Consiliul

Uniunii Europene
Bruxelles, 10 februarie 2016
(OR. en)
5894/16
Dosar interinstituional:
2013/0027 (COD)
TELECOM 14
DATAPROTECT 10
CYBER 10
MI 65
CSC 24
CODEC 134
NOT
Surs:

Secretariatul General al Consiliului

Destinatar:

Comitetul Reprezentanilor Permaneni / Consiliul

Nr. doc. Csie:

6342/13 TELECOM 24 DATAPRTOECT 14 CYBER 2 MI 104 CODEC 313

Subiect:

Propunere de directiv a Parlamentului European i a Consiliului privind

msuri de asigurare a unui nivel comun ridicat de securitate a reelelor i a
informaiei n Uniune
- Acord politic

n vederea adoptrii unui acord politic, n anex, se pune la dispoziia delegaiilor textul propunerii
sus-menionate, care a fost convenit n esen n cadrul trilogului informal din 7 decembrie 2015.
Ulterior, el a fost aprobat de Comitetul Reprezentanilor Permaneni 1 i de Comisia pentru piaa
intern i protecia consumatorilor (IMCO) a Parlamentului European la 18 decembrie 2015,
respectiv la 14 ianuarie 2016.

Documentul 15229/2/15 REV 2.

5894/16

rs/AA/cm
DG E2B

RO

Pentru a se conforma cerinelor formale pentru documentele Consiliului, experii juriti-lingviti ai

Consiliului i ai Parlamentului au fcut unele modificri tehnice iniiale la textul de compromis, fr
a schimba, totui, sub nicio form substana acestuia. Aceste modificri tehnice constau n aranjarea
considerentelor ntr-o ordine standard, editarea trimiterilor la acte legislative ale UE n conformitate
cu Ghidul practic comun pentru elaborarea legislaiei UE i o verificare minor a coerenei utilizrii
abrevierilor pe parcursul textului. Desigur, modificrile nu aduc atingere revizuirii ulterioare de
ctre experii juriti-lingviti care va ncepe dup confirmarea de ctre Consiliu a acordului politic.
____________

5894/16

rs/AA/cm
DG E2B

RO

ANEX
DIRECTIVA (UE) 2016/... A PARLAMENTULUI EUROPEAN I A CONSILIULUI
din ...
privind msuri de asigurare a unui nivel comun ridicat de securitate a reelelor i a
informaiei n Uniune

PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE,

avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 114,
avnd n vedere propunerea Comisiei Europene,
dup transmiterea proiectului de act legislativ ctre parlamentele naionale,
avnd n vedere avizul Comitetului Economic i Social European 2,
hotrnd n conformitate cu procedura legislativ ordinar 3,
ntruct:

2
3

JO C [...], [...], p. [...].

Poziia Parlamentului European din [(JO )/(nepublicat nc n Jurnalul Oficial)] i
poziia Consiliului n prim lectur din ... [(JO )/(nepublicat nc n Jurnalul Oficial)].
Poziia Parlamentului European din [(JO ...)/(nepublicat nc n Jurnalul Oficial)].

5894/16
ANEX

rs/AA/cm
DG E2B

RO

(1)

Reelele mpreun cu sistemele i serviciile informatice ndeplinesc un rol vital n societate.

Fiabilitatea i securitatea lor sunt eseniale pentru activitile economice i societale i, n
special, pentru funcionarea pieei interne.

(2)

Amploarea, frecvena i impactul incidentelor de securitate sunt n cretere i reprezint o

ameninare grav pentru funcionarea reelelor i a sistemelor informatice. Sistemele
respective pot s devin, de asemenea, o int pentru aciunile duntoare deliberate menite
s afecteze sau s ntrerup funcionarea sistemelor. Astfel de incidente pot s mpiedice
desfurarea activitilor economice, s genereze pierderi financiare substaniale, s
submineze ncrederea utilizatorilor i s provoace pagube majore economiei Uniunii.

(3)

Reelele i sistemele informatice i, n principal, internetul joac un rol esenial n facilitarea

circulaiei transfrontaliere a produselor, serviciilor i persoanelor. Din cauza naturii lor
transnaionale, o perturbare major a acestor sisteme, intenionat sau neintenionat i
indiferent de locul n care se petrece, poate afecta fiecare stat membru n parte i Uniunea n
ansamblul su. Prin urmare, securitatea reelelor i a sistemelor informatice este esenial
pentru buna funcionare a pieei interne.

(4)

Pe baza progreselor semnificative obinute n cadrul Forumului european al statelor membre

(FESM) n ncurajarea dezbaterilor i a schimburilor de bune practici n materie de
politici, inclusiv a elaborrii principiilor de cooperare n caz de criz informatic european,
ar trebui s se instituie un grup de cooperare, compus din reprezentani ai statelor membre,
Comisie i Agenia Uniunii Europene pentru Securitatea Reelelor i a Informaiilor
(ENISA) pentru a sprijini i a facilita cooperarea strategic dintre statele membre n ceea
ce privete securitatea reelelor i a informaiilor (NIS). Pentru ca acest grup s fie eficace
i reprezentativ, este esenial ca toate statele membre s dispun de capacitile minime
necesare i de o strategie care s asigure un nivel ridicat de NIS pe teritoriul lor. n plus,
operatorilor de servicii eseniale i furnizorilor de servicii digitale ar trebui s li se aplice
cerine de securitate i de notificare a incidentelor pentru a se promova o cultur a
gestionrii riscurilor i pentru a se asigura raportarea celor mai grave incidente.

5894/16
ANEX

rs/AA/cm
DG E2B

RO

(5)

Capacitile existente nu sunt suficiente pentru asigurarea unui nivel ridicat de NIS n
Uniune. Statele membre au niveluri de pregtire foarte diferite, ceea ce duce la fragmentarea
abordrilor n Uniune. Aceasta determin un nivel inegal de protecie a consumatorilor i a
ntreprinderilor i submineaz nivelul general de NIS n Uniune. La rndul su, lipsa unor
cerine comune pentru operatorii de servicii eseniale i furnizorii de servicii digitale face
imposibil instituirea unui mecanism general i eficace de cooperare la nivelul Uniunii.
Universitile i centrele de cercetare au un rol decisiv n cultivarea cercetrii, dezvoltrii i
inovrii n aceste domenii.

(6)

Prin urmare, pentru a rspunde efectiv la provocrile din domeniul securitii reelelor i a
sistemelor informatice este necesar o abordare global la nivelul Uniunii, care s includ
cerine comune privind crearea capacitilor minime i planificarea, schimb de informaii,
cooperare i cerine comune de securitate pentru operatorii de servicii eseniale i furnizorii
de servicii digitale.

(6a)

Operatorii de servicii eseniale i furnizorii de servicii digitale nu sunt mpiedicai s pun n

aplicare msuri de securitate mai stricte dect cele prevzute n temeiul prezentei directive.

(7)

Pentru a putea acoperi toate incidentele i riscurile relevante, prezenta directiv ar trebui s
se aplice att operatorilor de servicii eseniale, ct i furnizorilor de servicii digitale. Totui,
obligaiile impuse operatorilor de servicii eseniale i furnizorilor de servicii digitale nu ar
trebui s se aplice nici ntreprinderilor care pun la dispoziie reele de comunicaii publice
sau servicii de comunicaii electronice accesibile publicului n sensul Directivei 2002/21/CE
a Parlamentului European i a Consiliului din 7 martie 2002 4, care fac obiectul cerinelor
specifice de securitate i integritate prevzute la articolul 13a din directiva respectiv, nici
furnizorilor de servicii de ncredere n sensul Regulamentului (UE) nr. 910/2014 al
Parlamentului European i al Consiliului 5, care fac obiectul cerinelor prevzute la
articolul 19 din regulamentul respectiv.

Directiva 2002/21/CE a Parlamentului European i a Consiliului din 7 martie 2002 privind un

cadru de reglementare comun pentru reelele i serviciile de comunicaii electronice
(Directiv-cadru) (JO L 108, 24.4.2002, p. 33).
Regulamentul (UE) nr. 910/2014 al Parlamentului European i al Consiliului din 23 iulie 2014
privind identificarea electronic i serviciile de ncredere pentru tranzaciile electronice pe
piaa intern i de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.204, p. 73).

5894/16
ANEX

rs/AA/cm
DG E2B

RO

(8)

Dispoziiile prezentei directive nu trebuie s aduc atingere posibilitii de care dispune

fiecare stat membru de a lua msurile necesare pentru a asigura protecia intereselor sale de
securitate eseniale, a apra ordinea i sigurana public i a permite investigarea, detectarea
i urmrirea infraciunilor. n conformitate cu articolul 346 din TFUE, niciun stat membru
nu are obligaia de a furniza informaii a cror divulgare o consider contrar intereselor
eseniale ale siguranei sale. n acest context, sunt relevante Decizia 2011/292/UE a
Consiliului 6, acordurile de nedivulgare sau acordurile de nedivulgare informale, precum
Traffic Light Protocol.

(9)

Anumite sectoare ale economiei sunt deja reglementate sau ar putea fi reglementate n viitor
prin acte legislative ale Uniunii specifice fiecrui sector care includ norme legate de
securitatea reelelor i a sistemelor informatice. Atunci cnd aceste acte legislative ale
Uniunii conin dispoziii care impun cerine privind securitatea reelelor i a sistemelor
informatice sau notificarea incidentelor, aceste dispoziii ar trebui s se aplice n locul
dispoziiilor corespunztoare ale prezentei directive n cazul n care conin cerine care sunt
cel puin echivalente ca efect cu obligaiile coninute n prezenta directiv.

(10)

n acest caz, statele membre ar trebui s aplice dispoziiile unui astfel de act legislativ al
Uniunii specific fiecrui sector, inclusiv cele privind jurisdicia, i nu ar trebui s execute
procesul de identificare pentru operatorii de servicii eseniale definit de prezenta directiv.
n acest context, statele membre ar trebui s furnizeze Comisiei informaii privind aplicarea
dispoziiei privind lex specialis.

(11)

Atunci cnd se stabilete dac cerinele privind securitatea reelelor i a sistemelor

informatice i/sau notificarea incidentelor coninute de acte legislative ale Uniunii specifice
fiecrui sector sunt echivalente cu cele coninute de articolele 14 i 15a din prezenta
directiv, ar trebui s se ia n considerare doar dispoziiile actelor legislative relevante ale
Uniunii i aplicarea acestora n statele membre.

Decizia 2011/292/UE a Consiliului din 31 martie 2011 privind normele de securitate pentru
protecia informaiilor UE clasificate (JO L 141, 27.5.2011, p. 17)

5894/16
ANEX

rs/AA/cm
DG E2B

RO

(12)

Entitile care nu intr n domeniul de aplicare al prezentei directive [] pot suferi incidente
care au un impact semnificativ asupra serviciilor pe care le furnizeaz. Atunci cnd
consider c este de interes public s notifice autoritilor relevante ale statelor membre
apariia acestor incidente, entitile respective ar trebui s aib posibilitatea s fac acest
lucru voluntar. Aceste notificri ar trebui s fie tratate de organismele respective n cazul n
care aceast tratare nu constituie o sarcin disproporionat sau neavenit asupra statului
membru n cauz.

(13)

O pia online ar trebui s permit consumatorilor i/sau comercianilor s ncheie contracte

de vnzri i servicii online cu comercianii i ar trebui s fie destinaia final pentru
ncheierea acestor contracte. Aceasta nu ar trebui s acopere servicii online care folosesc
doar ca intermediar pentru servicii prestate de o parte ter, atunci cnd se poate pn la
urm s se ncheie un contract. Prin urmare, aceasta nu ar trebui s acopere serviciile online
care compar preul anumitor produse sau servicii de la diferii comerciani i reorienteaz
apoi utilizatorul la comerciantul preferat pentru achiziionarea produsului. Serviciile de
calcul oferite de piaa online pot include tratarea tranzaciilor, cumularea datelor sau
profilarea utilizatorilor. Magazinele de aplicaii, care funcioneaz ca magazine online,
permind distribuia digital a aplicaiilor sau a programelor software de la pri tere, []
trebuie s fie nelese ca un tip de pia online.

(14)

Un motor de cutare online ar trebui s permit utilizatorului s efectueze cutri n

principiu pe toate site-urile internet pe baza unei interogaii pe orice subiect. Alternativ,
aceast cutare s-ar putea concentra pe site-uri internet ntr-o anumit limb. Definiia unui
motor de cutare online prevzut de prezenta directiv nu ar trebui s cuprind funciile de
cutare limitate la coninutul unui anumit site internet, chiar i atunci cnd funcia de cutare
este furnizat de un motor de cutare extern. De asemenea, aceasta nu ar trebui s acopere
serviciile online care compar preul anumitor produse sau servicii de la diferii comerciani
i reorienteaz apoi utilizatorul la comerciantul preferat pentru achiziionarea produsului.

5894/16
ANEX

rs/AA/cm
DG E2B

RO

(15)

Serviciile de cloud computing includ o gam larg de activiti care pot fi oferite n funcie
de diferite modele. n sensul prezentei directive, servicii de cloud computing nseamn
servicii care permit accesul la un bazin redimensionabil i elastic de resurse informatice care
pot fi puse n comun. Termenul resurse informatice acoper resurse precum reelele,
serverele sau alte infrastructuri, stocarea, aplicaiile i serviciile. Redimensionabil
nseamn c, pentru a administra fluctuaiile de cerere, resursele informatice se aloc flexibil
de ctre furnizorul de servicii cloud, indiferent de poziia geografic a resurselor. Bazin
elastic nseamn c aceste resurse informatice, pentru a nmuli i a reduce rapid resursele
disponibile n conformitate cu necesarul de lucru, sunt atribuite i transferate n funcie de
cerere. Care pot fi puse n comun nseamn c aceste resurse informatice sunt furnizate
mai multor utilizatori care au acces comun la serviciu, dar tratamentul se efectueaz separat
pentru fiecare utilizator, dei serviciul este furnizat de acelai echipament electronic.

(16)

Funcia unui Internet Exchange Point (IXP) este de a interconecta reele. Un IXP nu ofer
acces la reea i nici nu acioneaz ca furnizor sau transportator de tranzit. De asemenea, un
IXP nu furnizeaz nici alte servicii care nu au legtur cu interconectarea (dei aceasta nu
mpiedic un operator IXP s furnizeze i astfel de servicii). UN IXP exist pentru a
interconecta reele separate din punct de vedere tehnic i organizaional. Termenul sistem
autonom se utilizeaz pentru a descrie o reea care se autosusine din punct de vedere tehnic.

