for EU's
databeskyttelsesregler, såsom data, der vedrører juridiske personer25
.
Topdomæneregistraturer og enheder, der leverer domænenavneregistreringstjenester
for topdomænet, bør også give legitime adgangssøgende lovlig adgang til specifikke
domænenavnsregistreringsdata om fysiske personer i overensstemmelse med EU's
databeskyttelseslovgivning. Medlemsstaterne bør sikre, at topdomæneregistraturer og
enheder, der udbyder tjenester til registrering af domænenavne for dem, uden unødig
forsinkelse besvarer anmodninger fra legitime adgangssøgende om videregivelse af
oplysninger om registrering af domænenavne. Topdomæneregistraturer og de enheder,
der leverer registreringstjenester for domænenavne til dem, bør fastlægge politikker og
procedurer for offentliggørelse og fremlæggelse af registreringsdata, herunder
serviceleveranceaftaler til behandling af anmodninger om adgang fra legitime
adgangssøgende. Adgangsproceduren kan også omfatte brug af en grænseflade, en
portal eller et andet teknisk værktøj til at tilvejebringe et effektivt system til
anmodning om og adgang til registreringsdata. Med henblik på at fremme en
harmoniseret praksis i hele det indre marked kan Kommissionen vedtage retningslinjer
for sådanne procedurer, uden at dette berører Det Europæiske Databeskyttelsesråds
beføjelser.
(63) Alle væsentlige og vigtige enheder i henhold til dette direktiv bør henhøre under
jurisdiktionen i den medlemsstat, hvor de leverer deres tjenester. Hvis enheden leverer
tjenester i mere end én medlemsstat, bør den henhøre under hver af disse
25
Europa-Parlamentets og Rådets forordning (EU) 2016/679, betragtning 14: "Denne forordning finder
ikke anvendelse på behandling af personoplysninger, der vedrører juridiske personer, navnlig
virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og
kontaktoplysninger".
DA 26 DA
medlemsstaters særskilte og parallelle jurisdiktion. De kompetente myndigheder i
disse medlemsstater bør samarbejde, yde gensidig bistand til hinanden og, hvor det er
relevant, gennemføre fælles tilsynsforanstaltninger.
(64) For at tage hensyn til den grænseoverskridende karakter af DNS-tjenesteudbyderes
tjenester og operationer, topdomænenavneregistraturer, udbydere af
indholdsleveringsnetværk, udbydere af cloud computing-tjenester,
datacentertjenesteudbydere og digitale udbydere bør kun én medlemsstat have
jurisdiktion over disse enheder. Jurisdiktionen bør tillægges den medlemsstat, hvor
den pågældende enhed har sit hovedsæde i Unionen. Etableringskriteriet i dette
direktiv indebærer faktisk udøvelse af virksomhed gennem faste ordninger. De
pågældende ordningers juridiske form, hvad enten der er tale om en filial eller et
datterselskab med status som juridisk person, har ikke afgørende betydning i denne
forbindelse. Dette kriterium bør ikke afhænge af, hvorvidt net- og
informationssystemerne fysisk befinder sig på et givent sted. Tilstedeværelsen og
anvendelsen af sådanne systemer udgør ikke i sig selv et sådant hjemsted og er derfor
ikke et kriterium for fastlæggelse af hjemstedet. Hovedvirksomheden bør være det
sted, hvor beslutningerne vedrørende foranstaltninger til styring af
cybersikkerhedsrisikoen træffes i Unionen. Dette vil typisk svare til placeringen af
selskabernes centrale administration i Unionen. Hvis sådanne beslutninger ikke træffes
i Unionen, bør hovedvirksomheden anses for at befinde sig i de medlemsstater, hvor
enheden har en virksomhed med det største antal ansatte i Unionen. Når tjenesterne
udføres af en gruppe af virksomheder, bør den kontrollerende virksomheds
hovedvirksomhed anses for at være gruppen af virksomheders hovedvirksomhed.
(65) I tilfælde, hvor en DNS-tjenesteudbyder, et topdomænenavneregistratur, en udbyder af
indholdsudsendelsesnetværk, en udbyder af cloud computing-tjenester, en
datacentertjenesteudbyder og en digital udbyder, der ikke er etableret i Unionen,
udbyder tjenester i Unionen, bør denne udpege en repræsentant. Med henblik på at
afgøre, om en sådan udbyder af digitale tjenester tilbyder tjenester i Unionen, bør det
fastslås, om det er åbenbart, at udbyderen af digitale tjenester påtænker at tilbyde
tjenester til personer i en eller flere medlemsstater. Alene det forhold, at der i Unionen
er adgang til udbyderen af digitale tjenesters eller en mellemmands websted eller til en
e-mailadresse og andre kontaktoplysninger, eller at der benyttes et sprog, som
almindeligvis benyttes i det tredjeland, hvor enheden er etableret, er ikke tilstrækkeligt
til at fastslå en sådan hensigt. Imidlertid kan faktorer såsom anvendelse af et sprog
eller en valuta, der almindeligvis anvendes i en eller flere medlemsstater med
mulighed for at bestille tjenester på det pågældende sprog, eller omtale af kunder eller
brugere, der befinder sig i Unionen, gøre det åbenbart, at udbyderen af enhed påtænker
at tilbyde tjenester i Unionen. Repræsentanten bør handle på vegne af enheden, og
kompetente myndigheder eller CSIRT'er bør kunne kontakte repræsentanten.
Repræsentanten bør udtrykkeligt udpeges ved et skriftligt mandat fra udbyderen af
digitale tjenester til at handle på sidstnævntes vegne for så vidt angår sidstnævntes
forpligtelser i medfør af dette direktiv, herunder underretning om hændelser.
(66) Hvis oplysninger, der betragtes som klassificerede i henhold til national ret eller EU-
retten, udveksles, indberettes eller på anden måde deles i henhold til bestemmelserne i
dette direktiv, bør de tilsvarende specifikke regler for håndtering af klassificerede
oplysninger finde anvendelse.
(67) I takt med at cybertruslerne bliver mere komplekse og sofistikerede, er gode
detektions- og forebyggelsesforanstaltninger i høj grad afhængige af regelmæssig
udveksling af trussels- og sårbarhedsefterretninger mellem enheder.
DA 27 DA
Informationsudveksling bidrager til øget bevidsthed om cybertrusler, hvilket igen
styrker finansielle enheders evne til at forhindre trusler i at blive til faktiske hændelser
og sætter enhederne i stand til bedre at inddæmme virkningerne af hændelser og
foretage en mere effektiv genopretning. Da der ikke findes nogen retningslinjer på EU-
plan, synes flere faktorer at have hæmmet en sådan udveksling af efterretninger,
navnlig usikkerhed om foreneligheden med databeskyttelsesregler, antitrustregler og
regler om ansvar.
(68) Enheder bør tilskyndes til i fællesskab at øge deres individuelle viden og praktiske
erfaring på strategisk, taktisk og operationelt plan med henblik på at styrke deres
kapacitet til i tilstrækkeligt omfang at vurdere, overvåge, forsvare sig mod og reagere
på cybertrusler. Det er derfor nødvendigt at gøre det muligt at etablere mekanismer på
EU-plan for frivillige ordninger for udveksling af oplysninger. Med henblik herpå bør
medlemsstaterne aktivt støtte og tilskynde også relevante enheder, der ikke er omfattet
af dette direktivs anvendelsesområde, til at deltage i sådanne
informationsudvekslingsmekanismer. Disse mekanismer bør gennemføres i fuld
overensstemmelse med Unionens konkurrenceregler og EU-rettens regler om
databeskyttelse.
(69) Behandling af personoplysninger, i det omfang det er strengt nødvendigt og står i et
rimeligt forhold til målet om at sikre net- og informationssikkerhed hos enheder,
offentlige myndigheder, CERT'er, CSIRT'er og udbydere af sikkerhedsteknologier og
-tjenester, bør udgøre en legitim interesse for den pågældende dataansvarlige, jf.
forordning (EU) 2016/679. Dette bør omfatte foranstaltninger vedrørende
forebyggelse, opdagelse, analyse og reaktion på hændelser, foranstaltninger til at øge
bevidstheden i forbindelse med specifikke cybertrusler, udveksling af oplysninger i
forbindelse med afhjælpning af sårbarheder og koordineret videregivelse samt frivillig
udveksling af oplysninger om disse hændelser samt cybertrusler og sårbarheder,
kompromitteringsindikatorer, taktikker, teknikker og procedurer,
cybersikkerhedsadvarsler og konfigurationsværktøjer. Sådanne foranstaltninger kan
kræve behandling af følgende typer personoplysninger: IP-adresser, uniform resources
locators (URL'er), domænenavne og e-mailadresser.
(70) For at styrke de tilsynsbeføjelser og -foranstaltninger, der bidrager til at sikre effektiv
overholdelse, bør dette direktiv indeholde en minimumsliste over
tilsynsforanstaltninger og -midler, hvorigennem de kompetente myndigheder kan føre
tilsyn med væsentlige og vigtige enheder. Desuden bør der ved dette direktiv indføres
en differentiering af tilsynsordningen mellem væsentlige og vigtige enheder med
henblik på at sikre en rimelig balance mellem forpligtelser for både enheder og
kompetente myndigheder. Væsentlige enheder bør derfor være underlagt en fuldt
udbygget tilsynsordning (forudgående og efterfølgende), mens vigtige enheder bør
være underlagt en lempelig tilsynsordning, som kun gælder efterfølgende. For
sidstnævnte betyder dette, at vigtige enheder ikke systematisk bør dokumentere
overholdelsen af kravene for styring af cybersikkerhedsrisici, mens de kompetente
myndigheder bør anvende en reaktiv efterfølgende tilgang til tilsyn og dermed ikke
have en generel forpligtelse til at føre tilsyn med disse enheder.
(71) For at gøre håndhævelsen effektiv bør der fastlægges en minimumsliste over
administrative sanktioner for brud på forpligtelserne vedrørende styring af
cybersikkerhedsrisici og rapportering i dette direktiv, som opstiller en klar og
konsekvent ramme for sådanne sanktioner i hele Unionen. Der bør tages behørigt
hensyn til overtrædelsens art, grovhed og varighed, den faktiske skade eller de lidte
tab eller potentielle skader eller tab, der kunne være blevet udløst, overtrædelsens
DA 28 DA
forsætlige eller uagtsomme karakter, de foranstaltninger, der er truffet for at forebygge
eller begrænse den lidte skade og/eller de lidte tab, graden af ansvar eller eventuelle
relevante tidligere overtrædelser, graden af samarbejde med den kompetente
myndighed og enhver anden skærpende eller formildende omstændighed. Pålæggelse
af sanktioner, herunder administrative bøder, bør være omfattet af fornødne
proceduremæssige garantier i overensstemmelse med de generelle principper i EU-
retten og Den Europæiske Unions charter om grundlæggende rettigheder, herunder
effektiv retsbeskyttelse og en retfærdig rettergang.
(72) For at sikre en effektiv håndhævelse af de forpligtelser, der er fastsat i dette direktiv,
bør hver kompetent myndighed have beføjelse til at pålægge eller anmode om
pålæggelse af administrative bøder.
(73) Når en virksomhed pålægges administrative bøder, forstås en virksomhed i denne
forbindelse som en virksomhed som omhandlet i artikel 101 og 102 i TEUF. Når
personer, der ikke er en virksomhed, pålægges administrative bøder, bør
tilsynsmyndigheden i forbindelse med fastsættelsen af bødestørrelsen tage hensyn til
det generelle indkomstniveau i den pågældende medlemsstat og personens
økonomiske situation. Det bør være op til medlemsstaterne at bestemme, om og i
hvilket omfang de offentlige myndigheder bør kunne pålægges administrative bøder.
Pålæggelse af en administrativ bøde berører ikke de kompetente myndigheders
anvendelse af andre beføjelser eller andre sanktioner, der er fastsat i de nationale
regler til gennemførelse af dette direktiv.
(74) Medlemsstaterne bør kunne fastsætte regler om strafferetlige sanktioner for
overtrædelse af de nationale regler til gennemførelse af dette direktiv. Pålæggelse af
strafferetlige sanktioner for overtrædelse af sådanne nationale regler og tilknyttede
administrative sanktioner bør dog ikke føre til et brud på ne bis in idem-princippet som
fortolket af EU-Domstolen.
(75) Når dette direktiv ikke harmoniserer administrative sanktioner eller om nødvendigt i
andre tilfælde, f.eks. i tilfælde af alvorlige overtrædelser af forpligtelser, der er fastsat i
dette direktiv, bør medlemsstaterne indføre en ordning, der giver mulighed for at
pålægge sanktioner, som er effektive, står i rimeligt forhold til overtrædelsen og har
afskrækkende virkning. Sanktionernes art, strafferetlige eller administrative, bør
fastsættes i medlemsstaternes nationale ret.
(76) For yderligere at styrke effektiviteten og den afskrækkende virkning af de sanktioner,
der finder anvendelse på overtrædelser af forpligtelser, der er fastsat i henhold til dette
direktiv, bør de kompetente myndigheder have beføjelse til at anvende sanktioner, der
består i at suspendere en certificering eller tilladelse vedrørende en væsentlig enheds
tjenester eller dele heraf og indføre et midlertidigt forbud mod en fysisk persons
udøvelse af ledelsesfunktioner. I betragtning af deres alvor og indvirkning på
enhedernes aktiviteter og i sidste ende på deres forbrugere bør sådanne sanktioner kun
anvendes proportionalt med overtrædelsens alvor og under hensyntagen til de særlige
omstændigheder i den enkelte sag, herunder overtrædelsens forsætlige eller
uagtsomme karakter, foranstaltninger, der træffes for at forebygge eller begrænse den
lidte skade og/eller de lidte tab. Sådanne sanktioner bør kun anvendes som ultima
ratio, dvs. kun efter at de øvrige relevante håndhævelsesforanstaltninger, der er fastsat
i dette direktiv, er udtømt, og kun indtil de enheder, de pålægges, træffer de
nødvendige foranstaltninger for at afhjælpe manglerne eller opfylde kravene fra den
kompetente myndighed, for hvilken sådanne sanktioner er blevet anvendt. Pålæggelse
af sådanne sanktioner skal være underlagt fornødne proceduremæssige garantier i
DA 29 DA
overensstemmelse med de generelle principper i EU-retten og Den Europæiske Unions
charter om grundlæggende rettigheder, herunder effektiv retsbeskyttelse, retfærdig
rettergang, uskyldsformodning og retten til et forsvar.
(77) Dette direktiv bør fastlægge samarbejdsregler mellem de kompetente myndigheder og
tilsynsmyndighederne i overensstemmelse med forordning (EU) 2016/679 om
behandling af overtrædelser vedrørende personoplysninger.
(78) Dette direktiv bør sigte mod at sikre et højt ansvarsniveau for
risikohåndteringsforanstaltninger og rapporteringsforpligtelser i forbindelse med
cybersikkerhed på organisationsniveau. Derfor bør ledelsesorganerne for de enheder,
der er omfattet af dette direktiv, godkende foranstaltningerne vedrørende
cybersikkerhedsrisici og føre tilsyn med deres gennemførelse.
(79) Der bør indføres en peerevalueringsmekanisme, som gør det muligt for eksperter
udpeget af medlemsstaterne at vurdere gennemførelsen af cybersikkerhedspolitikker,
herunder niveauet af medlemsstaternes kapaciteter og tilgængelige ressourcer.
(80) For at tage hensyn til nye cybertrusler, den teknologiske udvikling eller
sektorspecifikke særtræk bør beføjelsen til at vedtage retsakter delegeres til
Kommissionen i overensstemmelse med artikel 290 i TEUF for så vidt angår
elementerne i forbindelse med de risikostyringsforanstaltninger, der kræves i henhold
til dette direktiv. Kommissionen bør også tillægges beføjelser til at vedtage delegerede
retsakter, der fastsætter, hvilke kategorier af væsentlige enheder der skal have en
attest, og i henhold til hvilke specifikke europæiske certificeringsordninger vedrørende
cybersikkerhed. Det er navnlig vigtigt, at Kommissionen gennemfører relevante
høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse
høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle
aftale af 13. april 2016 om bedre lovgivning26
. For at sikre lige deltagelse i
forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig
alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har
systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig
med forberedelse af delegerede retsakter.
(81) For at sikre ensartede betingelser for gennemførelsen af de relevante bestemmelser i
dette direktiv vedrørende de proceduremæssige ordninger, der er nødvendige for
samarbejdsgruppens funktion, de tekniske elementer vedrørende
risikostyringsforanstaltninger eller typen af oplysninger, formatet og proceduren for
anmeldelser af hændelser bør Kommissionen tillægges gennemførelsesbeføjelser.
Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets
forordning (EU) nr. 182/201127
.
(82) Kommissionen bør regelmæssigt tage dette direktivs bestemmelser op til fornyet
overvejelse efter høring af interesserede parter, navnlig med henblik på at afgøre, om
der er behov for ændringer i lyset af skiftende samfundsmæssige, politiske eller
teknologiske vilkår eller markedsvilkår.
(83) Eftersom målene for dette direktiv, nemlig at opnå et højt, fælles sikkerhedsniveau i
net- og informationssystemer i Unionen, ikke i tilstrækkelig grad kan opfyldes af
26
EUT L 123 af 12.5.2016, s. 1.
27
Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle
regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af
gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
DA 30 DA
medlemsstaterne, men på grund af handlingens virkninger bedre kan nås på EU-plan,
kan Unionen derfor vedtage foranstaltninger i overensstemmelse med
nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I
overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette
direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.
(84) Dette direktiv overholder de grundlæggende rettigheder og de principper, der
anerkendes i Den Europæiske Unions charter om grundlæggende rettigheder, navnlig
retten til respekt for privatlivet og kommunikation, beskyttelsen af personoplysninger,
frihed til at oprette og drive egen virksomhed, ejendomsretten og retten til effektive
retsmidler for en domstol og retten til at blive hørt. Direktivet bør gennemføres i
overensstemmelse med disse rettigheder og principper —
VEDTAGET DETTE DIREKTIV:
KAPITEL I
Generelle bestemmelser
Artikel 1
Genstand
1. Dette direktiv fastsætter foranstaltninger med henblik på at sikre et højt fælles
cybersikkerhedsniveau i Unionen.
2. Med henblik herpå gælder det for dette direktiv, at:
(a) det fastsætter forpligtelser for medlemsstaterne til at vedtage nationale
cybersikkerhedsstrategier, udpege kompetente nationale myndigheder,
centrale kontaktpunkter og enheder, der håndterer IT-
sikkerhedshændelser (CSIRT'er)
b) det fastsætter forpligtelser til risikostyring og underretning om
cybersikkerhedsrisici for enheder af en type, der benævnes væsentlige enheder
i bilag I og vigtige enheder i bilag II
(c) det fastsætter forpligtelser vedrørende udveksling af
cybersikkerhedsoplysninger.
Artikel 2
Anvendelsesområde
1. Dette direktiv finder anvendelse på offentlige og private enheder af en type, der
betegnes som væsentlige enheder i bilag I og som vigtige enheder i bilag II. Dette
DA 31 DA
direktiv finder ikke anvendelse på enheder, der betragtes som mikrovirksomheder og
små virksomheder som omhandlet i Kommissionens henstilling 2003/361/EF28
.
2. Uanset deres størrelse finder dette direktiv dog også anvendelse på enheder, der er
omhandlet i bilag I og II, hvis:
(a) tjenesterne leveres af en af følgende enheder:
i) offentlige elektroniske kommunikationsnet eller offentligt tilgængelige
elektroniske kommunikationstjenester som omhandlet i bilag I, punkt 8
ii) tillidstjenester som omhandlet i bilag I, punkt 8
iii) udbydere af topdomænenavneregistre og domænenavnesystemer (DNS),
jf. bilag I, punkt 8
b) enheden er en offentlig forvaltningsenhed som omhandlet i artikel 4, nr. 23)
c) enheden er den eneste tjenesteyder i en medlemsstat
d) en potentiel forstyrrelse af den tjeneste, enheden leverer, kan have indvirkning
på den offentlige sikkerhed eller folkesundheden
e) en potentiel forstyrrelse af den tjeneste, der leveres af enheden, kan medføre
systemiske risici, navnlig for de sektorer, hvor en sådan forstyrrelse kan have
en grænseoverskridende virkning
f) enheden er kritisk på grund af dens specifikke betydning på regionalt eller
nationalt plan for den pågældende sektor eller type af tjeneste eller for andre
indbyrdes afhængige sektorer i medlemsstaten
g) enheden identificeres som en kritisk enhed i henhold til Europa-Parlamentets
og Rådets direktiv (EU) XXXX/XXXX29
[direktivet om kritiske enheders
modstandsdygtighed] eller som en enhed svarende til en kritisk enhed i
henhold til artikel 7 i nævnte direktiv.
Medlemsstaterne opstiller en liste over enheder, der er identificeret i henhold til litra
b)-f), og forelægger den for Kommissionen senest [6 måneder efter
gennemførelsesfristen]. Medlemsstaterne reviderer listen regelmæssigt og derefter
mindst hvert andet år og ajourfører den, hvis det er relevant.
3. Dette direktiv berører ikke medlemsstaternes beføjelser til opretholdelse af den
offentlige sikkerhed, forsvaret og den nationale sikkerhed i overensstemmelse med
EU-retten.
4. Dette direktiv berører ikke Rådets direktiv 2008/114/EF30
og Europa-Parlamentets og
Rådets direktiv 2011/93/EU31
og 2013/40/EU32
.
28
Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og
mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).
29
[insert the full title and OJ publication reference when known (indsæt den fulde titel og EUT-reference,
når den kendes)].
30
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk
infrastruktur og vurdering af behovet for at beskytte den bedre (EUT L 345 af 23.12.2008, s. 75).
31
Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt
misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse
2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).
DA 32 DA
5. Oplysninger, der er fortrolige i henhold til EU-regler og nationale regler, som f.eks.
regler om forretningshemmeligheder, udveksles med forbehold af artikel 346 i TEUF
kun med Kommissionen og andre relevante myndigheder, hvis en sådan udveksling
er nødvendig for anvendelsen af dette direktiv. De udvekslede oplysninger begrænses
til, hvad der er relevant og forholdsmæssigt under hensyn til formålet med
udvekslingen. Udvekslingen af oplysninger skal sikre de nævnte oplysningers
fortrolighed og beskytte sikkerheden og de kommercielle interesser hos væsentlige
eller vigtige enheder.
6. Hvis bestemmelser i sektorspecifikke EU-retsakter kræver, at væsentlige eller vigtige
enheder enten vedtager risikohåndteringsforanstaltninger for cybersikkerhed eller
anmelder hændelser eller væsentlige cybertrusler, og hvis disse krav har en virkning,
der mindst svarer til de forpligtelser, der er fastsat i dette direktiv, finder de relevante
bestemmelser i dette direktiv, herunder bestemmelsen om tilsyn og håndhævelse i
kapitel VI, ikke anvendelse.
Artikel 3
Minimumsharmonisering
Uden at det berører deres øvrige forpligtelser i henhold til EU-retten, kan medlemsstaterne i
overensstemmelse med dette direktiv vedtage eller opretholde bestemmelser, der sikrer et
højere cybersikkerhedsniveau.
Artikel 4
Definitioner
I dette direktiv forstås ved:
1) "net- og informationssystem":
a) et elektronisk kommunikationsnet som omhandlet i artikel 2, stk. 1, i direktiv
(EU) 2018/1972
b) enhver anordning eller gruppe af forbundne eller beslægtede anordninger,
hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af
digitale data
c) digitale data, som lagres, behandles, fremfindes eller overføres af elementer i
litra a) og b) med henblik på deres drift, brug, beskyttelse og vedligeholdelse
2) "sikkerhed i net- og informationssystemer": net- og informationssystemers evne til,
på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for
tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med
lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der
tilbydes af eller er tilgængelige via disse net- og informationssystemer
32
Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på
informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT L 218 af
14.8.2013, s. 8).
