19 июля 2016 г.
В
Официальный журнал Европейского Союза
Л 194/1
ДИРЕКТИВА (ЕС) 2016/1148 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА
от 6 июля 2016 г.
относительно мер по обеспечению высокого общего уровня безопасности сетевых и информационных систем на территории Союза
ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,
Принимая во внимание Договор о функционировании Европейского Союза и, в частности, его статью 114,
Принимая во внимание предложение Европейской комиссии,
После передачи проекта законодательного акта национальным парламентам,
Принимая во внимание мнение Европейского экономического и социального комитета (1),
Действуя в соответствии с обычной законодательной процедурой (2),
Тогда как:
(1)
Сетевые и информационные системы и услуги играют жизненно важную роль в обществе. Их надежность и безопасность имеют важное значение для экономической и общественной деятельности, и в частности для функционирования внутреннего рынка.
(2)
Масштабы, частота и влияние инцидентов безопасности растут и представляют собой серьезную угрозу для функционирования сетей и информационных систем. Эти системы также могут стать объектом преднамеренных вредоносных действий, направленных на повреждение или прерывание работы систем. Подобные инциденты могут затруднить ведение экономической деятельности, повлечь за собой существенные финансовые потери, подорвать доверие пользователей и нанести серьезный ущерб экономике Союза.
(3)
Сетевые и информационные системы, и прежде всего Интернет, играют важную роль в содействии трансграничному перемещению товаров, услуг и людей. Из-за транснационального характера существенные нарушения этих систем, преднамеренные или непреднамеренные, независимо от того, где они происходят, могут повлиять на отдельные государства-члены и Союз в целом. Поэтому безопасность сетевых и информационных систем имеет важное значение для бесперебойного функционирования внутреннего рынка.
(4)
Опираясь на значительный прогресс в рамках Европейского форума государств-членов в содействии обсуждению и обмену передовой политической практикой, включая разработку принципов европейского сотрудничества в борьбе с киберкризисами, была создана Группа сотрудничества, состоящая из представителей государств-членов, Комиссии и Агентство Европейского Союза по сетевой и информационной безопасности (ENISA) должно быть создано для поддержки и содействия стратегическому сотрудничеству между государствами-членами в отношении безопасности сетевых и информационных систем. Чтобы эта группа была эффективной и инклюзивной, важно, чтобы все государства-члены имели минимальные возможности и стратегию, обеспечивающую высокий уровень безопасности сетевых и информационных систем на их территории. Кроме того, требования безопасности и уведомления должны применяться к операторам основных услуг и поставщикам цифровых услуг, чтобы способствовать развитию культуры управления рисками и гарантировать сообщение о наиболее серьезных инцидентах.
(5)
Существующих возможностей недостаточно для обеспечения высокого уровня безопасности сетевых и информационных систем внутри Союза. Государства-члены имеют очень разные уровни готовности, что привело к фрагментированным подходам во всем Союзе. Это приводит к неравному уровню защиты потребителей и бизнеса и подрывает общий уровень безопасности сетевых и информационных систем внутри Союза. Отсутствие единых требований к операторам основных услуг и поставщикам цифровых услуг, в свою очередь, делает невозможным создание глобального и эффективного механизма сотрудничества на уровне Союза. Университеты и исследовательские центры призваны сыграть решающую роль в стимулировании исследований, разработок и инноваций в этих областях.
(6)
Таким образом, эффективное реагирование на проблемы безопасности сетей и информационных систем требует глобального подхода на уровне Союза, охватывающего общие минимальные требования к наращиванию потенциала и планированию, обмену информацией, сотрудничеству и общим требованиям безопасности для операторов основных услуг и поставщиков цифровых услуг. Однако операторам основных услуг и поставщикам цифровых услуг не запрещается применять более строгие меры безопасности, чем те, которые предусмотрены настоящей Директивой.
(7)
Чтобы охватить все соответствующие инциденты и риски, настоящая Директива должна применяться как к операторам основных услуг, так и к поставщикам цифровых услуг. Однако обязательства операторов основных услуг и поставщиков цифровых услуг не должны распространяться на предприятия, предоставляющие сети связи общего пользования или общедоступные услуги электронной связи в значении Директивы 2002/21/EC Европейского парламента и Совета (3), на которые распространяются конкретные требования безопасности и целостности, изложенные в этой Директиве, а также они не должны применяться к поставщикам трастовых услуг в значении Регламента (ЕС) № 910/2014 Европейского парламента и Совета (4), которые при условии соблюдения требований безопасности, изложенных в настоящем Регламенте.
(8)
Настоящая Директива не должна наносить ущерба возможности каждого государства-члена принимать необходимые меры для обеспечения защиты основных интересов своей безопасности, охраны общественного порядка и общественной безопасности, а также обеспечения возможности расследования, выявления и преследования уголовных преступлений. правонарушения. В соответствии со статьей 346 Договора о функционировании Европейского Союза (ДФЕС), ни одно государство-член не обязано предоставлять информацию, раскрытие которой оно считает противоречащим существенным интересам его безопасности. В этом контексте имеют значение Решение Совета 2013/488/EU (5) и соглашения о неразглашении информации или неофициальные соглашения о неразглашении, такие как Протокол светофора.
(9)
Некоторые секторы экономики уже регулируются или могут регулироваться в будущем отраслевыми правовыми актами Союза, которые включают правила, связанные с безопасностью сетевых и информационных систем. Если эти правовые акты Союза содержат положения, устанавливающие требования, касающиеся безопасности сетевых и информационных систем или уведомлений об инцидентах, эти положения должны применяться, если они содержат требования, которые, по крайней мере, по сути эквивалентны обязательствам, содержащимся в настоящей Директиве. Затем государства-члены должны применять положения таких отраслевых правовых актов Союза, в том числе касающихся юрисдикции, и не должны проводить процесс идентификации операторов основных услуг, как это определено настоящей Директивой. В этом контексте государства-члены должны предоставить Комиссии информацию о применении таких положений lex Specialis. При определении того, эквивалентны ли требования по безопасности сетевых и информационных систем и уведомлению об инцидентах, содержащиеся в отраслевых правовых актах Союза, требованиям, содержащимся в настоящей Директиве, следует учитывать только положения соответствующих правовых актов Союза и их применение в государствах-членах.
(10)
В секторе водного транспорта требования безопасности для компаний, судов, портовых сооружений, портов и служб движения судов в соответствии с правовыми актами Союза охватывают все операции, включая радио- и телекоммуникационные системы, компьютерные системы и сети. Часть обязательных процедур, которым необходимо следовать, включает сообщение обо всех происшествиях и, следовательно, должна рассматриваться как lex Specialis, если эти требования, по крайней мере, эквивалентны соответствующим положениям настоящей Директивы.
(11)
При определении операторов в секторе водного транспорта государства-члены должны учитывать существующие и будущие международные кодексы и руководящие принципы, разработанные, в частности, Международной морской организацией, с целью предоставить отдельным морским операторам последовательный подход.
(12)
Регулирование и надзор в секторах инфраструктуры банковского дела и финансового рынка в высокой степени гармонизированы на уровне Союза за счет использования первичного и вторичного законодательства и стандартов Союза, разработанных совместно с европейскими надзорными органами. В рамках банковского союза применение и контроль этих требований обеспечивается единым механизмом надзора. Для государств-членов, не входящих в банковский союз, это обеспечивается соответствующими банковскими регуляторами государств-членов. В других областях регулирования финансового сектора Европейская система финансового надзора также обеспечивает высокую степень общности и конвергенции надзорной практики. Европейское управление по рынкам ценных бумаг также играет роль прямого надзора за некоторыми организациями, а именно за кредитно-рейтинговыми агентствами и торговыми репозиториями.
(13)
Операционный риск является важной частью пруденциального регулирования и надзора в секторах банковского дела и инфраструктуры финансового рынка. Он охватывает все операции, включая безопасность, целостность и отказоустойчивость сетей и информационных систем. Требования в отношении этих систем, которые зачастую превышают требования, предусмотренные настоящей Директивой, изложены в ряде правовых актов Союза, в том числе: правилах доступа к деятельности кредитных организаций и пруденциальном надзоре за кредитными организациями и инвестициями. фирмы и правила пруденциальных требований к кредитным учреждениям и инвестиционным фирмам, которые включают требования, касающиеся операционного риска; правила рынков финансовых инструментов, которые включают требования, касающиеся оценки рисков для инвестиционных компаний и регулируемых рынков; правила в отношении внебиржевых деривативов, центральных контрагентов и торговых репозиториев, которые включают требования, касающиеся операционного риска для центральных контрагентов и торговых репозиториев; и правила по совершенствованию расчетов по ценным бумагам в Союзе и о центральных депозитариях ценных бумаг, которые включают требования, касающиеся операционного риска. Более того, требования об уведомлении о происшествиях являются частью обычной практики надзора в финансовом секторе и часто включаются в инструкции по надзору. Государства-члены должны учитывать эти правила и требования при применении lex Specialis.
(14)
Как отметил Европейский центральный банк в своем заключении от 25 июля 2014 (6), настоящая Директива не затрагивает предусмотренный законодательством Союза режим надзора Евросистемы за платежными и расчетными системами. Было бы целесообразно, чтобы органы, ответственные за такой надзор, обменялись опытом по вопросам безопасности сетей и информационных систем с компетентными органами в соответствии с настоящей Директивой. То же самое касается и членов Европейской системы центральных банков, не входящих в зону евро, которые осуществляют такой надзор за платежными и расчетными системами на основе национальных законов и правил.
(15)
Интернет-торговая площадка позволяет потребителям и торговцам заключать с торговцами договоры онлайн-продажи или оказания услуг и является конечным пунктом заключения этих контрактов. Он не должен охватывать онлайн-сервисы, которые служат лишь посредниками для сторонних сервисов, через которые в конечном итоге может быть заключен договор. Поэтому он не должен охватывать онлайн-сервисы, которые сравнивают цены на определенные продукты или услуги от разных продавцов, а затем перенаправляют пользователя к предпочитаемому продавцу для покупки продукта. Вычислительные услуги, предоставляемые онлайн-рынком, могут включать обработку транзакций, агрегирование данных или профилирование пользователей. Магазины приложений, которые работают как интернет-магазины, обеспечивающие цифровое распространение приложений или программного обеспечения от третьих лиц, следует понимать как разновидность онлайн-торговой площадки.