5894/16
ANEX

rs/AA/cm
DG E2B

RO

(17)

Statele membre ar trebui s fie responsabile pentru stabilirea entitilor care ndeplinesc
criteriile definiiei operatorului de servicii eseniale ca parte a transpunerii directivei n
dreptul intern. Pentru a se asigura o abordare constant, toate statele membre ar trebui s
aplice n mod coerent definiia operatorului de servicii eseniale. n acest scop, directiva
prevede evaluarea entitilor active n subsectoarele sau n sectorul n care nu este inclus
niciun subsector n anexa II, instituirea unei liste de servicii eseniale, luarea n considerare a
unei liste comune a factorilor transsectoriali care urmeaz s stabileasc dac un incident
potenial ar avea un efect perturbator semnificativ, un proces de consultare care s implice
statele membre relevante n cazul entitilor care furnizeaz servicii n mai multe state
membre i sprijinul grupului de cooperare n procesul de identificare. Pentru a asigura
reflectarea corect a posibilelor modificri n pia, statele membre ar trebui s revizuiasc
periodic lista operatorilor identificai i ar trebui s o actualizeze atunci cnd este necesar. n
sfrit, statele membre ar trebui s transmit Comisiei informaiile necesare pentru a evalua
msura n care aceast metodologie comun permite o aplicare coerent a definiiei de ctre
statele membre.

(18)

n procesul de identificare a operatorilor de servicii eseniale, statele membre ar trebui s

evalueze, cel puin pentru fiecare subsector menionat n prezenta directiv, care dintre servicii
trebuie s fie considerate drept eseniale pentru susinerea activitilor societale i economice de
cea mai mare importan i s evalueze dac entitile enumerate n sectoare i n subsectoare n
prezenta directiv care furnizeaz serviciile respective ndeplinesc criteriile de identificare a
operatorilor. Atunci cnd se evalueaz dac o entitate furnizeaz un serviciu esenial pentru
susinerea activitilor societale i economice de cea mai mare importan, este suficient s se
examineze dac o anumit entitate furnizeaz un serviciu esenial inclus pe lista serviciilor. n
plus, ar trebui s se demonstreze c furnizarea unui serviciu esenial depinde de reele i de
sisteme informatice. n sfrit, atunci cnd evalueaz dac un incident care afecteaz reeaua i
sistemele informatice ale serviciului ar avea un efect perturbator semnificativ asupra furnizrii
acestuia, statele membre ar trebui s in cont de mai muli factori transsectoriali. De asemenea,
ele ar trebui s in cont de factori specifici sectorului, dup caz.

5894/16
ANEX

rs/AA/cm
DG E2B

RO

(19)

Pentru identificarea operatorilor de servicii eseniale, instituirea implic exercitarea efectiv

i real a activitii prin acorduri stabile. Forma juridic a acestor acorduri, prin intermediul
unei sucursale sau al unei filiale cu personalitate juridic, nu este factorul determinant n
aceast privin.

(20)

Entitile din sectoarele i subsectoarele enumerate n anexa II pot furniza servicii eseniale
i neeseniale. De exemplu, n sectorul transportului aerian, aeroporturile pot furniza servicii
pe care un stat membru le poate considera eseniale, precum gestionarea pistelor de
aterizare/decolare, dar i mai multe servicii care pot fi considerate neeseniale, precum
furnizarea de spaii comerciale. Operatorii de servicii eseniale ar trebui s fac obiectul unor
obligaii de securitate specifice doar n legtur cu serviciile considerate eseniale. Pentru
identificarea operatorilor, statele membre ar trebui, prin urmare, s stabileasc o list a
serviciilor considerate drept eseniale.

(21)

Lista serviciilor ar trebui s slujeasc drept punct de referin pentru autoritile naionale
competente, permind identificarea operatorilor de servicii eseniale. Scopul acesteia este de
a identifica tipurile de servicii eseniale n orice sector dat enumerat n anexa II, distingndule, astfel, de activitile neeseniale de care ar putea fi rspunztoare o entitate activ n orice
sector dat. Lista serviciilor ar trebui s conin toate serviciile furnizate pe teritoriul statului
membru care ndeplinesc cerinele prevzute de prezenta directiv. Statul membru ar trebui
s fie capabil s includ noi servicii pe lista existent, dac acestea apar n viitor. Lista
serviciilor instituit de fiecare stat membru ar sluji drept informaie suplimentar n
evaluarea practicii de reglementare a fiecrui stat membru, n vederea asigurrii nivelului
general de coeren ntre statele membre al procesului de identificare.

5894/16
ANEX

rs/AA/cm
DG E2B

10

RO

(22)

n sensul procesului de identificare, atunci cnd un operator potenial furnizeaz serviciul

esenial n dou sau mai multe state membre, statele membre respective ar trebui s intre n
discuii bilaterale sau multilaterale unele cu altele. Acest proces de consultare este destinat
s ajute statele membre s evalueze importana operatorului din punct de vedere al
impactului transfrontalier i permite fiecrui stat membru implicat s i exprime opiniile n
privina riscurilor asociate serviciilor furnizate de operator. n acest proces, statele membre
n cauz ar trebui s in cont de opiniile fiecruia dintre ele. Statele membre n cauz pot
solicita n aceast privin asistena grupului de cooperare.

(23)

Ca rezultat al procesului de identificare, statele membre ar trebui s adopte la nivel naional

msuri care vor stabili care entiti se supun obligaiilor legate de NIS. Acest rezultat ar
putea fi obinut prin adoptarea unei liste care include toi operatorii de servicii eseniale sau
prin adoptarea la nivel naional a unor msuri care includ criterii obiective cuantificabile (de
exemplu, rezultatele operatorului sau numrul de utilizatori) care ar permite s se determine
care entiti se supun obligaiilor legate de NIS i care nu. Msurile la nivel naional ar
trebui s includ toate msurile legislative, msurile administrative i politicile care permit
identificarea operatorilor de servicii eseniale n temeiul prezentei directive, fie c acestea
exist deja, fie c se adopt n contextul prezentei directive.

(24)

Pentru a se da o indicaie a importanei operatorilor identificai n legtur cu sectorul n

cauz, statele membre ar trebui s in cont de numrul i de dimensiunea operatorilor
identificai, de exemplu n ceea ce privete cota de pia sau cantitatea produs sau
transportat, fr a fi obligate s divulge informaii care ar dezvlui care operatori au fost
identificai.

(25)

Pentru stabilirea caracterului semnificativ al unui efect perturbator al unui incident care
afecteaz un serviciu esenial, statele membre ar trebui s in cont de numrul persoanelor
fizice i al entitilor juridice care utilizeaz serviciul respectiv n scop privat sau
profesional. Utilizarea serviciului respectiv poate fi direct, indirect sau prin intermediere.

5894/16
ANEX

rs/AA/cm
DG E2B

11

RO

(26)

Pentru a stabili dac un incident ar avea un efect perturbator semnificativ asupra furnizrii
unui serviciu, statele membre ar trebui s in cont de mai muli factori diferii. La evaluarea
impactului pe care l-ar putea avea un incident, din punct de vedere al gradului i duratei
acestuia, asupra activitilor economice i societale sau a siguranei publice, statele membre
ar trebui s evalueze i intervalul de timp probabil pn cnd discontinuitatea ar ncepe s
aib un impact negativ.

(27)

Pentru a stabili dac un incident ar avea un efect perturbator semnificativ asupra furnizrii
unui serviciu, n afara factorilor transsectoriali, ar trebui s se ia n considerare i factori
specifici fiecrui sector. n ceea ce privete furnizorii de energie, printre aceti factori s-ar
putea numra volumul sau proporia de energie generat la nivel naional; pentru furnizorii
de petrol, volumul zilnic; pentru transportul aerian (inclusiv aeroporturile i transportatorii
aerieni), transportul feroviar i porturile maritime, volumul de trafic naional i numrul de
pasageri sau de operaiuni de transport de mrfuri pe an; pentru infrastructurile pieelor
bancare/financiare, importana lor sistemic, pe baza activelor totale sau a raportului dintre
activele totale respective i PIB; pentru sntate, numrul anual de pacieni aflai n grija
furnizorului; pentru producia, tratarea i furnizarea de ap, volumul i numrul i tipul de
utilizatori (incluznd, de exemplu, spitale, serviciu public, organizaii sau persoane fizice),
precum i existena surselor de ap alternative care s acopere aceeai zon geografic.

(28)

Pentru a atinge i menine un nivel comun ridicat de securitate a reelelor i a sistemelor

informatice, fiecare stat membru ar trebui s aib o strategie naional NIS care s
defineasc obiectivele strategice i aciunile concrete de politic ce trebuie puse n aplicare.

5894/16
ANEX

rs/AA/cm
DG E2B

12

RO

(29)

Pentru a permite aplicarea efectiv a dispoziiilor adoptate n temeiul prezentei directive, ar

trebui s se instituie sau s se identifice n fiecare stat membru un organism responsabil cu
coordonarea aspectelor legate de NIS i care s acioneze ca punct unic de contact pentru
cooperarea transfrontalier la nivelul Uniunii. Ar trebui s se acorde autoritilor competente
i punctului unic de contact resurse tehnice, financiare i umane adecvate pentru a se asigura
posibilitatea acestora de a-i ndeplini efectiv i eficient atribuiile i a realiza astfel
obiectivele prezentei directive. Avnd n vedere c prezenta directiv vizeaz mbuntirea
funcionrii pieei interne prin consolidarea ncrederii reciproce, organismele statelor
membre trebuie s aib posibilitatea de a coopera efectiv cu actorii economici i s fie
structurate n consecin.

(30)

Avnd n vedere diferenele dintre structurile naionale de guvernan i pentru a salvgarda

acordurile sectoriale sau organismele de supraveghere i de reglementare ale Uniunii deja
existente i a evita suprapunerile, statele membre ar trebui s fie capabile s desemneze mai
multe autoriti naionale competente responsabile cu ndeplinirea atribuiilor legate de
securitatea reelelor i a sistemelor informatice ale operatorilor de servicii eseniale i ale
furnizorilor de servicii digitale n temeiul prezentei directive. Cu toate acestea, pentru a facilita
cooperarea i comunicarea transfrontalier, este necesar ca fiecare stat membru s desemneze
un punct unic de contact la nivel naional responsabil pentru cooperarea transfrontalier la
nivelul Uniunii, fr a aduce atingere acordurilor de reglementare sectoriale.

(31)

Autoritile competente sau echipele de intervenie n caz de incidente de securitate

informatic (CSIRT) ar trebui s primeasc notificrile incidentelor. Punctele unice de
contact nu ar trebui s primeasc direct nicio notificare de incident, cu excepia cazului n
care acioneaz i n calitate de autoritate competent sau CSIRT. Totui, o autoritate
competent sau o CSIRT poate atribui punctului unic de contract responsabilitatea de a
transmite notificrile de incidente punctelor unice de contact ale altor state membre afectate.

5894/16
ANEX

rs/AA/cm
DG E2B

13

RO

(32)

Raportul de sintez transmis de punctul unic de contact grupului de cooperare ar trebui s fie
anonimizat pentru a se pstra confidenialitatea notificrilor i identitatea operatorilor de
servicii eseniale i a furnizorilor de servicii digitale, deoarece informaiile privind
identitatea entitilor care notific nu sunt necesare pentru schimbul de bune practici n
grupul de cooperare. Raportul de sintez ar trebui s includ informaii privind numrul de
notificri primite, precum i o indicaie privind natura incidentelor notificate, precum
tipurile de nclcri ale securitii, gravitatea sau durata acestora.

(33)

Toate statele membre ar trebui s fie echipate n mod adecvat, din punctul de vedere al
capacitii att tehnice, ct i organizatorice, pentru a preveni, a detecta, a combate i a
atenua incidentele i riscurile la care sunt supuse reelele i sistemele informatice. Prin
urmare, toate statele membre ar trebui s se asigure c dein CSIRT care funcioneaz
corespunztor, cunoscute i drept echipe de intervenie n caz de urgen informatic
(CERT), care respect cerinele eseniale pentru a garanta existena capacitilor eficace i
compatibile care s administreze incidentele i riscurile i s asigure o cooperare eficient la
nivelul Uniunii. Pentru ca toate tipurile de operatori de servicii eseniale i furnizori de
servicii digitale s beneficieze de pe urma acestor capaciti i a acestei cooperri, statele
membre ar trebui s se asigure c toate tipurile sunt acoperite de o CSIRT desemnat. Avnd
n vedere importana cooperrii internaionale n privina securitii cibernetice, CSIRT ar
trebui s aib posibilitatea s participe la reele de cooperare internaional, n plus fa de
reeaua CSIRT instituit prin prezenta directiv.

(34)

Deoarece majoritatea reelelor i a sistemelor informatice au operatori privai, cooperarea

dintre sectorul public i cel privat este esenial. Operatorii de servicii eseniale i furnizorii
de servicii digitale ar trebui s fie ncurajai s-i creeze propriile mecanisme de cooperare
informal pentru asigurarea NIS. Grupul de cooperare ar trebui s aib posibilitatea de a
invita pri interesate relevante la discuii, dup caz. Pentru a ncuraja efectiv schimbul de
informaii i de bune practici, este esenial s se asigure c operatorii de servicii eseniale i
furnizorii de servicii digitale care particip la aceste schimburi nu sunt dezavantajai ca
urmare a cooperrii lor.

5894/16
ANEX

rs/AA/cm
DG E2B

14

RO

(35)

ENISA ar trebui s asiste statele membre i Comisia, oferind experiena sa, asigurnd
consiliere i facilitnd schimbul de bune practici. n special la aplicarea prezentei directive,
Comisia ar trebui, iar statele membre ar putea s consulte ENISA. Pentru a se asigura
informarea efectiv a statelor membre i a Comisiei, ar trebui s se transmit grupului de
cooperare un raport de sintez privind notificarea. n vederea dezvoltrii capacitilor i a
cunotinelor statelor membre, grupul de cooperare ar trebui s slujeasc i drept instrument
de schimb de bune practici, de discuie privind capacitile i pregtirea statelor membre i,
voluntar, s-i ajute pe membrii si la evaluarea strategiilor naionale privind NIS, la
consolidarea capacitii i la exerciii privind NIS.

(36)

Dup caz, statele membre ar trebui s poat utiliza sau adapta structurile organizatorice sau
strategiile existente atunci cnd aplic dispoziiile prezentei directive.

(37)

Atribuiile grupului de cooperare, respectiv ale ENISA sunt interdependente i

complementare. n general, ENISA ar trebui s ajute grupul de cooperare instituit n temeiul
articolului 8a la ndeplinirea atribuiilor sale, n conformitate cu obiectivul ENISA stabilit la
articolul 2 din Regulamentul (UE) nr. 526/2013 al Parlamentului European i al Consiliului 7
pentru a [] oferi asisten instituiilor, organelor, oficiilor i ageniilor Uniunii i statelor
membre la punerea n aplicare a politicilor necesare pentru ndeplinirea cerinelor legale i
de reglementare referitoare la securitatea reelelor i a informaiilor din actele juridice
existente i viitoare ale Uniunii []. n mod deosebit, ENISA ar trebui s ofere asisten n
domeniile care corespund propriilor atribuii, astfel cum sunt stabilite la articolul 3 din
Regulamentul 526/2013, respectiv analizarea strategiilor privind NIS, sprijinirea organizrii
i executrii exerciiilor privind NIS la nivelul Uniunii i schimbul de informaii i bune
practici privind sensibilizarea i formarea. ENISA ar trebui s se implice, de asemenea, n
dezvoltarea de orientri pentru criterii specifice fiecrui sector pentru stabilirea importanei
impactului unui incident.