DA 33 DA
3) "cybersikkerhed": cybersikkerhed som omhandlet i artikel 2, stk. 1, i Europa-
Parlamentets og Rådets forordning (EU) 2019/88133
4) "national strategi for cybersikkerhed ": en sammenhængende ramme i en
medlemsstat med strategiske mål og prioriteter for sikkerheden af net- og
informationssystemer i den pågældende medlemsstat
5) "hændelse": enhver begivenhed, der bringer tilgængeligheden, autenticiteten,
integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller de
relaterede tjenester, der tilbydes af eller er tilgængelige via net- og
informationssystemer, i fare
6) "håndtering af hændelser": alle handlinger og procedurer, der tager sigte på
opdagelse, analyse og inddæmning af og reaktion på en hændelse
7) "cybertrussel": en cybertrussel som omhandlet i artikel 2, stk. 8, i forordning (EU)
2019/881
8) "sårbarhed": en svaghed, følsomhed eller fejl i forbindelse med et aktiv, et system, en
proces eller en kontrolfunktion, som kan udnyttes af en cybertrussel
9) "repræsentant": enhver fysisk eller juridisk person, der er etableret i Unionen, og som
udtrykkeligt er udpeget til at handle på vegne af i) en DNS-tjenesteudbyder, en
topdomænenavneregistratur (TLD), en udbyder af cloud computing-tjenester, en
datacentertjenesteudbyder, en udbyder af indholdsudsendelsesnetværk som
omhandlet i bilag I, punkt 8, eller ii) enheder som omhandlet i bilag II, punkt 6, der
ikke er etableret i Unionen, og som kan kontaktes af en national kompetent
myndighed eller en CSIRT i stedet for enheden i forbindelse med forpligtelserne i
henhold til dette direktiv
10) "standard": en standard som omhandlet i artikel 2, stk. 1, i Europa-Parlamentets og
Rådets forordning (EU) nr. 1025/201234
11) "teknisk specifikation": en teknisk specifikation som omhandlet i artikel 2, stk. 4, i
forordning (EU) nr. 1025/2012
12) "internetudvekslingspunkt (IXP)": en netfacilitet, der muliggør sammenkobling af
mere end to uafhængige net (autonome systemer), primært med henblik på at lette
udvekslingen af internettrafik Et IXP leverer kun sammenkobling for autonome
systemer. Et IXP forudsætter ikke, at internettrafik, som bevæger sig mellem et givet
par af deltagende autonome systemer, bevæger sig gennem et tredje autonomt
system, og det hverken ændrer eller forstyrrer en sådan trafik.
13) "domænenavnesystem (DNS)": et hierarkisk distribueret navngivningssystem, der
gør det muligt for slutbrugere at nå frem til tjenester og ressourcer på internettet
33
Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den
Europæiske Unions Agentur for Cybersikkerhed, om cybersikkerhedscertificering af informations- og
kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om
cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).
34
Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk
standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og
Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF,
2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets
og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).
DA 34 DA
14) "DNS-tjenesteudbyder": en enhed, der leverer rekreative eller autoritative
domænenavnsoversættelsestjenester til internetslutbrugere og andre udbydere af
DNS-tjenester
15) "topdomænenavneregistratur": en enhed, der har fået uddelegeret et specifikt
topdomæne, og som er ansvarlig for at administrere topdomænet, herunder
registrering af domænenavne under topdomænet og den tekniske drift af
topdomænet, herunder drift af dets navneservere, vedligeholdelse af dets databaser
og distribution af topdomænezonefiler på navneservere
16) "digital tjeneste": en tjeneste som omhandlet i artikel 1, stk. 1, litra b), i Europa-
Parlamentets og Rådets direktiv (EU) 2015/153535
17) "onlinemarkedsplads": en digital tjeneste som omhandlet i artikel 2, litra n), i
Europa-Parlamentets og Rådets direktiv 2005/29/EF36
18) "onlinesøgemaskine": en digital tjeneste som omhandlet i artikel 2, stk. 5, i Europa-
Parlamentets og Rådets forordning (EU) 2019/115037
19) "cloud computing-tjeneste": en digital tjeneste, som muliggør on demand-
administration og giver bred fjernadgang til en skalerbar og elastisk pulje af delbare
og distribuerede databehandlingsressourcer
20) "datacentertjeneste": en tjeneste, der omfatter strukturer eller grupper af strukturer,
der er dedikeret til central indkvartering, sammenkobling og drift af
informationsteknologi og netværksudstyr, der leverer datalagrings-, behandlings- og
transporttjenester samt alle faciliteter og infrastrukturer til strømdistribution og
miljøkontrol
21) "indholdsleveringsnetværk": et net af geografisk distribuerede servere med henblik
på at sikre høj tilgængelighed, adgang til eller hurtig levering af digitalt indhold og
digitale tjenester til internetbrugere på vegne af indholds- og tjenesteudbydere
22) "platform for sociale netværkstjenester": en platform, der sætter slutbrugerne i stand
til at forbinde, dele, opdage og kommunikere med hinanden på tværs af flere
enheder, navnlig via chats, indlæg, videoer og anbefalinger
23) "offentlig forvaltningsinstans": en enhed i en medlemsstat, der opfylder følgende
kriterier:
(a) den er oprettet med henblik på at opfylde almennyttige formål og har ikke
industriel eller kommerciel karakter
(b) den har status som juridisk person
35
Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en
informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets
tjenester (EUT L 241 af 17.9.2015, s. 1).
36
Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11. maj 2005 om virksomheders urimelige
handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF
og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets
og Rådets forordning (EF) nr. 2006/2004 (direktivet om urimelig handelspraksis) (EUT L 149 af
11.6.2005, s. 22).
37
Europa-Parlamentets og Rådets forordning (EU) 2019/1150 af 20. juni 2019 om fremme af
retfærdighed og gennemsigtighed for brugere af onlineformidlingstjenester (EUT L 186 af 11.7.2019, s.
57).
DA 35 DA
(c) dens aktivitet finansieres for størstedelens vedkommende af staten, en regional
myndighed eller af andre offentligretlige organer, eller den er underlagt
ledelsesmæssig kontrol af disse myndigheder eller organer, eller den har et
administrations-, ledelses- eller tilsynsorgan, hvor mere end halvdelen af
medlemmerne udpeges af staten, regionale myndigheder eller andre
offentligretlige organer
(d) den har beføjelse til at rette administrative eller lovgivningsmæssige afgørelser
til fysiske eller juridiske personer, der påvirker deres rettigheder i forbindelse
med grænseoverskridende bevægelighed for personer, varer, tjenesteydelser
eller kapital.
Offentlige forvaltningsenheder, der udfører aktiviteter inden for områderne offentlig
sikkerhed, retshåndhævelse, forsvar eller national sikkerhed, er ikke omfattet
24) "enhed": enhver fysisk eller juridisk person, der er oprettet og anerkendt som sådan i
henhold til den nationale lovgivning på det sted, hvor den er etableret, og som i eget
navn kan udøve rettigheder og være underlagt forpligtelser
25) "væsentlig enhed": enhver enhed af en type, der betegnes som en væsentlig enhed i
bilag I
26) "vigtig enhed": enhver enhed af en type, der betegnes som en vigtig enhed i bilag II.
KAPITEL II
Koordinerede lovgivningsmæssige rammer for cybersikkerhed
Artikel 5
National cybersikkerhedsstrategi
1. Hver medlemsstat vedtager en national cybersikkerhedsstrategi, hvori den definerer
de strategiske mål og passende politiske og reguleringsmæssige foranstaltninger med
henblik på at opnå og opretholde et højt cybersikkerhedsniveau. Den nationale
cybersikkerhedsstrategi omfatter navnlig følgende:
(a) en definition af mål og prioriteter i medlemsstaternes strategi for
cybersikkerhed
(b) en forvaltningsramme med henblik på at nå disse mål og prioriteter, herunder
de politikker, der er omhandlet i stk. 2, og offentlige organers og andre
relevante aktørers roller og ansvarsområder
(c) en vurdering med henblik på at identificere relevante aktiver og
cybersikkerhedsrisici i den pågældende medlemsstat
(d) identificering af foranstaltninger, der sikrer beredskab, reaktion og
genopretning i forbindelse med hændelser, herunder samarbejde mellem den
offentlige og den private sektor
(e) en liste over de forskellige myndigheder og aktører, der er involveret i
gennemførelsen af den nationale cybersikkerhedsstrategi
(f) en politisk ramme for øget koordinering mellem de kompetente myndigheder i
henhold til dette direktiv og Europa-Parlamentets og Rådets direktiv (EU)
DA 36 DA
XXXX/XXXX38
[direktivet om kritiske enheders modstandsdygtighed] med
henblik på udveksling af oplysninger om hændelser og cybertrusler og
udøvelse af tilsynsopgaver.
2. Som led i den nationale cybersikkerhedsstrategi vedtager medlemsstaterne navnlig
følgende politikker:
a) en politik vedrørende cybersikkerhed i forsyningskæden for IKT-produkter og
-tjenester, der anvendes af væsentlige og vigtige enheder til levering af deres
tjenester
b) retningslinjer for medtagelse og specificering af cybersikkerhedsrelaterede
krav til IKT-produkter og -tjenester i forbindelse med offentlige indkøb
c) en politik til fremme af koordineret offentliggørelse af sårbarheder som
omhandlet i artikel 6
d) en politik vedrørende opretholdelse af den generelle tilgængelighed og
integritet af den offentlige centrale del af det åbne internet
e) en politik til fremme og udvikling af cybersikkerhedsfærdigheder,
bevidstgørelse samt forsknings- og udviklingsinitiativer
f) en politik for støtte til akademiske institutioner og forskningsinstitutioner med
henblik på udvikling af cybersikkerhedsværktøjer og sikker
netværksinfrastruktur
g) en politik, relevante procedurer og passende informationsdelingsværktøjer til
støtte for frivillig udveksling af cybersikkerhedsoplysninger mellem
virksomheder i overensstemmelse med EU-retten
h) en politik, der tilgodeser specifikke behov hos SMV'er, navnlig dem, der er
udelukket fra dette direktivs anvendelsesområde, i forbindelse med vejledning
og støtte til forbedring af deres modstandsdygtighed over for
cybersikkerhedstrusler.
3. Medlemsstaterne underretter Kommissionen om deres nationale
cybersikkerhedsstrategier senest tre måneder efter deres vedtagelse. Medlemsstaterne
kan udelukke specifikke oplysninger fra underretningen, hvis og i det omfang det er
strengt nødvendigt af hensyn til den nationale sikkerhed.
4. Medlemsstaterne vurderer deres nationale cybersikkerhedsstrategier mindst hvert
fjerde år på grundlag af centrale præstationsindikatorer og ændrer dem om
nødvendigt. Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) bistår på
anmodning af medlemsstaterne disse med at udvikle en national strategi og
nøgleresultatindikatorer til vurdering af strategien.
Artikel 6
Koordineret offentliggørelse af sårbarheder og et europæisk sårbarhedsregister
38
[insert the full title and OJ publication reference when known (indsæt den fulde titel og EUT-reference,
når den kendes)].
DA 37 DA
1. Hver medlemsstat udpeger en af dens CSIRT'er som omhandlet i artikel 9 som
koordinator med henblik på koordineret offentliggørelse af sårbarheder. Den
udpegede CSIRT fungerer som betroet formidler og letter om nødvendigt samspillet
mellem den underrettende enhed og producenten eller udbyderen af IKT-produkter
eller -tjenester. Hvis den indberettede sårbarhed vedrører flere producenter eller
udbydere af IKT-produkter eller -tjenester i hele Unionen, samarbejder den udpegede
CSIRT for hver berørt medlemsstat med CSIRT-netværket.
2. ENISA udvikler og vedligeholder et europæisk sårbarhedsregister. Med henblik
herpå opretter og vedligeholder ENISA passende informationssystemer, -politikker
og -procedurer med det formål navnlig at sætte vigtige enheder og deres leverandører
af net- og informationssystemer i stand til at afsløre og registrere sårbarheder i IKT-
produkter eller -tjenester samt at give alle interesserede parter adgang til
oplysningerne om sårbarheder i registret. Registret skal navnlig indeholde
oplysninger, der beskriver sårbarheden, det berørte IKT-produkt eller de berørte
IKT-tjenester og alvoren af sårbarheden med hensyn til de omstændigheder,
hvorunder den kan udnyttes, tilgængeligheden af relaterede patches og, i mangel af
tilgængelige patches, vejledning til brugere af sårbare produkter og tjenester om,
hvordan risiciene som følge af afslørede sårbarheder kan afbødes.
Artikel 7
Nationale rammer for styring af cybersikkerhedskriser
1. Hver medlemsstat udpeger en eller flere kompetente myndigheder med ansvar for
håndtering af væsentlige hændelser og kriser. Medlemsstaterne sikrer, at de
kompetente myndigheder har tilstrækkelige ressourcer til på en virkningsfuld og
effektiv måde at udføre de opgaver, de pålægges.
2. Hver medlemsstat identificerer kapaciteter, aktiver og procedurer, der kan indsættes i
tilfælde af en krise med henblik på dette direktiv.
3. Hver medlemsstat vedtager en national cybersikkerhedshændelses- og
kriseberedskabsplan, hvori der er fastsat mål og nærmere bestemmelser for
håndteringen af væsentlige cybersikkerhedshændelser og -kriser. Planen skal navnlig
indeholde følgende:
a) målsætninger for nationale beredskabsforanstaltninger og -aktiviteter
b) de nationale kompetente myndigheders opgaver og ansvarsområder
c) krisestyringsprocedurer og informationsudvekslingskanaler
d) beredskabsforanstaltninger, herunder øvelses- og uddannelsesaktiviteter
e) relevante berørte offentlige og private interesserede parter og infrastruktur
f) nationale procedurer og ordninger mellem relevante nationale myndigheder og
organer for at sikre medlemsstatens effektive deltagelse i og støtte til den
koordinerede håndtering af væsentlige cybersikkerhedshændelser og -kriser på
EU-plan.
4. Medlemsstaterne underretter Kommissionen om udpegelsen af deres kompetente
myndigheder, jf. stk. 1, og forelægger deres nationale cybersikkerhedshændelses- og
kriseberedskabsplaner, jf. stk. 3, senest tre måneder efter udpegelsen og vedtagelsen
DA 38 DA
af disse planer. Medlemsstaterne kan udelukke specifikke oplysninger fra planen,
hvis og i det omfang de er strengt nødvendige af hensyn til deres nationale sikkerhed.
Artikel 8
Nationale kompetente myndigheder og centrale kontaktpunkter
1. Hver medlemsstat udpeger en eller flere kompetente myndigheder med ansvar for
cybersikkerhed og for de tilsynsopgaver, der er omhandlet i kapitel VI i dette
direktiv. Medlemsstaterne kan tildele en eller flere eksisterende myndigheder denne
rolle.
2. De i stk. 1 omhandlede kompetente myndigheder fører tilsyn med anvendelsen af
dette direktiv på nationalt plan.
3. Hver medlemsstat udpeger et nationalt centralt kontaktpunkt for cybersikkerhed
("centralt kontaktpunkt"). Hvis en medlemsstat kun udpeger én kompetent
myndighed, fungerer denne kompetente myndighed ligeledes som det centrale
kontaktpunkt for den pågældende medlemsstat.
4. Hvert enkelt kontaktpunkt udøver en forbindelsesfunktion for at sikre
grænseoverskridende samarbejde mellem dets medlemsstats myndigheder og de
relevante myndigheder i andre medlemsstater samt for at sikre tværsektorielt
samarbejde med andre nationale kompetente myndigheder i dets medlemsstat.
5. Medlemsstaterne sikrer, at de i stk. 1 omhandlede kompetente myndigheder og de
centrale kontaktpunkter har tilstrækkelige ressourcer til på en effektiv måde at udføre
de opgaver, som de pålægges, og dermed opfylde målene i dette direktiv.
Medlemsstaterne sikrer et effektivt, virkningsfuldt og sikkert samarbejde mellem de
udpegede repræsentanter i den i artikel 12 omhandlede samarbejdsgruppe.
6. Hver medlemsstat underretter uden unødig forsinkelse Kommissionen om
udpegelsen af den i stk. 1 omhandlede kompetente myndighed og det i stk. 3
omhandlede centrale kontaktpunkt, deres opgaver og enhver senere ændring heraf.
Hver medlemsstat offentliggør udpegelsen af disse. Kommissionen offentliggør
listen over udpegede centrale kontaktpunkter.
Artikel 9
Enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er)
1. Hver medlemsstat udpeger en eller flere CSIRT'er, der skal opfylde kravene i artikel
10, stk. 1, og som mindst omfatter de i bilag I og II omhandlede sektorer, delsektorer
eller enheder, og som er ansvarlige for at håndtere hændelser og risici i
overensstemmelse med en nøje fastlagt proces. En CSIRT kan oprettes inden for en
kompetent myndighed, jf. artikel 8.
2. Medlemsstaterne sikrer, at hver CSIRT har tilstrækkelige ressourcer til at udføre sine
opgaver som fastsat i artikel 10, stk. 2, effektivt.
3. Medlemsstaterne sikrer, at hver CSIRT råder over en passende, sikker og
modstandsdygtig kommunikations- og informationsinfrastruktur til udveksling af
oplysninger med væsentlige og vigtige enheder og andre relevante interesserede
DA 39 DA
parter. Med henblik herpå sikrer medlemsstaterne, at CSIRT'erne bidrager til
udbredelsen af sikre informationsudvekslingsværktøjer.
4. CSIRT'er samarbejder og udveksler, hvor det er relevant, relevante oplysninger i
overensstemmelse med artikel 26 med pålidelige sektorfællesskaber eller
tværsektorielle fællesskaber af væsentlige og vigtige enheder.
5. CSIRT'er deltager i peerevalueringer, der tilrettelægges i overensstemmelse med
artikel 16.
6. Medlemsstaterne sikrer et effektivt og sikkert samarbejde mellem deres CSIRT'er i
det i artikel 13 omhandlede CSIRT-netværk.
7. Medlemsstaterne underretter uden unødig forsinkelse Kommissionen om de
CSIRT'er, der er udpeget i henhold til stk. 1, den CSIRT-koordinator, der er udpeget
i henhold til artikel 6, stk. 1, og deres respektive opgaver i relation til de i bilag I og
II omhandlede enheder.
8. Medlemsstaterne kan anmode ENISA om bistand til at udvikle nationale CSIRT'er.
Artikel 10
Krav til CSIRT'er og deres opgaver
1. CSIRT'er skal opfylde nedenstående krav:
a) CSIRT'er skal sikre et højt tilgængelighedsniveau for deres
kommunikationstjenester ved at undgå svage punkter ("single points of
failure") og ved til enhver tid at have flere muligheder for at blive kontaktet og
for at kontakte andre. CSIRT'er skal tydeligt angive kommunikationskanalerne
og gøre dem kendt af samarbejdspartnere.
b) CSIRT'ers lokaler og de underliggende informationssystemer skal være
placeret i sikrede områder.
c) CSIRT'er skal være udstyret med et passende system til administration og
videresendelse af anmodninger med henblik på at lette effektive overdragelser.
d) CSIRT'er skal have tilstrækkeligt personale til at sikre tilgængelighed døgnet
rundt.
e) CSIRT'er skal være udstyret med redundante systemer og backup-arbejdsplads
for at sikre kontinuiteten i deres tjenester.
f) CSIRT'er skal have mulighed for at deltage i internationale samarbejdsnetværk.
2. CSIRT'er har følgende opgaver:
a) overvågning af cybertrusler, -sårbarheder og -hændelser på nationalt plan
b) tidlig varsling, alarmer, meddelelser og formidling af oplysninger til væsentlige
og vigtige enheder samt til andre relevante interesserede parter om
cybertrusler, -sårbarheder og -hændelser
c) at reagere på hændelser
d) udarbejdelse af dynamiske risiko- og hændelsesanalyser og
situationsbevidsthed vedrørende cybersikkerhed
DA 40 DA
e) på anmodning af en enhed at foretage en proaktiv scanning af de net- og
informationssystemer, der anvendes til levering af deres tjenester
f) deltage i CSIRT-netværket og yde gensidig bistand til andre medlemmer af
netværket efter anmodning fra disse.
3. CSIRT'er etablerer samarbejdsrelationer med relevante aktører i den private sektor
med henblik på bedre at nå direktivets mål.
4. For at lette samarbejdet fremmer CSIRT'er vedtagelse og anvendelse af fælles eller
standardiseret praksis, klassifikationsordninger og taksonomier i forbindelse med
følgende:
a) procedurer for håndtering af hændelser
b) krisestyring på cybersikkerhedsområdet
c) koordineret offentliggørelse af sårbarheder.
Artikel 11
Samarbejde på nationalt plan
1. Hvis en medlemsstats kompetente myndigheder som omhandlet i artikel 8, det
centrale kontaktpunkt og CSIRT('er) er adskilte enheder, samarbejder de med hensyn
til opfyldelsen af de forpligtelser, der er fastlagt i dette direktiv.
2. Medlemsstaterne sikrer, at enten deres kompetente myndigheder eller deres CSIRT'er
modtager meddelelser om hændelser og væsentlige cybertrusler og nærvedhændelser,
som indgives i henhold til dette direktiv. Hvis en medlemsstat beslutter, at dens
CSIRT'er ikke skal modtage disse underretninger, skal CSIRT'erne, i det omfang det
er nødvendigt for udførelsen af deres opgaver, have adgang til data om hændelser,
som de væsentlige eller vigtige enheder har meddelt i henhold til artikel 20.
3. Hver medlemsstat sikrer, at dens kompetente myndigheder eller CSIRT'er underretter
dens centrale kontaktpunkt om underretninger om hændelser, væsentlige cybertrusler
og nærvedhændelser, som indgives i henhold til dette direktiv.
4. I det omfang det er nødvendigt for effektivt at udføre de opgaver og forpligtelser, der
er fastsat i dette direktiv, sikrer medlemsstaterne et passende samarbejde mellem de
kompetente myndigheder og de centrale kontaktpunkter og de retshåndhævende
myndigheder, databeskyttelsesmyndigheder og myndigheder med ansvar for kritisk
infrastruktur i henhold til direktiv (EU) XXXX/XXXX [direktivet om kritiske
enheders modstandsdygtighed] og de nationale finansmyndigheder, der er udpeget i
overensstemmelse med Europa-Parlamentets og Rådets forordning (EU)
XXXX/XXXX39
[DORA-forordningen] i den pågældende medlemsstat.
5. Medlemsstaterne sikrer, at deres kompetente myndigheder regelmæssigt giver
oplysninger til kompetente myndigheder, der er udpeget i henhold til direktiv (EU)
XXXX/XXXX [direktivet om kritiske enheders modstandsdygtighed] om
cybersikkerhedsrisici, cybertrusler og hændelser, som påvirker væsentlige enheder,
der er identificeret som kritiske eller som enheder, der svarer til kritiske enheder, i
39
[insert the full title and OJ publication reference when known (indsæt den fulde titel og EUT-reference,
når den kendes)].
DA 41 DA
henhold til direktiv (EU) XXXX/XXXX [direktivet om kritiske enheders
modstandsdygtighed], samt de foranstaltninger, der træffes af kompetente
myndigheder som reaktion på disse risici og hændelser.
KAPITEL III
Samarbejde
Artikel 12
Samarbejdsgruppe
1. For at støtte og lette det strategiske samarbejde og udvekslingen af oplysninger
mellem medlemsstaterne inden for direktivets anvendelsesområde nedsættes der en
samarbejdsgruppe.
2. Samarbejdsgruppen udfører sine opgaver på grundlag af toårige arbejdsprogrammer
som omhandlet i stk. 6.
3. Samarbejdsgruppen består af repræsentanter fra medlemsstaterne, Kommissionen og
ENISA. Tjenesten for EU's Optræden Udadtil deltager som observatør i
samarbejdsgruppens aktiviteter. De europæiske tilsynsmyndigheder (ESA'er) i
henhold til artikel 17, stk. 5, litra c), i forordning (EU) XXXX/XXXX [DORA-
forordningen] kan deltage i samarbejdsgruppens aktiviteter.
Samarbejdsgruppen kan, hvis det er relevant, indbyde repræsentanter fra relevante
interessenter til at deltage i arbejdet.
Sekretariatsopgaverne varetages af Kommissionen.