(16)
Онлайн-поисковая система позволяет пользователю осуществлять поиск практически на всех веб-сайтах на основе запроса по любой теме. В качестве альтернативы он может быть ориентирован на веб-сайты на определенном языке. Определение онлайн-поисковой системы, данное в настоящей Директиве, не должно охватывать функции поиска, которые ограничены содержанием конкретного веб-сайта, независимо от того, обеспечивается ли функция поиска внешней поисковой системой. Он также не должен охватывать онлайн-сервисы, которые сравнивают цены на определенные продукты или услуги от разных продавцов, а затем перенаправляют пользователя к предпочитаемому продавцу для покупки продукта.
(17)
Услуги облачных вычислений охватывают широкий спектр действий, которые могут предоставляться в соответствии с различными моделями. Для целей настоящей Директивы термин «услуги облачных вычислений» охватывает услуги, которые обеспечивают доступ к масштабируемому и эластичному пулу общих вычислительных ресурсов. Эти вычислительные ресурсы включают в себя такие ресурсы, как сети, серверы или другая инфраструктура, хранилище, приложения и услуги. Термин «масштабируемый» относится к вычислительным ресурсам, которые гибко распределяются поставщиком облачных услуг, независимо от географического местоположения ресурсов, чтобы справляться с колебаниями спроса. Термин «эластичный пул» используется для описания тех вычислительных ресурсов, которые выделяются и освобождаются в зависимости от спроса, чтобы быстро увеличивать или уменьшать доступные ресурсы в зависимости от рабочей нагрузки. Термин «совместно используемые» используется для описания тех вычислительных ресурсов, которые предоставляются множеству пользователей, имеющих общий доступ к услуге, но обработка которых осуществляется отдельно для каждого пользователя, хотя услуга предоставляется с помощью одного и того же электронного оборудования.
(18)
Функция точки обмена интернетом (IXP) заключается в соединении сетей. IXP не обеспечивает доступ к сети и не выступает в качестве транзитного провайдера или оператора связи. IXP также не предоставляет другие услуги, не связанные с межсетевым соединением, хотя это не мешает оператору IXP предоставлять несвязанные услуги. IXP существует для соединения сетей, которые технически и организационно разделены. Термин «автономная система» используется для описания технически автономной сети.
(19)
Государства-члены должны нести ответственность за определение того, какие организации соответствуют критериям определения оператора основных услуг. Чтобы обеспечить последовательный подход, определение оператора основных услуг должно последовательно применяться всеми государствами-членами. С этой целью настоящая Директива предусматривает оценку организаций, действующих в конкретных секторах и подсекторах, установление списка основных услуг, рассмотрение общего списка межсекторальных факторов для определения того, будет ли потенциальный инцидент иметь значительные последствия. деструктивный эффект, процесс консультаций с участием соответствующих государств-членов в случае организаций, предоставляющих услуги более чем в одном государстве-члене, а также поддержка Группы сотрудничества в процессе идентификации. Чтобы обеспечить точное отражение возможных изменений на рынке, список выявленных операторов должен регулярно пересматриваться государствами-членами и обновляться при необходимости. Наконец, государства-члены должны предоставить Комиссии информацию, необходимую для оценки того, в какой степени эта общая методология позволила последовательно применять определение государствами-членами.
(20)
В процессе идентификации операторов основных услуг государства-члены должны оценить, по крайней мере, для каждого подсектора, упомянутого в настоящей Директиве, какие услуги следует считать необходимыми для поддержания критически важной социальной и экономической деятельности, и являются ли перечисленные организации в секторах и подсекторах, указанных в настоящей Директиве, и предоставление этих услуг соответствует критериям идентификации операторов. При оценке того, предоставляет ли организация услугу, необходимую для поддержания критически важной общественной или экономической деятельности, достаточно проверить, предоставляет ли данная организация услугу, включенную в перечень основных услуг. Кроме того, необходимо продемонстрировать, что предоставление основных услуг зависит от сетевых и информационных систем. Наконец, при оценке того, окажет ли инцидент существенное разрушительное воздействие на предоставление услуги, государства-члены должны принять во внимание ряд межсекторальных факторов, а также, при необходимости, отраслевые факторы.
(21)
Для целей идентификации операторов основных услуг учреждение в государстве-члене подразумевает эффективное и реальное осуществление деятельности посредством стабильных механизмов. Юридическая форма таких образований, будь то филиал или дочерняя компания, обладающая правосубъектностью, не является определяющим фактором в этом отношении.
(22)
Вполне возможно, что организации, работающие в секторах и подсекторах, упомянутых в настоящей Директиве, предоставляют как основные, так и второстепенные услуги. Например, в секторе воздушного транспорта аэропорты предоставляют услуги, которые могут считаться государством-членом важнейшими, такие как управление взлетно-посадочными полосами, а также ряд услуг, которые могут считаться второстепенными, например, предоставление торговых площадей. К операторам основных услуг должны предъявляться особые требования безопасности только в отношении тех услуг, которые считаются жизненно важными. Поэтому в целях идентификации операторов государства-члены должны установить список услуг, которые считаются необходимыми.
(23)
Список услуг должен содержать все услуги, предоставляемые на территории данного государства-члена, которые соответствуют требованиям настоящей Директивы. Государства-члены должны иметь возможность дополнить существующий список, включив в него новые услуги. Список услуг должен служить ориентиром для государств-членов, позволяя идентифицировать операторов основных услуг. Ее цель состоит в том, чтобы идентифицировать типы основных услуг в любом конкретном секторе, упомянутых в настоящей Директиве, тем самым отличая их от второстепенной деятельности, за которую может нести ответственность организация, действующая в любом данном секторе. Список услуг, установленный каждым государством-членом, будет служить дополнительным вкладом в оценку практики регулирования каждого государства-члена с целью обеспечения общего уровня согласованности процесса идентификации среди государств-членов.
(24)
Для целей процесса идентификации, если организация предоставляет основные услуги в двух или более государствах-членах, эти государства-члены должны участвовать в двусторонних или многосторонних обсуждениях друг с другом. Этот процесс консультаций призван помочь им оценить критический характер оператора с точки зрения трансграничного воздействия, тем самым позволяя каждому вовлеченному государству-члену представить свое мнение относительно рисков, связанных с предоставляемыми услугами. Заинтересованные государства-члены должны учитывать мнения друг друга в этом процессе и иметь возможность запросить помощь Группы сотрудничества в этом отношении.
(25)
В результате процесса идентификации государства-члены должны принять национальные меры для определения того, на какие организации распространяются обязательства в отношении безопасности сетей и информационных систем. Этот результат может быть достигнут путем принятия списка, перечисляющего всех операторов основных услуг, или путем принятия национальных мер, включающих объективные количественные критерии, такие как производительность оператора или количество пользователей, которые позволяют определить, какие организации несут обязательства. относительно безопасности сетевых и информационных систем. Национальные меры, как уже существующие, так и принятые в контексте настоящей Директивы, должны включать все правовые меры, административные меры и политику, позволяющие идентифицировать операторов основных услуг в соответствии с настоящей Директивой.
(26)
Чтобы дать представление о важности выявленных операторов основных услуг по отношению к соответствующему сектору, государства-члены должны принять во внимание количество и размер этих операторов, например, с точки зрения доли рынка или доли рынка. произведенное или перевозимое количество без обязательства разглашать информацию, которая позволила бы выявить, какие операторы были идентифицированы.
(27)
Чтобы определить, окажет ли инцидент существенное разрушительное воздействие на предоставление важной услуги, государства-члены должны принять во внимание ряд различных факторов, таких как количество пользователей, использующих эту услугу в личных или профессиональных целях. Использование этой услуги может быть прямым, косвенным или через посредничество. При оценке влияния, которое инцидент может оказать с точки зрения его степени и продолжительности на экономическую и общественную деятельность или общественную безопасность, государства-члены должны также оценить время, которое может пройти до того, как нарушение непрерывности начнет оказывать негативное воздействие.
(28)
В дополнение к межсекторальным факторам следует также учитывать факторы, специфичные для сектора, чтобы определить, окажет ли инцидент существенное разрушительное воздействие на предоставление основных услуг. Что касается поставщиков энергии, такие факторы могут включать объем или долю вырабатываемой в стране электроэнергии; для поставщиков нефти – объем в сутки; для воздушного транспорта, включая аэропорты и авиаперевозчиков, железнодорожный транспорт и морские порты, долю национального объема перевозок и количество пассажиров или грузовых операций в год; для банковских инфраструктур или инфраструктур финансового рынка – их системная значимость, основанная на совокупных активах или отношении этих совокупных активов к ВВП; для сектора здравоохранения — количество пациентов, находящихся на попечении поставщика услуг в год; для производства, обработки и подачи воды объем, количество и типы снабжаемых пользователей, включая, например, больницы, организации общественного обслуживания или частных лиц, а также наличие альтернативных источников воды для покрытия одной и той же географической территории.
(29)
Для достижения и поддержания высокого уровня безопасности сетевых и информационных систем каждое государство-член должно иметь национальную стратегию по безопасности сетевых и информационных систем, определяющую стратегические цели и конкретные политические действия, которые необходимо реализовать.
(30)
Ввиду различий в национальных структурах управления и в целях защиты уже существующих отраслевых механизмов или надзорных и регулирующих органов Союза, а также во избежание дублирования, государства-члены должны иметь возможность назначать более одного национального компетентного органа, ответственного за выполнение задач, связанных с безопасность сетей и информационных систем операторов основных услуг и поставщиков цифровых услуг в соответствии с настоящей Директивой.
(31)
Чтобы облегчить трансграничное сотрудничество и коммуникацию, а также обеспечить эффективную реализацию настоящей Директивы, каждому государству-члену, без ущерба для отраслевых нормативных механизмов, необходимо назначить единое национальное контактное лицо, ответственное за координацию вопросов, связанных с безопасность сетевых и информационных систем и приграничное сотрудничество на уровне Союза. Компетентные органы и единые контактные лица должны располагать адекватными техническими, финансовыми и человеческими ресурсами, чтобы гарантировать, что они могут выполнять возложенные на них задачи эффективным и действенным образом и, таким образом, достигать целей настоящей Директивы. Поскольку эта Директива направлена на улучшение функционирования внутреннего рынка путем создания доверия и доверия, органы государств-членов должны иметь возможность эффективно сотрудничать с экономическими субъектами и иметь соответствующую структуру.