Regulamentul (UE) nr. 526/2013 al Parlamentului European i al Consiliului din 21 mai 2013
privind Agenia Uniunii Europene pentru Securitatea Reelelor i a Informaiilor (ENISA) i
de abrogare a Regulamentului (CE) nr. 460/2004 (JO L 165, 18.6.2013, p. 41).

5894/16
ANEX

rs/AA/cm
DG E2B

15

RO

(38)

Pentru a promova un nivel avansat de securitate a reelelor i a informaiilor, grupul de

cooperare ar trebui, dup caz, s coopereze cu instituiile, organele, oficiile i ageniile
relevante ale Uniunii pentru a face schimb de cunotine de specialitate i de bune practici i
pentru a oferi consiliere privind aspectele legate de NIS care ar putea avea un impact asupra
activitii acestora, respectnd, n acelai timp, acordurile existente privind schimbul de
informaii cu circulaie restrns. n cooperarea sa cu organele responsabile de aplicarea
legii, cu privire la aspectele de securitate a reelelor i a informaiilor care ar putea avea un
impact asupra activitii acestora, grupul de cooperare ar trebui s respecte canalele de
informaii i reelele existente.

(39)

Informaiile privind incidentele legate de NIS sunt tot mai valoroase pentru publicul larg i
pentru ntreprinderi, n special pentru ntreprinderile mici i mijlocii. n unele cazuri, aceste
informaii se furnizeaz deja prin site-uri internet la nivel naional, n limba unei anumite ri
i sunt orientate n special asupra incidentelor i evenimentelor cu dimensiune naional.
Avnd n vedere c ntreprinderile opereaz din ce n ce mai mult transfrontalier i c
cetenii utilizeaz servicii online, informaiile privind incidentele ar trebui s fie furnizate
ntr-o form agregat la nivelul UE. Secretariatul reelei CSIRT este ncurajat s ntrein un
site internet sau s gzduiasc o pagin dedicat pe un site internet existent n care s pun la
dispoziia publicului larg informaii generale privind incidente grave legate de NIS care se
petrec n ntreaga Uniune, cu accent specific pe interesele i necesitile ntreprinderilor.
CSIRT participante la reeaua CSIRT sunt ncurajate s furnizeze voluntar informaiile care
urmeaz s fie publicate pe acest site internet. Acest site nu ar trebui s includ informaii
confideniale sau sensibile.

(40)

Dac informaiile sunt considerate confideniale n conformitate cu normele Uniunii i cele

naionale privind secretul comercial, aceast confidenialitate ar trebui s fie asigurat atunci
cnd se efectueaz activitile i se ndeplinesc obiectivele stabilite de prezenta directiv.

5894/16
ANEX

rs/AA/cm
DG E2B

16

RO

(41)

Exerciiile de securitate cibernetic prin care se simuleaz scenarii de incidente n timp real
sunt eseniale pentru testarea pregtirii statelor membre i a cooperrii dintre acestea. Ciclul
de exerciii CyberEurope, coordonat de ENISA cu participarea statelor membre, este un
instrument util pentru testarea i elaborarea recomandrilor cu privire la modul n care ar
trebui s se mbunteasc n timp rspunsul la incidente la nivelul UE. innd cont c n
prezent statele membre nu sunt obligate nici s planifice exerciii i nici s participe la
acestea, crearea reelei CSIRT n temeiul prezentei directive ar trebui s permit statelor
membre s participe la exerciii pe baza unei planificri precise i a unor opiuni strategice.
Grupul de cooperare instituit n temeiul prezentei directive ar trebui s se ocupe de deciziile
strategice privind exerciiile, n special, dar nu exclusiv, n ceea ce privete regularitatea
exerciiilor i concepia scenariilor. n conformitate cu mandatul su, ENISA ar trebui s
sprijine organizarea i executarea exerciiilor la nivelul UE, oferindu-i expertiza i
consultana grupului de cooperare i reelei CSIRT.

(42)

Avnd n vedere dimensiunea mondial a problemelor de NIS, este nevoie de o cooperare

internaional mai strns pentru a mbunti standardele de securitate i schimbul de
informaii i pentru a promova o abordare internaional comun a aspectelor legate de NIS.

(43)

Responsabilitatea asigurrii NIS revine n mare msur operatorilor de servicii eseniale i

furnizorilor de servicii digitale. Ar trebui s se promoveze i s se dezvolte prin cerine
adecvate de reglementare i practici voluntare sectoriale o cultur a gestionrii riscurilor,
care s implice evaluarea riscurilor i aplicarea unor msuri de securitate adecvate riscurilor
ntmpinate. Stabilirea unor condiii de concuren al cror caracter echitabil s prezinte
ncredere este i ea esenial pentru funcionarea eficace a grupului de cooperare i a reelei
CSIRT n scopul asigurrii unei cooperri efective din partea tuturor statelor membre.

(44)

Prezenta directiv se aplic doar administraiilor publice de tipul enumerat n anexa II i

identificate drept operatori de servicii eseniale. Statele membre au responsabilitatea de a
asigura securitatea reelelor i a sistemelor informatice ale administraiilor publice care nu
intr n domeniul de aplicare al prezentei directive.

5894/16
ANEX

rs/AA/cm
DG E2B

17

RO

(45)

Msurile de gestionare a riscurilor includ msurile de identificare a oricror riscuri de

incidente, de prevenire, detectare i administrare a incidentelor i de diminuare a impactului
acestora; securitatea reelelor i a sistemelor informatice include securitatea datelor stocate,
transmise i prelucrate.

(46)

Autoritile competente ar trebui s i pstreze capacitatea de a adopta orientri la nivel

naional privind circumstaniale n care operatorii de servicii eseniale sunt obligai s
notifice incidente.

(47)

Numeroase ntreprinderi din UE se bazeaz, pentru furnizarea propriilor servicii, pe furnizori

de servicii digitale, astfel cum sunt definii n prezenta directiv. innd cont c unele servicii
digitale pot reprezenta o resurs important pentru utilizatorii lor, inclusiv operatorii de
servicii eseniale, i innd cont c aceti utilizatori pot s nu aib ntotdeauna la dispoziie
alternative, prezenta directiv ar trebui s se aplice i furnizorilor de astfel de servicii.
Securitatea, continuitatea i fiabilitatea tipului de servicii menionat n anexa III sunt eseniale
pentru buna funcionare a multor ntreprinderi. O perturbare a unui serviciu digital dintre cele
enumerate n anexa III ar putea mpiedica furnizarea altor servicii care se bazeaz pe acesta i
ar putea, astfel, s aib impact asupra unor activiti economice i societale eseniale n
Uniune. Aceste servicii digitale pot fi, prin urmare, de importan esenial pentru buna
funcionare a ntreprinderilor care depind de ele i, mai mult, pentru participarea acestor
ntreprinderi la piaa intern i la comerul transfrontalier n ntreaga Uniune. Furnizorii de
servicii digitale inclui n prezenta directiv sunt cei considerai c ofer servicii digitale pe
care se bazeaz din ce n ce mai mult numeroase ntreprinderi din UE.

5894/16
ANEX

rs/AA/cm
DG E2B

18

RO

(48)

Furnizorii de servicii digitale ar trebui s asigure un nivel de securitate proporional cu

gradul de risc prezentat pentru securitatea serviciilor pe care le furnizeaz, innd cont de
importana serviciilor lor pentru operaiunile altor ntreprinderi din cadrul UE. n practic,
gradul de risc pentru operatorii de servicii eseniale, care sunt adesea de cea mai mare
importan pentru ntreinerea unor activiti societale i economice eseniale, va fi mai mare
dect pentru furnizorii de servicii digitale. Prin urmare, cerinele de securitate pentru
furnizorii de servicii digitale ar trebui s fie mai puin stricte. Furnizorii de servicii digitale
ar trebui s rmn liberi s adopte msuri pe care le consider adecvate pentru gestionarea
riscurilor prezentate pentru securitatea reelelor i sistemelor lor informatice. Ca urmare a
naturii lor transfrontaliere, furnizorii de servicii digitale ar trebui s fac obiectul unei
abordri mai armonizate la nivel european. Actele de punere n aplicare ar trebui s
faciliteze precizarea i aplicarea acestor msuri.

(49)

Dei fabricanii de echipamente i creatorii de programe informatice nu sunt operatori de

servicii eseniale sau furnizori de servicii digitale comparabili cu cei care intr sub incidena
prezentei directive, produsele lor faciliteaz securitatea reelelor i a sistemelor informatice.
Prin urmare, acetia au un rol important n a le permite operatorilor de servicii eseniale i
furnizorilor de servicii digitale s asigure securitatea reelelor i a sistemelor lor informatice.
Aceste echipamente i programe informatice fac deja obiectul normelor existente n materie
de rspundere pentru produsele cu defect.

(50)

Msurile tehnice i organizatorice impuse operatorilor de servicii eseniale i furnizorilor de

servicii digitale nu ar trebui s implice proiectarea, dezvoltarea sau fabricarea ntr-un anumit
mod a unui anumit produs comercial al tehnologiei informaiei i comunicaiilor.

5894/16
ANEX

rs/AA/cm
DG E2B

19

RO

(51)

Operatorii de servicii eseniale i furnizorii de servicii digitale ar trebui s asigure securitatea

reelelor i a sistemelor pe care le utilizeaz. Acestea sunt n principal reele i sisteme
private, gestionarea securitii lor fiind fie efectuat de ctre personalul IT intern, fie
externalizat. Obligaiile n materie de securitate i notificare ar trebui s se aplice
operatorilor de servicii eseniale i furnizorilor de servicii digitale relevani, indiferent dac
acetia asigur ei nii ntreinerea propriilor reele i sisteme informatice sau externalizeaz
aceast activitate.

(52)

Pentru a evita impunerea unei sarcini financiare i administrative disproporionate asupra

operatorilor de servicii eseniale i a furnizorilor de servicii digitale, cerinele ar trebui s fie
proporionale cu riscurile la care este expus reeaua sau sistemul informatic n cauz, innd
seama de cea mai avansat tehnologie corespunztoare unor astfel de msuri. n cazul
furnizorilor de servicii digitale, aceste cerine nu ar trebui s se aplice microntreprinderilor
i ntreprinderilor mici.

(53)

n cazul n care folosesc servicii oferite de furnizorii de servicii digitale, n special servicii
de cloud computing, administraiile publice din statele membre pot dori s solicite
furnizorilor acestor servicii msuri de securitate suplimentare fa de cele pe care le-ar oferi
n mod normal furnizorii de servicii digitale n conformitate cu cerinele prezentei directive.
Administraiile pot face aceste solicitri prin intermediul obligaiilor contractuale.

(54)

Definiiile pieelor online, motoarelor de cutare online i serviciilor de cloud computing din
prezenta directiv servesc obiectivelor specifice ale prezentei directive i nu aduc atingere
altor instrumente.

(55)

Prezenta directiv nu ar trebui s mpiedice statele membre s adopte msuri la nivel

naional prin care s oblige organismele sectorului public s asigure cerine specifice de
securitate atunci cnd contracteaz servicii de cloud computing. Orice astfel de msuri la
nivel naional ar trebui s se aplice organismului din sectorul public (clientului) i nu
furnizorului de servicii de cloud computing.

5894/16
ANEX

rs/AA/cm
DG E2B

20

RO

(56)

innd cont de diferenele fundamentale dintre operatorii de servicii eseniale, n special de

legtura lor direct cu infrastructura fizic, i furnizorii de servicii digitale, n special natura
transfrontalier a acestora, prezenta directiv ar trebui s adopte o abordare difereniat n
legtur cu nivelul de armonizare n legtur cu aceste dou grupuri de entiti. Pentru
operatorii de servicii eseniale, statele membre ar trebui s fie capabile s identifice
operatorii relevani i s impun cerine mai stricte dect cele prevzute de prezenta
directiv. Statele membre nu ar trebui s identifice furnizorii de servicii digitale, deoarece
prezenta directiv ar trebui s se aplice tuturor furnizorilor de servicii digitale din domeniul
su de aplicare. n plus, prezenta directiv i actele de punere n aplicare adoptate n temeiul
ei ar trebui s asigure un nivel ridicat de armonizare pentru furnizorii de servicii digitale n
ceea ce privete cerinele de securitate i de notificare. Aceste elemente ar trebui s permit
un tratament uniform al furnizorilor de servicii digitale n ntreaga Uniune, proporional cu
natura acestora i cu gradul de risc cu care se confrunt.

(57)

Prezenta directiv nu ar trebui s interzic statelor membre s impun cerine de securitate i

de notificare entitilor care nu sunt furnizori de servicii digitale n domeniul de aplicare al
prezentei directive, fr a aduce atingere obligaiilor statelor membre n temeiul dreptului
Uniunii.

(58)

La adoptarea de acte de punere n aplicare privind cerinele de securitate pentru furnizorii de

servicii digitale, Comisia este ncurajat s in cont de urmtoarele exemple: n legtur cu
securitatea sistemelor i a instalaiilor: securitatea fizic i a mediului, securitatea
aprovizionrii, controlul accesului la reea i la sistemele informatice i integritatea reelelor
i a sistemelor informatice; n legtur cu gestionarea incidentelor: proceduri de gestionare a
incidentelor, capacitate de detectare a incidentelor, raportare a incidentelor i comunicare; n
legtur cu gestionarea continuitii activitii: strategie de continuitate a activitii i planuri
de urgen, capaciti de redresare n caz de dezastru i, n legtur cu monitorizarea,
auditarea i testarea: politici de monitorizare i nregistrare, planuri de urgen de exerciiu,
testarea reelelor i a sistemelor informatice, evaluri de securitate i monitorizarea
conformitii.

5894/16
ANEX

rs/AA/cm
DG E2B

21

RO

(59)

Autoritile competente ar trebui s acorde atenia cuvenit meninerii unor canale informale
i sigure pentru schimbul de informaii. Anunarea public a incidentelor raportate
autoritilor competente ar trebui s gseasc echilibrul cuvenit ntre interesul publicului de
a fi informat cu privire la ameninri i un eventual prejudiciu [...] comercial sau de reputaie
pe care l pot suferi operatorii de servicii eseniale i furnizorii de servicii digitale care
raporteaz incidente. Atunci cnd sunt puse n aplicare obligaiile de notificare, autoritile
competente i CSIRT ar trebui s acorde o atenie deosebit necesitii de a pstra stricta
confidenialitate a informaiilor despre vulnerabilitile unui produs nainte de apariia unor
soluii de securitate adecvate.

(60)

Furnizorii de servicii digitale ar trebui s fac obiectul unor activiti de supraveghere ex

post lejere i bazate pe reacie, justificate de natura serviciilor i a operaiunilor lor. Prin
urmare, autoritatea competent ar trebui s acioneze doar atunci cnd i se prezint dovezi
(de exemplu, chiar de ctre furnizorul de servicii digitale, de ctre o alt autoritate
competent, inclusiv o autoritate competent a unui alt stat membru, sau de ctre un
utilizator al serviciului) conform crora furnizorul de servicii digitale nu se conformeaz
cerinelor prezentei directive, n special n urma unui incident care a avut loc. Prin urmare,
autoritatea competent nu ar trebui s aib nicio obligaie general de a supraveghea
furnizorii de servicii digitale.