4. Samarbejdsgruppen har følgende opgaver:
a) at vejlede de kompetente myndigheder i forbindelse med omsætningen
og gennemførelsen af dette direktiv
b) at udveksle bedste praksis og oplysninger i forbindelse med
gennemførelsen af dette direktiv, herunder i forbindelse med
cybertrusler, -hændelser og -sårbarheder, nærvedhændelser,
bevidstgørelsesinitiativer, uddannelse, øvelser og færdigheder,
opbygning af kapacitet samt standarder og tekniske specifikationer
c) at udveksle rådgivning og samarbejde med Kommissionen om nye
politiske initiativer inden for cybersikkerhed
d) at udveksle rådgivning og samarbejde med Kommissionen om udkast til
Kommissionens gennemførelsesretsakter eller delegerede retsakter
vedtaget i henhold til dette direktiv
e) at udveksle bedste praksis og oplysninger med relevante EU-institutioner,
-organer, -kontorer og -agenturer
f) at rådgive om den i artikel 16, stk. 7, omhandlede peerevaluering
g) at drøfte resultaterne af fælles tilsynsaktiviteter i grænseoverskridende
sager, jf. artikel 34
DA 42 DA
h) at yde strategisk vejledning til CSIRT-netværket om specifikke nye
spørgsmål
i) at bidrage til cybersikkerhedskapaciteter i hele Unionen ved at lette
udvekslingen af nationale embedsmænd gennem et
kapacitetsopbygningsprogram, der omfatter personale fra
medlemsstaternes kompetente myndigheder eller CSIRT'er
j) at tilrettelægge regelmæssige fælles møder med relevante private
interesserede parter fra hele Unionen for at drøfte gruppens aktiviteter og
indsamle input om nye politiske udfordringer
k) at drøfte det arbejde, der er udført i forbindelse med
cybersikkerhedsøvelser, herunder ENISA's arbejde.
5. Samarbejdsgruppen kan anmode CSIRT-netværket om en teknisk rapport om
udvalgte emner.
6. Senest …  24 måneder efter datoen for dette direktivs ikrafttræden og derefter hvert
andet år udarbejder samarbejdsgruppen et arbejdsprogram for de foranstaltninger, der
skal iværksættes for at gennemføre dens mål og opgaver. Tidsrammen for det første
program, der vedtages i henhold til dette direktiv, tilpasses tidsrammen for det sidste
program, der er vedtaget i henhold til direktiv (EU) 2016/1148.
7. Kommissionen vedtager gennemførelsesretsakter, hvori der fastlægges
proceduremæssige ordninger, som er nødvendige for samarbejdsgruppens funktion.
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 37,
stk. 2.
8. Samarbejdsgruppen mødes regelmæssigt og mindst en gang om året med gruppen for
kritiske enheders modstandsdygtighed, der er nedsat i henhold til direktiv (EU)
XXXX/XXXX [direktivet om kritiske enheders modstandsdygtighed] for at fremme
strategisk samarbejde og udveksling af oplysninger.
Artikel 13
CSIRT-netværket
1. Med henblik på at bidrage til skabelse af tillid mellem medlemsstaterne og fremme et
hurtigt og effektivt operationelt samarbejde mellem medlemsstaterne oprettes der et
netværk af nationale CSIRT'er.
2. CSIRT-netværket består af repræsentanter fra medlemsstaternes CSIRT'er og CERT-
EU. Kommissionen deltager i CSIRT-netværket som observatør. ENISA varetager
sekretariatsopgaverne og støtter aktivt samarbejdet mellem CSIRT'erne.
3. CSIRT-netværket har følgende opgaver:
(a) at udveksle oplysninger om CSIRT'ers kapaciteter
(b) at udveksle relevante oplysninger om hændelser, nærvedhændelser,
cybertrusler, -risici og -sårbarheder
(c) efter anmodning fra en repræsentant for CSIRT-netværket, der potentielt er
berørt af en hændelse, at udveksle og drøfte oplysninger i forbindelse med
denne hændelse og tilknyttede cybertrusler, -risici og -sårbarheder
DA 43 DA
(d) på anmodning af en repræsentant for CSIRT-netværket at drøfte og, når det er
muligt, gennemføre en samordnet reaktion på en hændelse, som er identificeret
inden for den medlemsstats jurisdiktion
(e) at yde medlemsstaterne støtte til håndtering af grænseoverskridende hændelser
i henhold til dette direktiv
(f) at samarbejde og yde bistand til udpegede CSIRT'er, jf. artikel 6, med hensyn
til forvaltning af koordineret offentliggørelse af sårbarheder, der berører flere
producenter eller udbydere af IKT-produkter, -tjenester og -processer, som er
etableret i forskellige medlemsstater
(g) at drøfte og identificere yderligere former for operationelt samarbejde,
herunder i forhold til:
i) kategorier af cybertrusler og -hændelser
ii) tidlig varsling
iii) gensidig bistand
iv) principper og retningslinjer for koordination som reaktion på
grænseoverskridende risici og hændelser
v) bidrag til den nationale cybersikkerhedshændelses- og
kriseberedskabsplan, der er omhandlet i artikel 7, stk. 3
(h) at oplyse samarbejdsgruppen om sine aktiviteter og om yderligere former for
operationelt samarbejde, som drøftes i henhold til litra g), og hvis det er
nødvendigt, anmode om vejledning i forbindelse hermed
(i) at gøre status over cybersikkerhedsøvelser, herunder fra dem, der tilrettelægges
af ENISA
(j) på anmodning af en given CSIRT at drøfte denne CSIRT's kapaciteter og
beredskab
(k) at samarbejde og udveksle oplysninger med regionale
sikkerhedsoperationscentre og EU-sikkerhedsoperationscentre for at forbedre
den fælles situationsbevidsthed om hændelser og trusler i hele Unionen
(l) at drøfte den i artikel 16, stk. 7, omhandlede peerevaluering
(m) at udstede retningslinjer for at lette konvergensen mellem operationel praksis
med hensyn til anvendelsen af bestemmelserne i denne artikel vedrørende
operationelt samarbejde.
4. Med henblik på den i artikel 35 omhandlede evaluering og senest 24 måneder efter
datoen for dette direktivs ikrafttræden og derefter hvert andet år vurderer CSIRT-
netværket de fremskridt, der er gjort med det operationelle samarbejde, og udarbejder
en rapport. Rapporten skal navnlig drage konklusioner om resultaterne af de i
artikel 16 omhandlede peerevalueringer, som er gennemført vedrørende nationale
CSIRT'er, herunder konklusioner og henstillinger, der forfølges i henhold til denne
artikel. Rapporten forelægges ligeledes for samarbejdsgruppen.
5. CSIRT-netværket vedtager sin egen forretningsorden.
DA 44 DA
Artikel 14
Det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe)
1. For at støtte den koordinerede forvaltning af væsentlige cybersikkerhedshændelser
og -kriser på operationelt plan og sikre regelmæssig udveksling af oplysninger
mellem medlemsstaterne og Unionens institutioner, organer og agenturer oprettes
hermed det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-
CyCLONe).
2. EU-CyCLONe består af repræsentanter for medlemsstaternes
krisestyringsmyndigheder, der er udpeget i overensstemmelse med artikel 7,
Kommissionen og ENISA. ENISA varetager netværkets sekretariatsfunktion og
støtter en sikker udveksling af oplysninger.
3. EU-CyCLONe har til opgave at
a) øge beredskabet i forbindelse med håndtering af væsentlige hændelser og kriser
b) udvikle en fælles situationsbevidsthed om relevante cybersikkerhedshændelser
c) koordinere styringen af væsentlige hændelser og kriser og støtte
beslutningstagning på politisk plan i forbindelse med sådanne hændelser og
kriser
d) drøfte nationale planer for cybersikkerhedshændelser og beredskabsplaner, jf.
artikel 7, stk. 2.
4. EU-CyCLONe vedtager selv sin forretningsorden.
5. EU-CyCLONe aflægger regelmæssigt rapport til samarbejdsgruppen om
cybertrusler, -hændelser og -tendenser med særligt fokus på deres indvirkning på
væsentlige og vigtige enheder.
6. EU-CyCLONe samarbejder med CSIRT-netværket på grundlag af aftalte
proceduremæssige ordninger.
Artikel 15
Rapport om cybersikkerhedssituationen i Unionen
1. ENISA udarbejder i samarbejde med Kommissionen hvert andet år en rapport om
cybersikkerhedssituationen i Unionen. Rapporten skal navnlig indeholde en
vurdering af følgende:
(a) udviklingen af cybersikkerhedskapaciteter i hele Unionen
(b) de tekniske, finansielle og menneskelige ressourcer, der er til rådighed for
kompetente myndigheder og cybersikkerhedspolitikker samt gennemførelsen af
tilsynsforanstaltninger og håndhævelsesforanstaltninger i lyset af resultaterne
af peerevalueringer, jf. artikel 16
(c) et cybersikkerhedsindeks, der giver mulighed for en samlet vurdering af
cybersikkerhedskapaciteternes modenhedsniveau.
2. Rapporten skal indeholde særlige politiske henstillinger med henblik på at øge
cybersikkerhedsniveauet i hele Unionen og et sammendrag af resultaterne for den
pågældende periode fra agenturets tekniske EU-cybersikkerhedsrapport, som
DA 45 DA
udsendes af ENISA i overensstemmelse med artikel 7, stk. 6, i forordning (EU)
2019/881.
Artikel 16
Peerevalueringer
1. Kommissionen fastlægger efter høring af samarbejdsgruppen og ENISA og senest 18
måneder efter dette direktivs ikrafttræden metoden og indholdet af et
peerevalueringssystem til vurdering af effektiviteten af medlemsstaternes
cybersikkerhedspolitikker. Evalueringerne foretages af tekniske
cybersikkerhedseksperter fra andre medlemsstater end den evaluerede og omfatter
som minimum følgende:
i) effektiviteten af gennemførelsen af de krav til styring af cybersikkerhedsrisici
og rapporteringsforpligtelser, der er omhandlet i artikel 18 og 20
ii) kapacitetsniveauet, herunder de finansielle, tekniske og menneskelige
ressourcer, der er til rådighed, og effektiviteten af de nationale kompetente
myndigheders varetagelse af deres opgaver
iii) CSIRT'ers operationelle kapacitet og effektivitet
iv) effektiviteten af gensidig bistand, jf. artikel 34
v) effektiviteten af den ramme for informationsudveksling, der er omhandlet i
artikel 26 i dette direktiv.
2. Metoden skal omfatte objektive, ikkediskriminerende, retfærdige og gennemsigtige
kriterier, på grundlag af hvilke medlemsstaterne udpeger eksperter, der kan udføre
peerevalueringerne. ENISA og Kommissionen udpeger eksperter, der deltager som
observatører i peerevalueringerne. Kommissionen fastsætter med støtte fra ENISA
inden for den stk. 1 omhandlede metode et objektivt, ikkediskriminerende, retfærdigt
og gennemsigtigt system til udvælgelse og tilfældig tildeling af eksperter til hver
peerevaluering.
3. De organisatoriske aspekter af peerevalueringerne fastlægges af Kommissionen med
støtte fra ENISA og baseres efter høring af samarbejdsgruppen på kriterier, der er
defineret i den i stk. 1 omhandlede metode. Peerevalueringer skal vurdere de i stk. 1
omhandlede aspekter for alle medlemsstater og sektorer, herunder målrettede
spørgsmål, der er specifikke for en eller flere medlemsstater eller en eller flere
sektorer.
4. Peerevalueringer omfatter faktiske eller virtuelle besøg på stedet og udvekslinger
uden for stedet. I henhold til princippet om godt samarbejde giver de medlemsstater,
der skal evalueres, de udpegede eksperter de oplysninger, som er nødvendige for
vurderingen af de evaluerede aspekter. Alle oplysninger, der indhentes i forbindelse
med peerevalueringsprocessen, anvendes kun til dette formål. De eksperter, der
deltager i peerevalueringen, må ikke videregive følsomme eller fortrolige
oplysninger, som er indhentet i forbindelse med denne gennemgang, til tredjemand.
5. Når bestemte aspekter er blevet gennemgået i en medlemsstat, må de samme aspekter
ikke underkastes yderligere peerevaluering i den pågældende medlemsstat i de to år,
der følger efter afslutningen af en peerevaluering, medmindre Kommissionen træffer
anden afgørelse efter høring af ENISA og samarbejdsgruppen.
DA 46 DA
6. Medlemsstaterne sikrer, at enhver risiko for interessekonflikter vedrørende de
udpegede eksperter meddeles de øvrige medlemsstater, Kommissionen og ENISA
uden unødig forsinkelse.
7. Eksperter, der deltager i peerevalueringer, udarbejder rapporter om resultaterne og
konklusionerne af evalueringerne. Rapporterne forelægges for Kommissionen,
samarbejdsgruppen, CSIRT-netværket og ENISA. Rapporterne drøftes i
samarbejdsgruppen og CSIRT-netværket. Rapporterne kan offentliggøres på
samarbejdsgruppens særlige websted.
KAPITEL IV
Forpligtelser vedrørende risikostyring og rapportering i forbindelse med cybersikkerhed
AFDELING I
Styring og rapportering af cybersikkerhedsrisici
Artikel 17
Forvaltning
1. Medlemsstaterne sikrer, at ledelsesorganerne for væsentlige og vigtige enheder
godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder
har truffet med henblik på at overholde artikel 18, fører tilsyn med dens
gennemførelse og er ansvarlige for enhedernes manglende overholdelse af
forpligtelserne i henhold til denne artikel.
2. Medlemsstaterne sikrer, at medlemmerne af ledelsesorganet regelmæssigt følger
specifikke kurser for at opnå tilstrækkelig viden og færdigheder til at forstå og
vurdere cybersikkerhedsrisici og styringspraksisser samt deres indvirkning på
enhedens drift.
Artikel 18
Risikohåndteringsforanstaltninger i forbindelse med cybersikkerhed
1. Medlemsstaterne sikrer, at væsentlige og vigtige enheder træffer passende og
forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for
sikkerheden i net- og informationssystemer, som disse enheder anvender til at levere
deres tjenester. Under hensyntagen til det aktuelle stade skal disse foranstaltninger
sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til
risikoen.
2. De i stk. 1 omhandlede foranstaltninger omfatter mindst følgende:
(a) politikker for risikoanalyse og informationssystemsikkerhed
(b) håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
DA 47 DA
(c) driftskontinuitet og krisestyring
(d) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende
forbindelserne mellem den enkelte enhed og dens leverandører eller
tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester
eller forvaltede sikkerhedstjenester
(e) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net-
og informationssystemer, herunder håndtering og offentliggørelse af
sårbarheder
(f) politikker og procedurer (test og revision) til vurdering af effektiviteten af
foranstaltninger til styring af cybersikkerhedsrisici
(g) brug af kryptografi og kryptering.
3. Medlemsstaterne sikrer, at enheder, når de overvejer passende foranstaltninger som
omhandlet i stk. 2, litra d), tager hensyn til de sårbarheder, der er specifikke for hver
leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og
tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre
udviklingsprocedurer.
4. Medlemsstaterne sikrer, at hvis en enhed finder, at dens tjenester eller opgaver ikke
er i overensstemmelse med kravene i stk. 2, træffer den uden unødig forsinkelse alle
nødvendige korrigerende foranstaltninger for at bringe den pågældende tjeneste i
overensstemmelse med kravene.
5. Kommissionen kan vedtage gennemførelsesretsakter med henblik på at fastlægge de
tekniske og metodiske specifikationer for de i stk. 2 omhandlede elementer. Når
Kommissionen udarbejder disse retsakter, følger den undersøgelsesproceduren i
artikel 37, stk. 2, og følger i videst muligt omfang internationale og europæiske
standarder samt relevante tekniske specifikationer.
6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i
overensstemmelse med artikel 36 med henblik på at supplere de elementer, der er
fastsat i stk. 2, for at tage hensyn til nye cybertrusler, den teknologiske udvikling
eller sektorspecifikke særtræk.
Artikel 19
Koordinerede EU-risikovurderinger af kritiske forsyningskæder
1. Samarbejdsgruppen kan i samarbejde med Kommissionen og ENISA foretage
koordinerede sikkerhedsrisikovurderinger af specifikke kritiske IKT-tjenester, -
systemer eller -produktforsyningskæder under hensyntagen til tekniske og, hvor det
er relevant, ikketekniske risikofaktorer.
2. Kommissionen identificerer efter høring af samarbejdsgruppen og ENISA de
specifikke kritiske IKT-tjenester, -systemer eller -produkter, der kan være genstand
for den i stk. 1 omhandlede koordinerede risikovurdering.
DA 48 DA
Artikel 20
Rapporteringsforpligtelser
1. Medlemsstaterne sikrer, at væsentlige og vigtige enheder uden unødig forsinkelse
underretter de kompetente myndigheder eller CSIRT'en i overensstemmelse med stk.
3 og 4 om enhver hændelse, der har en væsentlig indvirkning på leveringen af deres
tjenester. Hvor det er relevant, underretter disse enheder uden unødig forsinkelse
modtagerne af deres tjenester om hændelser, der kan forventes at påvirke leveringen
af den pågældende tjeneste negativt. Medlemsstater sikrer, at disse enheder bl.a.
indberetter alle oplysninger, der gør det muligt for den kompetente myndighed eller
CSIRT'en at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen.
2. Medlemsstaterne sikrer, at væsentlige og vigtige enheder uden unødig forsinkelse
underretter de kompetente myndigheder eller CSIRT'en om enhver væsentlig
cybertrussel, som disse enheder identificerer, og som potentielt kunne have resulteret
i en væsentlig hændelse.
Hvor det er relevant, underretter disse enheder uden unødig forsinkelse modtagerne
af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle
foranstaltninger eller afhjælpende foranstaltninger, som disse modtagere kan træffe
som reaktion på denne trussel. Hvis det er relevant, underretter enhederne også disse
modtagere om selve truslen. Underretningen medfører ikke et øget ansvar for den
underrettende enhed.
3. En hændelse anses for at være væsentlig, hvis:
(a) hændelsen har forårsaget eller potentielt kan forårsage væsentlige
driftsforstyrrelser eller økonomiske tab for den pågældende enhed
(b) hændelsen har påvirket eller kan påvirke andre fysiske eller juridiske personer
ved at forårsage betydelige materielle eller immaterielle tab.
4. Medlemsstaterne sikrer, at de berørte enheder med henblik på den i stk. 1
omhandlede underretning fremsender følgende til de kompetente myndigheder eller
CSIRT'en:
(a) uden unødig forsinkelse og under alle omstændigheder inden for 24 timer
efter at have fået kendskab til hændelsen en indledende underretning,
som, hvis det er relevant, skal angive, om hændelsen formodes at være
forårsaget af ulovlige eller ondsindede handlinger
(b) efter anmodning fra en kompetent myndighed eller en CSIRT, en
foreløbig rapport om relevante statusopdateringer
(c) en endelig rapport senest en måned efter forelæggelsen af den i litra a)
omhandlede rapport, der som minimum omfatter følgende:
i) en detaljeret beskrivelse af hændelsen, dens alvorlighed og
indvirkning
ii) den type trussel eller grundlæggende årsag, der sandsynligvis
udløste hændelsen
iii) anvendte og igangværende afbødende foranstaltninger.
Medlemsstaterne fastsætter bestemmelser om, at den pågældende enhed i behørigt
begrundede tilfælde og efter aftale med de kompetente myndigheder eller CSIRT'en
kan fravige de frister, der er fastsat i litra a) og c).
DA 49 DA
5. De kompetente nationale myndigheder eller CSIRT'en skal senest 24 timer efter
modtagelsen af den i artikel 4, litra a), omhandlede indledende underretning give den
underrettende enhed et svar, herunder indledende tilbagemeldinger om hændelsen og,
efter anmodning fra enheden, vejledning om gennemførelsen af mulige afbødende
foranstaltninger. Hvis CSIRT'en ikke har modtaget den i stk. 1 omhandlede
underretning, gives vejledningen af den kompetente myndighed i samarbejde med
CSIRT'en. CSIRT'en yder supplerende teknisk bistand, hvis den berørte enhed
anmoder herom. Hvis hændelsen mistænkes for at være af strafferetlig karakter, giver
de kompetente nationale myndigheder eller CSIRT'en også vejledning om
underretning af retshåndhævende myndigheder om hændelsen.
6. Hvis det er relevant, og navnlig hvor den i stk. 1 omhandlede hændelse berører to
eller flere medlemsstater, informerer den kompetente myndighed eller CSIRT'en de
øvrige berørte medlemsstater og ENISA om hændelsen. De kompetente
myndigheder, CSIRT'erne og de centrale kontaktpunkter sikrer i den forbindelse i
overensstemmelse med EU-retten eller national lovgivning, der er i
overensstemmelse med EU-retten, den digitale tjenesteudbyders sikkerhed og
kommercielle interesser samt fortrolig behandling af de afgivne oplysninger.
7. Hvis offentlighedens kendskab er nødvendig for at forebygge en hændelse eller for at
håndtere en igangværende hændelse, eller hvis offentliggørelse af hændelsen på
anden vis er i offentlighedens interesse, kan den kompetente myndighed eller
CSIRT'en og, hvor det er relevant, myndighederne eller CSIRT'erne i andre berørte
medlemsstater efter høring af den berørte enhed informere offentligheden om
hændelsen eller kræve, at enheden gør det.
8. På den kompetente myndigheds eller CSIRT'ens anmodning videresender det
centrale kontaktpunkt de i stk. 1 og 2 omhandlede underretninger til centrale
kontaktpunkter i andre berørte medlemsstater.
9. Det centrale kontaktpunkt forelægger en gang om måneden en sammenfattende
rapport for ENISA, herunder anonymiserede og aggregerede data om hændelser,
væsentlige cybertrusler og nærvedhændelser, der er indberettet i overensstemmelse
med stk. 1 og 2 og i overensstemmelse med artikel 27. For at bidrage til
tilvejebringelsen af sammenlignelige oplysninger kan ENISA udstede teknisk
vejledning om parametrene for oplysningerne i den sammenfattende rapport.
10. De kompetente myndigheder giver de kompetente myndigheder, der er udpeget i
henhold til direktiv (EU) XXXX/XXXX [direktivet om kritiske enheders
modstandsdygtighed], oplysninger om hændelser og cybertrusler, som er meddelt i
overensstemmelse med stk. 1 og 2 af væsentlige enheder, der er identificeret som
kritiske enheder eller som enheder, der svarer til kritiske enheder, i henhold til
direktiv (EU) XXXX/XXXX [direktivet om kritiske enheders modstandsdygtighed].
11. Kommissionen kan vedtage gennemførelsesretsakter, der yderligere præciserer typen
af oplysninger, formatet og proceduren for en meddelelse indgivet i henhold til stk. 1
og 2. Kommissionen kan også vedtage gennemførelsesretsakter for yderligere at
præcisere de tilfælde, hvor en hændelse anses for at være væsentlig, jf. stk. 3. Disse
gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 37, stk. 2.
Artikel 21
Brug af europæiske cybersikkerhedscertificeringsordninger
DA 50 DA
1. For at påvise overensstemmelse med visse krav i artikel 18 kan medlemsstaterne
kræve, at væsentlige og vigtige enheder certificerer visse IKT-produkter, -tjenester
og -processer i henhold til specifikke europæiske
cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til artikel 49 i
forordning (EU) 2019/881. De produkter, tjenester og processer, der certificeres, kan
være udviklet af en væsentlig eller vigtig enhed eller indkøbes fra tredjeparter.
2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter, som
præciserer, hvilke kategorier af væsentlige enheder der skal indhente en attest, og i
henhold til hvilke specifikke europæiske cybersikkerhedscertificeringsordninger, jf.
stk. 1. De delegerede retsakter vedtages i overensstemmelse med artikel 36.
3. Kommissionen kan anmode ENISA om at udarbejde et forslag til ordning i henhold
til artikel 48, stk. 2, i forordning (EU) 2019/881 i tilfælde, hvor der ikke findes en
passende europæisk cybersikkerhedscertificeringsordning, jf. stk. 2.
Artikel 22
Standardisering
1. For at sikre en samordnet gennemførelse af artikel 18, stk. 1 og 2, tilskynder
medlemsstaterne til at benytte europæiske eller internationalt anerkendte standarder
og specifikationer, der er relevante for sikkerheden i net- og informationssystemer,
uden at de påtvinger eller forskelsbehandler til fordel for anvendelse af en bestemt
type teknologi.
2. ENISA udarbejder i samarbejde med medlemsstaterne vejledning og retningslinjer
om de tekniske områder, der skal overvejes i forbindelse med stk. 1, samt om
allerede eksisterende standarder, herunder medlemsstaternes nationale standarder,
hvilket vil give mulighed for at dække disse områder.