(32)
Компетентные органы или группы реагирования на инциденты компьютерной безопасности («CSIRT») должны получать уведомления об инцидентах. Единые контактные лица не должны напрямую получать какие-либо уведомления об инцидентах, если только они не действуют в качестве компетентного органа или CSIRT. Однако компетентный орган или CSIRT должен иметь возможность поручить единому контактному лицу пересылать уведомления об инцидентах единым контактным лицам других затронутых государств-членов.
(33)
Чтобы обеспечить эффективное предоставление информации государствам-членам и Комиссии, сводный отчет должен быть представлен единым контактным лицом в Группу сотрудничества и должен быть анонимным, чтобы сохранить конфиденциальность уведомлений и личность операторы основных услуг и поставщики цифровых услуг, поскольку информация о личности уведомляющих лиц не требуется для обмена передовым опытом в Группе сотрудничества. Сводный отчет должен включать информацию о количестве полученных уведомлений, а также указание характера уведомленных инцидентов, таких как типы нарушений безопасности, их серьезность или продолжительность.
(34)
Государства-члены должны быть адекватно оснащены как техническими, так и организационными возможностями для предотвращения, обнаружения, реагирования и смягчения инцидентов и рисков в сетевых и информационных системах. Поэтому государства-члены должны обеспечить наличие хорошо функционирующих групп CSIRT, также известных как группы реагирования на компьютерные чрезвычайные ситуации («CERT»), соответствующих основным требованиям, гарантирующих эффективные и совместимые возможности для борьбы с инцидентами и рисками, а также обеспечения эффективного сотрудничества на уровне Союза. Чтобы все типы операторов основных услуг и поставщиков цифровых услуг могли извлечь выгоду из таких возможностей и сотрудничества, государства-члены должны обеспечить, чтобы все типы были охвачены назначенной CSIRT. Учитывая важность международного сотрудничества в области кибербезопасности, CSIRT должны иметь возможность участвовать в сетях международного сотрудничества в дополнение к сети CSIRT, созданной настоящей Директивой.
(35)
Поскольку большинство сетевых и информационных систем находятся в частном управлении, сотрудничество между государственным и частным секторами имеет важное значение. Операторов основных услуг и поставщиков цифровых услуг следует поощрять к использованию собственных механизмов неформального сотрудничества для обеспечения безопасности сетей и информационных систем. Группа сотрудничества должна иметь возможность приглашать соответствующие заинтересованные стороны к обсуждению, когда это необходимо. Чтобы эффективно стимулировать обмен информацией и передовым опытом, важно обеспечить, чтобы операторы основных услуг и поставщики цифровых услуг, участвующие в таком обмене, не становились в невыгодном положении в результате своего сотрудничества.
(36)
ENISA должна помочь государствам-членам и Комиссии, предоставляя экспертные знания и советы, а также способствуя обмену передовым опытом. В частности, при применении настоящей Директивы Комиссия должна, а государства-члены должны иметь возможность консультироваться с ENISA. Для наращивания потенциала и знаний среди государств-членов Группа сотрудничества должна также служить инструментом для обмена передовым опытом, обсуждения возможностей и готовности государств-членов и на добровольной основе помогать своим членам в оценке национальных стратегий по безопасность сетевых и информационных систем, наращивание потенциала и оценка упражнений, касающихся безопасности сетевых и информационных систем.
(37)
При необходимости государства-члены должны иметь возможность использовать или адаптировать существующие организационные структуры или стратегии при применении настоящей Директивы.
(38)
Соответствующие задачи Группы сотрудничества и ENISA взаимозависимы и дополняют друг друга. В целом, ENISA должна помогать Группе сотрудничества в выполнении ее задач в соответствии с целью ENISA, изложенной в Регламенте (ЕС) № 526/2013 Европейского парламента и Совета (7), а именно оказывать помощь Союзу. учреждения, органы, офисы и агентства, а также государства-члены в реализации политики, необходимой для удовлетворения законодательных и нормативных требований безопасности сетей и информационных систем в соответствии с существующими и будущими правовыми актами Союза. В частности, ENISA должна оказывать помощь в тех областях, которые соответствуют ее собственным задачам, как указано в Регламенте (ЕС) № 526/2013, а именно: анализ стратегий безопасности сетей и информационных систем, поддержка организации и проведения учений Союза, касающихся безопасность сетей и информационных систем, а также обмен информацией и передовым опытом в области повышения осведомленности и обучения. ENISA также должна участвовать в разработке руководящих указаний по отраслевым критериям определения значимости воздействия инцидента.
(39)
Чтобы способствовать повышению безопасности сетей и информационных систем, Группа сотрудничества должна, где это возможно, сотрудничать с соответствующими учреждениями, органами, офисами и агентствами Союза, обмениваться ноу-хау и передовым опытом, а также предоставлять рекомендации по аспектам безопасности сети. и информационные системы, которые могут повлиять на их работу, при соблюдении существующих механизмов обмена информацией ограниченного доступа. При сотрудничестве с правоохранительными органами в отношении аспектов безопасности сетей и информационных систем, которые могут повлиять на их работу, Группа сотрудничества должна уважать существующие каналы информации и созданные сети.
(40)
Информация об инцидентах становится все более ценной для широкой общественности и предприятий, особенно малых и средних предприятий. В некоторых случаях такая информация уже предоставляется через веб-сайты на национальном уровне на языке конкретной страны и фокусируется главным образом на инцидентах и событиях национального масштаба. Учитывая, что предприятия все чаще работают через границы, а граждане используют онлайн-сервисы, информация об инцидентах должна предоставляться в агрегированной форме на уровне Союза. Секретариату сети CSIRT рекомендуется поддерживать веб-сайт или размещать специальную страницу на существующем веб-сайте, где общая информация о крупных инцидентах, произошедших на территории Союза, предоставляется широкой общественности с особым акцентом на интересы и потребности бизнеса. CSIRT, участвующим в сети CSIRT, рекомендуется на добровольной основе предоставлять информацию для публикации на этом веб-сайте, не включая конфиденциальную или секретную информацию.
(41)
Если информация считается конфиденциальной в соответствии с правилами Союза и национальными правилами деловой конфиденциальности, такая конфиденциальность должна быть обеспечена при осуществлении деятельности и достижении целей, установленных настоящей Директивой.
(42)
Учения, моделирующие сценарии инцидентов в реальном времени, необходимы для проверки готовности и сотрудничества государств-членов в отношении безопасности сетевых и информационных систем. Цикл учений КиберЕвропы, координируемый ENISA при участии государств-членов, является полезным инструментом для тестирования и выработки рекомендаций о том, как обработка инцидентов на уровне Союза должна улучшиться с течением времени. Учитывая, что государства-члены в настоящее время не несут каких-либо обязательств по планированию или участию в учениях, создание сети CSIRT в соответствии с настоящей Директивой должно позволить государствам-членам участвовать в учениях на основе точного планирования и стратегического выбора. Группа сотрудничества, созданная в соответствии с настоящей Директивой, должна обсуждать стратегические решения относительно учений, в частности, но не исключительно, в отношении регулярности учений и разработки сценариев. ENISA должна, в соответствии со своим мандатом, поддерживать организацию и проведение общесоюзных учений, предоставляя свой опыт и рекомендации Группе сотрудничества и сети CSIRT.
(43)
Учитывая глобальный характер проблем безопасности, затрагивающих сетевые и информационные системы, существует необходимость в более тесном международном сотрудничестве для улучшения стандартов безопасности и обмена информацией, а также для продвижения общего глобального подхода к вопросам безопасности.
(44)
Ответственность за обеспечение безопасности сетей и информационных систем в значительной степени лежит на операторах основных услуг и поставщиках цифровых услуг. Культуру управления рисками, включающую оценку рисков и реализацию мер безопасности, соответствующих возникающим рискам, следует поощрять и развивать посредством соответствующих нормативных требований и добровольной отраслевой практики. Создание заслуживающих доверия равных условий также важно для эффективного функционирования Группы сотрудничества и сети CSIRT, чтобы обеспечить эффективное сотрудничество со стороны всех государств-членов.
(45)
Данная Директива применяется только к тем государственным администрациям, которые определены как операторы основных услуг. Таким образом, государства-члены обязаны обеспечивать безопасность сетевых и информационных систем государственных администраций, не подпадающих под действие настоящей Директивы.
(46)
Меры по управлению рисками включают меры по выявлению любых рисков инцидентов, по предотвращению, обнаружению и устранению инцидентов, а также по смягчению их последствий. Безопасность сетевых и информационных систем включает в себя безопасность хранимых, передаваемых и обрабатываемых данных.
(47)
Компетентные органы должны сохранить за собой возможность принимать национальные руководящие принципы, касающиеся обстоятельств, при которых операторы основных услуг обязаны уведомлять об инцидентах.
(48)
Многие предприятия в Евросоюзе полагаются на поставщиков цифровых услуг при предоставлении своих услуг. Поскольку некоторые цифровые услуги могут быть важным ресурсом для своих пользователей, включая операторов основных услуг, и поскольку такие пользователи не всегда могут иметь доступные альтернативы, настоящая Директива должна также применяться к поставщикам таких услуг. Безопасность, непрерывность и надежность цифровых услуг, упомянутых в настоящей Директиве, имеют решающее значение для бесперебойного функционирования многих предприятий. Нарушение работы такой цифровой услуги может помешать предоставлению других услуг, которые на нее полагаются, и, таким образом, может оказать влияние на ключевую экономическую и общественную деятельность в Союзе. Таким образом, такие цифровые услуги могут иметь решающее значение для бесперебойного функционирования предприятий, которые от них зависят, и, более того, для участия таких предприятий на внутреннем рынке и в трансграничной торговле по всему Союзу. Поставщики цифровых услуг, на которых распространяется действие настоящей Директивы, считаются предлагающими цифровые услуги, на которые все больше полагаются многие предприятия в Союзе.