(61)

Autoritile competente ar trebui s dein mijloacele necesare pentru a-i ndeplini

atribuiile, inclusiv competenele de a obine suficiente informaii pentru a evalua nivelul
securitii reelelor i a sistemelor informatice.

5894/16
ANEX

rs/AA/cm
DG E2B

22

RO

(62)

Incidentele pot fi rezultatul activitilor criminale, a cror prevenire, anchetare i urmrire

penal este sprijinit prin coordonarea i cooperarea dintre operatorii de servicii eseniale,
furnizorii de servicii digitale, autoritile competente i autoritile de aplicare a legii. n
cazul n care un incident este suspectat c ar fi legat de activiti criminale grave n temeiul
dreptului naional sau al Uniunii, statele membre ar trebui s i ncurajeze pe operatorii de
servicii eseniale i pe furnizorii de servicii digitale s raporteze ei nii autoritilor
relevante de aplicare a legii incidentele suspecte de a fi de natur criminal grav. Dup caz,
este de dorit ca Centrul Europol de combatere a criminalitii informatice (EC3) i ENISA
s faciliteze coordonarea dintre autoritile competente i autoritile de aplicare a legii ale
diferitelor state membre.

(63)

n multe cazuri, datele cu caracter personal sunt compromise n urma unor incidente. n acest
context, autoritile competente i autoritile de protecie a datelor ar trebui s coopereze i
s fac schimb de informaii cu privire la toate aspectele relevante pentru abordarea
cazurilor de nclcare a securitii datelor cu caracter personal n urma unor incidente.

(64)

Jurisdicia pentru furnizorii de servicii digitale ar trebui s fie atribuit doar unui stat
membru n care operatorul i are sediul principal n Uniune, care, n principiu, corespunde
locului n care furnizorul i are sediul social n Uniune. Stabilirea implic exercitarea
efectiv i real a activitii n cadrul unor acorduri stabile. Forma juridic a acestor
acorduri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridic, nu este
factorul determinant n aceast privin. Acest criteriu nu ar trebui s depind de situarea
fizic sau nu a reelei i a sistemelor informatice n locul respectiv, prezena i utilizarea
acestor sisteme neconstituind, prin ele nsele, acest sediu principal i, prin urmare, nu este un
criteriu de determinare a sediului principal.

5894/16
ANEX

rs/AA/cm
DG E2B

23

RO

(65)

n cazul n care un furnizor de servicii digitale care nu este stabilit n Uniune ofer servicii n
cadrul Uniunii, acesta ar trebui s desemneze un reprezentant. Pentru a determina dac un
astfel de furnizor de servicii digitale ofer servicii n cadrul Uniunii, ar trebui s se confirme
c furnizorul de servicii digitale intenioneaz s ofere servicii persoanelor din unul sau mai
multe state membre din Uniune. ntruct simpla accesibilitate a unui site internet al
furnizorului de servicii digitale sau al unui intermediar n Uniune sau disponibilitatea unei
adrese de e-mail i a altor date de contact sau utilizarea unei limbi folosite n general n ara
ter n care furnizorul de servicii digitale i are sediul sunt insuficiente pentru a se confirma
o astfel de intenie, factori precum utilizarea unei limbi sau a unei monede utilizate n
general n unul sau mai multe state membre cu posibilitatea de a comanda servicii n
respectiva limb i/sau menionarea unor clieni sau utilizatori din Uniune pot conduce la
concluzia c furnizorul de servicii digitale intenioneaz s ofere servicii n Uniune.
Reprezentantul ar trebui s acioneze n numele furnizorului de servicii digitale, iar
autoritile competente sau CSIRT pot contacta reprezentantul. Reprezentantul ar trebui s
fie desemnat explicit printr-un mandat scris al furnizorului de servicii digitale s acioneze n
numele acestuia n privina obligaiilor acestuia, inclusiv raportarea incidentelor n temeiul
prezentei directive.

(66)

Standardizarea cerinelor de securitate este un proces impulsionat de pia. Pentru a asigura

o aplicare convergent a standardelor de securitate, statele membre ar trebui s ncurajeze
respectarea standardelor indicate sau conformitatea cu acestea, n vederea garantrii unui
nivel ridicat de securitate la nivelul Uniunii. ENISA ar trebui s asiste statele membre prin
consiliere i orientri. n acest sens, ar putea fi util s se redacteze standarde armonizate n
conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European i al
Consiliului 8.

Regulamentul (UE) nr. 1025/2012 al Parlamentului European i al Consiliului din

25 octombrie 2012 privind standardizarea european, de modificare a Directivelor
89/686/CEE i 93/15/CEE ale Consiliului i a Directivelor 94/9/CE, 94/25/CE, 95/16/CE,
97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE i 2009/105/CE ale
Parlamentului European i ale Consiliului i de abrogare a Deciziei 87/95/CEE a Consiliului
i a Deciziei nr. 1673/2006/CE a Parlamentului European i a Consiliului (JO L 316,
14.11.2012, p. 12).

5894/16
ANEX

rs/AA/cm
DG E2B

24

RO

(67)

La identificarea operatorilor din sectorul maritim, statele membre ar trebui s in cont de

codurile i orientrile internaionale existente i viitoare elaborate n special de Organizaia
Maritim Internaional, pentru a se oferi operatorilor maritimi individuali o abordare
coerent.

(68)

n sectorul transportului pe ap, cerinele de securitate pentru societi, nave, instalaii

portuare, porturi i sisteme de trafic naval n temeiul actelor legislative ale Uniunii
reglementeaz toate operaiunile, inclusiv sistemele de radio i telecomunicaii, sistemele
informatice i reelele. Printre procedurile obligatorii care trebuie s fie urmate se numr
raportarea tuturor incidentelor de securitate i ar trebui, prin urmare, s fie considerate lex
specialis, n msura n care cerinele respective sunt cel puin echivalente cu dispoziiile
corespunztoare ale prezentei directive.

(69)

Reglementarea i supravegherea n sectoarele infrastructurilor bancare i ale pieelor

financiare sunt armonizate n mare msur la nivelul UE prin utilizarea legislaiei primare i
a celei secundare ale UE i a standardelor elaborate mpreun cu autoritile europene de
supraveghere. n cadrul uniunii bancare, aplicarea i supravegherea acestor cerine sunt
asigurate de mecanismul unic de supraveghere (MUS). Pentru statele membre care nu fac
parte din uniunea bancar, acestea sunt asigurate de autoritile de reglementare relevante
din domeniul bancar pentru statele membre. n alte domenii ale reglementrii sectorului
financiar, Sistemul european al supraveghetorilor financiari asigur i el un grad nalt de
asemnare i convergen n practicile de supraveghere. De asemenea, Autoritatea
European pentru Valori Mobiliare i Piee (ESMA) are un rol direct de supraveghere pentru
anumite entiti (i anume, agenii de rating de credit i registre centrale de tranzacii).

5894/16
ANEX

rs/AA/cm
DG E2B

25

RO

(70)

Riscul operaional reprezint o parte esenial a reglementrii i supravegherii prudeniale n

sectoarele infrastructurilor bancare i ale pieei financiare. Acesta acoper toate operaiunile,
inclusiv securitatea, integritatea i reziliena reelelor i a sistemelor informatice. Cerinele
pentru aceste sisteme, care depesc adesea cerinele prevzute n temeiul prezentei
directive, figureaz n mai multe acte legislative ale Uniunii, inclusiv, dar fr a se limita la
normele privind accesul la activitatea instituiilor de credit i supravegherea prudenial a
instituiilor de credit i a firmelor de investiii (CRD IV) i normele privind cerinele
prudeniale pentru instituiile de credit i firmele de investiii (CRR), care includ cerine
privind riscul operaional; norme privind pieele instrumentelor financiare (MiFID II), care
includ cerine privind evaluarea riscului pentru firmele de investiii i pentru pieele
reglementate; norme privind instrumentele financiare derivate extrabursiere, contraprile
centrale i registrele centrale de tranzacii, care includ cerine privind riscul operaional
pentru contraprile centrale i registrele centrale de tranzacii i norme privind
mbuntirea decontrii titlurilor de valoare n Uniunea European i privind depozitarele
centrale pentru instrumente financiare, care includ cerine privind riscul operaional. n plus,
cerinele de notificare a incidentelor fac parte din practica normal de supraveghere n
sectorul financiar i sunt incluse adesea n manualele de supraveghere. Statele membre ar
trebui s ia n considerare cele de mai sus n aplicarea de ctre ele a lex specialis.

(71)

Dup cum a remarcat Banca Central European n avizul su din 25 iulie 2014 9 asupra
propunerii privind NIS, prezenta directiv nu afecteaz regimul n cadrul dreptului Uniunii
al supravegherii de ctre Eurosistem a sistemelor de plat i de decontare. Ar fi adecvat ca
autoritile responsabile pentru aceast supraveghere s fac schimb de experien n aspecte
legate de NIS cu autoritile competente pentru prezenta directiv. Aceeai consideraie se
aplic i membrilor Sistemului European al Bncilor Centrale care nu fac parte din
Eurosistem, care exercit aceast supraveghere a sistemelor de plat i de decontare pe baza
actelor legislative i de reglementare naionale.

JO C 352, 7.10.2014, p. 4.

5894/16
ANEX

rs/AA/cm
DG E2B

26

RO

(72)

n vederea asigurrii unor condiii uniforme de punere n aplicare a prezentei directive, ar

trebui s se confere Comisiei competene de executare pentru a preciza acordurile
procedurale necesare pentru funcionarea grupului de cooperare i cerinele privind
securitatea i notificarea aplicabile furnizorilor de servicii digitale. Respectivele competene
ar trebui exercitate n conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului
European i al Consiliului 10. La adoptarea actelor de punere n aplicare legate de cerinele
de securitate i notificare pentru furnizorii de servicii digitale, Comisia ar trebui s in cont
n cea mai mare msur de avizul ENISA i ar trebui s consulte prile interesate care se
manifest. La adoptarea actelor de punere n aplicare legate de acordurile procedurale
necesare pentru funcionarea grupului de cooperare, Comisia ar trebui s in cont n cea mai
mare msur de avizul ENISA.

(73)

La aplicarea prezentei directive, Comisia ar trebui s colaboreze, dup caz, cu comitetele

sectoriale relevante i cu organismele relevante instituite la nivelul Uniunii n domeniile
reglementate de aceasta.

(74)

Comisia ar trebui s revizuiasc periodic prezenta directiv, consultndu-se cu toate prile

interesate, n special pentru a stabili dac este necesar efectuarea unor modificri ca urmare
a evoluiei condiiilor societale, politice, tehnologice sau de pia.

10

Regulamentul (UE) nr. 182/2011 al Parlamentului European i al Consiliului din

16 februarie 2011 de stabilire a normelor i principiilor generale privind mecanismele de
control de ctre statele membre al exercitrii competenelor de executare de ctre Comisie (JO
L 55, 28.2.2011, p. 13).

5894/16
ANEX

rs/AA/cm
DG E2B

27

RO

(75)

Schimbul de informaii cu privire la riscuri i incidente desfurat n cadrul grupului de

cooperare i al reelei CSIRT, precum i ndeplinirea cerinelor de notificare a incidentelor
ctre autoritile naionale competente sau CSIRT pot necesita prelucrarea datelor cu
caracter personal. Aceast prelucrare a datelor cu caracter personal ar trebui s se
conformeze Directivei 95/46/CE a Parlamentului European i a Consiliului 11 i
Regulamentului (CE) nr. 45/2001 al Parlamentului European i al Consiliului 12. n aplicarea
prezentei directive, ar trebui s se aplice Regulamentul (CE) nr. 1049/2001 al Parlamentului
European i al Consiliului 13 din 30 mai 2001 privind accesul public la documentele
Parlamentului European, ale Consiliului i ale Comisiei, dup caz.

(76)

Autoritatea European pentru Protecia Datelor a fost consultat n conformitate cu

articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 i a emis un aviz la
14 iunie 2013 14.

11

12

13

14

Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind

protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i
libera circulaie a acestor date (JO L 281, 23.11.1995, p. 31).
Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din
18 decembrie 2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu
caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a
acestor date (JO L 8, 12.1.2001, p. 1).
Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului din
30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului i
ale Comisiei (JO L 145, 31.5.2001, p. 43).
JO C 32, 4.2.2014, p. 19.

5894/16
ANEX

rs/AA/cm
DG E2B

28

RO

(77)

Deoarece obiectivele prezentei directive, care urmresc obinerea unui nivel ridicat de NIS
n Uniune, nu pot fi realizate n msur suficient de ctre statele membre n mod individual
i, prin urmare, din motive de efect al aciunii, pot fi realizate mai bine la nivelul Uniunii,
Uniunea poate adopta msuri n conformitate cu principiul subsidiaritii stabilit la
articolul 5 din Tratatul privind Uniunea European. n conformitate cu principiul
proporionalitii prevzut la articolul respectiv, prezenta directiv nu depete ceea ce este
necesar pentru atingerea obiectivelor respective.

(78)

Prezenta directiv respect drepturile fundamentale i principiile recunoscute de Carta

drepturilor fundamentale a Uniunii Europene, n special dreptul la respectarea vieii private
i a secretului comunicaiilor, dreptul la protecia datelor cu caracter personal, libertatea de a
desfura o activitate comercial, dreptul de proprietate, dreptul la o cale de atac eficient n
faa unei instane judectoreti i dreptul de a fi ascultat. Prezenta directiv trebuie pus n
aplicare n conformitate cu aceste drepturi i principii,

ADOPT PREZENTA DIRECTIV:

5894/16
ANEX

rs/AA/cm
DG E2B

29

RO

CAPITOLUL I
DISPOZIII GENERALE
Articolul 1
Obiect i domeniu de aplicare
(1)

Prezenta directiv stabilete msuri n vederea obinerii unui nivel comun ridicat de
securitate a reelelor i a sistemelor informatice (denumit n continuare NIS) n cadrul
Uniunii, astfel nct s se mbunteasc funcionarea pieei interne.

(2)

n acest scop, prezenta directiv:

(a)

stabilete pentru toate statele membre obligaia de a adopta o strategie naional

privind NIS;

(b)

creeaz un grup de cooperare pentru a sprijini i facilita cooperarea strategic i

schimbul de informaii ntre statele membre i pentru a dezvolta ncrederea ntre
acestea;

(ba) creeaz o reea a echipelor de intervenie n caz de incidente de securitate informatic

(CSIRT) pentru a contribui la dezvoltarea ncrederii ntre statele membre i pentru a
promova cooperarea operaional rapid i eficace;

5894/16
ANEX

rs/AA/cm
DG E2B

30

RO

(c)

stabilete cerine de securitate i notificare pentru operatorii de servicii eseniale;

(ca) stabilete cerine de securitate i notificare pentru furnizorii de servicii digitale;

(d)

stabilete pentru statele membre obligaii de desemnare a autoritilor competente la

nivel naional, a punctelor unice de contact i a CSIRT cu atribuii legate de
securitatea reelelor i a sistemelor informatice.

(3)

Cerinele de securitate i notificare prevzute de prezenta directiv nu se aplic nici

ntreprinderilor care fac obiectul cerinelor de la articolele 13a i 13b din
Directiva 2002/21/CE, nici furnizorilor de servicii de ncredere care fac obiectul cerinelor
de la articolul 19 din Regulamentul (UE) nr. 910/2014.