Artikel 23
Database over domænenavne og registreringsoplysninger
1. Med henblik på at bidrage til DNS' sikkerhed, stabilitet og modstandsdygtighed
sikrer medlemsstaterne, at topdomæneregistraturer og enheder, der leverer
domænenavnsregistreringstjenester til topdomæner, med rettidig omhu indsamler og
vedligeholder nøjagtige og fuldstændige oplysninger om domænenavnsregistrering i
en særlig databasefacilitet i henhold til Unionens databeskyttelseslovgivning for så
vidt angår personoplysninger.
2. Medlemsstaterne sikrer, at de i stk. 1 omhandlede databaser over
domænenavnsregistreringsdata indeholder relevante oplysninger med henblik på at
identificere og kontakte indehaverne af domænenavne og de kontaktpunkter, der
forvalter domænenavne under topdomæner.
3. Medlemsstaterne sikrer, at topdomæneregistraturerne og de enheder, der leverer
domænenavnsregistreringstjenester til topdomænet, har indført politikker og
procedurer, der sikrer, at databaserne indeholder nøjagtige og fuldstændige
oplysninger. Medlemsstaterne sikrer, at sådanne politikker og procedurer gøres
offentligt tilgængelige.
DA 51 DA
4. Medlemsstaterne sikrer, at topdomæneregistraturerne og de enheder, der leverer
domænenavnsregistreringstjenester til topdomænet, uden unødig forsinkelse efter
registreringen af et domænenavn offentliggør domæneregistreringsdata, som ikke er
personoplysninger.
5. Medlemsstaterne sikrer, at topdomæneregistraturerne og de enheder, der udbyder
domænenavnsregistreringstjenester for topdomænet, giver adgang til specifikke
oplysninger om domænenavnsregistrering efter lovlige og behørigt begrundede
anmodninger fra legitime adgangssøgende i overensstemmelse med EU's
databeskyttelseslovgivning. Medlemsstaterne sikrer, at topdomæneregistraturerne og
de enheder, der leverer domænenavnsregistreringstjenester til topdomænet, besvarer
alle anmodninger om adgang uden unødig forsinkelse. Medlemsstaterne sikrer, at
politikker og procedurer for offentliggørelse af sådanne data gøres offentligt
tilgængelige.
Afsnit II
Jurisdiktion og registrering
Artikel 24
Jurisdiktion og territorialitet
1. DNS-tjenesteudbydere, topdomænenavneregistraturer, udbydere af cloud computing-
tjenester, udbydere af datacentertjenester og udbydere af
indholdsudsendelsesnetværk, jf. bilag I, punkt 8, samt digitale udbydere som
omhandlet i bilag II, punkt 6, anses for at høre under jurisdiktionen i den
medlemsstat, hvor de har deres hovedforretningssted i Unionen.
2. Med henblik på dette direktiv anses enheder som omhandlet i stk. 1 for at have deres
hovedvirksomhed i Unionen i den medlemsstat, hvor beslutningerne vedrørende
foranstaltningerne til styring af cybersikkerhedsrisici træffes. Hvis sådanne
beslutninger ikke træffes i en virksomhed i Unionen, anses hovedvirksomheden for
at ligge i den medlemsstat, hvor enhederne har virksomheden med det største antal
ansatte i Unionen.
3. Hvis en enhed som omhandlet i stk. 1 ikke er etableret i Unionen, men udbyder
tjenester inden for Unionen, udpeger den en repræsentant i Unionen. Repræsentanten
skal være etableret i en af de medlemsstater, hvor tjenesterne tilbydes. En sådan
enhed anses for at høre under den medlemsstats jurisdiktion, hvor repræsentanten er
etableret. Hvis der ikke findes en udpeget repræsentant i Unionen i henhold til denne
artikel, kan enhver medlemsstat, hvor enheden leverer tjenester, anlægge sag mod
enheden for manglende overholdelse af forpligtelserne i henhold til dette direktiv.
4. En i stk. 1 omhandlet enheds udpegelse af en repræsentant berører ikke eventuelle
retlige skridt mod selve udbyderen af digitale tjenester.
Artikel 25
Register over væsentlige og vigtige enheder
DA 52 DA
1. ENISA opretter og vedligeholder et register for væsentlige og vigtige enheder som
omhandlet i artikel 24, stk. 1. Enhederne fremsender følgende oplysninger til ENISA
senest [12 måneder efter direktivets ikrafttræden]:
(a) enhedens navn
(b) adressen på dens hovedvirksomhed og andre retlige enheder i Unionen eller,
hvis den ikke er etableret i Unionen, på den repræsentant, der er udpeget i
henhold til artikel 24, stk. 3
(c) ajourførte kontaktoplysninger, herunder e-mailadresser og telefonnumre på
enhederne.
2. De i stk. 1 omhandlede enheder underretter straks og under alle omstændigheder
senest tre måneder efter den dato, hvor ændringen trådte i kraft, ENISA om enhver
ændring af de oplysninger, de har indsendt i henhold til stk. 1.
3. Efter modtagelse af de i stk. 1 omhandlede oplysninger fremsender ENISA dem til
de centrale kontaktpunkter afhængigt af den angivne placering af den enkelte enheds
hovedvirksomhed eller, hvis den ikke er etableret i Unionen, dens udpegede
repræsentant. Hvis en i stk. 1 omhandlet enhed ud over sin hovedvirksomhed i
Unionen har yderligere virksomheder i andre medlemsstater, underretter ENISA også
de centrale kontaktpunkter i disse medlemsstater.
4. Hvis en enhed ikke registrerer sine aktiviteter eller fremlægger de relevante
oplysninger inden for den i stk. 1 fastsatte frist, er enhver medlemsstat, hvor enheden
leverer tjenester, kompetent til at sikre, at enheden overholder forpligtelserne i dette
direktiv.
KAPITEL V
Udveksling af oplysninger
Artikel 26
Ordninger for udveksling af cybersikkerhedsoplysninger
1. Uden at det berører forordning (EU) 2016/679, sikrer medlemsstaterne, at væsentlige
og vigtige enheder kan udveksle relevante cybersikkerhedsoplysninger indbyrdes,
herunder oplysninger om cybertrusler, sårbarheder, kompromitteringsindikatorer,
taktikker, teknikker og procedurer, cybersikkerhedsadvarsler og
konfigurationsværktøjer, hvis denne informationsudveksling:
(a) har til formål at forebygge, opdage, reagere på eller afbøde hændelser
(b) øger cybersikkerhedsniveauet, navnlig ved at øge bevidstheden om
cybertrusler, begrænse eller hindre sådanne truslers evne til at sprede sig, støtte
en række forsvarskapaciteter, afhjælpe og offentliggøre sårbarheder, teknikker
til sporing af trusler, afbødningsstrategier eller indsats- og genopretningsfaser.
2. Medlemsstaterne sikrer, at udvekslingen af oplysninger finder sted inden for betroede
fællesskaber af væsentlige og vigtige enheder. En sådan udveksling gennemføres ved
hjælp af ordninger for udveksling af oplysninger for så vidt angår den potentielt
DA 53 DA
følsomme karakter af de udvekslede oplysninger og i overensstemmelse med de i stk.
1 omhandlede EU-retlige bestemmelser.
3. Medlemsstaterne fastsætter regler, der præciserer proceduren, de operationelle
elementer (herunder brugen af særlige IKT-platforme), indholdet af og betingelserne
for de i stk. 2 omhandlede informationsudvekslingsordninger. Sådanne regler skal
også indeholde nærmere bestemmelser om inddragelse af offentlige myndigheder i
sådanne ordninger samt operationelle elementer, herunder brug af særlige IT-
platforme. Medlemsstaterne yder støtte til anvendelsen af sådanne ordninger i
overensstemmelse med deres politikker, jf. artikel 5, stk. 2, litra g).
4. Væsentlige og vigtige enheder underretter de kompetente myndigheder om deres
deltagelse i de i stk. 2 omhandlede informationsudvekslingsordninger, når de
indtræder i sådanne ordninger, eller, hvis det er relevant, om deres udtræden af
sådanne ordninger, når denne udtræden træder i kraft.
5. I overensstemmelse med EU-retten støtter ENISA oprettelsen af ordninger for
udveksling af cybersikkerhedsoplysninger som omhandlet i stk. 2 ved at levere
bedste praksis og vejledning.
Artikel 27
Frivillig meddelelse af relevante oplysninger
Medlemsstaterne sikrer, at enheder, der falder uden for dette direktivs anvendelsesområde,
med forbehold af artikel 3 kan foretage underretninger på frivillig basis om væsentlige
hændelser, cybertrusler eller nærvedhændelser. Når medlemsstaterne behandler
underretninger, handler de efter proceduren i artikel 20. Medlemsstaterne kan prioritere
behandling af obligatoriske underretninger frem for frivillige underretninger. Frivillige
underretninger må ikke medføre, at den underrettende enhed pålægges nogen yderligere
forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde indgivet denne
underretning.
KAPITEL VI
Tilsyn og håndhævelse
Artikel 28
Generelle aspekter vedrørende tilsyn og håndhævelse
1. Medlemsstaterne sikrer, at de kompetente myndigheder effektivt overvåger og
træffer de nødvendige foranstaltninger for at sikre, at dette direktiv overholdes,
navnlig forpligtelserne i artikel 18 og 20.
2. De kompetente myndigheder indgår i et tæt samarbejde med
databeskyttelsesmyndigheder, når de håndterer hændelser, der medfører brud på
persondatasikkerheden.
DA 54 DA
Artikel 29
Tilsyn og håndhævelse for væsentlige enheder
1. Medlemsstaterne sikrer, at de tilsyns- eller håndhævelsesforanstaltninger, der
pålægges væsentlige enheder for så vidt angår de forpligtelser, som er fastsat i dette
direktiv, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende
virkning under hensyntagen til omstændighederne i den enkelte sag.
2. Medlemsstaterne sikrer, at de kompetente myndigheder, når de udfører deres
tilsynsopgaver i forbindelse med væsentlige enheder, har beføjelse til at pålægge
disse enheder:
a) kontrol på stedet og tilsyn uden for stedet, herunder stikprøvekontrol
b) regelmæssig revision
c) målrettede sikkerhedsrevisioner baseret på risikovurderinger eller
risikorelaterede tilgængelige oplysninger
d) sikkerhedsscanninger baseret på objektive, ikkediskriminerende, retfærdige og
gennemsigtige risikovurderingskriterier
e) anmodninger om oplysninger, der er nødvendige for at vurdere enhedens
cybersikkerhedsforanstaltninger, herunder dokumenterede
cybersikkerhedspolitikker, samt overholdelse af forpligtelsen til at underrette
ENISA i henhold til artikel 25, stk. 1 og 2
f) anmodninger om adgang til data, dokumenter eller oplysninger, der er
nødvendige for udførelsen af deres tilsynsopgaver
g) anmodninger om dokumentation for gennemførelsen af
cybersikkerhedspolitikker såsom resultaterne af sikkerhedsrevisioner udført af
en kvalificeret revisor og den respektive underliggende dokumentation.
3. Ved udøvelsen af deres beføjelser i henhold til stk. 2, litra e)-g), angiver de
kompetente myndigheder formålet med anmodningen og præciserer, hvilke
oplysninger der anmodes om.
4. Medlemsstaterne sikrer, at de kompetente myndigheder, når de udøver deres
håndhævelsesbeføjelser over for væsentlige enheder, har beføjelse til at:
(a) udstede advarsler om enhedernes manglende overholdelse af forpligtelserne i
dette direktiv
(b) udstede bindende instrukser eller pålægge disse enheder at afhjælpe de
konstaterede mangler eller overtrædelserne af de forpligtelser, der er fastsat i
dette direktiv
(c) pålægge disse enheder at ophøre med at udvise adfærd, der ikke opfylder de
forpligtelser, som er fastsat i dette direktiv, og afstå fra at gentage denne
adfærd
(d) pålægge disse enheder at bringe deres risikostyringsforanstaltninger og/eller
rapporteringsforpligtelser i overensstemmelse med forpligtelserne i artikel 18
og 20 på en nærmere bestemt måde og inden for en nærmere angivet frist
(e) pålægge disse enheder at underrette den eller de fysiske eller juridiske
personer, som de leverer tjenester eller aktiviteter til, og som potentielt er
berørt af en væsentlig cybertrussel, om eventuelle beskyttelsesforanstaltninger
DA 55 DA
eller afhjælpende foranstaltninger, som disse fysiske eller juridiske personer
kan træffe som reaktion på denne trussel
(f) pålægge disse enheder at gennemføre de anbefalinger, der er fremsat som følge
af en sikkerhedsrevision, inden for en rimelig frist
(g) udpege en overvågningsansvarlig med veldefinerede opgaver til gennem en
nærmere fastsat periode at føre tilsyn med overholdelsen af deres forpligtelser i
henhold til artikel 18 og 20
(h) pålægge disse enheder at offentliggøre aspekter af manglende overholdelse af
forpligtelserne i dette direktiv på en nærmere angivet måde
(i) fremsætte en offentlig erklæring, der identificerer den eller de juridiske og
fysiske personer, som er ansvarlige for overtrædelsen af en forpligtelse, der er
fastsat i dette direktiv, og overtrædelsens art
(j) pålægge eller anmode de relevante organer eller domstole om i henhold til
national lovgivning at pålægge en administrativ bøde i henhold til artikel 31 ud
over eller i stedet for de foranstaltninger, der er omhandlet i dette stykkes litra
a)-i), afhængigt af omstændighederne i den enkelte sag.
5. Hvis håndhævelsesforanstaltninger vedtaget i henhold til stk. 4, litra a)-d) og f), viser
sig at være virkningsløse, sikrer medlemsstaterne, at de kompetente myndigheder har
beføjelse til at fastsætte en frist, inden for hvilken den væsentlige enhed anmodes om
at træffe de nødvendige foranstaltninger for at afhjælpe manglerne eller opfylde disse
myndigheders krav. Hvis den ønskede foranstaltning ikke træffes inden for den
fastsatte frist, sikrer medlemsstaterne, at de kompetente myndigheder har beføjelse til
at:
(a) suspendere eller anmode et certificerings- eller godkendelsesorgan om at
suspendere en certificering eller godkendelse vedrørende dele af eller alle de
tjenester eller aktiviteter, der leveres af en væsentlig enhed
(b) pålægge eller anmode de relevante organer eller domstole om i henhold til
national lovgivning midlertidigt at forbyde enhver person med ledelsesansvar
på administrerende eller juridisk niveau i den pågældende væsentlige enhed og
enhver anden fysisk person, der anses for at være ansvarlig for overtrædelsen,
at udøve ledelsesfunktioner i den pågældende enhed.
Disse sanktioner anvendes kun, indtil enheden træffer de nødvendige foranstaltninger
for at afhjælpe manglerne eller opfylde kravene fra den kompetente myndighed, for
hvilken sådanne sanktioner blev anvendt.
6. Medlemsstaterne sikrer, at enhver fysisk person, der er ansvarlig for eller optræder
som repræsentant for en væsentlig enhed på grundlag af beføjelsen til at repræsentere
den, beføjelsen til at træffe afgørelser på dennes vegne eller beføjelsen til at udøve
kontrol over den, har beføjelse til at sikre, at enheden overholder forpligtelserne i
dette direktiv. Medlemsstaterne sikrer, at disse fysiske personer kan drages til ansvar
for tilsidesættelse af deres forpligtelser til at sikre overholdelse af forpligtelserne i
dette direktiv.
7. Når de kompetente myndigheder træffer håndhævelsesforanstaltninger eller anvender
sanktioner i henhold til stk. 4 og 5, skal de overholde retten til forsvar og tage hensyn
til omstændighederne i den enkelte sag og som minimum tage behørigt hensyn til:
DA 56 DA
(a) overtrædelsens grovhed og betydningen af de tilsidesatte bestemmelser. Blandt
de overtrædelser, der bør betragtes som alvorlige: gentagne overtrædelser,
manglende underretning om eller afhjælpning af hændelser med en betydelig
forstyrrende virkning, manglende afhjælpning af mangler som følge af
bindende instrukser fra de kompetente myndigheder, der lægger hindringer i
vejen for revisioner eller overvågningsaktiviteter, som den kompetente
myndighed har beordret efter konstatering af en overtrædelse, afgivelse af
urigtige eller klart unøjagtige oplysninger i forbindelse med
risikostyringskravene eller rapporteringsforpligtelserne i artikel 18 og 20
(b) overtrædelsens varighed, herunder elementet af gentagne overtrædelser
(c) de faktiske skader eller lidte tab eller potentielle skader eller tab, der kunne
være blevet udløst, for så vidt de kan fastslås. Ved evalueringen af dette aspekt
skal der bl.a. tages hensyn til faktiske eller potentielle finansielle eller
økonomiske tab, virkninger for andre tjenester, antal brugere, der er berørt eller
potentielt berørt
(d) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt
(e) foranstaltninger, som enheden har truffet for at forebygge eller afbøde skaden
og/eller tabet
(f) overholdelse af godkendte adfærdskodekser eller godkendte
certificeringsmekanismer
(g) graden af samarbejde mellem den eller de fysiske eller juridiske person(er), der
gøres ansvarlig(e), og de kompetente myndigheder.
8. De kompetente myndigheder skal give en detaljeret begrundelse for deres
håndhævelsesafgørelser. Inden de kompetente myndigheder træffer sådanne
afgørelser, underretter de de berørte enheder om deres foreløbige resultater og giver
disse enheder en rimelig frist til at fremsætte bemærkninger.
9. Medlemsstaterne sikrer, at deres kompetente myndigheder underretter de relevante
kompetente myndigheder i den berørte medlemsstat, der er udpeget i henhold til
direktiv (EU) XXXX/XXXX [direktivet om kritiske enheders modstandsdygtighed],
når de udøver deres tilsyns- og håndhævelsesbeføjelser med henblik på at sikre, at en
væsentlig enhed, der er identificeret som kritisk eller som en enhed svarende til en
kritisk enhed, i henhold til direktiv (EU) XXXX/XXXX [direktivet om kritiske
enheders modstandsdygtighed] overholder forpligtelserne i henhold til dette direktiv.
Efter anmodning fra kompetente myndigheder i henhold til direktiv (EU)
XXXX/XXXX [direktivet om kritiske enheders modstandsdygtighed] kan de
kompetente myndigheder udøve deres tilsyns- og håndhævelsesbeføjelser over for en
væsentlig enhed, der er identificeret som kritisk eller tilsvarende.
Artikel 30
Tilsyn og håndhævelse for vigtige enheder
1. Hvis der forelægges dokumentation for eller tegn på, at en vigtig enhed ikke
overholder forpligtelserne i dette direktiv, særlig artikel 18 og 20, sikrer
medlemsstaterne, at de kompetente myndigheder træffer foranstaltninger, hvor det er
nødvendigt, gennem efterfølgende tilsynsforanstaltninger.
DA 57 DA
2. Medlemsstaterne sikrer, at de kompetente myndigheder, når de udfører deres
tilsynsopgaver i forbindelse med vigtige enheder, har beføjelse til at pålægge disse
enheder:
(a) kontrol på stedet og efterfølgende tilsyn uden for stedet
(b) målrettede sikkerhedsrevisioner baseret på risikovurderinger eller
risikorelaterede tilgængelige oplysninger
(c) sikkerhedsscanninger baseret på objektive, retfærdige og gennemsigtige
risikovurderingskriterier
(d) anmodninger om oplysninger, der er nødvendige for efterfølgende at vurdere
cybersikkerhedsforanstaltningerne, herunder dokumenterede
cybersikkerhedspolitikker, samt overholdelsen af forpligtelsen til at underrette
ENISA i henhold til artikel 25, stk. 1 og 2
(e) anmodninger om adgang til data, dokumenter og/eller oplysninger, der er
nødvendige for udførelsen af tilsynsopgaverne.
3. Ved udøvelsen af deres beføjelser i henhold til stk. 2, litra d) eller e), angiver de
kompetente myndigheder formålet med anmodningen og præciserer, hvilke
oplysninger der anmodes om.
4. Medlemsstaterne sikrer, at de kompetente myndigheder, når de udøver deres
håndhævelsesbeføjelser over for vigtige enheder, har beføjelse til at:
(a) udstede advarsler om enhedernes manglende overholdelse af forpligtelserne i
dette direktiv
(b) udstede bindende instrukser eller pålægge disse enheder at afhjælpe de
konstaterede mangler eller overtrædelserne af de forpligtelser, der er fastsat i
dette direktiv
(c) pålægge disse enheder at ophøre med at udvise en adfærd, der ikke opfylder de
forpligtelser, som er fastsat i dette direktiv, og afstå fra at gentage denne
adfærd
(d) pålægge disse enheder at bringe deres risikostyringsforanstaltninger eller
underretningsforpligtelser i overensstemmelse med de forpligtelser, der er
fastsat i artikel 18 og 20, på en nærmere angivet måde og inden for en nærmere
angivet frist
(e) pålægge disse enheder at underrette den eller de fysiske eller juridiske
personer, som de leverer tjenester eller aktiviteter til, og som potentielt er
berørt af en væsentlig cybertrussel, om eventuelle beskyttelsesforanstaltninger
eller afhjælpende foranstaltninger, som disse fysiske eller juridiske personer
kan træffe som reaktion på denne trussel
(f) pålægge disse enheder at gennemføre de anbefalinger, der er fremsat som følge
af en sikkerhedsrevision, inden for en rimelig frist
(g) pålægge disse enheder at offentliggøre aspekter af manglende overholdelse af
deres forpligtelser i henhold til dette direktiv på en nærmere angivet måde
(h) fremsætte en offentlig erklæring, der identificerer den eller de juridiske og
fysiske personer, som er ansvarlige for overtrædelsen af en forpligtelse, der er
fastsat i dette direktiv, og overtrædelsens art
DA 58 DA
(i) pålægge eller anmode de relevante organer eller domstole om i henhold til
national lovgivning at pålægge en administrativ bøde i henhold til artikel 31 ud
over eller i stedet for de foranstaltninger, der er omhandlet i dette stykkes litra
a)-h), afhængigt af omstændighederne i den enkelte sag.
5. Artikel 29, stk. 6-8, finder også anvendelse på tilsyns- og
håndhævelsesforanstaltningerne i denne artikel for de vigtige enheder, der er opført i
bilag II.
Artikel 31
Generelle betingelser for pålæggelse af administrative bøder
1. Medlemsstaterne sikrer, at administrative bøder, der pålægges væsentlige og vigtige
enheder i henhold til denne artikel for overtrædelse af de forpligtelser, som er fastsat
i dette direktiv, i hvert enkelt tilfælde er effektive, står i rimeligt forhold til
overtrædelsen og har afskrækkende virkning.
2. Administrative bøder pålægges afhængigt af omstændighederne i hver enkelt sag i
tillæg til eller i stedet for foranstaltninger som omhandlet i artikel 29, stk. 4, litra a)-
i), artikel 29, stk. 5 og artikel 30, stk. 4, litra a)-h).
3. Når det skal besluttes, om der skal pålægges en administrativ bøde, og der træffes
afgørelse om dens størrelse i hvert enkelt tilfælde, tages der som minimum behørigt
hensyn til de i artikel 29, stk. 7, omhandlede elementer.
4. Medlemsstaterne sikrer, at overtrædelser af forpligtelserne i artikel 18 eller artikel 20
i overensstemmelse med nærværende artikels stk. 2 og 3 straffes med administrative
bøder på maksimalt mindst 10 000 000 EUR eller op til 2 % af den samlede globale
årsomsætning i den virksomhed, som den væsentlige eller vigtige enhed tilhører i det
foregående regnskabsår, alt efter hvad der er højest.
5. Medlemsstaterne kan fastsætte beføjelser til at pålægge tvangsbøder for at tvinge en
væsentlig eller vigtig enhed til at bringe en overtrædelse til ophør i
overensstemmelse med en forudgående afgørelse truffet af den kompetente
myndighed.
6. Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til
artikel 29 og 30, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket
omfang administrative bøder må pålægges offentlige forvaltningsorganer, jf. artikel
4, nr. 23, i henhold til bestemmelserne i nærværende direktiv.