(49)
Поставщики цифровых услуг должны обеспечивать уровень безопасности, соразмерный степени риска, связанного с безопасностью предоставляемых ими цифровых услуг, учитывая важность их услуг для деятельности других предприятий в рамках Союза. На практике степень риска для операторов основных услуг, которые зачастую необходимы для поддержания критически важной общественной и экономической деятельности, выше, чем для поставщиков цифровых услуг. Поэтому требования безопасности к поставщикам цифровых услуг должны быть более мягкими. Поставщики цифровых услуг должны оставаться свободными принимать меры, которые они считают целесообразными для управления рисками, связанными с безопасностью их сетей и информационных систем. Из-за их трансграничного характера к поставщикам цифровых услуг должен применяться более гармонизированный подход на уровне Союза. Имплементационные акты должны способствовать определению и реализации таких мер.
(50)
Хотя производители оборудования и разработчики программного обеспечения не являются операторами основных услуг и не являются поставщиками цифровых услуг, их продукты повышают безопасность сетей и информационных систем. Таким образом, они играют важную роль, позволяя операторам основных услуг и поставщикам цифровых услуг защищать свои сети и информационные системы. На такие аппаратные и программные продукты уже распространяются существующие правила ответственности за качество продукции.
(51)
Технические и организационные меры, налагаемые на операторов основных услуг и поставщиков цифровых услуг, не должны требовать, чтобы конкретный коммерческий продукт информационных и коммуникационных технологий проектировался, разрабатывался или производился определенным образом.
(52)
Операторы основных услуг и поставщики цифровых услуг должны обеспечить безопасность сетей и информационных систем, которые они используют. В основном это частные сети и информационные системы, управляемые собственным ИТ-персоналом или безопасность которых передана на аутсорсинг. Требования безопасности и уведомления должны применяться к соответствующим операторам основных услуг и поставщикам цифровых услуг независимо от того, выполняют ли они обслуживание своих сетей и информационных систем самостоятельно или передают это сторонним организациям.
(53)
Чтобы избежать наложения непропорционального финансового и административного бремени на операторов основных услуг и поставщиков цифровых услуг, требования должны быть пропорциональны риску, представляемому соответствующей сетью и информационной системой, с учетом современного состояния таких мер. В случае поставщиков цифровых услуг эти требования не должны распространяться на микро- и малые предприятия.
(54)
Если государственные администрации в государствах-членах используют услуги, предлагаемые поставщиками цифровых услуг, в частности услуги облачных вычислений, они могут пожелать потребовать от поставщиков таких услуг дополнительных мер безопасности помимо тех, которые поставщики цифровых услуг обычно предлагают в соответствии с требованиями настоящей Директивы. . Они должны иметь возможность сделать это посредством договорных обязательств.
(55)
Определения онлайн-торговых площадок, онлайн-поисковых систем и служб облачных вычислений в настоящей Директиве предназначены для конкретной цели настоящей Директивы и не наносят ущерба каким-либо другим документам.
(56)
Эта Директива не должна препятствовать государствам-членам принимать национальные меры, требующие от органов государственного сектора обеспечения особых требований безопасности при заключении контрактов на услуги облачных вычислений. Любые такие национальные меры должны применяться к соответствующему органу государственного сектора, а не к поставщику услуг облачных вычислений.
(57)
Учитывая фундаментальные различия между операторами основных услуг, в частности их прямой связью с физической инфраструктурой, и поставщиками цифровых услуг, в частности их трансграничный характер, настоящая Директива должна использовать дифференцированный подход в отношении уровня гармонизации по отношению к этим две группы сущностей. Для операторов основных услуг государства-члены должны иметь возможность идентифицировать соответствующих операторов и устанавливать более строгие требования, чем те, которые изложены в настоящей Директиве. Государства-члены не должны указывать поставщиков цифровых услуг, поскольку настоящая Директива должна применяться ко всем поставщикам цифровых услуг, входящих в ее сферу действия. Кроме того, данная Директива и принятые в соответствии с ней исполнительные акты должны обеспечить высокий уровень гармонизации для поставщиков цифровых услуг в отношении требований безопасности и уведомления. Это должно позволить обеспечить единообразное отношение к поставщикам цифровых услуг по всему Союзу, пропорционально их характеру и степени риска, с которым они могут столкнуться.
(58)
Настоящая Директива не должна препятствовать государствам-членам вводить требования безопасности и уведомления для организаций, которые не являются поставщиками цифровых услуг в рамках настоящей Директивы, без ущерба для обязательств государств-членов в соответствии с законодательством Союза.
(59)
Компетентные органы должны уделять должное внимание сохранению неформальных и надежных каналов обмена информацией. Публичность инцидентов, о которых сообщается компетентным органам, должна должным образом уравновешивать интерес общественности в получении информации об угрозах против возможного репутационного и коммерческого ущерба для операторов основных услуг и поставщиков цифровых услуг, сообщающих об инцидентах. При выполнении обязательств по уведомлению компетентные органы и CSIRT должны уделять особое внимание необходимости сохранять строго конфиденциальной информацию об уязвимостях продукта до выпуска соответствующих исправлений безопасности.
(60)
Поставщики цифровых услуг должны подвергаться легкому и реактивному надзору ex post, оправданному характером их услуг и операций. Таким образом, соответствующий компетентный орган должен предпринимать действия только при наличии доказательств, например, от самого поставщика цифровых услуг, другого компетентного органа, включая компетентный орган другого Государства-члена, или пользователя услуги, что поставщик цифровых услуг не соблюдает требования настоящей Директивы, в частности, после возникновения инцидента. Поэтому компетентный орган не должен иметь общих обязательств по надзору за поставщиками цифровых услуг.
(61)
Компетентные органы должны иметь необходимые средства для выполнения своих обязанностей, включая полномочия для получения достаточной информации для оценки уровня безопасности сетевых и информационных систем.
(62)
Инциденты могут быть результатом преступной деятельности, предотвращение, расследование и преследование которой поддерживаются координацией и сотрудничеством между операторами основных услуг, поставщиками цифровых услуг, компетентными органами и правоохранительными органами. Если есть подозрение, что инцидент связан с серьезной преступной деятельностью в соответствии с законодательством Союза или национальным законодательством, государства-члены должны поощрять операторов основных услуг и поставщиков цифровых услуг сообщать об инцидентах предположительно серьезного преступного характера в соответствующие правоохранительные органы. При необходимости желательно, чтобы координация действий между компетентными органами и правоохранительными органами различных государств-членов осуществлялась Европейским центром по борьбе с киберпреступностью (EC3) и ENISA.
(63)
Персональные данные во многих случаях подвергаются риску в результате инцидентов. В этом контексте компетентные органы и органы по защите данных должны сотрудничать и обмениваться информацией по всем соответствующим вопросам для устранения любых утечек персональных данных в результате инцидентов.
(64)
Юрисдикция в отношении поставщиков цифровых услуг должна быть присвоена государству-члену, в котором соответствующий поставщик цифровых услуг имеет свое основное представительство в Союзе, что в принципе соответствует месту, где у поставщика находится головной офис в Союзе. Создание предполагает эффективное и реальное осуществление деятельности посредством стабильных механизмов. Юридическая форма таких образований, будь то филиал или дочерняя компания, имеющая правосубъектность, не является определяющим фактором в этом отношении. Этот критерий не должен зависеть от того, находятся ли сеть и информационные системы физически в данном месте; наличие и использование таких систем сами по себе не образуют такого основного предприятия и, следовательно, не являются критериями для определения основного предприятия.
(65)
Если поставщик цифровых услуг, не зарегистрированный в Союзе, предлагает услуги внутри Союза, он должен назначить представителя. Чтобы определить, предлагает ли такой поставщик цифровых услуг услуги внутри Союза, необходимо выяснить, очевидно ли, что поставщик цифровых услуг планирует предлагать услуги лицам в одном или нескольких государствах-членах. Простая доступность в Евросоюзе веб-сайта поставщика цифровых услуг или посредника или адреса электронной почты и других контактных данных или использование языка, обычно используемого в третьей стране, где находится поставщик цифровых услуг, недостаточна для установления такое намерение. Однако такие факторы, как использование языка или валюты, обычно используемых в одном или нескольких государствах-членах, с возможностью заказа услуг на этом другом языке, или упоминание клиентов или пользователей, находящихся в Союзе, могут сделать очевидным, что поставщик цифровых услуг планирует предлагать услуги внутри Союза. Представитель должен действовать от имени поставщика цифровых услуг, и у компетентных органов или CSIRT должна быть возможность связаться с представителем. Представитель должен быть прямо назначен на основании письменного поручения поставщика цифровых услуг действовать от имени последнего в отношении обязательств последнего в соответствии с настоящей Директивой, включая сообщение об инцидентах.
(66)
Стандартизация требований безопасности – это рыночный процесс. Чтобы обеспечить конвергентное применение стандартов безопасности, государства-члены должны поощрять соблюдение или соответствие указанным стандартам, чтобы обеспечить высокий уровень безопасности сетей и информационных систем на уровне Союза. ENISA должна помогать государствам-членам посредством рекомендаций и рекомендаций. С этой целью было бы полезно разработать гармонизированные стандарты, что должно быть сделано в соответствии с Регламентом (ЕС) № 1025/2012 Европейского парламента и Совета (8).
(67)
Субъекты, не подпадающие под действие настоящей Директивы, могут столкнуться с инцидентами, оказывающими существенное влияние на предоставляемые ими услуги. Если эти организации считают, что уведомление о таких инцидентах отвечает общественным интересам, они должны иметь возможность делать это на добровольной основе. Такие уведомления должны обрабатываться компетентным органом или CSIRT, если такая обработка не представляет собой непропорциональное или неоправданное бремя для соответствующих государств-членов.
(68)
Чтобы обеспечить единые условия для реализации настоящей Директивы, Комиссии должны быть предоставлены полномочия по реализации процедурных мер, необходимых для функционирования Группы сотрудничества, а также требований безопасности и уведомления, применимых к поставщикам цифровых услуг. Эти полномочия должны осуществляться в соответствии с Регламентом (ЕС) № 182/2011 Европейского парламента и Совета (9). При принятии имплементационных актов, касающихся процедурных мер, необходимых для функционирования Группы сотрудничества, Комиссия должна в максимальной степени учитывать мнение ENISA.