(4)

Prezenta directiv nu aduce atingere Directivei 2013/40/UE a Parlamentului European i a

Consiliului 15, Directivei 2011/93/UE a Parlamentului European i a Consiliului 16 i
Directivei 2008/114/CE a Consiliului 17.

(5)

15

16

17

Prezenta directiv nu aduce atingere Directivei 95/46/CE.

Directiva 2013/40/UE a Parlamentului European i a Consiliului din 12 august 2013 privind

atacurile mpotriva sistemelor informatice i de nlocuire a Deciziei-cadru 2005/222/JAI a
Consiliului (JO L 218, 14.8.2013, p. 8).
Directiva 2011/93/UE a Parlamentului European i a Consiliului din 13 decembrie 2011
privind combaterea abuzului sexual asupra copiilor, a exploatrii sexuale a copiilor i a
pornografiei infantile i de nlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335,
17.12.2011, p. 1).
Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea i
desemnarea infrastructurilor critice europene i evaluarea necesitii de mbuntire a
proteciei acestora (JO L 345, 23.12.2008, p. 75).

5894/16
ANEX

rs/AA/cm
DG E2B

31

RO

(6a)

Fr a aduce atingere articolului 346 din TFUE, informaiile confideniale n conformitate

cu normele Uniunii i cu cele naionale, precum cele privind secretul comercial, fac
obiectul schimbului de informaii cu Comisia i cu alte autoriti competente numai dac
acest lucru este necesar pentru aplicarea prezentei directive. Informaiile care fac obiectul
schimbului se limiteaz la informaiile relevante i proporionale cu scopul urmrit. Acest
schimb de informaii pstreaz confidenialitatea informaiilor respective, precum i
securitatea i interesele comerciale ale operatorilor de servicii eseniale i ale furnizorilor
de servicii digitale.

(6b)

Prezenta directiv nu aduce atingere aciunilor ntreprinse de statele membre pentru

salvgardarea funciilor lor eseniale de stat, n special pentru salvgardarea securitii
naionale (inclusiv aciuni de protejare a informaiilor a cror divulgare este considerat de
statele membre contrar intereselor eseniale ale securitii lor), precum i pentru
meninerea legii i ordinii, n special pentru a permite investigarea, detectarea i urmrirea
penal a infraciunilor.

(7)

n cazul n care un act legislativ al Uniunii specific unui sector oblig operatorii de servicii
eseniale sau furnizorii de servicii digitale s asigure fie securitatea reelelor i sistemelor
lor informatice, fie notificarea incidentelor, cu condiia ca aceste cerine s aib un efect
cel puin echivalent cu obligaiile incluse n prezenta directiv, acele dispoziii ale
respectivului act legislativ al Uniunii specific unui sector se aplic n locul dispoziiilor
corespunztoare ale prezentei directive.

5894/16
ANEX

rs/AA/cm
DG E2B

32

RO

Articolul 1a
Protecia i prelucrarea datelor cu caracter personal
(1)

Prelucrarea datelor cu caracter personal n temeiul prezentei directive se efectueaz n

conformitate cu Directiva 95/46/CE.

(2)

Prelucrarea datelor cu caracter personal de ctre instituiile i organele Uniunii n temeiul

prezentei directive are loc n conformitate cu Regulamentul (CE) nr. 45/2001.

Articolul 1b
Notificarea voluntar
(1)

Fr a aduce atingere articolului 2, entitile care nu au fost identificate drept operatori de

servicii eseniale i nu sunt furnizori de servicii digitale pot notifica voluntar incidente care au
un impact semnificativ asupra continuitii serviciilor pe care le furnizeaz.

(2)

La tratarea notificrilor, statele membre acioneaz n conformitate cu procedura stabilit la

articolul 14. Statele membre pot trata notificrile obligatorii cu prioritate fa de notificrile
voluntare. Notificrile voluntare se trateaz doar atunci cnd aceast prelucrare nu constituie o
sarcin disproporionat sau neavenit asupra statului membru n cauz.
Notificarea voluntar nu duce la impunerea asupra entitii notificatoare a niciunei obligaii la
care nu ar fi fost supus dac nu ar fi fcut notificarea.

5894/16
ANEX

rs/AA/cm
DG E2B

33

RO

Articolul 2
Armonizarea minim
Fr a aduce atingere articolului 15a alineatul (1b) i obligaiilor lor n temeiul dreptului Uniunii,
statele membre nu sunt mpiedicate s adopte sau s menin dispoziii n vederea obinerii unui
nivel mai ridicat de securitate a reelelor i a sistemelor informatice.

Articolul 3
Definiii
n sensul prezentei directive, se aplic urmtoarele definiii:
1.

reea i sistem informatic nseamn:

(a)

o reea de comunicaii electronice n sensul articolului 2 litera (a) din

Directiva 2002/21/CE i

(b)

orice dispozitiv sau grup de dispozitive interconectate sau legate ntre ele, dintre care
unul sau mai multe efectueaz, n conformitate cu un program, o prelucrare automat
de date digitale, precum i

(c)

datele digitale stocate, prelucrate, recuperate sau transmise de elemente reglementate

n temeiul literelor (a) i (b) n vederea funcionrii, utilizrii, protejrii i ntreinerii
lor;

5894/16
ANEX

rs/AA/cm
DG E2B

34

RO

2.

securitatea reelelor i a sistemelor informatice nseamn capacitatea reelelor i a

sistemelor informatice de a rezista, la un nivel de ncredere dat, oricrei aciuni care
compromite disponibilitatea, autenticitatea, integritatea sau confidenialitatea datelor stocate
sau transmise sau prelucrate ori a serviciilor conexe oferite de reeaua sau de sistemele
informatice respective sau accesibile prin intermediul acestora;

3.

risc nseamn orice circumstan sau eveniment ce poate fi identificat n mod rezonabil
care are un efect potenial negativ asupra securitii reelelor i a sistemelor informatice;

4.

incident nseamn orice eveniment care are un efect real negativ asupra securitii reelelor
i a sistemelor informatice;

6a.

strategie naional privind securitatea reelelor i a sistemelor informatice (strategie

privind NIS) nseamn un cadru care furnizeaz obiective i prioriti strategice privind
NIS la nivel naional;

7.

administrarea incidentului nseamn toate procedurile utilizate pentru detectare, analiz,

limitare i rspuns n cazul unui incident;

8.

operator de servicii eseniale nseamn o entitate public sau privat de tipul menionat
n anexa II care ndeplinete criteriile stipulate la articolul 3a alineatul (1a);

5894/16
ANEX

rs/AA/cm
DG E2B

35

RO

9.

standard nseamn un standard n sensul articolului 2 punctul 1 din Regulamentul (UE)

nr. 1025/2012;

10.

specificaie nseamn o specificaie tehnic n sensul articolului 2 punctul 4 din

Regulamentul (UE) nr. 1025/2012;

11d.

serviciu digital nseamn un serviciu n sensul articolului 1 litera [] (b) din Directiva
(UE) 2015/1535 a Parlamentului European i a Consiliului 18 care este de un tip enumerat
n anexa III;

11da.

furnizor de servicii digitale nseamn orice persoan juridic care furnizeaz un serviciu
digital;

11e.

pia online este un serviciu digital care permite consumatorilor i/sau comercianilor,
astfel cum sunt definii la articolul 4 alineatul (1) litera (a) i, respectiv, la articolul 4
alineatul (1) litera (b) din Directiva 2013/11/UE a Parlamentului European i a
Consiliului 19, s ncheie online vnzri i contracte de servicii cu comerciani fie pe site-ul
internet al pieei online, fie pe site-ul internet al unui comerciant care utilizeaz servicii
informatice furnizate de piaa online;

11g.

motor de cutare online este un serviciu digital care permite utilizatorilor s caute, n
principiu, n toate site-urile internet sau site-urile internet ntr-o anumit limb pe baza unei
interogaii privind orice subiect sub forma unui cuvnt, a unei fraze sau a unei alte
informaii-cheie i care revine cu linkuri n care se pot gsi informaii legate de coninutul
cutat;

18

19

Directiva (UE) 2015/1535 a Parlamentului European i a Consiliului din 9 septembrie 2015

referitoare la procedura de furnizare de informaii n domeniul reglementrilor tehnice i al
normelor privind serviciile societii informaionale (JO L 241, 17.9.2015, p. 1).
Directiva 2013/11/UE a Parlamentului European i a Consiliului din 21 mai 2013 privind
soluionarea alternativ a litigiilor n materie de consum i de modificare a
Regulamentului (CE) nr. 2006/2004 i a Directivei 2009/22/CE (Directiva privind SAL n
materie de consum)

5894/16
ANEX

rs/AA/cm
DG E2B

36

RO

11j.

serviciu de cloud computing este un serviciu digital care permite accesul la un bazin
redimensionabil i elastic de resurse informatice care pot fi puse n comun;

11k.

reprezentant nseamn orice persoan fizic sau juridic stabilit n Uniune desemnat
explicit s acioneze n numele unui furnizor de servicii digitale nestabilit n Uniune, creia
i se poate adresa autoritatea competent sau CSIRT n locul furnizorului de servicii digitale
n ceea ce privete obligaiile furnizorului de servicii digitale n temeiul prezentei directive;

11l.

Internet Exchange Point (IXP) nseamn o facilitate a reelei care permite

interconectarea a mai mult de dou sisteme autonome independente, n special n scopul
facilitrii schimbului de trafic de internet. Un IXP furnizeaz interconectare doar pentru
sisteme autonome. Un IXP nu necesit trecerea printr-un al treilea sistem autonom a
traficului de internet dintre orice pereche de sisteme autonome participante i nici nu
modific sau interacioneaz ntr-un alt mod cu acest trafic;

11m.

furnizor de servicii Domain Name System (DNS) nseamn o entitate care furnizeaz
servicii DNS pe internet (DNS este un sistem de atribuire de nume distribuite ierarhic ntro reea n care se efectueaz cutri de nume de domenii);

11n.

registru de nume de domenii Top-level nseamn o entitate care administreaz i

opereaz nregistrarea de nume de domenii de internet ntr-un domeniu Top-level (TLD)
specific.

5894/16
ANEX

rs/AA/cm
DG E2B

37

RO

Articolul 3a
Identificarea operatorilor de servicii eseniale
(1)

Pn la [6 luni de la data menionat la articolul 21 alineatul (1)], pentru fiecare

subsector menionat n anexa II, statele membre identific operatorii de servicii eseniale
care au un sediu pe teritoriul lor.

(1a)

Criteriile menionate la articolul 3 alineatul (8) sunt urmtoarele:

(a)

o entitate furnizeaz un serviciu esenial pentru susinerea activitilor societale

i/sau economice de cea mai mare importan;

(b)

furnizarea serviciului respectiv depinde de reea i de sistemele informatice i

(c)

un incident care afecteaz reeaua i sistemele informatice ale serviciului respectiv ar

avea efecte perturbatoare semnificative asupra furnizrii acestuia.

5894/16
ANEX

rs/AA/cm
DG E2B

38

RO

(2)

n sensul alineatului (1), fiecare stat membru stabilete o list a serviciilor menionate la
alineatul (1a) litera (a).

(3)

n sensul alineatului (1), atunci cnd o entitate furnizeaz un serviciu menionat la

alineatul (1a) litera (a) n dou sau mai multe state membre, statele membre respective se
consult reciproc. Consultarea respectiv are loc nainte de adoptarea unei decizii privind
identificarea.

(4)

Statele membre, periodic i cel puin la fiecare doi ani de la data menionat la articolul 21
alineatul (1), revizuiesc i, dup caz, actualizeaz lista operatorilor de servicii eseniale
identificai.

(5)

Rolul grupului de cooperare este, n conformitate cu atribuiile menionate la articolul 8a,

s sprijine statele membre n adoptarea unei abordri coerente n procesul de identificare a
operatorilor de servicii eseniale.

5894/16
ANEX

rs/AA/cm
DG E2B

39

RO

(6)

n sensul revizuirii menionate la articolul 20 i pn la ase luni dup data transpunerii i

apoi la fiecare doi ani, statele membre transmit Comisiei informaiile necesare pentru ca
aceasta s evalueze punerea n aplicare a prezentei directive, n special coerena abordrilor
de ctre statele membre a identificrii operatorilor de servicii eseniale. Aceste informaii
includ cel puin urmtoarele:
(a)

msuri naionale care permit identificarea operatorilor de servicii eseniale;

(b)

lista serviciilor menionate la alineatul (2);

(c)

numrul operatorilor de servicii eseniale identificai pentru fiecare sector menionat

n anexa II i o indicaie a importanei lor n legtur cu sectorul respectiv;

(d)

limite, atunci cnd acestea exist, pentru determinarea nivelului relevant de

furnizare, n conformitate cu numrul de utilizatori care se bazeaz pe serviciul
respectiv n conformitate cu articolul 3b litera (a) sau cu importana operatorului de
servicii eseniale respectiv n conformitate cu articolul 3b litera (f).

Pentru a contribui la furnizarea de informaii comparabile, Comisia, innd cont n cea mai
mare msur de avizul Ageniei Uniunii Europene pentru Securitatea Reelelor i a
Informaiilor (ENISA), poate adopta orientri tehnice adecvate privind parametrii
informaiei menionai la prezentul alineat.

5894/16
ANEX

rs/AA/cm
DG E2B

40

RO

Articolul 3b
Efect perturbator semnificativ
(1)

La determinarea importanei unui efect perturbator menionat la articolul 3a alineatul (1a)

litera (c), statele membre in cont cel puin de urmtorii factori transsectoriali:
(a)

numrul de utilizatori care se bazeaz pe serviciul [] furnizat de entitate;

(b)

dependena altor sectoare menionate n anexa II de serviciul furnizat de entitate;

(c)

impactul pe care l-ar putea avea incidentele, n ceea ce privete intensitatea i durata,
asupra activitilor economice i societale sau asupra siguranei publice;

(d)

cota de pia a entitii;

(e)

distribuia geografic n ceea ce privete zona care ar putea fi afectat de un incident;

(f)

importana entitii pentru meninerea unui nivel suficient al serviciului, innd cont
de disponibilitatea alternativelor pentru furnizarea serviciului respectiv.

(2)

Pentru a stabili dac un incident ar avea un efect perturbator semnificativ, statele membre
in cont i de factorii specifici fiecrui sector, dup caz.