Artikel 32
Overtrædelser, der medfører brud på persondatasikkerheden
1. Hvis de kompetente myndigheder konstaterer tegn på, at en væsentlig eller vigtig
enheds overtrædelse af de forpligtelser, der er fastsat i artikel 18 og 20, medfører et
brud på persondatasikkerheden som omhandlet i artikel 4, stk. 12, i forordning (EU)
2016/679, som skal anmeldes i henhold til nævnte forordnings artikel 33, underretter
de inden for en rimelig frist de tilsynsmyndigheder, der er kompetente i henhold til
nævnte forordnings artikel 55 og 56.
DA 59 DA
2. Hvis de tilsynsmyndigheder, der er kompetente i henhold til artikel 55 og 56 i
forordning (EU) 2016/679, beslutter at udøve deres beføjelser i henhold til artikel 58,
litra i), i nævnte forordning og pålægger en administrativ bøde, pålægger de
kompetente myndigheder ikke en administrativ bøde for den samme overtrædelse i
henhold til dette direktivs artikel 31. De kompetente myndigheder kan dog anvende
de håndhævelsesforanstaltninger eller udøve de sanktionsbeføjelser, der er omhandlet
i dette direktivs artikel 29, stk. 4, litra a)-i), artikel 29, stk. 5, og artikel 30, stk. 4,
litra a)-h).
3. Hvis den tilsynsmyndighed, der er kompetent i henhold til forordning (EU)
2016/679, er etableret i en anden medlemsstat end den kompetente myndighed, kan
den kompetente myndighed underrette tilsynsmyndigheden, der er etableret i samme
medlemsstat.
Artikel 33
Sanktioner
1. Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af
overtrædelser af de nationale regler, der er vedtaget i medfør af dette direktiv, og
træffer alle nødvendige foranstaltninger til at sikre, at de gennemføres. Sanktionerne
skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende
virkning.
2. Medlemsstaterne giver senest [to] år efter dette direktivs ikrafttræden Kommissionen
meddelelse om disse regler og foranstaltninger og underretter den uden unødig
forsinkelse om alle senere ændringer, der berører dem.
Artikel 34
Gensidig bistand
1. Hvis en væsentlig eller vigtig enhed leverer tjenester i mere end én medlemsstat eller
har sit hjemsted eller en repræsentant i én medlemsstat, men dets net- og
informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder
den kompetente myndighed i den medlemsstat, hvor hjemstedet eller en anden
virksomhed eller repræsentanten befinder sig, og de kompetente myndigheder i de
pågældende andre medlemsstater og bistår hinanden efter behov. Dette samarbejde
indebærer som minimum, at:
(a) de kompetente myndigheder, der anvender tilsyns- eller
håndhævelsesforanstaltninger i en medlemsstat, via det fælles kontaktpunkt
underretter og hører de kompetente myndigheder i de øvrige berørte
medlemsstater om de tilsyns- og håndhævelsesforanstaltninger, der er truffet,
og opfølgningen heraf i overensstemmelse med artikel 29 og 30
(b) en kompetent myndighed kan anmode en anden kompetent myndighed om at
træffe de tilsyns- eller håndhævelsesforanstaltninger, der er omhandlet i artikel
29 og 30
(c) en kompetent myndighed yder efter modtagelse af en begrundet anmodning fra
en anden kompetent myndighed bistand til den anden kompetente myndighed,
DA 60 DA
således at de tilsyns- eller håndhævelsesforanstaltninger, der er omhandlet i
artikel 29 og 30, kan gennemføres på en effektiv, virkningsfuld og konsekvent
måde. En sådan gensidig bistand kan omfatte anmodninger om oplysninger og
tilsynsforanstaltninger, herunder anmodninger om at foretage inspektioner på
stedet eller tilsyn uden for stedet eller målrettede sikkerhedskontroller. En
kompetent myndighed, som en anmodning om bistand er rettet til, kan ikke
afvise anmodningen, medmindre det efter en udveksling med de øvrige berørte
myndigheder, ENISA og Kommissionen fastslås, enten at myndigheden ikke er
kompetent til at yde den ønskede bistand, eller at den bistand, der anmodes om,
ikke står i et rimeligt forhold til den kompetente myndigheds tilsynsopgaver,
der udføres i overensstemmelse med artikel 29 eller artikel 30.
2. Når det er hensigtsmæssigt og efter fælles overenskomst, kan kompetente
myndigheder fra forskellige medlemsstater gennemføre de i artikel 29 og 30
omhandlede fælles tilsynsforanstaltninger.
KAPITEL VII
Overgangsbestemmelser og afsluttende bestemmelser
Artikel 35
Evaluering
Kommissionen tager regelmæssigt dette direktivs funktion op til evaluering og forelægger en
rapport for Europa-Parlamentet og Rådet. Rapporten skal navnlig vurdere relevansen af de i
bilag I og II omhandlede sektorer, delsektorer, størrelser og typer af enheder for økonomien
og samfundet i forbindelse med cybersikkerhed. Til dette formål og med henblik på yderligere
at fremme det strategiske og operationelle samarbejde tager Kommissionen højde for
rapporterne fra samarbejdsgruppen og CSIRT-netværket om de erfaringer, der er gjort på
strategisk og operationelt plan. Den første rapport forelægges senest … 54 måneder efter
datoen for dette direktivs ikrafttræden.
Artikel 36
Udøvelse af de delegerede beføjelser
1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne
artikel fastlagte betingelser.
2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 18, stk. 6, og artikel 21, stk.
2, tillægges Kommissionen for en periode på fem år fra den […].
3. Den i artikel 18, stk. 6, og artikel 21, stk. 2, omhandlede delegation af beføjelser kan
til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om
tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende
afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i
Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i
afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i
kraft.
DA 61 DA
4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er
udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den
interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.
5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-
Parlamentet og Rådet meddelelse herom.
6. En delegeret retsakt vedtaget i henhold til artikel 18, stk. 6, og artikel 21, stk. 2,
træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse
inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til
Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet
af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre
indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets
initiativ.
Artikel 37
Udvalgsprocedure
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i
forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011
anvendelse.
3. Når udvalgets udtalelse indhentes efter en skriftlig procedure, afsluttes proceduren
uden noget resultat, hvis formanden for udvalget træffer beslutning herom, eller hvis
et medlem af udvalget anmoder herom inden for tidsfristen for afgivelse af
udtalelsen.
Artikel 38
Gennemførelse
1. Medlemsstaterne vedtager og offentliggør senest … 18 måneder efter direktivets
ikrafttrædelsesdato de love og administrative bestemmelser, der er nødvendige for at
efterkomme dette direktiv. De underretter straks Kommissionen herom. De anvender
disse love og bestemmelser fra den ... [én dag efter den dato, der er nævnt i første
afsnit].
2. Lovene og bestemmelserne skal ved vedtagelsen indeholde en henvisning til dette
direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere
regler for henvisningen fastsættes af medlemsstaterne.
Artikel 39
Ændring af forordning (EU) nr. 910/2014
Artikel 19 i forordning (EU) nr. 910/2014 udgår.
DA 62 DA
Artikel 40
Ændring af direktiv (EU) 2018/1972
Artikel 40 og 41 i direktiv (EU) 2018/1972 udgår.
Artikel 41
Ophævelse
Direktiv (EU) 2016/1148 ophæves med virkning fra den [dato for direktivets
gennemførelsesfrist].
Henvisninger til direktiv (EU) 2016/1148 betragtes som henvisninger til nærværende direktiv,
jf. sammenligningstabellen i bilag III.
Artikel 42
Ikrafttræden
Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions
Tidende.
Artikel 43
Adressater
Dette direktiv er rettet til medlemsstaterne.
Udfærdiget i Bruxelles, den […].
På Europa-Parlamentets vegne På Rådets vegne
Formand Formand
DA 1 DA
FINANSIERINGSOVERSIGT
Indholdsfortegnelse
1. FRAMEWORK OF THE PROPOSAL/INITIATIVE................................................. 2
1.1. Title of the proposal/initiative...................................................................................... 2
1.2. Policy area(s) concerned (Programme cluster)............................................................ 2
1.3. The proposal/initiative relates to:................................................................................. 2
1.4. Grounds for the proposal/initiative .............................................................................. 2
1.4.1. Requirement(s) to be met in the short or long term including a detailed timeline for
roll-out of the implementation of the initiative............................................................ 2
1.4.2. Added value of Union involvement (it may result from different factors, e.g.
coordination gains, legal certainty, greater effectiveness or complementarities). For
the purposes of this point 'added value of Union involvement' is the value resulting
from Union intervention which is additional to the value that would have been
otherwise created by Member States alone.................................................................. 2
1.4.3. Lessons learned from similar experiences in the past.................................................. 3
1.4.4. Compatibility and possible synergy with other appropriate instruments..................... 3
1.5. Duration and financial impact...................................................................................... 4
1.6. Management mode(s) planned..................................................................................... 4
2. MANAGEMENT MEASURES................................................................................... 6
2.1. Monitoring and reporting rules .................................................................................... 6
2.2. Management and control system(s) ............................................................................. 6
2.2.1. Justification of the management mode(s), the funding implementation mechanism(s),
the payment modalities and the control strategy proposed .......................................... 6
2.2.2. Information concerning the risks identified and the internal control system(s) set up
to mitigate them............................................................................................................ 6
2.2.3. Estimation and justification of the cost-effectiveness of the controls (ratio of "control
costs ÷ value of the related funds managed"), and assessment of the expected levels
of risk of error (at payment & at closure) .................................................................... 6
2.3. Measures to prevent fraud and irregularities................................................................ 6
3. ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE.............. 7
3.1. Heading of the multiannual financial framework and new expenditure budget line(s)
proposed....................................................................................................................... 7
3.2. Estimated impact on expenditure................................................................................. 8
3.2.1. Summary of estimated impact on expenditure............................................................. 8
3.2.2. Summary of estimated impact on appropriations of an administrative nature........... 11
3.2.3. Third-party contributions ........................................................................................... 13
3.3. Estimated impact on revenue ..................................................................................... 13
DA 2 DA
1. FORSLAGETS/INITIATIVETS RAMME
1.1. Forslagets/initiativets betegnelse
Forslag til direktiv om foranstaltninger, der skal sikre et højt fælles
cybersikkerhedsniveau i hele Unionen, og om ophævelse af direktiv (EU) 2016/1148
1.2. Berørte(e) politikområder (programklynge)
Kommunikationsnet, indhold og teknologi
1.3. Forslaget/initiativet vedrører:
 en ny foranstaltning
 en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende
foranstaltning40
 en forlængelse af en eksisterende foranstaltning
 en sammenlægning eller omlægning af en eller flere foranstaltninger til en
ny/anden foranstaltning
1.4. Forslagets/initiativets begrundelse
1.4.1. Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for
iværksættelsen af initiativet
Formålet med revisionen er at øge cyberrobustheden i et omfattende sæt af
virksomheder, der opererer i Den Europæiske Union, på tværs af alle relevante
sektorer, at mindske uoverensstemmelser i modstandsdygtigheden på tværs af det
indre marked i de sektorer, der allerede er omfattet af direktivet, og at forbedre
niveauet af fælles situationsbevidsthed og den kollektive kapacitet til at forberede sig
og reagere.
1.4.2. Merværdi ved en indsats fra EU's side (f.eks. koordineringsfordele, retssikkerhed,
større effektivitet eller komplementaritet). Ved "merværdien ved en indsats fra EU's
side" forstås her merværdien af EU's intervention i forhold til den værdi, som
medlemsstaterne ville have skabt enkeltvis.
Modstandsdygtigheden over for cybertrusler i hele Unionen kan ikke være effektiv,
hvis der gribes ind på en uensartet måde gennem nationale eller regionale siloer.
NIS-direktivet har til formål at afhjælpe denne mangel ved at fastlægge en ramme for
net- og informationssystemernes sikkerhed på nationalt plan og EU-plan. Den første
regelmæssige evaluering af NIS-direktivet pegede imidlertid på en række iboende
mangler, som i sidste ende har ført til betydelige forskelle mellem medlemsstaterne
med hensyn til kapacitet, planlægning og beskyttelsesniveau, hvilket samtidig
påvirker de lige vilkår for lignende virksomheder på det indre marked.
En EU-indsats, der går videre end de nuværende foranstaltninger i NIS-direktivet, er
primært begrundet i: i) problemets grænseoverskridende karakter, ii) EU-indsatsens
potentiale til at forbedre og fremme effektive nationale politikker og iii) bidrag fra
samordnede og samarbejdsbaserede politiske foranstaltninger vedrørende NIS til
effektiv sikring af databeskyttelse og beskyttelse af privatlivets fred.
40
Jf. finansforordningens artikel 58, stk. 2, litra a) hhv. b).
DA 3 DA
Målene kan derfor bedre opfyldes gennem en indsats på EU-plan, snarere end af
medlemsstaterne alene.
1.4.3. Erfaringer fra lignende foranstaltninger
NIS-direktivet er det første horisontale instrument for det indre marked, der har til
formål at forbedre nettenes og systemernes modstandsdygtighed over for
cybersikkerhedsrisici i Unionen. Det har allerede i høj grad bidraget til at øge det
fælles cybersikkerhedsniveau i medlemsstaterne. Evalueringen af, hvordan direktivet
fungerer og gennemføres, har imidlertid peget på en række mangler, som ud over den
stigende digitalisering og behovet for en mere tidssvarende reaktion skal afhjælpes i
en revideret retsakt.
1.4.4. Sammenhæng med andre relevante instrumenter og eventuel synergivirkning
Det nye forslag er fuldt ud i overensstemmelse med og konsekvent i forhold til andre
relaterede initiativer såsom forslaget til forordning om digital operationel
modstandsdygtighed i den finansielle sektor ("DORA") og forslaget til direktiv om
modstandsdygtigheden hos kritiske operatører af væsentlige tjenester. Det er også i
overensstemmelse med den europæiske kodeks for elektronisk kommunikation, den
generelle forordning om databeskyttelse og eIDAS-forordningen.
Forslaget er en væsentlig del af strategien for EU's sikkerhedsunion.
DA 4 DA
1.5. Varighed og finansielle virkninger
 begrænset varighed
–  gældende fra [DD/MM]YYYY til [DD/MM]YYYY
–  Finansielle virkninger fra YYYY til YYYY for forpligtelsesbevillinger og fra
YYYY til YYYY for betalingsbevillinger.
 ubegrænset varighed
– Iværksættelse med en indkøringsperiode fra 2022 til 2025
– derefter gennemførelse i fuldt omfang.
1.6. Påtænkt(e) forvaltningsmetode(r)41
Direkte forvaltning ved Kommissionen
–  i dens tjenestegrene, herunder ved dens personale i EU's delegationer
–  i gennemførelsesorganer
 Delt forvaltning i samarbejde med medlemsstaterne
 Indirekte forvaltning ved at overlade budgetgennemførelsesopgaver til:
–  tredjelande eller organer, som tredjelande har udpeget
–  internationale organisationer og deres organer (angives nærmere)
–  Den Europæiske Investeringsbank og Den Europæiske Investeringsfond
– X organer, der er omhandlet i finansforordningens artikel 70 og 71
–  offentligretlige organer
–  privatretlige organer, der har fået overdraget samfundsopgaver, forudsat at de
stiller tilstrækkelige finansielle garantier
–  privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået
overdraget gennemførelsen af et offentlig-privat partnerskab, og som stiller
tilstrækkelige finansielle garantier
–  personer, der har fået overdraget gennemførelsen af specifikke aktioner i den
fælles udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den
Europæiske Union, og som er udpeget i den relevante basisretsakt
– Hvis der angives flere forvaltningsmetoder, gives der en nærmere forklaring i afsnittet "Bemærkninger".
Bemærkninger
Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, som ved forordningen om
cybersikkerhed har fået tildelt et nyt permanent mandat, vil bistå medlemsstaterne og
Kommissionen med gennemførelsen af det reviderede NIS-direktiv.
Som følge af det reviderede NIS-direktiv vil ENISA fra og med 2022/23 få yderligere
indsatsområder. Selv om disse indsatsområder vil være omfattet af ENISA's generelle opgaver
i henhold til dets mandat, vil de medføre en yderligere arbejdsbyrde for agenturet. ENISA
skal nærmere bestemt ud over sine nuværende indsatsområder i henhold til Kommissionens
41
Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på
webstedet BudgWeb:
https://myintracomm.ec.europa.eu/budgweb/DA/man/budgmanag/Pages/budgmanag.aspx.
DA 5 DA
forslag til et revideret NIS-direktiv også specifikt indarbejde følgende foranstaltninger i sit
arbejdsprogram: i) udvikle og vedligeholde et europæisk sårbarhedsregister (artikel 6, stk. 2, i
forslaget), ii) varetage sekretariatsfunktionen for det europæiske netværk af
forbindelsesorganisationer for cyberkriser (EU-CyCLONe) (artikel 14 i forslaget) og
udarbejde en årlig rapport om cybersikkerhedssituationen i EU (artikel 15 i forslaget), iii)
støtte tilrettelæggelsen af peerevalueringer mellem medlemsstaterne (artikel 16 i forslaget),
iv) indsamle aggregerede hændelsesdata fra medlemsstaterne og udarbejde teknisk vejledning
(artikel 20, stk. 9, i forslaget), v) etablere og vedligeholde et register over enheder, der leverer
grænseoverskridende tjenester (artikel 25 i forslaget).
Derfor vil der blive anmodet om 5 ekstra årsværk fra 2022 med et tilhørende budget på ca.
0,61 mio. EUR om året til dækning af disse nye stillinger (se særskilt finansieringsoversigt for
agenturer).
DA 6 DA
2. FORVALTNINGSFORANSTALTNINGER
2.1. Bestemmelser om kontrol og rapportering
Angiv hyppighed og betingelser.
Kommissionen vil regelmæssigt evaluere, hvordan direktivet fungerer, og aflægge
rapport til Europa-Parlamentet og Rådet, første gang tre år efter ikrafttrædelsen.
Kommissionen vil også vurdere, om medlemsstaterne gennemfører direktivet
korrekt.
2.2. Forvaltnings- og kontrolsystem(er)
2.2.1. Begrundelse for den/de påtænkte forvaltningsmetode(r), finansieringsmekanisme(r),
betalingsvilkår og kontrolstrategi
Det kontor i GD CNECT, der har ansvaret for det politiske område, vil stå for
gennemførelsen af direktivet.
2.2.2. Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der
etableres for at afbøde dem
Meget lav risiko, da NIS-direktivets økosystem allerede er på plads.
2.2.3. Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet
(forholdet mellem kontrolforanstaltningerne og værdien af de forvaltede midler)
samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning)
Ikke relevant. Kun anvendelse af administrationsbudgettet ("den samlede
bevillingsramme").
2.3. Foranstaltninger til forebyggelse af svig og uregelmæssigheder
Angiv eksisterende eller påtænkte forebyggelses- og beskyttelsesforanstaltninger, f.eks. fra strategien
til bekæmpelse af svig.
Ikke relevant. Kun anvendelse af administrationsbudgettet ("den samlede
bevillingsramme").
DA 7 DA
3. FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER
3.1. Udgiftsområde(r) i den flerårige finansielle ramme og foreslået(ede) ny(e)
udgiftspost(er) på budgettet
Udgiftsomr
åde i den
flerårige
finansielle
ramme
Budgetpost
Udgiftens
art
Bidrag
Nummer
[Udgiftsområde…7……………………...……
……]
OB/IOB42
fra EFTA-
lande43
fra
kandidatlan
de44
fra
tredjela
nde
iht.
finansforordningen
s artikel [21, stk. 2,
litra b)]
20 02 06
administrationsudgifter
20 02 06
IOB
NEJ NEJ NEJ NEJ
42
OB = opdelte bevillinger/IOB = ikke-opdelte bevillinger.
43
EFTA: Den Europæiske Frihandelssammenslutning.
44
Kandidatlande og, efter omstændighederne, potentielle kandidatlande på Vestbalkan.
DA 8 DA
3.2. Anslåede virkninger for udgifterne
3.2.1. Sammenfatning af de anslåede virkninger for udgifterne
i mio. EUR (tre decimaler)
Udgiftsområde i den flerårige finansielle ramme <…>
[Udgiftsområde……………...…………………………………………………………
…]
2021 2022 2023 2024 2025 2026 2027
Efter
2027
I ALT
Aktionsbevillinger (opdelt efter de under afsnit
3.1 anførte budgetposter)
Forpligtelser (1)
Betalinger (2)
Administrationsbevillinger finansieret over
bevillingsrammen for programmer45
Forpligtelser =
Betalinger
(3)
Bevillinger finansieret over
bevillingsrammen for programmet I
ALT
Forpligtelser =1+3
Betalinger =2+3
Udgiftsområde i den flerårige finansielle ramme 7
"Administration"
Møder: Der afholdes normalt plenarmøder i NIS-samarbejdsgruppen fire gange om
året. Kommissionen dækker udgifter til forplejning og rejser for repræsentanter fra 27
medlemsstater (en repræsentant pr. medlemsstat). Udgifterne til et møde kan beløbe
sig til op til 15 000 EUR.
Tjenesterejser: Tjenesterejser vedrører overvågning af gennemførelsen af NIS-
direktivet. Eksempel: Inden for et år (maj 2019-juli 2020) skulle vi arrangere såkaldte
"NIS-landebesøg" og besøge alle 27 medlemsstater for at drøfte gennemførelsen af
45
Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning,
direkte forskning.
DA 9 DA
NIS-direktivet i hele EU.
Dette afsnit skal udfyldes ved hjælp af arket vedrørende de administrative budgetoplysninger, der først skal indføres i Bilag til
finansieringsoversigten, som uploades til DECIDE med henblik på høring af andre tjenestegrene.
DA 10 DA
i mio. EUR (tre decimaler)
2021 2022 2023 2024 2025 2026 2027
Efter
2027
I ALT
Menneskelige ressourcer 1,14 1,14 1,14 1,14 1,14 1,14 1,14 7,98
Andre administrationsudgifter 0,09 0,09 0,09 0,09 0,09 0,09 0,09 0,63
Bevillinger I ALT under
UDGIFTSOMRÅDE 7 i den flerårige
finansielle ramme
(Forpligtelser i alt =
betalinger i alt)
1,23 1,23 1,23 1,23 1,23 1,23 1,23 8,61
i mio. EUR (tre decimaler)
2021 2022 2023 2024 2025 2026 2027
Efter
2027
I ALT
Bevillinger I ALT
under samtlige UDGIFTSOMRÅDER
i den flerårige finansielle ramme
Forpligtelser
Betalinger
DA 11 DA
3.2.2. Sammenfatning af de anslåede virkninger for administrationsbevillingerne
–  Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger
– X Forslaget/initiativet medfører anvendelse af administrationsbevillinger
som anført herunder:
i mio. EUR (tre decimaler)
Regnskabsår 2021 2022 2023 2024 2025 2026 2027 I ALT
UDGIFTSOMRÅDE 7
i den flerårige finansielle
ramme
Menneskelige ressourcer 1,14 1,14 1,14 1,14 1,14 1,14 1,14 7,98
Andre
administrationsudgifter
0,09 0,09 0,09 0,09 0,09 0,09 0,09 0,63
Subtotal
UDGIFTSOMRÅDE 7
i den flerårige finansielle
ramme
1,23 1,23 1,23 1,23 1,23 1,23 1,23 8,61
Uden for
UDGIFTSOMRÅDE 746
of the multiannual
financial framework
Menneskelige ressourcer
Andre udgifter
af administrativ art
Subtotal
uden for
UDGIFTSOMRÅDE 7
i den flerårige finansielle
ramme
I ALT 1,23 1,23 1,23 1,23 1,23 1,23 1,23 8,61
Bevillingerne til menneskelige ressourcer og andre administrationsudgifter vil blive dækket ved hjælp af de bevillinger, der i
forvejen er afsat til generaldirektoratets forvaltning af aktionen, og/eller ved intern omfordeling i generaldirektoratet,
eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige
tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.
46
Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer
og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.