(69)
При принятии актов о требованиях безопасности для поставщиков цифровых услуг Комиссия должна в максимальной степени учитывать мнение ENISA и консультироваться с заинтересованными сторонами. Кроме того, Комиссии рекомендуется принять во внимание следующие примеры: в отношении безопасности систем и объектов: физическая и экологическая безопасность, безопасность поставок, контроль доступа к сетевым и информационным системам и целостность сетевых и информационных систем; что касается обработки инцидентов: процедуры обработки инцидентов, возможности обнаружения инцидентов, отчетность об инцидентах и коммуникация; что касается управления непрерывностью бизнеса: стратегия непрерывности обслуживания и планы действий в чрезвычайных ситуациях, возможности аварийного восстановления; а что касается мониторинга, аудита и тестирования: политики мониторинга и регистрации, планы действий в чрезвычайных ситуациях, тестирование сетей и информационных систем, оценки безопасности и мониторинг соответствия.
(70)
При реализации настоящей Директивы Комиссия должна поддерживать связь, по мере необходимости, с соответствующими отраслевыми комитетами и соответствующими органами, созданными на уровне Союза в областях, охватываемых настоящей Директивой.
(71)
Комиссия должна периодически пересматривать настоящую Директиву, консультируясь с заинтересованными сторонами, в частности, с целью определения необходимости внесения изменений в свете изменений социальных, политических, технологических или рыночных условий.
(72)
Обмен информацией о рисках и инцидентах внутри Группы сотрудничества и сети CSIRT, а также соблюдение требований по уведомлению об инцидентах национальных компетентных органов или CSIRT может потребовать обработки персональных данных. Такая обработка должна соответствовать Директиве 95/46/EC Европейского парламента и Совета (10) и Регламенту (EC) № 45/2001 Европейского парламента и Совета (11). При применении настоящей Директивы в соответствующих случаях следует применять Регламент (ЕС) № 1049/2001 Европейского парламента и Совета (12).
(73)
С Европейским инспектором по защите данных были проведены консультации в соответствии со статьей 28(2) Регламента (ЕС) № 45/2001, и он вынес заключение 14 июня 2013 г. (13).
(74)
Поскольку цель настоящей Директивы, а именно достижение высокого общего уровня безопасности сетевых и информационных систем в Союзе, не может быть в достаточной степени достигнута государствами-членами, а, скорее, из-за последствий действия, может быть лучше достигнута при На уровне Союза Союз может принимать меры в соответствии с принципом субсидиарности, изложенным в Статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, изложенным в этой статье, настоящая Директива не выходит за рамки того, что необходимо для достижения этой цели.
(75)
Настоящая Директива уважает основные права и соблюдает принципы, признанные Хартией основных прав Европейского Союза, в частности, право на уважение частной жизни и общения, защиту персональных данных, свободу ведения бизнеса, право на собственность, право на эффективное средство правовой защиты в суде и право быть заслушанным. Настоящая Директива должна применяться в соответствии с теми правами и принципами,
ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:
ГЛАВА I
ОСНОВНЫЕ ПОЛОЖЕНИЯ
Статья 1
Предмет и объем
1. Настоящая Директива устанавливает меры с целью достижения высокого общего уровня безопасности сетевых и информационных систем внутри Союза, чтобы улучшить функционирование внутреннего рынка.
2. С этой целью настоящая Директива:
(а)
устанавливает обязательства для всех государств-членов по принятию национальной стратегии по безопасности сетей и информационных систем;
(б)
создает Группу сотрудничества для поддержки и облегчения стратегического сотрудничества и обмена информацией между государствами-членами, а также для развития доверия между ними;
(с)
создает сеть групп реагирования на инциденты компьютерной безопасности («сеть CSIRT»), чтобы способствовать развитию доверия между государствами-членами и способствовать быстрому и эффективному оперативному сотрудничеству;
(г)
устанавливает требования безопасности и уведомления для операторов основных услуг и поставщиков цифровых услуг;
(е)
устанавливает обязательства для государств-членов по назначению национальных компетентных органов, единых контактных лиц и CSIRT с задачами, связанными с безопасностью сетей и информационных систем.
3. Требования безопасности и уведомления, предусмотренные в настоящей Директиве, не применяются к предприятиям, на которые распространяются требования статей 13a и 13b Директивы 2002/21/EC, или к доверенным поставщикам услуг, на которых распространяются требования статьи 19. Регламента (ЕС) № 910/2014.
4. Настоящая Директива применяется без ущерба для Директивы Совета 2008/114/EC (14) и Директив 2011/93/EU (15) и 2013/40/EU (16) Европейского Парламента и Совета.
5. Без ущерба для статьи 346 ДФЕС, информация, которая является конфиденциальной в соответствии с правилами Союза и национальными правилами, такими как правила деловой конфиденциальности, подлежит обмену с Комиссией и другими соответствующими органами только в том случае, если такой обмен необходим для применения настоящей Директивы. Обмен информацией должен ограничиваться той информацией, которая актуальна и пропорциональна цели такого обмена. Такой обмен информацией должен сохранять конфиденциальность этой информации и защищать безопасность и коммерческие интересы операторов основных услуг и поставщиков цифровых услуг.
6. Настоящая Директива не наносит ущерба действиям, предпринимаемым государствами-членами для защиты своих основных государственных функций, в частности, для защиты национальной безопасности, включая действия по защите информации, раскрытие которой государства-члены считают противоречащим основным интересам их безопасности, и поддерживать закон и порядок, в частности, позволяя проводить расследование, выявление и судебное преследование уголовных преступлений.
7. Если отраслевой правовой акт Союза требует, чтобы операторы основных услуг или поставщики цифровых услуг либо обеспечивали безопасность своих сетей и информационных систем, либо уведомляли об инцидентах, при условии, что такие требования по меньшей мере эквивалентны установленным обязательствам. в настоящей Директиве применяются положения данного отраслевого правового акта Союза.
Статья 2
Обработка персональных данных
1. Обработка персональных данных в соответствии с настоящей Директивой осуществляется в соответствии с Директивой 95/46/EC.
2. Обработка персональных данных учреждениями и органами Союза в соответствии с настоящей Директивой должна осуществляться в соответствии с Регламентом (ЕС) № 45/2001.
Статья 3
Минимальная гармонизация
Без ущерба для статьи 16(10) и своих обязательств по законодательству Союза, государства-члены могут принимать или сохранять положения с целью достижения более высокого уровня безопасности сетевых и информационных систем.
Статья 4
Определения
Для целей настоящей Директивы применяются следующие определения:
(1)
«Сеть и информационная система» означает:
(а)
сеть электронных коммуникаций в значении пункта (а) статьи 2 Директивы 2002/21/EC;
(б)
любое устройство или группа взаимосвязанных или связанных устройств, одно или несколько из которых в соответствии с программой осуществляют автоматическую обработку цифровых данных; или
(с)
цифровые данные, хранящиеся, обрабатываемые, извлекаемые или передаваемые элементами, указанными в пунктах (a) и (b), для целей их эксплуатации, использования, защиты и обслуживания;
(2)
«безопасность сетевых и информационных систем» означает способность сетевых и информационных систем противостоять на заданном уровне доверия любым действиям, которые ставят под угрозу доступность, подлинность, целостность или конфиденциальность хранимых, передаваемых или обрабатываемых данных или предлагаемых связанных с ними услуг. посредством или доступ через эти сети и информационные системы;
(3)
«национальная стратегия по безопасности сетевых и информационных систем» означает структуру, определяющую стратегические цели и приоритеты в области безопасности сетевых и информационных систем на национальном уровне;
(4)
«оператор основных услуг» означает государственную или частную организацию типа, указанного в Приложении II, которая соответствует критериям, изложенным в статье 5(2);
(5)
«цифровая услуга» означает услугу по смыслу пункта (b) статьи 1(1) Директивы (ЕС) 2015/1535 Европейского парламента и Совета (17), которая относится к типу, указанному в Приложении III;
(6)
«поставщик цифровых услуг» означает любое юридическое лицо, предоставляющее цифровые услуги;
(7)
«инцидент» означает любое событие, оказывающее фактическое негативное влияние на безопасность сетей и информационных систем;
(8)
«обработка инцидентов» означает все процедуры, поддерживающие обнаружение, анализ и сдерживание инцидента, а также реагирование на него;
(9)
«риск» означает любое разумно идентифицируемое обстоятельство или событие, оказывающее потенциальное неблагоприятное воздействие на безопасность сетей и информационных систем;
(10)
«Представитель» означает любое физическое или юридическое лицо, зарегистрированное в Союзе, явно назначенное действовать от имени поставщика цифровых услуг, не зарегистрированного в Союзе, к которому может обратиться национальный компетентный орган или CSIRT вместо поставщика цифровых услуг в отношении обязательствам этого поставщика цифровых услуг в соответствии с настоящей Директивой;
(11)
«стандарт» означает стандарт по смыслу пункта (1) статьи 2 Регламента (ЕС) № 1025/2012;
(12)
«спецификация» означает техническую спецификацию по смыслу пункта (4) статьи 2 Регламента (ЕС) № 1025/2012;
(13)
«точка обмена интернет-трафиком (IXP)» означает сетевой объект, который обеспечивает соединение более чем двух независимых автономных систем, главным образом с целью облегчения обмена интернет-трафиком; IXP обеспечивает соединение только для автономных систем; IXP не требует, чтобы интернет-трафик, проходящий между любой парой участвующих автономных систем, проходил через любую третью автономную систему, а также не изменяет и не вмешивается иным образом в такой трафик;
(14)
«система доменных имен (DNS)» означает иерархическую распределенную систему именования в сети, которая направляет запросы на доменные имена;
(15)
«Поставщик услуг DNS» означает организацию, которая предоставляет услуги DNS в Интернете;
(16)
«реестр доменных имен верхнего уровня» означает организацию, которая администрирует и осуществляет регистрацию доменных имен Интернета в определенном домене верхнего уровня (TLD);
(17)
«онлайн-торговая площадка» означает цифровую услугу, которая позволяет потребителям и/или торговцам, как это определено соответственно в пункте (a) и пункте (b) статьи 4 (1) Директивы 2013/11/EU Европейского парламента и Совета (18) заключать договоры онлайн-продажи или оказания услуг с торговцами либо на веб-сайте онлайн-торговой площадки, либо на веб-сайте торговца, который использует компьютерные услуги, предоставляемые онлайн-торговой площадкой;
(18)
«поисковая онлайн-система» означает цифровую службу, которая позволяет пользователям осуществлять поиск, в принципе, на всех веб-сайтах или веб-сайтах на определенном языке на основе запроса по любой теме в форме ключевого слова, фразы или другого ввода, и возвращает ссылки, в которых можно найти информацию, связанную с запрошенным контентом;
(19)
«Служба облачных вычислений» означает цифровую услугу, которая обеспечивает доступ к масштабируемому и эластичному пулу общих вычислительных ресурсов.