5894/16
ANEX

rs/AA/cm
DG E2B

41

RO

CAPITOLUL II
CADRELE NAIONALE DE SECURITATE A REELELOR I A INFORMAIILOR

Articolul 5
Strategia naional privind NIS
(1)

Fiecare stat membru adopt o strategie naional privind NIS care definete obiectivele
strategice i msurile politice i de reglementare adecvate, n vederea obinerii i meninerii
unui nivel ridicat de securitate a reelelor i a sistemelor informatice, i care acoper cel
puin sectoarele menionate n anexa II i serviciile menionate n anexa III. Strategia
naional privind NIS se refer, n special, la urmtoarele aspecte:
(a)

obiectivele i prioritile strategiei naionale privind NIS;

(b)

un cadru de guvernan pentru realizarea obiectivelor i a prioritilor strategiei

naionale privind NIS, care s includ rolurile i responsabilitile organismelor
guvernamentale i ale altor actori relevani;

(c)

identificarea msurilor referitoare la gradul de pregtire, rspuns i redresare,

inclusiv cooperarea dintre sectorul public i cel privat;

(d)

indicarea programelor de instruire, sensibilizare i formare legate de strategia privind

NIS;

5894/16
ANEX

rs/AA/cm
DG E2B

42

RO

(2a)

(e)

indicarea planurilor de cercetare i dezvoltare legate de strategia privind NIS;

(f)

un plan de evaluare a riscurilor pentru identificarea riscurilor posibile;

(g)

o list a diferiilor actori implicai n punerea n aplicare a strategiei privind NIS;

Statele membre pot solicita asistena ENISA la elaborarea strategiilor naionale privind
NIS.

(3)

Strategia naional privind NIS se comunic Comisiei n termen de trei luni de la adoptarea
ei. Din aceast comunicare, statele membre pot exclude elemente ale strategiei care au
legtur cu securitatea naional.

5894/16
ANEX

rs/AA/cm
DG E2B

43

RO

Articolul 6
Autoritile competente la nivel naional i punctele unice de contact
(1)

Fiecare stat membru desemneaz una sau mai multe autoriti competente la nivel naional
privind securitatea reelelor i a sistemelor informatice (autoritatea competent) care
acoper cel puin sectoarele menionate n anexa II i serviciile digitale menionate n
anexa III. Statele membre pot atribui acest rol unei autoriti sau unor autoriti existente.

(2)

Autoritile competente monitorizeaz aplicarea prezentei directive la nivel naional.

(2a)

Fiecare stat membru desemneaz un punct unic de contact naional privind securitatea
reelelor i a sistemelor informatice (punct unic de contact). Statele membre pot atribui
acest rol unei autoriti existente. n cazul n care un stat membru desemneaz o singur
autoritate competent, aceasta servete, de asemenea, ca punct unic de contact.

(2c)

Punctul unic de contact exercit o funcie de legtur pentru asigurarea cooperrii

transfrontaliere a autoritilor statului membru i cu autoritile relevante din alte state
membre, precum i cu grupul de cooperare i reeaua CSIRT.

(3)

Statele membre se asigur c autoritile competente desemnate i punctele unice de

contact dispun de resurse adecvate pentru a-i ndeplini n mod eficace i eficient atribuiile
i a realiza astfel obiectivele prezentei directive. Statele membre asigur cooperarea
eficace, eficient i sigur a reprezentanilor desemnai n grupul de cooperare menionat la
articolul 8a.

5894/16
ANEX

rs/AA/cm
DG E2B

44

RO

(4)

Statele membre se asigur c autoritile competente sau CSIRT primesc notificrile

incidentelor transmise n conformitate cu prezenta directiv.

(4a)

Pentru a permite punctelor unice de contact s transmit grupului de cooperare un raport de

sintez privind notificrile, statele membre se asigur c autoritile competente sau CSIRT
informeaz punctele unice de contact despre notificrile incidentelor transmise n
conformitate cu prezenta directiv.

(4b)

O dat pe an, punctul unic de contact transmite grupului de cooperare un raport de sintez
privind notificrile primite, care include numrul de notificri i natura incidentelor
notificate, precum i aciunile ntreprinse n conformitate cu articolul 14 alineatele (2) i
(2ac) i cu articolul 15a alineatul (2).

(5)

Autoritile competente i punctul unic de contact se consult i coopereaz, dup caz i n

conformitate cu dreptul intern, cu autoritile naionale de aplicare a legii i cu autoritile
naionale de protecie a datelor relevante.

(6)

Fiecare stat membru notific fr ntrziere Comisiei desemnarea autoritii competente i

a punctului unic de contact, atribuiile acestora i orice modificri ulterioare ale acestora.
Fiecare stat membru face public desemnarea autoritii competente i a punctului unic de
contact. Comisia public lista punctelor unice de contact desemnate.

5894/16
ANEX

rs/AA/cm
DG E2B

45

RO

Articolul 7
Echipele de intervenie n caz de incidente de securitate informatic
(1)

Fiecare stat membru desemneaz una sau mai multe echipe de intervenie n caz de
incidente de securitate informatic (CSIRT) care acoper cel puin sectoarele menionate
n anexa II i tipurile de servicii digitale menionate n anexa III, responsabile pentru
administrarea incidentelor i a riscurilor n conformitate cu o procedur bine definit care
respect cerinele stabilite n anexa I punctul 1. O CSIRT poate fi nfiinat n cadrul unei
autoriti competente.

(1a)

Atunci cnd sunt separate, autoritatea competent, punctul unic de contact i CSIRT ale
aceluiai stat membru coopereaz cu privire la obligaiile ce le revin n temeiul prezentei
directive. n cazul n care un stat membru decide c CSIRT nu primesc notificri, se acord
CSIRT, n msura necesar pentru a-i ndeplini atribuiile, acces la date privind
incidentele notificate de operatorii de servicii eseniale n conformitate cu articolul 14
alineatele (2) i (2ac) sau de furnizorii de servicii digitale n conformitate cu articolul 15a
alineatul (2).

(2)

Statele membre se asigur c CSIRT desemnate dispun de resurse adecvate pentru a-i
ndeplini efectiv atribuiile stabilite n anexa I punctul 2.
Statele membre asigur cooperarea efectiv, eficient i sigur a propriilor CSIRT n
cadrul reelei CSIRT menionate la articolul 8b.

(3)

Statele membre se asigur c CSIRT desemnate au acces la o infrastructur de comunicare

i informaii adecvat, sigur i rezilient la nivel naional.

(4)

Statele membre informeaz Comisia cu privire la misiunea, precum i la principalele

elemente ale procedurilor de administrare a incidentelor folosite de CSIRT.

(5c)

5894/16
ANEX

Statele membre pot solicita asistena ENISA la dezvoltarea CSIRT naionale.

rs/AA/cm
DG E2B

46

RO

CAPITOLUL III
COOPERAREA DINTRE AUTORITILE COMPETENTE
Articolul 8a
Grupul de cooperare
(1)

Pentru a sprijini i pentru a facilita cooperarea strategic ntre statele membre, pentru a
consolida ncrederea i n vederea obinerii unui nivel comun ridicat de securitate a reelelor
i a sistemelor informatice n Uniune, se stabilete un grup de cooperare.
Grupul de cooperare i ndeplinete atribuiile pe baza programelor bienale de lucru, astfel
cum sunt menionate la articolul 8a alineatul (3) litera (a).

(2)

Grupul de cooperare se compune din reprezentani ai statelor membre, ai Comisiei i ai

ENISA.
Comisia asigur secretariatul.
Dup caz, grupul de cooperare poate invita s participe la lucrrile sale reprezentani ai
prilor interesate relevante.

5894/16
ANEX

rs/AA/cm
DG E2B

47

RO

(3)

Grupul de cooperare are urmtoarele atribuii:

(a)

pn la [18 luni dup intrarea n vigoare a prezentei directive] i apoi la fiecare

doi ani, stabilete un program de lucru privind aciuni care urmeaz s fie ntreprinse
pentru punerea n aplicare a obiectivelor i atribuiilor, care s fie n conformitate cu
obiectivele prezentei directive;

(b)

furnizeaz orientri strategice pentru activitile reelei CSIRT stabilite n temeiul

articolului 8b;

(c)

face schimb de bune practici privind schimbul de informaii legate de notificarea

incidentelor menionat la articolul 14 alineatul (2ac) i la articolul 15a alineatul (2);

(d)

face schimb de bune practici ntre statele membre i, n colaborare cu ENISA, asist
statele membre la consolidarea capacitii n NIS;

(e)

discut despre capacitile i nivelul de pregtire ale statelor membre i, pe baz de

voluntariat, evalueaz strategiile naionale privind NIS i eficacitatea CSIRT i
identific cele mai bune practici;

(f)

face schimb de informaii i de bune practici privind sensibilizarea i formarea;

(g)

face schimb de informaii i de bune practici privind cercetarea i dezvoltarea legate

de securitatea reelelor i a informaiilor;

5894/16
ANEX

rs/AA/cm
DG E2B

48

RO

(h)

dup caz, face schimb de experien privind aspecte legate de NIS cu instituii,
organe, oficii i agenii relevante ale Uniunii;

(i)

discut cu reprezentani ai organizaiilor de standardizare europene relevante

standardele menionate la articolul 16;

(j)

colecteaz informaii legate de bune practici privind riscurile i incidentele care

afecteaz reeaua i sistemele informatice;

(k)

examineaz anual rapoartele de sintez menionate la articolul 6 alineatul (4b);

(l)

discut despre lucrrile efectuate n legtur cu exerciiile privind NIS, programele

educative i formarea, inclusiv lucrrile ENISA;

(m)

cu asistena ENISA, face schimb de bune practici privind identificarea operatorilor

de servicii eseniale de ctre statele membre, inclusiv n legtur cu dependena
transfrontalier legat de riscuri i incidente privind NIS;

(n)

discut modaliti de raportare a notificrilor de incidente menionate la articolele 14

i 15a.

5894/16
ANEX

rs/AA/cm
DG E2B

49

RO

(4)

Ca parte a informaiilor utilizate n revizuirea periodic de ctre Comisie a funcionrii

prezentei directive, grupul de cooperare produce la fiecare un an i jumtate un raport de
evaluare a experienei ctigate prin cooperarea strategic realizat n temeiul prezentului
articol.

(5)

Comisia stabilete prin acte de punere n aplicare acordurile procedurale necesare pentru
funcionarea grupului de cooperare. Actele de punere n aplicare respective se adopt n
conformitate cu procedura de examinare menionat la articolul 19 alineatul (3). n sensul
primului paragraf, Comisia transmite comitetului primul proiect de act de punere n aplicare
pn la [6 luni dup intrarea n vigoare a prezentei directive].

5894/16
ANEX

rs/AA/cm
DG E2B

50

RO

Articolul 8b
Reeaua CSIRT
(1)

Pentru a contribui la dezvoltarea ncrederii ntre statele membre i pentru a promova

cooperarea operaional rapid i eficace, se stabilete o reea a CSIRT naionale.

(2)

Reeaua CSIRT se compune din reprezentani ai CSIRT ale statelor membre i ai CERT-UE.
Comisia particip la reeaua CSIRT n calitate de observator. ENISA asigur secretariatul i
sprijin activ cooperarea ntre CSIRT.

(3)

Reeaua CSIRT are urmtoarele atribuii:

(a)

face schimb de informaii privind serviciile, operaiunile i capacitile de cooperare

ale CSIRT;

(b)

la cererea reprezentantului unui stat membru potenial afectat de un incident,

schimb i discut informaii sensibile fr caracter comercial legate de incidentul
respectiv i de riscurile asociate. Orice stat membru poate refuza s contribuie la
discuia respectiv dac exist riscul de a se prejudicia anchetarea incidentului;

(c)

schimb i pune la dispoziie pe baz de voluntariat informaii fr caracter

confidenial privind incidente individuale;

(d)

la cererea reprezentantului unei CSIRT dintr-un stat membru, discut i, dup caz,
identific un rspuns coordonat la un incident care a fost identificat n jurisdicia
respectivului stat membru;

5894/16
ANEX

rs/AA/cm
DG E2B

51

RO

(e)

sprijin statele membre n abordarea incidentelor transfrontaliere pe baza asistenei

reciproce voluntare a acestora;

(f)

discut, exploreaz i identific noi forme de cooperare operaional, inclusiv n

legtur cu:
(i)

categorii de riscuri i incidente

(ii)

alertele timpurii

(iii)

asistena reciproc

(iv)

principii i modaliti de coordonare, atunci cnd statele membre rspund la

riscuri i incidente transfrontaliere legate de NIS;

(g)

informeaz grupul de cooperare cu privire la activitile sale i cu privire la noi

forme de cooperare operaional discutate n conformitate cu alineatul (3) litera (f) i
solicit orientri aferente acestora;

(h)

discut leciile nvate din exerciiile de NIS, inclusiv din cele organizate de
ENISA;

(i)

la cererea unei anumite CSIRT, discut despre capacitile i nivelul de pregtire al

aceleiai CSIRT;

(j)

emite orientri pentru a facilita convergena practicilor (operaionale) n ceea ce

privete aplicarea dispoziiilor prezentului articol privind cooperarea operaional.

5894/16
ANEX

rs/AA/cm
DG E2B

52

RO

(4)

Ca parte a informaiilor utilizate n revizuirea periodic de ctre Comisie a funcionrii

prezentei directive, reeaua CSIRT produce la fiecare un an i jumtate un raport de evaluare
a experienei ctigate prin cooperarea operaional realizat n temeiul prezentului articol,
inclusiv concluzii i recomandri. De asemenea, raportul se transmite grupului de cooperare.

(5)

Reeaua CSIRT i definete propriul regulament de procedur.

Articolul 13
Cooperarea internaional
Uniunea poate ncheia, n conformitate cu articolul 218 din TFUE, acorduri internaionale cu ri
tere sau organizaii internaionale, care s permit i s organizeze participarea acestora la anumite
activiti ale grupului de cooperare. Aceste acorduri in seama de necesitatea de a se asigura o
protecie adecvat a datelor sensibile.

5894/16
ANEX

rs/AA/cm
DG E2B

53

RO

CAPITOLUL IV
SECURITATEA REELELOR I A SISTEMELOR INFORMATICE ALE OPERATORILOR DE
SERVICII ESENIALE
Articolul 14
Cerine de securitate i notificarea incidentelor
(1)

Statele membre se asigur c operatorii de servicii eseniale iau msuri tehnice i

organizatorice adecvate i proporionale pentru a gestiona riscurile la adresa securitii
reelelor i a sistemelor informatice pe care le utilizeaz n activitile lor. innd seama de
cele mai avansate cunotine n domeniu, msurile respective asigur un nivel de securitate
a reelelor i a sistemelor informatice adecvat riscului existent.

(1a)

Statele membre se asigur c operatorii de servicii eseniale iau msuri adecvate pentru a
preveni i pentru a minimiza impactul incidentelor care afecteaz securitatea reelelor i a
sistemelor informatice utilizate pentru furnizarea acestor servicii eseniale, cu scopul de a
asigura continuitatea serviciilor respective.

(2)

Statele membre se asigur c operatorii de servicii eseniale notific autoritii competente

sau CSIRT, fr ntrzieri nejustificate, incidentele care au un impact semnificativ asupra
continuitii serviciilor eseniale pe care le furnizeaz. Notificrile includ informaii care s
ofere autoritii competente sau CSIRT posibilitatea de a stabili orice impact transfrontalier
al incidentului. Notificarea nu expune partea care notific unei rspunderi sporite.

5894/16
ANEX

rs/AA/cm
DG E2B

54

RO

(2a)

Pentru a determina importana impactului unui incident, se ine cont n mod special de
urmtorii parametrii:

(2ac)

(a)

numrul de utilizatori afectai de perturbarea serviciului esenial;

(b)

durata incidentului;

(c)

distribuia geografic n ceea ce privete zona afectat de incident.