DA 12 DA
3.2.2.1. Anslået behov for menneskelige ressourcer
–  Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer
– X Forslaget/initiativet medfører anvendelse af menneskelige ressourcer
som anført herunder:
Overslag angives i årsværk
Regnskabsår 2021 2022 2023 2024 2025 2026 2027
 Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte)
Hovedsædet og Kommissionens
repræsentationskontorer
6 6 6 6 6 6 6
Delegationer
Forskning
 Eksternt personale (i årsværk): årsværk) –– KA, LA, UNE, V og JED 47
Udgiftsområde 7
Finansieret over
UDGIFTSOMRÅ
DE 7 i den
flerårige
finansielle ramme
–– i hovedsædet 3 3 3 3 3 3 3
–– i delegationer
Finansieret over
bevillingsrammen
for programmet 48
–– i hovedsædet
–– i delegationer
Forskning
Andet (skal angives)
I ALT 9 9 9 9 9 9 9
Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til
aktionen, og/eller interne rokader i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som
tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de
budgetmæssige begrænsninger.
Opgavebeskrivelse:
Tjenestemænd og midlertidigt ansatte  Udarbejdelse af delegerede retsakter i henhold til artikel 18, stk. 6, artikel 21,
stk. 2, og artikel 36
 Udarbejdelse af gennemførelsesretsakter i henhold til artikel 12, stk. 8,
artikel 18, stk. 5, og artikel 20, stk. 11
 Oprettelse af et sekretariat for NIS-samarbejdsgruppen
 Tilrettelæggelse af NIS-samarbejdsgruppens plenarmøder og arbejdsmøder
 Koordinering af medlemsstaternes arbejde med forskellige dokumenter
(retningslinjer, værktøjskasser osv.)
 Kontakt til andre af Kommissionens tjenestegrene, ENISA og nationale
myndigheder med henblik på gennemførelse af NIS-direktivet
 Analyse af nationale metoder og bedste praksis i forbindelse med
gennemførelsen af NIS-direktivet.
Eksternt personale Støtte til ovenstående opgaver efter behov
47
KA = kontraktansatte, LA: lokalt ansatte, UNE: udstationerede nationale eksperter, V: vikarer, JED:
junioreksperter ved delegationerne.
48
Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).
DA 13 DA
3.2.3. Tredjemands bidrag til finansieringen
Forslaget/initiativet:
– X indeholder ikke bestemmelser om samfinansiering med tredjemand
–  indeholder bestemmelser om samfinansiering, jf. følgende overslag:
Bevillinger i mio. EUR (tre decimaler)
Regnskabsår 2021 2022 2023 2024 2025 2026 2027 I ALT
Angiv organ, som
deltager i
samfinansieringen
Samfinansierede
bevillinger I ALT
3.3. Anslåede virkninger for indtægterne
– X Forslaget/initiativet har ingen finansielle virkninger for indtægterne
–  Forslaget/initiativet har følgende finansielle virkninger:
 for egne indtægter
 for andre indtægter
Angiv, om indtægterne er formålsbestemte 
i mio. EUR (tre decimaler)
Indtægtspost på budgettet
Forslagets/initiativets virkninger49
2021 2022 2023 2024 2025 2026 2027
Artikel ………….
For indtægter, der er formålsbestemte, angives det, hvilke af budgettets udgiftsposter der påvirkes.
Andre bemærkninger (f.eks. om hvilken metode, der er benyttet til at beregne virkningerne for
indtægterne).
49
Med hensyn til EU's traditionelle egne indtægter (told og sukkerafgifter) opgives beløbene netto, dvs.
bruttobeløb, hvorfra der er trukket opkrævningsomkostninger på 20 %.
DA 1 DA
BILAG
til FINANSIERINGSOVERSIGT
Forslagets/initiativets navn
Forslag til direktiv om ændring af Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6.
juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og
informationssystemer i hele Unionen
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
1. PERSONALEBEHOV OG PERSONALEOMKOSTNINGER
2. ANDRE ADMINISTRATIONSUDGIFTER
3. ANVENDTE METODER TIL BEREGNING AF OMKOSTNINGSOVERSLAG
3.1 Menneskelige ressourcer
3.2 Andre administrationsudgifter
Dette bilag, som skal udfyldes af hvert GD/hver tjenestegren, der deltager i forslaget/initiativet, skal ledsage
finansieringsoversigten ved høring på tværs af tjenestegrenene.
Datatabellerne er brugt som kilde til tabellerne i finansieringsoversigten. De er udelukkende til internt brug i
Kommissionen.
DA 2 D
1. Personalebehov og personaleomkostninger
 Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer
X Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:
i mio. EUR (tre decimaler)
UDGIFTSOMRÅDE 7
i den flerårige finansielle
ramme
2021 2022 2023 2024 2025 2026 2027 I ALT
årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger
 Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte)
Hovedsædet og
Kommissionens
repræsentationskontorer
AD 6 0,9 6 0,9 6 0,9 6 0,9 6 0,9 6 0,9 6 0,9 42 6,3
AST
i EU-delegationer
AD
AST
 Eksternt personale50 0,24
Samlet bevillingsramme
KA 3 0,24 3 0,24 3 0,24 3 0,24 3 0,24 3 0,24 3 0,24 21 1,68
UNE
V
i EU-delegationer
KA
LA
UNE
50
KA = kontraktansatte, LA: lokalt ansatte, UNE: udstationerede nationale eksperter, V: vikarer, JED: junioreksperter ved delegationerne.
DA 3 D
V
JED
Andre budgetposter
(skal angives)
Subtotal ––
UDGIFTSOMRÅDE 7
i den flerårige
finansielle ramme
9 1,14 9 1,14 9 1,14 9 1,14 9 1,14 9 1,14 9 1,14 63 7,98
Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til aktionen, og/eller interne rokader i generaldirektoratet, eventuelt suppleret med yderligere
bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.
DA 4 D
Uden for UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme
2021 2022 2023 2024 2025 2025 2025 I ALT
årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger årsværk Bevillinger
 Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte)
Forskning
AD
AST
 Eksternt personale51
Eksternt
personale
finansieret over
aktionsbevillinger
(tidligere BA-
poster).
–– i
hovedsædet
KA
UNE
V
–– i EU-
delegationer
KA
LA
UNE
V
JED
Forskning
KA
UNE
V
Andre budgetposter (skal
51
KA = kontraktansatte, LA: lokalt ansatte, UNE: udstationerede nationale eksperter, V: vikarer, JED: junioreksperter ved delegationerne.
DA 5 D
angives)
Subtotal -– uden for
UDGIFTSOMRÅDE 7
i den flerårige finansielle
ramme
Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til aktionen, og/eller interne rokader i generaldirektoratet, eventuelt suppleret med
yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.
DA 6 D
Anslåede virkninger for ENISA's menneskelige ressourcer
Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, som ved forordningen om cybersikkerhed har fået tildelt et nyt permanent
mandat, vil bistå medlemsstaterne og Kommissionen med gennemførelsen af det reviderede NIS-direktiv.
Som følge af det reviderede NIS-direktiv vil ENISA fra og med 2022/23 få yderligere indsatsområder. Selv om disse indsatsområder vil
være omfattet af ENISA's generelle opgaver i henhold til dets mandat, vil de medføre en yderligere arbejdsbyrde for agenturet. ENISA
skal nærmere bestemt ud over sine nuværende indsatsområder i henhold til Kommissionens forslag til et revideret NIS-direktiv også
specifikt indarbejde følgende foranstaltninger i sit arbejdsprogram: i) udvikle og vedligeholde et europæisk sårbarhedsregister (artikel 6,
stk. 2, i forslaget), ii) varetage sekretariatsfunktionen for det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-
CyCLONe) (artikel 14 i forslaget) og udarbejde en årlig rapport om cybersikkerhedssituationen i EU (artikel 15 i forslaget), iii) støtte
tilrettelæggelsen af peerevalueringer mellem medlemsstaterne (artikel 16 i forslaget), iv) indsamle aggregerede hændelsesdata fra
medlemsstaterne og udarbejde teknisk vejledning (artikel 20, stk. 9, i forslaget), v) etablere og vedligeholde et register over enheder, der
leverer grænseoverskridende tjenester (artikel 25 i forslaget).
Derfor vil der blive anmodet om 5 ekstra årsværk fra 2022 med et tilhørende budget på ca. 0,61 mio. EUR om året til dækning af disse nye
stillinger (se særskilt finansieringsoversigt for agenturer).
Derfor vil der blive anmodet om 5 ekstra årsværk fra 2022 med et tilsvarende budget til dækning af disse nye stillinger.
 Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger
X Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:
i mio. EUR (tre decimaler)
År
N
52
2022
År
n+1
2023
År
n+2
2024
År
n+3
2025
Der indsættes flere år, hvis
virkningerne varer længere (jf. punkt
1.6)
I ALT
Midlertidigt ansatte
(AD)
0,450 0,450 0,450 0,450 0,450 0,450 2,7
52
År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også
for de følgende år.
DA 7 D
Midlertidigt ansatte
(AST)
Kontraktansatte 0,160 0,160 0,160 0,160 0,160 0,160
Udstationerede
nationale eksperter
0,96
I ALT 0,61 0,61 0,61 0,61 0,61 0,61 3,66
Personalebehov (i årsværk):
År
N
53
2022
År
n+1
2023
År
n+2
2024
År
n+3
2025
Der indsættes flere år, hvis
virkningerne varer længere (jf. punkt
1.6)
I ALT
Midlertidigt ansatte
(AD)
3 3 3 3 3 3 18
Midlertidigt ansatte
(AST)
Kontraktansatte 2 2 2 2 2 2 12
Udstationerede
nationale eksperter
53
År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også
for de følgende år.
DA 8 D
I ALT 5 5 5 5 5 5 30
2. Andre administrationsudgifter
 Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger
X Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:
i mio. EUR (tre decimaler)
UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme
2021 2022 2023 2024 2025 2026 2027 I alt
I hovedsædet
Udgifter til tjenesterejser og repræsentation 0,03 0,03 0,03 0,03 0,03 0,03 0,03 0,21
Udgifter til konferencer og møder 0,06 0,06 0,06 0,06 0,06 0,06 0,06 0,42
Udvalg54
Undersøgelser og konsultationer
Informations- og forvaltningssystemer
IKT-udstyr og -tjenester55
54
Oplys, hvilken type udvalg det drejer sig om, og hvilken gruppe det tilhører.
55
IKT: Informations- og kommunikationsteknologi: DIGIT skal høres.
DA 9 D
Andre budgetposter (angiv, hvis relevant)
I EU-delegationer
Udgifter til tjenesterejser, konferencer og repræsentation
Faglig videreuddannelse
Udgifter til køb og leje m.m.
Udstyr, møbler, forsyninger og tjenesteydelser
Subtotal UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme
0,09 0,09 0,09 0,09 0,09 0,09 0,09 0,63
DA 10 D
i mio. EUR (tre decimaler)
Uden for UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme
2021 2022 2023 2024 2025 2026 2027 I alt
Udgifter til teknisk og administrativ bistand (omfatter ikke
eksternt personale) finansieret over aktionsbevillinger
(tidligere BA-poster)
–– i hovedsædet
–– i EU-delegationer
Andre forskningsrelaterede administrationsudgifter
Andre budgetposter (angiv, hvis relevant)
Subtotal – Uden for UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme
I ALT
UDGIFTSOMRÅDE 7 og Uden for
UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme
1,23 1,23 1,23 1,23 1,23 1,23 1,23 8,61
Administrationsbevillingerne vil blive dækket ved hjælp af de bevillinger, som GD'et allerede har afsat til forvaltningen af aktionen, og/eller ved omfordeling, hvortil kommer de
eventuelle yderligere bevillinger, som tildeles det ansvarlige GD i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.
DA 11 DA
3. Anvendte metoder til beregning af omkostningsoverslag
3.1 Menneskelige ressourcer
Denne del beskriver beregningsmetoden til vurdering af de menneskelige ressourcer, der anses for at være
nødvendige (forventet arbejdsbyrde, herunder særlige job (Sysper 2 work profiles), personalekategorier og de
tilsvarende gennemsnitlige omkostninger)
UDGIFTSOMRÅDE 7 i den flerårige finansielle ramme
NB: Gennemsnitlige omkostninger for hver personalekategori i hovedsædet kan ses på BudgWeb:
https://myintracomm.ec.europa.eu/budgweb/EN/pre/legalbasis/Pages/pre-040-020_preparation.aspx
 Tjenestemænd og midlertidigt ansatte
6 årsværk, tjenestemænd (gennemsnitlige udgifter 0,150) = 0,9 pr. år
- Udarbejdelse af delegerede retsakter i henhold til artikel 18, stk. 6,
artikel 21, stk. 2, og artikel 36
- Udarbejdelse af gennemførelsesretsakter i henhold til artikel 12, stk. 8,
artikel 18, stk. 5, og artikel 20, stk. 11
- Oprettelse af et sekretariat for NIS-samarbejdsgruppen
- Tilrettelæggelse af NIS-samarbejdsgruppens plenarmøder og
arbejdsmøder
- Koordinering af medlemsstaternes arbejde med forskellige dokumenter
(retningslinjer, værktøjskasser osv.)
- Kontakt til andre af Kommissionens tjenestegrene, ENISA og nationale
myndigheder med henblik på gennemførelse af NIS-direktivet
- Analyse af nationale metoder og bedste praksis i forbindelse med
gennemførelsen af NIS-direktivet.
 Eksternt personale
3 KA (gennemsnitlig udgift 0,08) = 0,24 pr. år
- Støtte til ovenstående opgaver efter behov
Uden for UDGIFTSOMRÅDE 7 i den flerårige finansielle ramme
 Kun stillinger finansieret over forskningsbudgettet
 Eksternt personale
3.2 Andre administrationsudgifter
Oplys nærmere om den beregningsmetode, der anvendes for hver budgetpost,
DA 12 DA
herunder de underliggende antagelser (f.eks. antal møder om året, gennemsnitlige omkostninger m.v.)
UDGIFTSOMRÅDE 7 i den flerårige finansielle ramme
Møder: Der afholdes normalt plenarmøder i NIS-samarbejdsgruppen fire gange om året.
Kommissionen dækker udgifter til forplejning og rejser for repræsentanter fra 27
medlemsstater (en repræsentant pr. medlemsstat). Udgifterne til et møde kan beløbe sig til op
til 15 000 EUR, hvilket giver 60 000 EUR om året.
Tjenesterejser: Tjenesterejser vedrører overvågning af gennemførelsen af NIS-direktivet.
Eksempel: Inden for et år (maj 2019-juli 2020) skulle vi arrangere såkaldte "NIS-landebesøg"
og besøge alle 27 medlemsstater for at drøfte
gennemførelsen af NIS-direktivet i hele EU.
Uden for UDGIFTSOMRÅDE 7 i den flerårige finansielle ramme
DA 13 DA
BILAG 7
til
KOMMISSIONENS AFGØRELSE
om de interne regler for gennemførelse af Den Europæiske Unions almindelige budget (sektionen
for Europa-Kommissionen) rettet til Kommissionens tjenestegrene
FINANSIERINGSOVERSIGT (AGENTURER)
Denne finansieringsoversigt dækker anmodningen om at øge ENISA's personale med 5 årsværk
fra 2022 for at udføre supplerende aktiviteter i forbindelse med gennemførelsen af NIS-
direktivet. Disse aktiviteter er allerede omfattet af ENISA's mandat.
DA 14 DA
Indholdsfortegnelse
1. FRAMEWORK OF THE PROPOSAL/INITIATIVE............................................... 16
1.1. Title of the proposal/initiative.................................................................................... 16
1.2. Policy area(s) concerned ............................................................................................ 16
1.3. The proposal relates to ............................................................................................... 16
1.4. Objective(s)................................................................................................................ 16
1.4.1. General objective(s) ................................................................................................... 16
1.4.2. Specific objective(s)................................................................................................... 16
1.4.3. Expected result(s) and impact.................................................................................... 18
1.4.4. Indicators of performance .......................................................................................... 18
1.5. Grounds for the proposal/initiative ............................................................................ 19
1.5.1. Requirement(s) to be met in the short or long term including a detailed timeline for roll-out of
the implementation of the initiative ........................................................................... 19
1.5.2. Added value of Union involvement (it may result from different factors, e.g. coordination
gains, legal certainty, greater effectiveness or complementarities). For the purposes of this
point 'added value of Union involvement' is the value resulting from Union intervention which
is additional to the value that would have been otherwise created by Member States alone.
.................................................................................................................................... 19
1.5.3. Lessons learned from similar experiences in the past................................................ 20
1.5.4. Compatibility with the Multiannual Financial Framework and possible synergies with other
appropriate instruments.............................................................................................. 20
1.5.5. Assessment of the different available financing options, including scope for redeployment
.................................................................................................................................... 20
1.6. Duration and financial impact of the proposal/initiative ........................................... 21
1.7. Management mode(s) planned................................................................................... 21
2. MANAGEMENT MEASURES ................................................................................ 23
2.1. Monitoring and reporting rules .................................................................................. 23
2.2. Management and control system(s) ........................................................................... 23
2.2.1. Justification of the management mode(s), the funding implementation mechanism(s), the
payment modalities and the control strategy proposed.............................................. 23
2.2.2. Information concerning the risks identified and the internal control system(s) set up to mitigate
them............................................................................................................................ 23
2.2.3. Estimation and justification of the cost-effectiveness of the controls (ratio of "control costs ÷
value of the related funds managed"), and assessment of the expected levels of risk of error (at
payment & at closure)................................................................................................ 23
2.3. Measures to prevent fraud and irregularities.............................................................. 24
3. ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE............ 24
DA 15 DA
3.1. Heading(s) of the multiannual financial framework and expenditure budget line(s) affected
.................................................................................................................................... 24
3.2. Estimated impact on expenditure............................................................................... 26
3.2.1. Summary of estimated impact on expenditure........................................................... 26
3.2.2. Estimated impact on [body]'s appropriations............................................................. 28
3.2.3. Estimated impact on [body]'s human resources......................................................... 29
3.2.4. Compatibility with the current multiannual financial framework ............................. 32
3.2.5. Third-party contributions ........................................................................................... 32
3.3. Estimated impact on revenue ..................................................................................... 33
DA 16 DA
1. FORSLAGETS/INITIATIVETS RAMME
1.1. Forslagets/initiativets betegnelse
Forslag til direktiv om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i
hele Unionen, og om ophævelse af direktiv (EU) 2016/1148
1.2. Berørt(e) politikområde(r)
Kommunikationsnet, indhold og teknologi
1.3. Forslaget vedrører
 en ny foranstaltning
 en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende
foranstaltning56
 en forlængelse af en eksisterende foranstaltning
 en sammenlægning af en eller flere foranstaltninger til en anden/en ny foranstaltning
1.4. Mål
1.4.1. Generelle mål
Formålet med revisionen er at øge cyberrobustheden i et omfattende sæt af virksomheder, der
opererer på tværs af alle relevante sektorer i Den Europæiske Union, at mindske
uoverensstemmelser i modstandsdygtigheden på tværs af det indre marked i de sektorer, der
allerede er omfattet af direktivet, og at forbedre niveauet af fælles situationsbevidsthed og den
kollektive kapacitet til at forberede sig og reagere.
1.4.2. Specifikke mål
For at løse problemet med lav cyberrobusthed hos virksomheder, der opererer i Den
Europæiske Union, er det specifikke mål at sikre, at enheder i alle sektorer, der er afhængige
af net- og informationssystemer, og som leverer vigtige tjenester til økonomien og samfundet
som helhed, er forpligtet til at træffe cybersikkerhedsforanstaltninger og foretage
underretninger om hændelser med henblik på at øge den generelle cyberrobusthed i hele det
indre marked.
For at løse problemet med inkonsekvent modstandsdygtighed på tværs af medlemsstater og
sektorer er det specifikke mål at sikre, at alle enheder, som er aktive i sektorer, der er omfattet
af de retlige rammer for net- og informationssikkerhed, og som er af samme størrelse og har
en sammenlignelig rolle, er underlagt den samme reguleringsordning (enten inden for eller
uden for anvendelsesområdet), uanset hvilken jurisdiktion de hører under i EU.
For at sikre, at alle enheder, der er aktive i sektorer, som er omfattet af de retlige rammer for
net- og informationssikkerhed, skal følge de samme forpligtelser baseret på begrebet
risikostyring, når det drejer sig om sikkerhedsforanstaltninger, og skal foretage underretninger
om alle hændelser på grundlag af et ensartet sæt kriterier, er de specifikke mål at sikre, at de
kompetente myndigheder håndhæver de regler, der er fastsat i retsakten, mere effektivt
56
Jf. finansforordningens artikel 58, stk. 2, litra a) hhv. b).
DA 17 DA
gennem tilpassede tilsyns- og håndhævelsesforanstaltninger og at sikre et sammenligneligt
niveau af ressourcer på tværs af medlemsstaterne, som tildeles de kompetente myndigheder, så
de kan udføre de centrale opgaver, der er fastlagt i NIS-rammen.
For at løse problemet med fælles situationsbevidsthed og mangel på fælles kriserespons er det
specifikke mål at sikre, at vigtige oplysninger udveksles mellem medlemsstaterne ved at
indføre klare forpligtelser for de kompetente myndigheder til at udveksle oplysninger og
samarbejde i forbindelse med cybertrusler og -hændelser samt ved at udvikle en fælles
operationel kriseberedskabskapacitet på EU-plan.
DA 18 DA
1.4.3. Forventede resultater og virkninger
Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen.
Forslaget forventes at medføre betydelige fordele: Skøn viser, at det kan føre til en reduktion
af omkostningerne ved cybersikkerhedshændelser med 11,3 mia. EUR. Det sektorspecifikke
anvendelsesområde vil blive udvidet betydeligt inden for NIS-rammen, men ud over
ovennævnte fordele vil den byrde, der kan opstå som følge af NIS-kravene, navnlig ud fra et
tilsynsperspektiv, også være afbalanceret for såvel de nye enheder, der skal dækkes, som de
kompetente myndigheder. Dette skyldes, at den nye NIS-ramme vil etablere en tostrenget
tilgang med fokus på store og centrale enheder og en differentiering af tilsynsordningen, der
kun tillader efterfølgende tilsyn for et stort antal enheder, navnlig dem, der anses for at være
"vigtige", men endnu ikke "væsentlige".
Overordnet set vil forslaget føre til effektive afvejninger og synergier med det bedste
potentiale blandt alle de analyserede politiske løsningsmodeller og sikre en øget og
konsekvent grad af cyberrobusthed hos centrale enheder i hele Unionen, hvilket i sidste ende
vil føre til omkostningsbesparelser for både virksomheder og samfundet.
Forslaget vil også medføre visse overholdelses- og håndhævelsesomkostninger for de
relevante myndigheder i medlemsstaterne (det blev anslået, at ressourcerne skulle øges med i
alt ca. 20-30 %). Den nye ramme vil imidlertid også medføre betydelige fordele takket være et
bedre overblik over og interaktion med centrale virksomheder, øget operationelt samarbejde
henover grænserne samt gensidig bistand og peerevalueringsmekanismer. Dette vil føre til en
generel forøgelse af cybersikkerhedskapaciteterne på tværs af medlemsstaterne.
For de virksomheder, der vil være omfattet af NIS-rammen, anslås det, at deres nuværende
udgifter til IKT-sikkerhed vil skulle øges med 22 % i de første år efter indførelsen af den nye
NIS-ramme (dette tal vil være 12 % for virksomheder, der allerede er omfattet af det
nuværende NIS-direktiv). Denne gennemsnitlige stigning i udgifterne til IKT-sikkerhed vil
imidlertid medføre en forholdsmæssig fordel ved sådanne investeringer, navnlig på grund af
en betydelig reduktion af omkostningerne ved cybersikkerhedshændelser (anslået til 118 mia.
EUR over ti år).
Små virksomheder og mikrovirksomheder vil blive undtaget fra NIS-rammens
anvendelsesområde. For mellemstore virksomheder kan det forventes, at der vil ske en
stigning i udgifterne til IKT-sikkerhed i de første år efter indførelsen af den nye NIS-ramme.
Samtidig vil en styrkelse af sikkerhedsniveauet for disse enheder også kunne tilskynde dem til
at styrke deres cybersikkerhedskapaciteter og bidrage til en forbedring af deres IKT-
risikostyring.
Den foretrukne løsning vil have virkninger for de nationale budgetter og myndigheder: Der
forventes en stigning på omkring 20-30 % i ressourcerne på kort og mellemlang sigt.