Статья 5
Идентификация операторов жизненно важных услуг
1. К 9 ноября 2018 года для каждого сектора и подсектора, указанных в Приложении II, государства-члены должны определить операторов основных услуг, имеющих предприятия на своей территории.
2. Критерии идентификации операторов основных услуг, как указано в пункте (4) статьи 4, должны быть следующими:
(а)
организация предоставляет услугу, которая необходима для поддержания критически важной общественной и/или экономической деятельности;
(б)
предоставление этой услуги зависит от сети и информационных систем; и
(с)
инцидент будет иметь значительные разрушительные последствия для предоставления этой услуги.
3. Для целей параграфа 1 каждое государство-член должно установить список услуг, упомянутых в пункте (a) параграфа 2.
4. Для целей пункта 1, если организация предоставляет услугу, указанную в пункте (a) пункта 2, в двух или более государствах-членах ЕС, эти государства-члены должны проводить консультации друг с другом. Такая консультация проводится до принятия решения об идентификации.
5. Государства-члены должны на регулярной основе, по крайней мере, каждые два года после 9 мая 2018 года пересматривать и, при необходимости, обновлять список выявленных операторов основных услуг.
6. Роль Группы сотрудничества должна заключаться в соответствии с задачами, указанными в Статье 11, в оказании поддержки Государствам-Членам в применении последовательного подхода в процессе идентификации операторов основных услуг.
7. В целях проверки, указанной в статье 23, до 9 ноября 2018 года и каждые два года после этого государства-члены должны предоставлять Комиссии информацию, необходимую для того, чтобы Комиссия могла оценить реализацию настоящей Директивы, в частности согласованность подходов государств-членов к определению операторов основных услуг. Эта информация должна включать как минимум:
(а)
национальные меры, позволяющие идентифицировать операторов основных услуг;
(б)
перечень услуг, указанных в пункте 3;
(с)
количество операторов основных услуг, определенных для каждого сектора, указанного в Приложении II, и указание их важности по отношению к этому сектору;
(г)
пороговые значения, если они существуют, для определения соответствующего уровня предложения путем ссылки на количество пользователей, полагающихся на эту услугу, как указано в пункте (a) статьи 6(1), или на важность этого конкретного оператора основных услуг, как указано в пункте (f) статьи 6(1).
Чтобы способствовать предоставлению сопоставимой информации, Комиссия, принимая во внимание мнение ENISA, может принять соответствующие технические рекомендации по параметрам информации, упомянутой в этом параграфе.
Статья 6
Значительный разрушительный эффект
1. При определении значимости деструктивного эффекта, указанного в пункте (c) статьи 5(2), государства-члены должны учитывать, по крайней мере, следующие межсекторальные факторы:
(а)
количество пользователей, пользующихся услугами, предоставляемыми заинтересованной организацией;
(б)
зависимость других секторов, упомянутых в Приложении II, от услуг, предоставляемых этой организацией;
(с)
влияние, которое инциденты могут оказать (с точки зрения степени и продолжительности) на экономическую и общественную деятельность или общественную безопасность;
(г)
рыночная доля этого предприятия;
(е)
географическое распространение территории, которая может быть затронута происшествием;
(е)
важность организации для поддержания достаточного уровня услуги с учетом наличия альтернативных средств предоставления этой услуги.
2. Чтобы определить, будет ли инцидент иметь значительный разрушительный эффект, государства-члены должны также, при необходимости, принимать во внимание отраслевые факторы.
ГЛАВА II
НАЦИОНАЛЬНЫЕ ОСНОВЫ БЕЗОПАСНОСТИ СЕТЕЙ И ИНФОРМАЦИОННЫХ СИСТЕМ
Статья 7
Национальная стратегия по безопасности сетевых и информационных систем
1. Каждое государство-член должно принять национальную стратегию по безопасности сетевых и информационных систем, определяющую стратегические цели и соответствующие политические и нормативные меры с целью достижения и поддержания высокого уровня безопасности сетевых и информационных систем и охватывающую, по крайней мере, секторы, указанные в Приложении II, и услуги, указанные в Приложении III. Национальная стратегия по безопасности сетевых и информационных систем должна решать, в частности, следующие вопросы:
(а)
цели и приоритеты национальной стратегии по безопасности сетевых и информационных систем;
(б)
структура управления для достижения целей и приоритетов национальной стратегии по безопасности сетевых и информационных систем, включая роли и обязанности государственных органов и других соответствующих субъектов;
(с)
определение мер, касающихся готовности, реагирования и восстановления, включая сотрудничество между государственным и частным секторами;
(г)
указание программ образования, повышения осведомленности и подготовки кадров, касающихся национальной стратегии безопасности сетей и информационных систем;
(е)
указание планов исследований и разработок, касающихся национальной стратегии безопасности сетей и информационных систем;
(е)
план оценки рисков для выявления рисков;
(г)
список различных участников, участвующих в реализации национальной стратегии по безопасности сетей и информационных систем.
2. Государства-члены могут запросить помощь ENISA в разработке национальных стратегий по безопасности сетей и информационных систем.
3. Государства-члены должны сообщить Комиссии о своих национальных стратегиях по безопасности сетей и информационных систем в течение трех месяцев с момента их принятия. При этом государства-члены могут исключить из стратегии элементы, связанные с национальной безопасностью.
Статья 8
Национальные компетентные органы и единое контактное лицо
1. Каждое государство-член должно назначить один или несколько национальных компетентных органов по безопасности сетей и информационных систем («компетентный орган»), охватывающих как минимум сектора, указанные в Приложении II, и услуги, указанные в Приложении III. Государства-члены могут поручить эту роль существующему органу или органам власти.
2. Компетентные органы должны контролировать применение настоящей Директивы на национальном уровне.
3. Каждое государство-член должно назначить национальное единое контактное лицо по вопросам безопасности сетей и информационных систем («единое контактное лицо»). Государства-члены могут поручить эту роль существующему органу власти. Если государство-член назначает только один компетентный орган, этот компетентный орган также должен быть единым контактным лицом.
4. Единое контактное лицо должно выполнять функцию связи для обеспечения трансграничного сотрудничества органов государств-членов и с соответствующими органами в других государств-членах, а также с Группой сотрудничества, указанной в статье 11, и сетью CSIRT, упомянутой в статье 12. .
5. Государства-члены должны обеспечить, чтобы компетентные органы и единые контактные лица имели достаточные ресурсы для эффективного и действенного выполнения возложенных на них задач и тем самым для достижения целей настоящей Директивы. Государства-члены должны обеспечить эффективное, действенное и безопасное сотрудничество назначенных представителей в Группе сотрудничества.
6. Компетентные органы и единое контактное лицо должны, когда это необходимо и в соответствии с национальным законодательством, консультироваться и сотрудничать с соответствующими национальными правоохранительными органами и национальными органами по защите данных.
7. Каждое государство-член должно незамедлительно уведомить Комиссию о назначении компетентного органа и единого контактного лица, их задачах и любых последующих изменениях в них. Каждое государство-член должно опубликовать назначение компетентного органа и единого контактного лица. Комиссия публикует список назначенных единых контактных лиц.
Статья 9
Группы реагирования на инциденты компьютерной безопасности (CSIRT)
1. Каждое государство-член должно назначить одну или несколько CSIRT, которые должны соответствовать требованиям, изложенным в пункте (1) Приложения I, охватывая как минимум сектора, указанные в Приложении II, и услуги, указанные в Приложении III, ответственные за риск. и обработка инцидентов в соответствии с четко определенным процессом. CSIRT может быть создана в рамках компетентного органа.
2. Государства-члены должны обеспечить наличие у CSIRT достаточных ресурсов для эффективного выполнения своих задач, изложенных в пункте (2) Приложения I.
Государства-члены должны обеспечить эффективное, действенное и безопасное сотрудничество своих CSIRT в сети CSIRT, упомянутой в Статье 12.
3. Государства-члены должны обеспечить, чтобы их CSIRT имели доступ к соответствующей, безопасной и устойчивой коммуникационной и информационной инфраструктуре на национальном уровне.
4. Государства-члены должны информировать Комиссию о полномочиях, а также об основных элементах процесса обработки инцидентов своих CSIRT.
5. Государства-члены могут запросить помощь ENISA в разработке национальных CSIRT.
Статья 10
Сотрудничество на национальном уровне
1. Если они разделены, компетентный орган, единое контактное лицо и CSIRT одного и того же государства-члена должны сотрудничать в отношении выполнения обязательств, изложенных в настоящей Директиве.
2. Государства-члены должны обеспечить получение компетентными органами или CSIRT уведомлений о происшествиях, представленных в соответствии с настоящей Директивой. Если государство-член решает, что CSIRT не должны получать уведомления, CSIRT должен, насколько это необходимо для выполнения своих задач, получить доступ к данным об инцидентах, о которых сообщили операторы основных услуг, в соответствии со статьей 14(3) и (5). или поставщиками цифровых услуг в соответствии со статьей 16(3) и (6).
3. Государства-члены должны обеспечить, чтобы компетентные органы или CSIRT информировали единые контактные лица об уведомлениях о происшествиях, представленных в соответствии с настоящей Директивой.