Pe baza informaiilor furnizate de operatorul de servicii eseniale, autoritatea competent

notificat sau CSIRT informeaz cellalt (celelalte) stat(e) membru (membre) afectat(e)
dac incidentul are un impact semnificativ asupra continuitii serviciilor eseniale n statul
(statele) membru (membre) respectiv(e). Astfel, autoritatea competent sau CSIRT, n
conformitate cu dreptul Uniunii sau cu legislaia naional conform cu dreptul Uniunii,
pstreaz interesele de securitate i comerciale ale operatorului, precum i
confidenialitatea informaiilor furnizate de operator.
Atunci cnd circumstanele o permit, autoritatea competent sau CSIRT furnizeaz
operatorului de servicii eseniale care a fcut notificarea informaii relevante n ceea ce
privete aciunile ulterioare notificrii unui incident, precum informaii care ar putea
sprijini administrarea eficace a incidentului.
La cererea autoritii competente sau a CSIRT, punctul unic de contact transmite
notificrile menionate la primul paragraf punctelor unice de contact din alte state membre
afectate.

5894/16
ANEX

rs/AA/cm
DG E2B

55

RO

(4)

Dup consultarea operatorului de servicii eseniale n cauz, autoritatea competent

notificat sau CSIRT poate informa publicul [] cu privire la anumite incidente, n
legtur cu care este necesar sensibilizarea publicului pentru a se preveni un incident sau
pentru a se administra un incident n curs.

(6)

Autoritile competente care acioneaz mpreun n cadrul grupului de cooperare pot

elabora i adopta orientri privind circumstanele n care operatorii de servicii eseniale
sunt obligai s notifice incidente, inclusiv privind parametrii pentru stabilirea importanei
impactului unui incident, astfel cum se menioneaz la alineatul (2a).

5894/16
ANEX

rs/AA/cm
DG E2B

56

RO

Articolul 15
Punere n aplicare i executare
(1)

Statele membre se asigur c autoritile competente dein competenele i mijloacele

necesare pentru a evalua msura n care operatorii de servicii eseniale se conformeaz
obligaiilor care le revin n temeiul articolului 14, precum i efectele acesteia asupra
securitii reelelor i a sistemelor informatice.

(2)

Statele membre se asigur c autoritatea competent deine competenele i mijloacele

pentru a solicita operatorilor de servicii eseniale:
(a)

s furnizeze informaiile necesare pentru evaluarea securitii reelelor i a sistemelor

lor informatice, inclusiv documente privind politicile de securitate;

(b)

s furnizeze dovezi privind punerea efectiv n aplicare a politicilor de securitate,

precum rezultatele unui audit de securitate realizat de autoritatea competent sau de
un auditor calificat i, n acest din urm caz, s pun la dispoziia autoritii
competente rezultatele auditului, inclusiv probele pe care se bazeaz acesta.

La trimiterea solicitrii respective, autoritile competente menioneaz scopul solicitrii i

precizeaz informaiile necesare.
(3)

n urma evalurii informaiilor sau a rezultatelor auditurilor de securitate menionate la

alineatul (2), autoritatea competent poate emite instruciuni obligatorii pentru operatorii
de servicii eseniale pentru ca acetia s i remedieze operaiunile.

(5)

Autoritatea competent lucreaz n strns cooperare cu autoritile de protecie a datelor

cu caracter personal n cazul incidentelor care au ca rezultat nclcarea securitii datelor cu
caracter personal.

5894/16
ANEX

rs/AA/cm
DG E2B

57

RO

CAPITOLUL IVa
SECURITATEA REELELOR I A SISTEMELOR INFORMATICE ALE FURNIZORILOR DE
SERVICII DIGITALE
Articolul 15a
Cerine de securitate i notificarea incidentelor
(1)

Statele membre se asigur c furnizorii de servicii digitale identific i iau msuri tehnice
i organizatorice adecvate i proporionale pentru a gestiona riscurile la adresa securitii
reelelor i a sistemelor informatice pe care le utilizeaz n contextul oferirii de servicii
menionate n anexa III pe teritoriul Uniunii. innd seama de cele mai avansate cunotine
n domeniu, msurile respective asigur un nivel de securitate a reelelor i a sistemelor
informatice adecvat riscului existent i in cont de urmtoarele elemente:
- securitatea sistemelor i a instalaiilor,
- gestionarea incidentelor,
- gestionarea continuitii activitii,
- monitorizarea, auditarea i testarea,
- conformitatea cu standardele internaionale.

5894/16
ANEX

rs/AA/cm
DG E2B

58

RO

(1a)

n special, se iau msuri de prevenire i de minimalizare a impactului incidentelor care

afecteaz securitatea reelelor i a sistemelor informatice ale furnizorului de servicii
digitale n legtur cu serviciile menionate n anexa III care sunt oferite pe teritoriul
Uniunii, n vederea asigurrii continuitii serviciilor respective.

(1b)

Statele membre nu impun nicio alt cerin de securitate sau notificare asupra furnizorilor
de servicii digitale, fr a aduce atingere articolului 1 alineatul (6b).

(2)

Statele membre se asigur c furnizorii de servicii digitale notific, fr ntrziere

nejustificat, autoritii competente sau CSIRT orice incident care are un impact
substanial asupra furnizrii unui serviciu astfel cum se menioneaz n anexa III pe care l
ofer pe teritoriul Uniunii. Notificrile includ informaii care s ofere autoritii
competente sau CSIRT posibilitatea de a stabili importana oricrui impact transfrontalier.
Notificarea nu expune partea care notific unei rspunderi sporite.

5894/16
ANEX

rs/AA/cm
DG E2B

59

RO

(2a)

Pentru a determina impactul unui incident, se ine cont n mod special de urmtorii
parametri:
(a)

numrul de utilizatori afectai de incident, n special utilizatori care se bazeaz pe

serviciu pentru furnizarea propriilor servicii;

(b)

durata incidentului;

(c)

distribuia geografic n ceea ce privete zona afectat de incident;

(d)

amploarea perturbrii funcionrii serviciului;

(e)

amploarea impactului asupra activitilor economice i societale.

Obligaia de a notifica un incident se aplic doar n cazul n care furnizorul de servicii

digitale are acces la informaiile necesare pentru a aprecia dac se ndeplinesc criteriile.
(2b)

n cazul n care un operator de servicii eseniale se bazeaz pe un furnizor de servicii

digitale parte ter pentru furnizarea unui serviciu care este esenial pentru ntreinerea unor
activiti societale i economice de cea mai mare importan, orice impact semnificativ
asupra continuitii serviciilor eseniale din cauza unui incident care afecteaz furnizorul
de servicii digitale se notific de ctre operatorul de servicii eseniale.

5894/16
ANEX

rs/AA/cm
DG E2B

60

RO

(3)

Dup caz, mai ales dac incidentul menionat la alineatul (2) implic dou sau mai multe
state membre, autoritatea competent notificat sau CSIRT informeaz alte state membre
afectate. Astfel, autoritile competente, CSIRT i punctele unice de contact, n
conformitate cu dreptul Uniunii sau cu legislaia naional conform cu dreptul Uniunii,
pstreaz interesele de securitate i comerciale ale furnizorului de servicii digitale, precum
i confidenialitatea informaiilor furnizate.
Dup consultarea furnizorului de servicii digitale n cauz, autoritatea competent
notificat sau CSIRT i, dup caz, autoritile sau CSIRT ale altor state membre vizate pot
informa publicul cu privire la incidente individuale sau pot solicita furnizorului de servicii
digitale s fac acest lucru, n cazul n care sensibilizarea publicului este necesar pentru
prevenirea unui incident sau pentru administrarea unui incident n curs sau n cazul n care
divulgarea incidentului este de interes public n alt fel.

(4)

Comisia este mputernicit s adopte acte de punere n aplicare n conformitate cu

articolul 19 alineatul (3), preciznd elementele menionate la alineatul (1). Actele de
punere n aplicare respective se adopt pn la [1 an de la intrarea n vigoare a prezentei
directive].

(4a)

Comisia este mputernicit s adopte acte de punere n aplicare n conformitate cu

articolul 19 alineatul (3), preciznd parametrii enumerai la alineatul (2). Actele de punere
n aplicare respective se adopt pn la [1 an de la intrarea n vigoare a prezentei
directive].

(4b)

Prin intermediul unor acte de punere n aplicare, Comisia poate adopta formatele i
procedurile aplicabile cerinelor de notificare. Actele de punere n aplicare respective se
adopt n conformitate cu procedura de examinare menionat la articolul 19 alineatul (3).

(5)

Prezentul capitol nu se aplic microntreprinderilor i ntreprinderilor mici, astfel cum sunt

definite n Recomandarea 2003/361/CE a Comisiei 20.

20

Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definiia microntreprinderilor

i a ntreprinderilor mici i mijlocii (JO L 124, 20.5.2003, p. 36).

5894/16
ANEX

rs/AA/cm
DG E2B

61

RO

Articolul 15b/c
Punere n aplicare i executare
(1)

Statele membre se asigur c autoritile competente acioneaz, dac este necesar, prin
activiti de supraveghere ex post, atunci cnd primesc dovezi conform crora un furnizor
de servicii digitale nu ndeplinete cerinele specificate la articolul 15a. Aceste dovezi pot
fi transmise de o autoritate competent a unui alt stat membru n care se furnizeaz
serviciul.

(2)

n sensul alineatului (1), autoritile competente au competenele i mijloacele necesare:

(a)

pentru a solicita furnizorilor de servicii digitale s furnizeze informaiile necesare

pentru evaluarea securitii reelelor i a sistemelor lor informatice, inclusiv politici
de securitate documentate;

(b)

pentru a solicita furnizorilor de servicii digitale s remedieze orice nendeplinire a

cerinelor specificate la articolul 15a.

(3)

Dac un furnizor de servicii digitale i are sediul principal sau un reprezentant ntr-un stat
membru, dar reelele i sistemele sale informatice sunt situate ntr-unul sau mai multe alte
state membre, autoritatea competent a statului membru n care se afl sediul principal sau
reprezentantul i autoritile competente ale celorlalte state membre coopereaz i i ofer
asisten reciproc, dup caz. Aceast asisten i cooperare poate cuprinde schimburi de
informaii ntre autoritile competente n cauz i solicitri de desfurare a msurilor de
supraveghere menionate la alineatul (2).

5894/16
ANEX

rs/AA/cm
DG E2B

62

RO

Articolul 15c/d
Jurisdicie i teritorialitate
(1)

n sensul prezentei directive, un furnizor de servicii digitale se consider a fi sub jurisdicia

statului membru n care i are sediul principal. Se consider c un furnizor de servicii
digitale i are sediul principal ntr-un stat membru n cazul n care sediul su social n
Uniune se afl n statul membru respectiv.

(2)

Un furnizor de servicii digitale care nu este stabilit n Uniune, dar ofer servicii astfel cum
se menioneaz n anexa III pe teritoriul Uniunii desemneaz un reprezentant n Uniune.
Reprezentantul se stabilete ntr-unul dintre statele membre n care se ofer serviciile.
Furnizorul de servicii digitale se consider a fi sub jurisdicia statului membru n care este
stabilit reprezentantul.

(4)

Desemnarea de ctre furnizorul de servicii digitale a unui reprezentant nu aduce atingere

aciunilor n justiie care ar putea fi iniiate mpotriva furnizorului de servicii digitale
nsui.

5894/16
ANEX

rs/AA/cm
DG E2B

63

RO

CAPITOLUL IVb
STANDARDIZAREA
Articolul 16
Standardizarea
(1)

Pentru promovarea aplicrii convergente a articolului 14 alineatele (1) i (1a) i a

articolului 15a alineatele (1) i (1a), statele membre, fr a impune sau a discrimina n
favoarea utilizrii unui anumit tip de tehnologie, ncurajeaz utilizarea standardelor i/sau
specificaiilor europene sau a celor acceptate la nivel internaional relevante pentru
securitatea reelelor i a sistemelor informatice.

(1a)

ENISA, n colaborare cu statele membre, redacteaz avize i orientri n ceea ce privete

domeniile tehnice care ar trebui s fie examinate n legtur cu alineatul (1), precum i n
ceea ce privete standardele deja existente, inclusiv standardele naionale ale statelor
membre, care ar permite reglementarea acestor domenii.

5894/16
ANEX

rs/AA/cm
DG E2B

64

RO

CAPITOLUL V
DISPOZIII FINALE
Articolul 17
Sanciuni
Statele membre stabilesc normele privind sanciunile aplicabile n cazul nclcrii
dispoziiilor naionale adoptate n temeiul prezentei directive i iau toate msurile necesare
pentru a asigura punerea n aplicare a acestora. Sanciunile prevzute sunt eficace,
proporionale i disuasive. Statele membre notific aceste norme i aceste msuri Comisiei
pn la [data transpunerii prezentei directive] i notific acesteia, fr ntrziere, orice
modificare ulterioar care le afecteaz.
Articolul 19
Procedura comitetului
(1)

Comisia este asistat de un comitet (Comitetul pentru securitatea reelelor i a informaiei).

Acesta este un comitet n sensul Regulamentului (UE) nr. 182/2011.

(3)

Atunci cnd se face trimitere la prezentul alineat, se aplic articolul 5 din

Regulamentul (UE) nr. 182/2011.

5894/16
ANEX

rs/AA/cm
DG E2B

65

RO

Articolul 20
Revizuire
(1)

Comisia transmite Parlamentului European i Consiliului un raport la un an de la data

transpunerii, evalund coerena abordrii adoptate de statele membre la identificarea
operatorilor de servicii eseniale.

(2)

Comisia revizuiete periodic funcionarea prezentei directive i prezint un raport

Parlamentului European i Consiliului. n acest scop i n vederea intensificrii cooperrii
strategice i operaionale, Comisia ine cont de rapoartele grupului de cooperare i ale
reelei CSIRT privind experiena obinut la nivel strategic i operaional. n revizuirea sa,
Comisia evalueaz i listele din anexele II i III, precum i coerena identificrii
operatorilor de servicii eseniale i a serviciilor din sectoarele menionate n anexa II.
Primul raport se transmite n termen de cel mult trei ani de la data menionat la
articolul 21 alineatul (1).

5894/16
ANEX

rs/AA/cm
DG E2B

66

RO

Articolul 20a
Msuri tranzitorii
(1)

Fr a aduce atingere articolului 21 i pentru a oferi statelor membre posibiliti

suplimentare de cooperare adecvat pe parcursul perioadei de transpunere, grupul de
cooperare i reeaua CSIRT ncep s i ndeplineasc atribuiile stabilite la articolul 8a
alineatul (3) i respectiv la articolul 8b alineatul (3) cel trziu la 6 luni de la data intrrii n
vigoare a prezentei directive.

(1a)

n perioada dintre datele stabilite la alineatul (1) i la articolul 3a alineatul (1) i n sensul
sprijinirii statelor membre n adoptarea unei abordri coerente a procesului de identificare a
operatorilor de servicii eseniale, grupul de cooperare discut despre procesul, substana,
tipul msurilor naionale care permit identificarea operatorilor de servicii eseniale n
cadrul unui sector specific n conformitate cu criteriile stabilite la articolele 3a i 3b. De
asemenea, grupul de cooperare discut, la cererea unui stat membru, proiecte specifice de
msuri naionale ale statului membru respectiv, care s permit identificarea operatorilor
de servicii eseniale n cadrul unui anumit sector, n conformitate cu criteriile stabilite la
articolele 3a i 3b.