Der forventes ingen andre væsentlige eller negative virkninger. Forslaget forventes at føre til
mere robuste cybersikkerhedskapaciteter og vil derfor have en mere betydelig dæmpende
virkning på antallet og alvoren af hændelser, herunder brud på datasikkerheden. Det vil
sandsynligvis også have en positiv indvirkning med hensyn til at sikre lige vilkår på tværs af
medlemsstaterne for alle enheder, der er omfattet af anvendelsesområdet for net- og
informationssikkerhed, og mindske asymmetrier i cybersikkerhedsoplysninger.
1.4.4. Resultatindikatorer
Angiv indikatorerne til overvågning af fremskridt og resultater.
DA 19 DA
Vurderingen af indikatorerne vil blive foretaget af Kommissionen med støtte fra ENISA og
samarbejdsgruppen, første gang tre år efter ikrafttrædelsen af den nye NIS-retsakt. Følgende
overvågningsindikatorer vil bl.a. danne grundlag for vurderingen af NIS-undersøgelsens
succes:
• Bedre håndtering af hændelser: Ved at træffe cybersikkerhedsforanstaltninger forbedrer
virksomhederne ikke blot deres evne til at undgå visse hændelser fuldt ud, men også deres
kapacitet til at reagere på hændelser. Succeskriterier er derfor i) reduktion af den
gennemsnitlige tid, det tager at opdage en hændelse, ii) den tid, det gennemsnitligt tager
organisationer at blive genoprettet efter en hændelse, og iii) de gennemsnitlige omkostninger
ved en skade forårsaget af en hændelse.
• Øget bevidsthed om cybersikkerhedsrisici i virksomhedernes øverste ledelse: Ved at
kræve, at virksomheder træffer foranstaltninger, vil et revideret NIS-direktiv bidrage til at øge
bevidstheden om cybersikkerhedsrelaterede risici hos den øverste ledelse. Dette kan måles ved
at undersøge, i hvilket omfang virksomheder under anvendelsesområdet for NIS prioriterer
cybersikkerhed i interne virksomhedspolitikker og -processer, hvilket fremgår af intern
dokumentation, relevante uddannelsesprogrammer og oplysningsaktiviteter for medarbejderne
samt prioritering af sikkerhedsrelaterede IKT-investeringer. Ledelsen af alle væsentlige og
vigtige enheder bør også være opmærksom på de regler, der er fastsat i NIS-direktivet.
• Tilpasning af sektorspecifikke udgifter: Udgifterne til IKT-sikkerhed varierer betydeligt
fra sektor til sektor i EU. Ved at kræve, at virksomheder i flere sektorer træffer
foranstaltninger, bør afvigelser fra de gennemsnitlige sektorspecifikke udgifter til IKT-
sikkerhed som en procentdel af de samlede IKT-udgifter mindskes mellem sektorerne og på
tværs af medlemsstaterne.
• Stærkere kompetente myndigheder og øget samarbejde: Et revideret NIS-direktiv vil
potentielt give de kompetente myndigheder yderligere opgaver. Dette vil have en målbar
indvirkning på de finansielle og menneskelige ressourcer, der afsættes til
cybersikkerhedsagenturer på nationalt plan, og bør også have en positiv indvirkning på de
kompetente myndigheders evne til proaktivt at samarbejde og dermed øge antallet af tilfælde,
hvor kompetente myndigheder samarbejder med hinanden med henblik på at håndtere
grænseoverskridende hændelser eller udføre fælles tilsynsaktiviteter.
• Øget informationsudveksling: Det reviderede NIS-direktiv vil også forbedre
informationsudvekslingen mellem virksomhederne og med de kompetente myndigheder. Et af
målene for revisionen kunne være at øge antallet af enheder, der deltager i de forskellige
former for informationsudveksling.
1.5. Forslagets/initiativets begrundelse
1.5.1. Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for
iværksættelsen af initiativet
Formålet med forslaget er at øge cyberrobustheden i et omfattende sæt af virksomheder, der
opererer på tværs af alle relevante sektorer i Den Europæiske Union, at mindske
uoverensstemmelser i modstandsdygtigheden på tværs af det indre marked i de sektorer, der
allerede er omfattet af direktivet, og at forbedre niveauet af fælles situationsbevidsthed og den
kollektive kapacitet til at forberede sig og reagere. Det vil bygge videre på de resultater, der er
opnået med gennemførelsen af direktiv (EU) 2016/1148 i de seneste 4 år.
DA 20 DA
1.5.2. Merværdi ved en indsats fra EU's side (f.eks. koordineringsfordele, retssikkerhed, større
effektivitet eller komplementaritet). Ved "merværdien ved en indsats fra EU's side" forstås her
merværdien af EU's intervention i forhold til den værdi, som medlemsstaterne ville have skabt
enkeltvis.
Modstandsdygtigheden over for cybertrusler i hele Unionen kan ikke være effektiv, hvis der
gribes ind på en uensartet måde gennem nationale eller regionale siloer. NIS-direktivet har til
formål at afhjælpe denne mangel ved at fastlægge en ramme for net- og
informationssystemernes sikkerhed på nationalt plan og EU-plan. Den første regelmæssige
evaluering af NIS-direktivet pegede imidlertid på en række iboende mangler, som i sidste ende
har ført til betydelige forskelle mellem medlemsstaterne med hensyn til kapacitet, planlægning
og beskyttelsesniveau, hvilket samtidig påvirker de lige vilkår for lignende virksomheder på
det indre marked.
En EU-indsats, der går videre end de nuværende foranstaltninger i NIS-direktivet, er primært
begrundet i: i) problemets grænseoverskridende karakter, ii) EU-indsatsens potentiale til at
forbedre og fremme effektive nationale politikker og iii) bidrag fra samordnede og
samarbejdsbaserede politiske foranstaltninger vedrørende NIS til effektiv sikring af
databeskyttelse og beskyttelse af privatlivets fred.
Målene kan derfor bedre opfyldes gennem en indsats på EU-plan, snarere end af
medlemsstaterne alene.
1.5.3. Erfaringer fra lignende foranstaltninger
NIS-direktivet er det første horisontale instrument for det indre marked, der har til formål at
forbedre nettenes og systemernes modstandsdygtighed over for cybersikkerhedsrisici i
Unionen. Siden det trådte i kraft i 2016, har det allerede i høj grad bidraget til at øge det fælles
cybersikkerhedsniveau i medlemsstaterne. Evalueringen af, hvordan direktivet fungerer og
gennemføres, har imidlertid peget på en række mangler, som ud over den stigende
digitalisering og behovet for en mere tidssvarende reaktion skal afhjælpes i en revideret
retsakt.
1.5.4. Sammenhæng med den flerårige finansielle ramme og eventuelle synergivirkninger med andre
relevante instrumenter
Det nye forslag er fuldt ud i overensstemmelse med og konsekvent i forhold til andre
relaterede initiativer såsom forslaget til forordning om digital operationel modstandsdygtighed
i den finansielle sektor ("DORA") og forslaget til direktiv om modstandsdygtigheden hos
kritiske operatører af væsentlige tjenester. Det er også i overensstemmelse med den
europæiske kodeks for elektronisk kommunikation, den generelle forordning om
databeskyttelse og eIDAS-forordningen.
Forslaget er en væsentlig del af strategien for EU's sikkerhedsunion.
1.5.5. Vurdering af de forskellige tilgængelige finansieringsmuligheder, herunder muligheden for
omfordeling
ENISA's forvaltning af disse opgaver kræver særlige profiler og en ekstra arbejdsbyrde, som
ikke kan absorberes uden en forøgelse af de menneskelige ressourcer.
DA 21 DA
1.6. Forslagets/initiativets varighed og finansielle virkninger
 begrænset varighed
–  Forslag/initiativ gældende fra [DD/MM]YYYY til [DD/MM]YYYY
–  Finansielle virkninger fra YYYY til YYYY
 ubegrænset varighed
– Iværksættelse med en indkøringsperiode fra 2022 til 2025
– derefter gennemførelse i fuldt omfang.
1.7. Påtænkt(e) forvaltningsmetode(r)57
 Direkte forvaltning ved Kommissionen
gennem
–  forvaltningsorganer
 Delt forvaltning i samarbejde med medlemsstaterne
X Indirekte forvaltning ved at overlade budgetgennemførelsesopgaver til:
 internationale organisationer og deres organer (angives nærmere)
 Den Europæiske Investeringsbank og Den Europæiske Investeringsfond
 de organer, der er omhandlet i finansforordningens artikel 70 og 71
 offentligretlige organer
 privatretlige organer, der har fået overdraget samfundsopgaver, forudsat at de stiller
tilstrækkelige finansielle garantier
 privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået overdraget
gennemførelsen af et offentlig-privat partnerskab, og som stiller tilstrækkelige finansielle
garantier
 personer, der har fået overdraget gennemførelsen af specifikke aktioner i den fælles
udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den Europæiske Union, og
som er udpeget i den relevante basisretsakt
Bemærkninger
Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, som ved forordningen om
cybersikkerhed har fået tildelt et nyt permanent mandat, vil bistå medlemsstaterne og Kommissionen
med gennemførelsen af det reviderede NIS-direktiv.
Som følge af det reviderede NIS-direktiv vil ENISA fra og med 2022/23 få yderligere indsatsområder.
Selv om disse indsatsområder vil være omfattet af ENISA's generelle opgaver i henhold til dets
mandat, vil de medføre en yderligere arbejdsbyrde for agenturet. ENISA skal nærmere bestemt ud over
sine nuværende indsatsområder i henhold til Kommissionens forslag til et revideret NIS-direktiv også
specifikt indarbejde følgende foranstaltninger i sit arbejdsprogram: i) udvikle og vedligeholde et
europæisk sårbarhedsregister (artikel 6, stk. 2, i forslaget), ii) varetage sekretariatsfunktionen for det
57
Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på webstedet
BudgWeb: https://myintracomm.ec.europa.eu/budgweb/DA/man/budgmanag/Pages/budgmanag.aspx.
DA 22 DA
europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe) (artikel 14 i
forslaget) og udarbejde en årlig rapport om cybersikkerhedssituationen i EU (artikel 15 i forslaget), iii)
støtte tilrettelæggelsen af peerevalueringer mellem medlemsstaterne (artikel 16 i forslaget), iv)
indsamle aggregerede hændelsesdata fra medlemsstaterne og udarbejde teknisk vejledning (artikel 20,
stk. 9, i forslaget), v) etablere og vedligeholde et register over enheder, der leverer
grænseoverskridende tjenester (artikel 25 i forslaget).
Derfor vil der blive anmodet om 5 ekstra årsværk fra 2022 med et tilsvarende budget på ca. 0,61 mio.
EUR om året til dækning af disse nye stillinger.
DA 23 DA
2. FORVALTNINGSFORANSTALTNINGER
2.1. Bestemmelser om kontrol og rapportering
Angiv hyppighed og betingelser.
Kommissionen vil regelmæssigt evaluere, hvordan direktivet fungerer, og aflægge rapport til
Europa-Parlamentet og Rådet, første gang tre år efter ikrafttrædelsen.
Kommissionen vil også vurdere, om medlemsstaterne gennemfører direktivet korrekt.
Overvågningen og rapporteringen af forslaget vil følge principperne i ENISA's permanente
mandat i henhold til forordning (EU) 2019/881 (forordningen om cybersikkerhed).
De datakilder, der anvendes til den planlagte overvågning, vil hovedsagelig komme fra
ENISA, samarbejdsgruppen, CSIRT-netværket og medlemsstaternes myndigheder. Ud over de
data, der indsamles fra rapporterne (herunder de årlige aktivitetsrapporter) fra ENISA,
samarbejdsgruppen og CSIRT-netværket, vil der blive anvendt særlige
dataindsamlingsværktøjer efter behov (f.eks. rundspørger over for nationale myndigheder,
Eurobarometer og rapporter fra kampagnen "Cybersecurity Month" og de fælleseuropæiske
øvelser).
2.2. Forvaltnings- og kontrolsystem(er)
2.2.1. Begrundelse for den/de påtænkte forvaltningsmetode(r), finansieringsmekanisme(r),
betalingsvilkår og kontrolstrategi
Det kontor i GD CNECT, der har ansvaret for det politiske område, vil stå for gennemførelsen
af direktivet.
Med hensyn til ENISA's forvaltning indeholder artikel 15 i forordningen om cybersikkerhed
en detaljeret liste over ENISA's bestyrelses kontrolfunktioner.
I henhold til artikel 31 i forordningen om cybersikkerhed er ENISA's administrerende direktør
ansvarlig for gennemførelsen af ENISA's budget, og Kommissionens interne revisor har
samme beføjelser over for ENISA som over for Kommissionens tjenestegrene. ENISA's
bestyrelse afgiver en udtalelse om ENISA's endelige årsregnskab.
2.2.2. Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der etableres for at
afbøde dem
Meget lav risiko, da NIS-direktivets økosystem allerede er på plads og allerede dækker
ENISA, som har et permanent mandat efter ikrafttrædelsen af forordningen om cybersikkerhed
i 2019.
2.2.3. Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet (forholdet
mellem kontrolforanstaltningerne og værdien af de forvaltede midler) samt vurdering af den
forventede risiko for fejl (ved betaling og ved afslutning)
Den ønskede budgetforhøjelse finder anvendelse på budgetafsnit 1 og har til formål at finansiere
lønninger. Det betyder, at risikoen for fejl på betalingsniveau er meget lav.
DA 24 DA
2.3. Foranstaltninger til forebyggelse af svig og uregelmæssigheder
Angiv eksisterende eller påtænkte forebyggelses- og beskyttelsesforanstaltninger, f.eks. fra strategien til
bekæmpelse af svig.
ENISA's forebyggelses- og beskyttelsesforanstaltninger finder anvendelse, herunder:
–– Udbetalinger til tjenester eller bestilte undersøgelser forhåndskontrolleres af Agenturets
tjenestegrene under hensyntagen til eventuelle kontraktlige forpligtelser, økonomiske
principper og god finansiel og forvaltningsmæssig praksis. Alle aftaler og kontrakter mellem
Agenturet og modtagere af udbetalinger vil indeholde bestemmelser om forholdsregler mod
svig (tilsyn, rapporteringskrav m.v.).
–– Bestemmelserne i Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 883/2013
af 25. maj 1999 om undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af
Svig (OLAF), finder ubegrænset anvendelse i forbindelse med bekæmpelsen af svig,
korruption og andre retsstridige handlinger.
–– I henhold til artikel 33 i den generelle kontrolaftale tiltrådte ENISA den 28. december 2019
den interinstitutionelle aftale af 25. maj 1999 mellem Europa-Parlamentet, Rådet for Den
Europæiske Union og Kommissionen for De Europæiske Fællesskaber om de interne
undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF).
ENISA udsteder straks passende bestemmelser, der finder anvendelse på alle agenturets
ansatte.
3. FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER
3.1. Berørt(e) udgiftspost(er) på budgettet og udgiftsområde(r) i den flerårige finansielle
ramme
 Eksisterende udgiftsposter på budgettet
I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og
budgetposterne.
Udgiftsomr
åde i den
flerårige
finansielle
ramme
Budgetpost
Udgiftens
art
Bidrag
Nummer
OB/IOB58
fra
EFTA-
lande59
fra
kandidatlan
de60
fra
tredjeland
e
iht.
finansforordningens
artikel 21, stk. 2,
litra b)
2
02 10 04
/IOB JA NEJ NEJ /NEJ
 Nye budgetposter, som der er søgt om.
I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og
budgetposterne.
58
OB = opdelte bevillinger/IOB = ikke-opdelte bevillinger.
59
EFTA: Den Europæiske Frihandelssammenslutning.
60
Kandidatlande og, efter omstændighederne, potentielle kandidatlande på Vestbalkan.
DA 25 DA
Udgiftsomr
åde i den
flerårige
finansielle
ramme
Budgetpost
Udgiftens
art
Bidrag
Nummer
OB/IOB
fra
EFTA-
lande
fra
kandidatlan
de
fra
tredjeland
e
iht.
finansforordningens
artikel 21, stk. 2,
litra b)
[XX.YY.YY.YY]
JA/NEJ JA/NEJ JA/NEJ JA/NEJ
DA 26 D
3.2. Anslåede virkninger for udgifterne
3.2.1. Sammenfatning af de anslåede virkninger for udgifterne
i mio. EUR (tre decimaler)
Udgiftsområde i den flerårige finansielle ramme Nummer
[Udgiftsområde....2 Det indre marked, innovation og det digitale
område…………...………………………………………………………]
[Organ]: <…ENISA….>
År
N61
2022
År
n+1
2023
År
n+2
2024
År
n+3
2025
Der indsættes flere år, hvis
virkningerne varer længere (jf.
punkt 1.6)
2026 2027
I ALT
Afsnit 1:
Forpligtelser (1) 0,61 0,61 0,61 0,61 0,61 0,61 3,66
Betalinger (2) 0,61 0,61 0,61 0,61 0,61 0,61 3,66
Afsnit 2:
Forpligtelser (1a)
Betalinger (2a)
Afsnit 3: Forpligtelser (3a)
Betalinger (3b)
Bevillinger I ALT
for [organ] <ENISA…….>
Forpligtelser
=1+1a
+3a 0,61 0,61 0,61 0,61 0,61 0,61 3,66
Betalinger
=2+2a
+3b
0,61 0,61 0,61 0,61 0,61 0,61 3,66
61
År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også
for de følgende år.
DA 27 D
Udgiftsområde i den flerårige finansielle ramme 5 "Administrationsudgifter"
i mio. EUR (tre decimaler)
År
n
År
n+1
År
n+2
År
n+3
Der indsættes flere år, hvis
virkningerne varer længere (jf.
punkt 1.6)
I ALT
GD: <…….>
 Menneskelige ressourcer
 Andre administrationsudgifter
I ALT GD <…….> Bevillinger
Bevillinger I ALT
under UDGIFTSOMRÅDE 5
i den flerårige finansielle ramme
(Forpligtelser i alt =
Betalinger i alt)
i mio. EUR (tre decimaler)
År
N62
2022
År
n+1
2023
År
n+2
2024
År
n+3
2025
Der indsættes flere år, hvis
virkningerne varer længere (jf.
punkt 1.6)
2026 2027
I ALT
Bevillinger I ALT
under UDGIFTSOMRÅDE 1-5
i den flerårige finansielle ramme
Forpligtelser 0,61 0,61 0,61 0,61 0,61 0,61 3,66
Betalinger 0,61 0,61 0,61 0,61 0,61 0,61 3,66
62
År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også
for de følgende år.
DA 28 DA
3.2.2. Anslåede virkninger for [organets] bevillinger
– x Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger
–  Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:
Forpligtelsesbevillinger i mio. EUR (tre decimaler)
Der angives
mål og
resultater

År
n
År
n+1
År
n+2
År
n+3
Der indsættes flere år, hvis virkningerne varer
længere (jf. punkt 1.6)
I ALT
RESULTATER
Type63
Result
aterne
s
gnsntl
.
omkos
tninge
r
Antal
Omko
stning
er
Antal
Omko
stning
er
Antal
Omko
stning
er
Antal
Omko
stning
er
Antal
Omk
ostni
nger
Antal
Omko
stning
er
Antal
Omko
stning
er
Antal
resulta
ter i
alt
Omkostn
inger i
alt
SPECIFIKT MÅL NR. 164
...
–– Resultat
–– Resultat
–– Resultat
Subtotal for specifikt mål nr. 1
SPECIFIKT MÅL NR. 2
–– Resultat
Subtotal for specifikt mål nr. 2
OMKOSTNINGER I ALT
63
Resultater er de produkter og tjenesteydelser, der skal leveres (f.eks. antal finansierede studenterudvekslinger, antal km bygget vej osv.).
64
Som beskrevet i punkt 1.4.2. "Specifikke mål ...".
DA 29 DA
3.2.3. Anslåede virkninger for ENISA's menneskelige ressourcer
3.2.3.1. Resumé
Som følge af det reviderede NIS-direktiv vil ENISA fra og med 2022/23 få
yderligere opgaver. Selv om disse opgaver vil være omfattet af ENISA's mandat, vil
de medføre en yderligere arbejdsbyrde for agenturet. Nærmere bestemt vil ENISA ud
over sine nuværende opgaver i henhold til Kommissionens forslag til et revideret
NIS-direktiv bl.a. få til opgave i) at udvikle og vedligeholde et europæisk
sårbarhedsregister (artikel 6, stk. 2), ii) at varetage sekretariatsfunktionen for det
europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe)
(artikel 14) og udarbejde en årlig rapport om cybersikkerhedssituationen i EU
(artikel 15), iii) at støtte tilrettelæggelsen af peerevalueringer mellem
medlemsstaterne (artikel 16), iv) at indsamle aggregerede hændelsesdata fra
medlemsstaterne og udarbejde teknisk vejledning (artikel 20, stk. 9), v) at etablere og
vedligeholde et register over enheder, der leverer grænseoverskridende tjenester
(artikel 25).
Derfor vil der blive anmodet om 5 ekstra årsværk fra 2022 med et tilsvarende budget
til dækning af disse nye stillinger.
–  Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger
– X Forslaget/initiativet medfører anvendelse af administrationsbevillinger
som anført herunder:
i mio. EUR (tre decimaler)
År
n65
2022
År
n+1
2023
År
n+2
2024
År
n+3
2025
Der indsættes flere år, hvis
virkningerne varer længere (jf. punkt
1.6)
2026 2027
I ALT
Midlertidigt ansatte
(AD)
0,450 0,450 0,450 0,450 0,450 0,450 2,7
Midlertidigt ansatte
(AST)
Kontraktansatte 0,160 0,160 0,160 0,160 0,160 0,160 0,96
Udstationerede
nationale eksperter
I ALT 0,61 0,61 0,61 0,61 0,61 0,61 3,66
65
År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det
forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også for de følgende år.
DA 30 DA
Personalebehov (i årsværk):
År
n66
2022
År
n+1
2023
År
n+2
2024
År
n+3
2025
Der indsættes flere år, hvis
virkningerne varer længere (jf. punkt
1.6)
2026 2027
I ALT
Midlertidigt ansatte
(AD)
3 3 3 3 3 3 18
Midlertidigt ansatte
(AST)
Kontraktansatte 2 2 2 2 2 2 12
Udstationerede
nationale eksperter
I ALT 5 5 5 5 5 5 30
3.2.3.2. Anslået behov for menneskelige ressourcer i det overordnede generaldirektorat
–  Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer
–  Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som
anført herunder:
Overslag angives i hele tal (eller med højst én decimal)
År
n
År
n+1
År n+2 År n+3
Der indsættes flere år, hvis
virkningerne varer længere
(jf. punkt 1.6)
Stillinger i stillingsfortegnelsen
(tjenestemænd og midlertidigt ansatte)
XX 01 01 01 (i hovedsædet og i
Kommissionens
repræsentationskontorer)
XX 01 01 02 (i delegationer)
XX 01 05 01 (indirekte forskning)
10 01 05 01 (direkte forskning)
 Eksternt personale (i årsværk) årsværk67
66
År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det
forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også for de følgende år.
DA 31 DA
XX 01 02 01 (KA, UNE, V under
den samlede bevillingsramme)
XX 01 02 02 (KA, LA, UNE, V og
JED i delegationerne)
XX 01 04
yy68
–– i
hovedsædet69
–– i
delegationer
XX 01 05 02 (KA, UNE, V —
Indirekte forskning)
10 01 05 02 (KA, UNE, V ––
Direkte forskning)
Andre budgetposter (skal angives)
I ALT
XX angiver det berørte politikområde eller budgetafsnit.
Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet
allerede har afsat til aktionen, og/eller interne rokader i generaldirektoratet, eventuelt
suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i
forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige
begrænsninger.
Opgavebeskrivelse:
Tjenestemænd og midlertidigt ansatte
Eksternt personale
Beskrivelsen af, hvordan udgifterne til fuldtidsækvivalenterne er beregnet, bør medtages i
afsnit 3 i bilag V.
67
KA = kontraktansatte, LA: lokalt ansatte, UNE: udstationerede nationale eksperter, V: vikarer, JED =
junioreksperter ved delegationerne.
68
Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).
69
Angår især strukturfondene, Den Europæiske Landbrugsfond for Udvikling af Landdistrikterne
(ELFUL) og Den Europæiske Fiskerifond (EFF).
DA 32 DA
3.2.4. Forenelighed med indeværende flerårige finansielle ramme
– X Forslaget/initiativet er foreneligt med indeværende flerårige finansielle
ramme
–  Forslaget/initiativet kræver omlægning af det relevante udgiftsområde i den
flerårige finansielle ramme
Der redegøres for omlægningen med angivelse af de berørte budgetposter og beløbenes størrelse
Forslaget/initiativet er foreneligt med den flerårige finansielle ramme 21-27.