К 9 августа 2018 года и каждый год в последующий год единое контактное лицо должно представить Группе сотрудничества сводный отчет о полученных уведомлениях, включая количество уведомлений и характер заявленных инцидентов, а также действия, предпринятые в соответствии со статьей 14. (3) и (5) и статьи 16(3) и (6).
ГЛАВА III
СОТРУДНИЧЕСТВО
Статья 11
Группа сотрудничества
1. В целях поддержки и содействия стратегическому сотрудничеству и обмену информацией между Государствами-Членами, а также для развития доверия и уверенности, а также с целью достижения высокого общего уровня безопасности сетей и информационных систем в Союзе, Группа сотрудничества создается настоящим установлено.
Группа сотрудничества выполняет свои задачи на основе двухгодичных программ работы, как указано во втором подпункте пункта 3.
2. Группа сотрудничества состоит из представителей государств-членов, Комиссии и ENISA.
При необходимости Группа сотрудничества может пригласить представителей соответствующих заинтересованных сторон принять участие в ее работе.
Комиссия обеспечивает секретариат.
3. Группа сотрудничества ставит перед собой следующие задачи:
(а)
обеспечение стратегического руководства деятельностью сети CSIRT, созданной в соответствии со статьей 12;
(б)
обмен передовым опытом обмена информацией, связанной с уведомлением об инцидентах, как указано в статье 14(3) и (5) и статье 16(3) и (6);
(с)
обмен передовым опытом между государствами-членами и в сотрудничестве с ENISA оказание помощи государствам-членам в наращивании потенциала для обеспечения безопасности сетей и информационных систем;
(г)
обсуждение возможностей и готовности государств-членов, а также на добровольной основе оценка национальных стратегий по безопасности сетевых и информационных систем и эффективности CSIRT, а также выявление передового опыта;
(е)
обмен информацией и передовым опытом в области повышения осведомленности и обучения;
(е)
обмен информацией и передовым опытом в области исследований и разработок, касающихся безопасности сетей и информационных систем;
(г)
при необходимости, обмен опытом по вопросам, касающимся безопасности сетей и информационных систем, с соответствующими учреждениями, органами, офисами и агентствами Союза;
(час)
обсуждение стандартов и спецификаций, указанных в статье 19, с представителями соответствующих европейских организаций по стандартизации;
(я)
сбор информации о передовой практике рисков и инцидентов;
(к)
рассмотрение на ежегодной основе кратких отчетов, упомянутых во втором подпункте статьи 10(3);
(к)
обсуждение работы, проделанной в отношении учений, касающихся безопасности сетей и информационных систем, образовательных программ и обучения, включая работу, проделанную ENISA;
(л)
при содействии ENISA обмен передовым опытом в отношении идентификации операторов основных услуг в государствах-членах, в том числе в отношении трансграничных зависимостей, в отношении рисков и инцидентов;
(м)
обсуждение условий сообщения об уведомлениях об инцидентах, указанных в Статьях 14 и 16.
К 9 февраля 2018 года и каждые два года после этого Группа сотрудничества должна разработать программу работы в отношении действий, которые необходимо предпринять для реализации ее целей и задач, которая должна соответствовать целям настоящей Директивы.
4. Для целей проверки, упомянутой в Статье 23, к 9 августа 2018 года и каждые полтора года после этого Группа сотрудничества должна подготовить отчет с оценкой опыта, полученного в ходе стратегического сотрудничества, осуществляемого в соответствии с настоящей Статьей.
5. Комиссия принимает исполнительные акты, устанавливающие процедурные механизмы, необходимые для функционирования Группы сотрудничества. Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в статье 22(2).
Для целей первого подпараграфа Комиссия должна представить первый проект имплементационного акта в комитет, указанный в Статье 22(1), к 9 февраля 2017 года.
Статья 12
Сеть CSIRT
1. В целях содействия развитию доверия между государствами-членами и содействия быстрому и эффективному оперативному сотрудничеству настоящим создается сеть национальных CSIRT.
2. Сеть CSIRT должна состоять из представителей CSIRT государств-членов и CERT-EU. Комиссия участвует в сети CSIRT в качестве наблюдателя. ENISA обеспечит секретариат и будет активно поддерживать сотрудничество между CSIRT.
3. Сеть CSIRT должна решать следующие задачи:
(а)
обмен информацией об услугах, операциях и возможностях сотрудничества CSIRT;
(б)
по запросу представителя CSIRT из государства-члена, потенциально затронутого инцидентом, обмен и обсуждение некоммерческой конфиденциальной информации, связанной с этим инцидентом и связанными с ним рисками; однако CSIRT любого государства-члена может отказаться участвовать в этом обсуждении, если существует риск нанесения ущерба расследованию инцидента;
(с)
обмен и предоставление на добровольной основе неконфиденциальной информации об отдельных происшествиях;
(г)
по запросу представителя CSIRT государства-члена обсуждение и, где это возможно, определение скоординированного ответа на инцидент, который был выявлен в пределах юрисдикции того же государства-члена;
(е)
предоставление государствам-членам поддержки в решении трансграничных инцидентов на основе их добровольной взаимной помощи;
(е)
обсуждение, изучение и определение дальнейших форм оперативного сотрудничества, в том числе в отношении:
(я)
категории рисков и инцидентов;
(ii)
ранние предупреждения;
(iii)
взаимопомощь;
(iv)
принципы и условия координации, когда государства-члены реагируют на трансграничные риски и инциденты;
(г)
информирование Группы сотрудничества о ее деятельности и дальнейших формах оперативного сотрудничества, обсуждаемых в соответствии с пунктом (f), и запрос рекомендаций в этом отношении;
(час)
обсуждение уроков, извлеченных из учений, касающихся безопасности сетей и информационных систем, в том числе из учений, организованных ENISA;
(я)
по запросу отдельной CSIRT обсуждение возможностей и готовности этой CSIRT;
(к)
издание руководящих указаний в целях содействия сближению оперативной практики в отношении применения положений настоящей статьи, касающихся оперативного сотрудничества.
4. Для целей проверки, упомянутой в Статье 23, к 9 августа 2018 года и каждые полтора года после этого сеть CSIRT должна подготовить отчет с оценкой опыта, полученного в ходе оперативного сотрудничества, включая выводы и рекомендации, осуществляемые в рамках Эта статья. Этот отчет также будет представлен Группе сотрудничества.
5. Сеть CSIRT должна установить свои собственные правила процедуры.
Статья 13
Международное сотрудничество
Союз может заключать международные соглашения в соответствии со статьей 218 ДФЕС с третьими странами или международными организациями, разрешая и организуя их участие в некоторых мероприятиях Группы сотрудничества. Такие соглашения должны учитывать необходимость обеспечения адекватной защиты данных.
ГЛАВА IV
БЕЗОПАСНОСТЬ СЕТЕЙ И ИНФОРМАЦИОННЫХ СИСТЕМ ОПЕРАТОРОВ ЖИЗНЕННЫХ УСЛУГ
Статья 14
Требования безопасности и уведомление об инцидентах
1. Государства-члены должны обеспечить, чтобы операторы основных услуг принимали соответствующие и пропорциональные технические и организационные меры для управления рисками, связанными с безопасностью сетей и информационных систем, которые они используют в своей деятельности. С учетом современного уровня техники эти меры должны обеспечивать уровень безопасности сетей и информационных систем, соответствующий создаваемому риску.
2. Государства-члены должны обеспечить, чтобы операторы основных услуг принимали соответствующие меры для предотвращения и минимизации последствий инцидентов, затрагивающих безопасность сетей и информационных систем, используемых для предоставления таких основных услуг, с целью обеспечения непрерывности этих услуг. .
3. Государства-члены должны обеспечить, чтобы операторы основных услуг без неоправданной задержки уведомляли компетентный орган или CSIRT об инцидентах, оказывающих существенное влияние на непрерывность предоставления основных услуг, которые они предоставляют. Уведомления должны включать информацию, позволяющую компетентному органу или CSIRT определить любое трансграничное воздействие инцидента. Уведомление не влечет за собой повышенную ответственность уведомляющей стороны.
4. Для определения значимости воздействия инцидента, в частности, должны быть приняты во внимание следующие параметры:
(а)
количество пользователей, пострадавших от сбоя в предоставлении основных услуг;
(б)
продолжительность происшествия;
(с)
географическое распространение территории, затронутой инцидентом.
5. На основе информации, предоставленной в уведомлении оператора основных услуг, компетентный орган или CSIRT должен проинформировать другое затронутое государство(а)-члена, если инцидент оказывает существенное влияние на непрерывность предоставления основных услуг в этом Государство-член. При этом компетентный орган или CSIRT должен в соответствии с законодательством Союза или национальным законодательством, которое соответствует законодательству Союза, сохранять безопасность и коммерческие интересы оператора основных услуг, а также конфиденциальность информации, представленной в его уведомление.
Если позволяют обстоятельства, компетентный орган или CSIRT должен предоставить уведомляющему оператору основных услуг соответствующую информацию о последующих мерах по его уведомлению, например, информацию, которая может способствовать эффективному реагированию на инциденты.
По запросу компетентного органа или CSIRT единое контактное лицо должно направлять уведомления, указанные в первом подпараграфе, единым контактным лицам других затронутых государств-членов.
6. После консультации с уведомляющим оператором основных услуг компетентный орган или CSIRT может информировать общественность об отдельных инцидентах, когда осведомленность общественности необходима для предотвращения инцидента или реагирования на продолжающийся инцидент.
7. Компетентные органы, действуя вместе в рамках Группы сотрудничества, могут разрабатывать и принимать руководящие принципы, касающиеся обстоятельств, при которых операторы основных услуг обязаны уведомлять об инцидентах, в том числе относительно параметров для определения значимости воздействия инцидента, как указано в параграфе 4. .
Статья 15
Реализация и обеспечение соблюдения
1. Государства-члены должны обеспечить, чтобы компетентные органы имели необходимые полномочия и средства для оценки соблюдения операторами основных услуг своих обязательств по Статье 14 и их влияния на безопасность сетевых и информационных систем.