(2)

Cel trziu la 6 luni de la data intrrii n vigoare a prezentei directive i n sensul prezentului
articol, statele membre asigur reprezentarea adecvat n grupul de cooperare i n reeaua
CSIRT.

5894/16
ANEX

rs/AA/cm
DG E2B

67

RO

Articolul 21
Transpunere
(1)

Statele membre adopt i public pn cel trziu la [21 de luni de la data intrrii n
vigoare a prezentei directive] actele cu putere de lege i actele administrative necesare
pentru a se conforma prezentei directive. Statele membre comunic fr ntrziere
Comisiei textul acestor acte.

(2)

Acestea aplic msurile respective din ziua urmtoare datei menionate la alineatul (1).

(3)

Atunci cnd statele membre adopt actele respective, acestea conin o trimitere la prezenta
directiv sau sunt nsoite de o astfel de trimitere la data publicrii lor oficiale. Statele
membre stabilesc modalitatea de efectuare a acestei trimiteri.

(4)

Statele membre comunic Comisiei textul principalelor dispoziii de drept intern pe care le
adopt n domeniul reglementat de prezenta directiv.

5894/16
ANEX

rs/AA/cm
DG E2B

68

RO

Articolul 22
Intrare n vigoare
Prezenta directiv intr n vigoare n a [douzecea] zi de la data publicrii n Jurnalul Oficial al
Uniunii Europene.
Articolul 23
Destinatari
Prezenta directiv se adreseaz statelor membre.
Adoptat la ,

Pentru Parlamentul European

Pentru Consiliu

Preedintele

Preedintele

5894/16
ANEX

rs/AA/cm
DG E2B

69

RO

ANEXA I
Cerine i atribuii ale Echipei de intervenie n caz de incidente de securitate informatic (CSIRT)
Cerinele i atribuiile CSIRT sunt definite n mod adecvat i clar pe baza unei politici i/sau a unei
reglementri naionale. Acestea includ urmtoarele elemente:
1. Cerine pentru CSIRT
(a) CSIRT asigur o disponibilitate nalt a serviciilor sale de comunicaii, evitnd punctele
unice de defeciune i dispunnd de mai multe mijloace pentru a fi contactat i pentru a
contacta alte entiti n orice moment. n plus, canalele de comunicare trebuie s fie clar
specificate i bine cunoscute bazei sale de utilizatori i partenerilor de cooperare.
(c) Birourile CSIRT i sistemele informatice de suport sunt situate pe amplasamente securizate.
(e) Continuitatea activitilor:
- CSIRT dispune de un sistem adecvat de gestionare i rutare a cererilor, cu scopul de a
facilita transferurile,
- CSIRT dispune de personal adecvat pentru a asigura o disponibilitate permanent,
- CSIRT se bazeaz pe o infrastructur a crei continuitate este asigurat. n acest scop se
pun la dispoziie sisteme redundante i spaiu de lucru de rezerv.
(f) CSIRT au posibilitatea de a participa, dup caz, la reele internaionale de cooperare.

5894/16
ANEX

rs/AA/cm
DG E2B

70

RO

2.

Atribuii ale CSIRT

(a)

Atribuiile CSIRT includ cel puin urmtoarele:

- Monitorizarea incidentelor la nivel naional,
- Asigurarea de avertizri timpurii, alerte, anunuri i diseminare de informaii privind
riscurile i incidentele pentru prile interesate relevante,
- Rspunsul la incidente,
- Furnizarea de analize dinamice de risc i de incident i sensibilizare situaional,
- Participarea la reeaua CSIRT

(b)

CSIRT stabilete relaii de cooperare cu sectorul privat.

(c)

Pentru a facilita cooperarea, CSIRT promoveaz adoptarea i utilizarea unor practici

comune sau standardizate pentru:

- procedurile de administrare a incidentelor i a riscurilor,
- sistemele de clasificare a incidentelor, riscurilor i informaiilor.

5894/16
ANEX

rs/AA/cm
DG E2B

71

RO

ANEXA II
Sectorul

Subsectorul

Tipul de entitate n sensul articolului 3

alineatul (8)

1. Energie

(a) Electricitate

- ntreprindere din domeniul energiei electrice,

astfel cum este definit la articolul 2 punctul 35
din Directiva 2009/72/CE a Parlamentului
European i a Consiliului 21, care ndeplinete
funcia de furnizare, astfel cum este definit la
articolul 2 punctul 19 din Directiva 2009/72/CE
- Operatori de distribuie, astfel cum sunt definii
la articolul 2 punctul 6 din Directiva 2009/72/CE
- Operatori de transport i de sistem, astfel cum
sunt definii la articolul 2 punctul 4 din
Directiva 2009/72/CE

(b) Petrol

- Operator de conducte de transport al petrolului

- Operatori ai instalaiilor de producie, de
rafinare i de tratare a petrolului, de depozitare i
de transport

21

Directiva 2009/72/CE a Parlamentului European i a Consiliului din 13 iulie 2009 privind

normele comune pentru piaa intern a energiei electrice i de abrogare a
Directivei 2003/54/CE (JO L 211, 14.8.2009, p. 55).

5894/16
ANEX

rs/AA/cm
DG E2B

72

RO

(c) Gaze naturale

- ntreprinderi de furnizare, astfel cum sunt

definite la articolul 2 punctul 8 din
Directiva 2009/73/CE a Parlamentului European
i a Consiliului 22
- Operatori de distribuie, astfel cum sunt definii
la articolul 2 punctul 6 din Directiva 2009/73/CE
- Operatori de transport i de sistem, astfel cum
sunt definii la articolul 2 punctul 4 din
Directiva 2009/73/CE
- Operatori de nmagazinare, astfel cum sunt
definii la articolul 2 punctul 10 din
Directiva 2009/73/CE
- Operator de sistem GNL, astfel cum este definit
la articolul 2 punctul 12 din
Directiva 2009/73/CE
- ntreprindere din sectorul gazelor naturale,
astfel cum este definit la articolul 2 punctul 1
din Directiva 2009/73/CE
- Operator de instalaie de rafinare i de tratare a
gazelor naturale

22

Directiva 2009/73/CE a Parlamentului European i a Consiliului din 13 iulie 2009 privind

normele comune pentru piaa intern n sectorul gazelor naturale i de abrogare a
Directivei 2003/55/CE (JO L 211, 14.8.2009, p. 94).

5894/16
ANEX

rs/AA/cm
DG E2B

73

RO

2. Transporturi

(a) Transport aerian - Transportatori aerieni, astfel cum sunt definii

la articolul 3 punctul 4 din Regulamentul (CE)
nr. 300/2008 al Parlamentului European i al
Consiliului 23
- Organe de administrare a aeroportului, astfel
cum sunt definite la articolul 2 punctul 2 din
Directiva 2009/12/CE a Parlamentului European
i a Consiliului 24, care gestioneaz aeroporturi,
astfel cum sunt definite la articolul 2 punctul 1
din Directiva 2009/12/CE, inclusiv aeroporturile
principale enumerate n seciunea 2 din anexa II
la Regulamentul (UE) nr. 1315/2013 al
Parlamentului European i al Consiliului 25,
precum i entiti care opereaz instalaii
auxiliare n cadrul aeroporturilor.
- Operatori de control al gestionrii traficului
care presteaz un serviciu de control al traficului
aerian (ATC), astfel cum este definit la
articolul 2 punctul 1 din Regulamentul (CE)
nr. 549/2004 al Parlamentului European i al
Consiliului 26
(b) Transport

- Administratori ai infrastructurii, astfel cum sunt

definii la articolul 3 punctul 2 din Directiva

23

24
25

26

Regulamentul (CE) nr. 300/2008 al Parlamentului European i al Consiliului din

11 martie 2008 privind norme comune n domeniul securitii aviaiei civile i de abrogare a
Regulamentului (CE) nr. 2320/2002 (JO L 97, 9.4.2008, p. 72).
Directiva 2009/12/CE a Parlamentului European i a Consiliului din 11 martie 2009 privind
tarifele de aeroport (JO L 70, 14.3.2009, p. 11).
Regulamentul (UE) nr. 1315/2013 al Parlamentului European i al Consiliului din
11 decembrie 2013 privind orientrile Uniunii pentru dezvoltarea reelei transeuropene de
transport i de abrogare a Deciziei nr. 661/2010/UE (JO L 348, 20.12.2013, p. 1).
Regulamentul (CE) nr. 549/2004 al Parlamentului European i al Consiliului din
10 martie 2004 de stabilire a cadrului pentru crearea cerului unic european (regulament-cadru)
(JO L 96, 31.3.2004, p. 1).

5894/16
ANEX

rs/AA/cm
DG E2B

74

RO

feroviar

2012/34/UE a Parlamentului European i a

Consiliului 27
- ntreprinderi feroviare, astfel cum sunt definite
la articolul 3 punctul 1 din Directiva
2012/34/UE, inclusiv operatori ai unor
infrastructuri de servicii, astfel cum sunt definii
la articolul 3 punctul 12 din Directiva
2012/34/UE

(c) Transport pe ap

(i) Companii de transport de mrfuri i pasageri

pe ape interioare, maritime i de coast, astfel
cum sunt definite pentru transportul maritim n
anexa I la Regulamentul (CE) nr. 725/2004 al
Parlamentului European i al Consiliului 28, fr
a include navele individuale operate de
companiile respective
(ii) Organe de gestionare a porturilor, astfel cum
sunt definite la articolul 3 punctul 1 din
Directiva 2005/65/CE a Parlamentului European
i a Consiliului 29, inclusiv instalaiile portuare
ale acestora, astfel cum sunt definite la articolul 2
punctul 11 din Regulamentul (CE) nr. 725/2004
i entitile care opereaz lucrri i echipamente
n cadrul porturilor

27
28

29

Directiva 2012/34/UE a Parlamentului European i a Consiliului din 21 noiembrie 2012

privind instituirea spaiului feroviar unic european (JO L 343, 14.12.2012, p. 32).
Regulamentul (CE) nr. 725/2004 al Parlamentului European i al Consiliului din
31 martie 2004 privind consolidarea securitii navelor i a instalaiilor portuare (JO L 129,
29.4.2004, p. 6).
Directiva 2005/65/CE a Parlamentului European i a Consiliului din 26 octombrie 2005
privind consolidarea securitii portuare (JO L 310, 25.11.2005, p. 28).

5894/16
ANEX

rs/AA/cm
DG E2B

75

RO

(iii) Operatori de servicii de trafic naval, astfel

cum sunt definite la articolul 3 litera (o) din
Directiva 2002/59/CE a Parlamentului European
i a Consiliului 30
(d) Transport rutier

(i) Autoriti rutiere, astfel cum sunt definite la

articolul 2 punctul 12 din Regulamentul delegat
(UE) 2015/962 al Comisiei 31 responsabile
pentru controlul gestionrii traficului
(ii) Operatori de sisteme de transport inteligente,
astfel cum sunt definite la articolul 4 punctul 1
din Directiva 2010/40/UE a Parlamentului
European i a Consiliului 32

30

31

32

Directiva 2002/59/CE a Parlamentului European i a Consiliului din 27 iunie 2002 de

instituire a unui sistem comunitar de monitorizare i informare privind traficul navelor
maritime i de abrogare a Directivei 93/75/CEE a Consiliului (JO L 208, 5.8.2002, p. 10).
Regulamentul delegat (UE) 2015/962 al Comisiei din 18 decembrie 2014 de completare a
Directivei 2010/40/UE a Parlamentului European i a Consiliului n ceea ce privete prestarea
la nivelul UE a unor servicii de informare n timp real cu privire la trafic (JO L 157,
23.6.2015, p. 21).
Directiva 2010/40/UE a Parlamentului European i a Consiliului din 7 iulie 2010 privind
cadrul pentru implementarea sistemelor de transport inteligente n domeniul transportului
rutier i pentru interfeele cu alte moduri de transport (JO L 207, 6.8.2010, p. 1).

5894/16
ANEX

rs/AA/cm
DG E2B

76

RO

3. Sectorul bancar

- Instituii de credit, astfel cum sunt definite la

articolul 4 punctul 1 din Regulamentul (UE)
nr. 575/2013 al Parlamentului European i al
Consiliului 33

4. Infrastructuri ale

- Operatori de locuri de tranzacionare, astfel

pieei financiare

cum sunt definite la articolul 4 din Directiva

2014/65/UE a Parlamentului European i a
Consiliului 34
- Contrapri centrale, astfel cum sunt definite la
articolul 2 punctul 1 din Regulamentul (UE)
nr. 648/2012 al Parlamentului European i al
Consiliului 35

5. Sectorul

Instituii de asisten

- furnizori de servicii medicale, astfel cum sunt

sntii

medical (inclusiv

definii la articolul 3 litera (g) din Directiva

spitale i clinici

2011/24/UE a Parlamentului European i a

private)

Consiliului 36

33

34

35

36

Regulamentul (UE) nr. 575/2013 al Parlamentului European i al Consiliului din

26 iunie 2013 privind cerinele prudeniale pentru instituiile de credit i societile de
investiii i de modificare a Regulamentului (UE) nr. 648/2012 (JO L 176, 27.6.2013, p. 1).
Directiva 2014/65/UE a Parlamentului European i a Consiliului din 15 mai 2014 privind
pieele instrumentelor financiare i de modificare a Directivei 2002/92/CE i a Directivei
2011/61/UE (JO L 173, 12.6.2014, p. 349).
Regulamentul (UE) nr. 648/2012 al Parlamentului European i al Consiliului din 4 iulie 2012
privind instrumentele financiare derivate extrabursiere, contraprile centrale i registrele
centrale de tranzacii (JO L 201, 27.7.2012, p. 1).
Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9 martie 2011 privind
aplicarea drepturilor pacienilor n cadrul asistenei medicale transfrontaliere (JO L 88,
4.4.2011, p. 45).

5894/16
ANEX

rs/AA/cm
DG E2B

77

RO

6. Furnizarea i

Furnizori i distribuitori de ap destinat

distribuirea de ap

consumului uman, astfel cum este definit la

potabil

articolul 2 punctul 1 litera (a) din

Directiva 98/83/CE a Consiliului 37, excluznd
distribuitorii pentru care distribuia de ap
destinat consumului uman reprezint doar o
parte din activitatea lor general de distribuie de
produse de baz i produse.

7. Infrastructur

Internet exchange points

digital
Furnizori de servicii Domain name system
Registre de nume de domenii Top Level

37

Directiva 98/83/CE a Consiliului din 3 noiembrie 1998 privind calitatea apei destinate
consumului uman (JO L 330, 5.12.1998, p. 32).

5894/16
ANEX

rs/AA/cm
DG E2B

78

RO

ANEXA III
Tipuri de servicii digitale n sensul articolului 3 alineatul (11d)
1. Pia online
2. Motor de cutare online
3. Serviciu de cloud computing

5894/16
ANEX

rs/AA/cm
DG E2B

79

RO