Udligningen af det budget, der anmodes om til dækning af forøgelsen af personaleressourcerne i
ENISA, vil ske ved at reducere budgettet for programmet for et digitalt Europa med samme beløb
under samme udgiftsområde.
–  Forslaget/initiativet kræver, at fleksibilitetsinstrumentet anvendes, eller at den
flerårige finansielle ramme revideres70
.
Der redegøres for behovet med angivelse af de berørte udgiftsområder og budgetposter og beløbenes
størrelse
3.2.5. Tredjemands bidrag til finansieringen
– Forslaget/initiativet indeholder ikke bestemmelser om samfinansiering med
tredjemand.
– Forslaget/initiativet indeholder bestemmelser om samfinansiering, jf. følgende
overslag:
i mio. EUR (tre decimaler)
År
n
År
n+1
År
n+2
År
n+3
Der indsættes flere år, hvis
virkningerne varer længere (jf.
punkt 1.6)
I alt
Angiv organ, som
deltager i
samfinansieringen
Samfinansierede
bevillinger I ALT
70
Jf. artikel 11 og 17 i Rådets forordning (EU, Euratom) nr. 1311/2013 om fastlæggelse af den flerårige
finansielle ramme for årene 2014-2020.
DA 33 DA
3.3. Anslåede virkninger for indtægterne
–  Forslaget/initiativet har ingen finansielle virkninger for indtægterne
–  Forslaget/initiativet har følgende finansielle virkninger:
 for egne indtægter
 for andre indtægter
 angiv, om indtægterne er formålsbestemte
i mio. EUR (tre decimaler)
Indtægtspost på budgettet
Bevillinger til
rådighed i
indeværende
regnskabsår
Forslagets/initiativets virkninger71
År
n
År
n+1
År
n+2
År
n+3
Der indsættes flere år, hvis virkningerne
varer længere (jf. punkt 1.6)
Artikel ………….
For diverse indtægter, der er formålsbestemte, angives det, hvilke af budgettets udgiftsposter der
påvirkes.
Det oplyses, hvilken metode der er benyttet til at beregne virkningerne for indtægterne.
71
Med hensyn til EU's traditionelle egne indtægter (told og sukkerafgifter) opgives beløbene netto, dvs.
bruttobeløb, hvorfra der er trukket opkrævningsomkostninger på 20 %.


DA DA
EUROPA-
KOMMISSIONEN
Bruxelles, den 16.12.2020
COM(2020) 823 final
ANNEXES 1 to 3
BILAG
til
forslag om
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om foranstaltninger til sikring
af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU)
2016/1148
{SEC(2020) 430 final} - {SWD(2020) 344 final} - {SWD(2020) 345 final}
Europaudvalget 2020
KOM (2020) 0823
Offentligt
1
BILAG I
VÆSENTLIGE ENHEDER:
SEKTORER, DELSEKTORER OG TYPER AF ENHEDER
Sektor Delsektor Type enhed
1. Energi a) Elektricitet — Elektricitetsvirksomheder som
omhandlet i artikel 2, nr. 57), i
Europa-Parlamentets og Rådets
direktiv (EU) 2019/944, der
varetager "levering" som omhandlet
i artikel 2, nr. 12), i nævnte direktiv1
— Distributionssystemoperatører som
omhandlet i artikel 2, nr. 29), i
direktiv (EU) 2019/944
— Transmissionssystemoperatører som
omhandlet i artikel 2, nr. 35), i
direktiv (EU) 2019/944
— Producenter som omhandlet i artikel
2, nr. 38), i direktiv (EU) 2019/944
 Udpegede
elektricitetsmarkedsoperatører som
omhandlet i artikel 2, nr. 8), i
forordning (EU) 2019/9432
— Markedsdeltagere på
elektricitetsmarkedet som
omhandlet i artikel 2, nr. 25), i
forordning (EU) 2019/943, der
leverer aggregering, fleksibelt
elforbrug eller
energilagringstjenester som
omhandlet i artikel 2, nr. 18), 20) og
1
Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked
for elektricitet og om ophævelse af direktiv 2012/27/EU (EUT L 158 af 14.6.2019, s. 125).
2
Europa-Parlamentets og Rådets forordning (EU) 2019/943 om det indre marked for elektricitet (EUT L 158
af 14.6.2019, s. 54).
2
59), i direktiv (EU) 2019/944
b) Fjernvarme og
fjernkøling
— Fjernvarme eller fjernkøling som
omhandlet i artikel 2, nr. 19, i
direktiv (EU) 2018/20013
om
fremme af anvendelsen af energi fra
vedvarende energikilder
c) Olie — Olierørledningsoperatør
— Operatører af olieproduktion,
raffinaderier og behandlingsanlæg,
olielagre og olietransmission
 Centrale lagerenheder for olie som
omhandlet i artikel 2, litra f), i
Rådets direktiv 2009/119/EF4
d) Gas — Forsyningsvirksomheder som
omhandlet i artikel 2, nr. 8), i
direktiv 2009/73/EF5
— Distributionssystemoperatører som
omhandlet i artikel 2, nr. 6), i
direktiv 2009/73/EF
— Transmissionssystemoperatører som
omhandlet i artikel 2, nr. 4), i
direktiv 2009/73/EF
— Lagersystemoperatører som
omhandlet i artikel 2, nr. 10), i
direktiv 2009/73/EF
— LNG-systemoperatører som
omhandlet i artikel 2, nr. 12), i
direktiv 2009/73/EF
— Naturgasvirksomheder som
3
Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018 om fremme af anvendelsen af
energi fra vedvarende energikilder (EUT L 328 af 21.12.2018, s. 82).
4
Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for medlemsstaterne til at holde
minimumslagre af råolie og/eller olieprodukter (EUT L 265 af 9.10.2009, s. 9).
5
Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for
naturgas og om ophævelse af direktiv 2003/55/EF (EUT L 211 af 14.8.2009, s. 94).
3
omhandlet i artikel 2, nr. 1), i
direktiv 2009/73/EF
— Naturgasoperatør, raffinaderier og
behandlingsanlæg
e) Brint Operatører inden for brintproduktion, -
lagring og -transmission
2. Transport a) Luft — Luftfartsselskaber som omhandlet i
artikel 3, nr. 4), i forordning (EF)
nr. 300/20086
— Lufthavnsdriftsorganer som
omhandlet i artikel 2, nr. 2), i
Europa-Parlamentets og Rådets
direktiv 2009/12/EF7
, lufthavne som
omhandlet i artikel 2, nr. 1), i
nævnte direktiv, herunder de
hovedlufthavne, der er anført i afsnit
2 i bilag II til Europa-Parlamentets
og Rådets forordning (EU)
nr. 1315/20138
, og enheder med
tilknyttede anlæg i lufthavne
— Trafikledelses- og
kontroloperatører, der udøver
flyvekontroltjenester som omhandlet
i artikel 2, nr. 1), i Europa-
Parlamentets og Rådets forordning
(EF) nr. 549/20049
6
Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om
sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008,
s. 72).
7
Europa-Parlamentets og Rådets direktiv 2009/12/EF af 11. marts 2009 om lufthavnsafgifter (EUT L 70 af
14.3.2009, s. 11).
8
Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 af 11. december 2013 om Unionens
retningslinjer for udvikling af det transeuropæiske transportnet og om ophævelse af afgørelse nr.
661/2010/EU (EUT L 348 af 20.12.2013, s. 1).
9
Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 af 10. marts 2004 om rammerne for oprettelse
af et fælles europæisk luftrum ("rammeforordningen") (EUT L 96 af 31.3.2004, s. 1).
4
b) Jernbane — Infrastrukturforvaltere som
omhandlet i artikel 3, nr. 2), i
direktiv 2012/34/EU10
— Jernbanevirksomheder som
omhandlet i artikel 3, nr. 1), i
direktiv 2012/34/EU, herunder
operatører af servicefaciliteter som
omhandlet i artikel 3, nr. 12), i
direktiv 2012/34/EU
c) Vand — Rederier, som udfører passager- og
godstransport ad indre vandveje, i
højsøfarvand eller kystnært farvand
i form af søtransport som omhandlet
i bilag I til Europa-Parlamentets og
Rådets forordning (EF)
nr. 725/200411
, bortset fra de enkelte
fartøjer, som drives af disse rederier
— Driftsorganer for havne som
omhandlet i artikel 3, nr. 1), i
Europa-Parlamentets og Rådets
direktiv 2005/65/EF12
, herunder
deres havnefaciliteter som
omhandlet i artikel 2, nr. 11), i
forordning (EF) nr. 725/2004, og
enheder, der driver anlæg og udstyr
i havne
— Operatører af skibstrafiktjenester
som omhandlet i artikel 3, litra o), i
direktiv 2002/59/EF13
d) Vejtransport — Vejmyndigheder som omhandlet i
10
Europa-Parlamentets og Rådets direktiv 2012/34/EU af 21. november 2012 om oprettelse af et fælles
europæisk jernbaneområde (EUT L 343 af 14.12.2012, s. 32).
11
Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og
havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).
12
Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310
af 25.11.2005, s. 28).
13
Europa-Parlamentets og Rådets direktiv 2002/59/EF af 27. juni 2002 om oprettelse af et trafikovervågnings-
og trafikinformationssystem for skibsfarten i Fællesskabet og om ophævelse af Rådets direktiv 93/75/EØF
(EFT L 208 af 5.8.2002, s. 10).
5
artikel 2, nr. 12), i Kommissionens
delegerede forordning (EU)
2015/96214
, der er ansvarlige for
trafikledelse
— Operatører af intelligente
transportsystemer, jf. artikel 4, nr.
1), i direktiv 2010/40/EU15
3. Bankvirksomhed Kreditinstitutter som omhandlet i
artikel 4, nr. 1), i forordning (EU) nr.
575/201316
4. Finansielle
markedsinfrastrukturer
— Operatører af markedspladser som
omhandlet i artikel 4, nr. 24), i
direktiv 2014/65/EU17
— Centrale modparter (CCP) som
omhandlet i artikel 2, nr. 1), i
forordning (EU) nr. 648/201218
5. Sundhed  Sundhedstjenesteydere som
omhandlet i artikel 3, litra g), i
direktiv 2011/24/EU19
14
Kommissionens delegerede forordning (EU) 2015/962 af 18. december 2014 om supplerende regler til
Europa-Parlamentets og Rådets direktiv 2010/40/EU for så vidt angår tilrådighedsstillelse af EU-dækkende
tidstro trafikinformationstjenester (EUT L 157 af 23.6.2015, s. 21).
15
Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om rammerne for indførelse af
intelligente transportsystemer på vejtransportområdet og for grænsefladerne til andre transportformer (EUT L
207 af 6.8.2010, s. 1).
16
Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til
kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af
27.6.2013, s. 1).
17
Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle
instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014,
s. 349).
18
Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale
modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).
19
Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med
grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).
6
 EU-referencelaboratorier som
omhandlet i artikel 15 i forordning
XXXX/XXXX om alvorlige
grænseoverskridende
sundhedstrusler20
 Enheder, der udfører forsknings- og
udviklingsaktiviteter vedrørende
lægemidler som omhandlet i
artikel 1, nr. 2), i direktiv
2001/83/EF21
.
 Enheder, der fremstiller
farmaceutiske råvarer og
farmaceutiske præparater som
omhandlet i hovedafdeling C,
hovedgruppe 21, i NACE rev. 2.
 Enheder, der fremstiller medicinsk
udstyr, som betragtes som kritisk
under en folkesundhedskrise ("listen
over kritisk folkesundhedsudstyr"),
jf. artikel 20 i forordning XXXX22
6. Drikkevand Leverandører og distributører af
"drikkevand" som omhandlet i artikel 2,
nr. 1), litra a), i Rådets direktiv
98/83/EF23
bortset fra distributører, for
hvem distribution af drikkevand kun er
en del af deres generelle aktivitet med
distribution af andre råvarer og varer,
der ikke anses som væsentlige eller
vigtige tjenester.
7. Spildevand Virksomheder, der indsamler,
bortskaffer eller behandler
byspildevand, husspildevand og
20
[Europa-Parlamentets og Rådets forordning om alvorlige grænseoverskridende sundhedstrusler og om
ophævelse af afgørelse nr. 1082/2013/EU, henvisning ajourføres, når forslaget COM(2020) 727 final er
vedtaget].
21
Europa-Parlamentets og Rådets direktiv 2001/83/EF af 6. november 2001 om oprettelse af en
fællesskabskodeks for humanmedicinske lægemidler (EFT L 311 af 28.11.2001, s. 67).
22
[Europa-Parlamentets og Rådets forordning om styrkelse af Det Europæiske Lægemiddelagenturs rolle i
forbindelse med kriseberedskab og krisestyring med hensyn til lægemidler og medicinsk udstyr, henvisning
skal ajourføres, når forslaget COM(2020) 725 final er vedtaget].
23
Rådets direktiv 98/83/EF af 3. november 1998 om kvaliteten af drikkevand (EFT L 330 af 5.12.1998, s. 32).
7
industrispildevand som omhandlet i
artikel 2, nr. 1)-3), i Rådets direktiv
91/271/EØF24
8. Digital infrastruktur — Udbydere af
internetudvekslingspunkter
— DNS-tjenesteudbyder
— Topdomænenavneregistraturer
— Udbydere af cloud computing-
tjenester
— Udbydere af datacentertjenester
 Udbydere af
indholdsleveringsnetværk
— Tillidstjenesteudbydere som
omhandlet i artikel 3, nr. 19), i
forordning (EU) nr. 910/201425
— Udbydere af offentlige elektroniske
kommunikationsnet som omhandlet
i artikel 2, nr. 8), i direktiv (EU)
2018/197226
eller udbydere af
elektroniske
kommunikationstjenester som
omhandlet i artikel 2, nr. 4), i
direktiv (EU) 2018/1972, hvis deres
tjenester er offentligt tilgængelige
9. Offentlig forvaltning  Centralregeringers offentlige
forvaltningsinstanser
 Offentlige forvaltningsinstanser i
NUTS 1-regioner, der er opført i
24
Rådets direktiv 91/271/EØF af 21. maj 1991 om rensning af byspildevand (EFT L 135 af 30.5.1991, s. 40).
25
Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation
og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv
1999/93/EF (EUT L 257 af 28.8.2014, s. 73).
26
Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk
kodeks for elektronisk kommunikation (EUT L 321 af 17.12.2018, s. 36).
8
bilag I til forordning (EF) nr.
1059/200327
 Offentlige forvaltningsinstanser i
NUTS 2-regioner, der er opført i
bilag I til forordning (EF) nr.
1059/2003
10. Rummet Operatører af jordbaseret infrastruktur,
der ejes, forvaltes og drives af
medlemsstater eller private parter, og
som understøtter levering af
rumbaserede tjenester, undtagen
udbydere af offentlige elektroniske
kommunikationsnet som omhandlet i
artikel 2, nr. 8), i direktiv
2018/1972/EU
27
Europa-Parlamentets og Rådets forordning (EF) nr. 1059/2003 af 26. maj 2003 om indførelse af en fælles
nomenklatur for regionale enheder (NUTS) (EUT L 154 af 21.6.2003, s. 1).
9
BILAG II
VIGTIGE ENHEDER:
SEKTORER, DELSEKTORER OG TYPER AF ENHEDER
Sektor Delsektor Type enhed
1. Post- og
kurertjenester
Udbydere af posttjenester som
omhandlet i artikel 2, nr. 1), i direktiv
97/67/EF28
og udbydere af
kurertjenester
2. Affaldshåndtering Virksomheder, der varetager
affaldshåndtering som omhandlet i
artikel 3, nr. 9), i direktiv 2008/98/EF29
,
men med undtagelse af virksomheder,
for hvilke affaldshåndtering ikke er
deres vigtigste økonomiske aktivitet
3. Fremstilling,
produktion og
distribution af
kemikalier
Virksomheder, der beskæftiger sig med
fremstilling, produktion og distribution
af stoffer og artikler som omhandlet i
artikel 3, nr. 4), 9) og 14), i forordning
(EF) nr. 1907/200630
4. Fremstilling,
bearbejdning og
distribution af
fødevarer
Fødevarevirksomheder som omhandlet
i artikel 3, nr. 2), i forordning (EF) nr.
178/200231
5. Fremstilling a) Fremstilling af Enheder, der fremstiller medicinsk
28
Europa-Parlamentets og Rådets direktiv 97/67/EF af 15. december 1997 om fælles regler for udvikling af
Fællesskabets indre marked for posttjenester og forbedring af disse tjenesters kvalitet (EFT L 15 af
21.1.1998, s. 14).
29
Europa-Parlamentets og Rådets direktiv 2008/98/EF af 19. november 2008 om affald og om ophævelse af
visse direktiver (EUT L 312 af 22.11.2008, s. 3).
30
Europa-Parlamentets og Rådets forordning (EF) nr. 1907/2006 af 18. december 2006 om registrering,
vurdering og godkendelse af samt begrænsninger for kemikalier (REACH), om oprettelse af et europæisk
kemikalieagentur og om ændring af direktiv 1999/45/EF og ophævelse af Rådets forordning (EØF) nr.
793/93 og Kommissionens forordning (EF) nr. 1488/94 samt Rådets direktiv 76/769/EØF og Kommissionens
direktiv 91/155/EØF, 93/67/EØF, 93/105/EF og 2000/21/EF (EUT L 396 af 30.12.2006, s. 1).
31
Europa-Parlamentets og Rådets forordning (EF) nr. 178/2002 af 28. januar 2002 om generelle principper og
krav i fødevarelovgivningen, om oprettelse af Den Europæiske Fødevaresikkerhedsautoritet og om
procedurer vedrørende fødevaresikkerhed (EFT L 31 af 1.2.2002, s. 1).
10
medicinsk udstyr og
medicinsk udstyr til in
vitro-diagnostik
udstyr som omhandlet i artikel 2, nr. 1),
i forordning (EU) 2017/74532
, og
enheder, der fremstiller medicinsk
udstyr til in vitro-diagnostik, jf. artikel
2, nr. 2), i forordning (EU) nr.
2017/74633
, med undtagelse af enheder,
der fremstiller medicinsk udstyr, som er
nævnt i bilag 1, punkt 5.
b) Fremstilling af
computere og
elektroniske og optiske
produkter
Virksomheder, der udøver en af de
økonomiske aktiviteter, der er
omhandlet i hovedafdeling C,
hovedgruppe 26, i NACE rev. 2
c) Fremstilling af
elektrisk udstyr
Virksomheder, der udøver en af de
økonomiske aktiviteter, der er
omhandlet i hovedafdeling C,
hovedgruppe 27, i NACE rev. 2
d) Fremstilling af
maskiner og udstyr i.a.n.
Virksomheder, der udøver en af de
økonomiske aktiviteter, der er
omhandlet i hovedafdeling C,
hovedgruppe 28, i NACE rev. 2
e) Fremstilling af
motorkøretøjer,
påhængsvogne og
sættevogne
Virksomheder, der udøver en af de
økonomiske aktiviteter, der er
omhandlet i hovedafdeling C,
hovedgruppe 29, i NACE rev. 2
f) Fremstilling af andre
transportmidler
Virksomheder, der udøver en af de
økonomiske aktiviteter, der er
omhandlet i hovedafdeling C,
hovedgruppe 30, i NACE rev. 2
6. Digitale udbydere — Udbydere af onlinemarkedspladser
— Udbydere af onlinesøgemaskiner
32
Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring
af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af
Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).
33
Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-
diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af
5.5.2017, s. 176).
11
— Udbydere af sociale
netværkstjenester
12
BILAG III
SAMMENLIGNINGSTABEL
Direktiv (EU) 2016/1148 Nærværende direktiv
Artikel 1, stk. 1 Artikel 1, stk. 1
Artikel 1, stk. 2 Artikel 1, stk. 2
Artikel 1, stk. 3 -
Artikel 1, stk. 4 Artikel 2, stk. 4
Artikel 1, stk. 5 Artikel 2, stk. 5
Artikel 1, stk. 6 Artikel 2, stk. 3
Artikel 1, stk. 7 Artikel 2, stk. 6
Artikel 2 -
Artikel 3 Artikel 3
Artikel 4 Artikel 4
Artikel 5 -
Artikel 6 -
Artikel 7, stk. 1 Artikel 5, stk. 1
Artikel 7, stk. 2 Artikel 5, stk. 4
Artikel 7, stk. 3 Artikel 5, stk. 3
Artikel 8, stk. 1-5 Artikel 8, stk. 1-5
Artikel 8, stk. 6 Artikel 11, stk. 4
Artikel 8, stk. 7 Artikel 8, stk. 6
Artikel 9, stk. 1-3 Artikel 9, stk. 1-3
Artikel 9, stk. 4 Artikel 9, stk. 7
Artikel 9, stk. 5 Artikel 9, stk. 8
Artikel 10, stk. 1-3 Artikel 11, stk. 1-3
Artikel 11, stk. 1 Artikel 12, stk. 1-2
13
Artikel 11, stk. 2 Artikel 12, stk. 3
Artikel 11, stk. 3 Artikel 12, stk. 4 og stk. 6
Artikel 11, stk. 4 -
Artikel 11, stk. 5 Artikel 12, stk. 7
Artikel 12, stk. 1-5 Artikel 13, stk. 1-5
Artikel 13 -
Artikel 14, stk. 1 Artikel 18, stk. 1
Artikel 14, stk. 2 Artikel 18, stk. 2-4
Artikel 14, stk. 3 Artikel 20, stk. 1
Artikel 14, stk. 4 Artikel 20, stk. 3
Artikel 14, stk. 5 Artikel 20, stk. 5, stk. 6, stk. 8
Artikel 14, stk. 6 Artikel 20, stk. 7
Artikel 14, stk. 7 -
Artikel 15, stk. 1 Artikel 29, stk. 2
Artikel 15, stk. 2, litra a) Artikel 29, stk. 2, litra e)
Artikel 15, stk. 2, litra b) Artikel 29, stk. 2, litra g)
Artikel 15, stk. 2, andet led Artikel 29, stk. 3
Artikel 15, stk. 3 Artikel 29, stk. 4, litra b)
Artikel 15, stk. 4 Artikel 28, stk. 2
Artikel 16, stk. 1 Artikel 18, stk. 1, stk. 2
Artikel 16, stk. 2 Artikel 18, stk. 2-4
Artikel 16, stk. 3 Artikel 20, stk. 1
Artikel 16, stk. 4 Artikel 20, stk. 3
Artikel 16, stk. 5 -
Artikel 16, stk. 6 Artikel 20, stk. 6
Artikel 16, stk. 7 Artikel 20, stk. 7
14
Artikel 16, stk. 8, stk. 9 Artikel 20, stk. 11
Artikel 16, stk. 10 -
Artikel 16, stk. 11 Artikel 2, stk. 1
Artikel 17, stk. 1 -
Artikel 17, stk. 2, litra a) Artikel 29, stk. 2, litra e)
Artikel 17, stk. 2, litra b) Artikel 29, stk. 4, litra b)
Artikel 17, stk. 3 Artikel 34, stk. 1, litra a) og b)
Artikel 18, stk. 1 Artikel 24, stk. 1-2
Artikel 18, stk. 2 Artikel 24, stk. 3
Artikel 18, stk. 3 Artikel 24, stk. 4
Artikel 19 Artikel 22
Artikel 20 Artikel 27
Artikel 21 Artikel 33
Artikel 22, stk. 1-2 Artikel 37, stk. 1-2
Artikel 23 Artikel 35
Artikel 24 -
Artikel 25 Artikel 38
Artikel 26 Artikel 42
Artikel 27 Artikel 43
Bilag I, punkt 1 Artikel 10, stk. 1
Bilag I, punkt 2, litra a), nr. i)-iv) Artikel 10, stk. 2, litra a)-d)
Bilag I, punkt 2, litra a, nr. v) Artikel 10, stk. 2, litra f)
Bilag I, punkt 2, litra b) Artikel 10, stk. 3
Bilag I, punkt 2, litra c), nr. i)-ii) Artikel 10, stk. 4, litra a)
Bilag II Bilag I
Bilag III, punkt 1, 2 Bilag II, punkt 6
15
Bilag III, punkt 3 Bilag I, punkt 8