2. Государства-члены должны обеспечить, чтобы компетентные органы имели полномочия и средства требовать от операторов основных услуг предоставления:
(а)
информацию, необходимую для оценки безопасности их сети и информационных систем, включая документированную политику безопасности;
(б)
доказательства эффективной реализации политик безопасности, такие как результаты аудита безопасности, проведенного компетентным органом или квалифицированным аудитором, и, в последнем случае, предоставить компетентному органу доступ к его результатам, включая лежащие в их основе доказательства. .
При запросе такой информации или доказательств компетентный орган должен указать цель запроса и указать, какая информация требуется.
3. После оценки информации или результатов проверок безопасности, указанных в пункте 2, компетентный орган может выдать обязательные инструкции операторам основных услуг по устранению выявленных недостатков.
4. Компетентный орган должен работать в тесном сотрудничестве с органами по защите данных при рассмотрении инцидентов, приводящих к утечке персональных данных.
ГЛАВА V
БЕЗОПАСНОСТЬ СЕТЕЙ И ИНФОРМАЦИОННЫХ СИСТЕМ ПОСТАВЩИКОВ ЦИФРОВЫХ УСЛУГ
Статья 16
Требования безопасности и уведомление об инцидентах
1. Государства-члены должны обеспечить, чтобы поставщики цифровых услуг выявляли и принимали соответствующие и пропорциональные технические и организационные меры для управления рисками, связанными с безопасностью сетей и информационных систем, которые они используют в контексте предложения услуг, упомянутых в Приложении III, в рамках Союза. . С учетом современного уровня техники эти меры должны обеспечивать уровень безопасности сетевых и информационных систем, соответствующий создаваемому риску, и должны учитывать следующие элементы:
(а)
безопасность систем и объектов;
(б)
обработка инцидентов;
(с)
Управление непрерывностью бизнеса;
(г)
мониторинг, аудит и тестирование;
(е)
соответствие международным стандартам.
2. Государства-члены должны обеспечить, чтобы поставщики цифровых услуг принимали меры для предотвращения и минимизации воздействия инцидентов, влияющих на безопасность их сетей и информационных систем, на услуги, указанные в Приложении III, которые предлагаются в Союзе, с целью обеспечения непрерывность этих услуг.
3. Государства-члены должны обеспечить, чтобы поставщики цифровых услуг уведомляли компетентный орган или CSIRT без неоправданной задержки о любом инциденте, оказывающем существенное влияние на предоставление услуги, указанной в Приложении III, которую они предлагают в пределах Союза. Уведомления должны включать информацию, позволяющую компетентному органу или CSIRT определить значимость любого трансграничного воздействия. Уведомление не влечет за собой повышенную ответственность уведомляющей стороны.
4. Чтобы определить, является ли влияние инцидента существенным, в частности, должны быть приняты во внимание следующие параметры:
(а)
количество пользователей, пострадавших от инцидента, в частности пользователей, полагающихся на сервис для предоставления собственных услуг;
(б)
продолжительность происшествия;
(с)
географическое распространение территории, затронутой инцидентом;
(г)
степень нарушения функционирования услуги;
(е)
степень воздействия на экономическую и общественную деятельность.
Обязанность уведомлять об инциденте применяется только в том случае, если поставщик цифровых услуг имеет доступ к информации, необходимой для оценки влияния инцидента на параметры, указанные в первом подпункте.
5. Если оператор основных услуг полагается на стороннего поставщика цифровых услуг для предоставления услуги, которая необходима для поддержания критически важной социальной и экономической деятельности, любое существенное влияние на непрерывность предоставления основных услуг из-за инцидента затрагивающие поставщика цифровых услуг, должен быть уведомлен этим оператором.
6. При необходимости, и в частности, если инцидент, упомянутый в параграфе 3, касается двух или более государств-членов, компетентный орган или CSIRT должен проинформировать другие затронутые государства-члены. При этом компетентные органы, CSIRT и единые контактные лица должны в соответствии с законодательством Союза или национальным законодательством, соответствующим законодательству Союза, сохранять безопасность и коммерческие интересы поставщика цифровых услуг, а также конфиденциальность предоставленной информации.
7. После консультации с соответствующим поставщиком цифровых услуг компетентный орган или CSIRT и, при необходимости, органы власти или CSIRT других заинтересованных государств-членов могут информировать общественность об отдельных инцидентах или требовать этого от поставщика цифровых услуг, если это публично. осведомленность необходима для предотвращения инцидента или реагирования на продолжающийся инцидент, или когда раскрытие инцидента иным образом отвечает общественным интересам.
8. Комиссия должна принять исполнительные акты для дальнейшего уточнения элементов, упомянутых в пункте 1, и параметров, перечисленных в пункте 4 настоящей статьи. Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в статье 22(2), к 9 августа 2017 года.
9. Комиссия может принимать исполнительные акты, устанавливающие форматы и процедуры, применимые к требованиям к уведомлению. Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в статье 22(2).
10. Без ущерба для статьи 1(6) государства-члены не должны предъявлять никаких дополнительных требований безопасности или уведомления к поставщикам цифровых услуг.
11. Глава V не применяется к микро- и малым предприятиям, как это определено в Рекомендации Комиссии 2003/361/EC (19).
Статья 17
Реализация и обеспечение соблюдения
1. Государства-члены должны обеспечить, чтобы компетентные органы при необходимости принимали меры посредством мер надзора ex post, когда им предоставлены доказательства того, что поставщик цифровых услуг не соответствует требованиям, изложенным в Статье 16. Такие доказательства могут быть представлены компетентным органом. органом другого государства-члена, где предоставляется услуга.
2. Для целей пункта 1 компетентные органы должны иметь необходимые полномочия и средства, чтобы требовать от поставщиков цифровых услуг:
(а)
предоставлять информацию, необходимую для оценки безопасности своей сети и информационных систем, включая документированную политику безопасности;
(б)
устранить любое невыполнение требований, изложенных в статье 16.
3. Если поставщик цифровых услуг имеет свое основное учреждение или представителя в государстве-члене, но его сеть и информационные системы расположены в одном или нескольких других государств-членах, компетентный орган государства-члена основного учреждения или представителя и компетентные органы этих других государств-членов должны сотрудничать и помогать друг другу по мере необходимости. Такая помощь и сотрудничество могут включать обмен информацией между заинтересованными компетентными органами и запросы на принятие мер надзора, упомянутых в пункте 2.
Статья 18
Юрисдикция и территориальность
1. Для целей настоящей Директивы считается, что поставщик цифровых услуг находится под юрисдикцией Государства-члена, в котором находится его основное представительство. Считается, что поставщик цифровых услуг имеет свое основное представительство в государстве-члене, если у него есть головной офис в этом государстве-члене.
2. Поставщик цифровых услуг, который не зарегистрирован в Союзе, но предлагает услуги, указанные в Приложении III, на территории Союза, должен назначить представителя в Союзе. Представитель должен быть учрежден в одном из тех государств-членов, где предлагаются услуги. Считается, что поставщик цифровых услуг находится под юрисдикцией государства-члена, в котором учрежден представитель.
3. Назначение представителя поставщиком цифровых услуг не должно наносить ущерба юридическим искам, которые могут быть инициированы против самого поставщика цифровых услуг.
ГЛАВА VI
СТАНДАРТИЗАЦИЯ И ДОБРОВОЛЬНОЕ УВЕДОМЛЕНИЕ
Статья 19
Стандартизация
1. В целях содействия конвергентному осуществлению статьи 14(1) и (2) и статьи 16(1) и (2) государства-члены должны, не навязывая и не дискриминируя в пользу использования определенного типа технологии, поощрять использование европейских или международно признанных стандартов и спецификаций, касающихся безопасности сетей и информационных систем.
2. ENISA в сотрудничестве с государствами-членами должна разработать рекомендации и рекомендации относительно технических областей, которые следует учитывать в связи с параграфом 1, а также относительно уже существующих стандартов, включая национальные стандарты государств-членов, которые позволят этим областям быть прикрытым.
Статья 20
Добровольное уведомление
1. Без ущерба для статьи 3 организации, которые не были идентифицированы как операторы основных услуг и не являются поставщиками цифровых услуг, могут на добровольной основе уведомлять об инцидентах, оказывающих существенное влияние на непрерывность услуг, которые они предоставляют.
2. При обработке уведомлений государства-члены действуют в соответствии с процедурой, установленной в статье 14. Государства-члены могут отдавать приоритет обработке обязательных уведомлений над добровольными уведомлениями. Добровольные уведомления обрабатываются только в том случае, если такая обработка не представляет собой непропорциональное или неоправданное бремя для соответствующих государств-членов.
Добровольное уведомление не влечет за собой наложение на уведомляющую организацию каких-либо обязательств, которые бы на нее не распространялись, если бы она не направила такое уведомление.
ГЛАВА VII
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 21
Штрафы
Государства-члены должны установить правила в отношении санкций, применимых к нарушениям национальных положений, принятых в соответствии с настоящей Директивой, и принять все меры, необходимые для обеспечения их выполнения. Предусмотренные наказания должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие. Государства-члены должны до 9 мая 2018 года уведомить Комиссию об этих правилах и этих мерах, а также незамедлительно уведомить ее о любых последующих поправках, затрагивающих их.
Статья 22
Процедура комитета
1. Комиссии будет оказывать помощь Комитет по безопасности сетей и информационных систем. Этот комитет должен быть комитетом в значении Регламента (ЕС) № 182/2011.
2. При ссылке на настоящий параграф применяется Статья 5 Регламента (ЕС) № 182/2011.
Статья 23
Обзор
1. К 9 мая 2019 года Комиссия должна представить отчет Европейскому парламенту и Совету, оценивая последовательность подхода, используемого государствами-членами при идентификации операторов основных услуг.
2. Комиссия должна периодически проверять действие настоящей Директивы и отчитываться перед Европейским парламентом и Советом. С этой целью и в целях дальнейшего продвижения стратегического и оперативного сотрудничества Комиссия должна принять во внимание отчеты Группы сотрудничества и сети CSIRT об опыте, полученном на стратегическом и оперативном уровне. В ходе своего рассмотрения Комиссия также должна оценить списки, содержащиеся в Приложениях II и III, а также последовательность в идентификации операторов основных услуг и услуг в секторах, указанных в Приложении II. Первый отчет должен быть представлен до 9 мая 2021 года.
Статья 24
Переходные меры
1. Без ущерба для статьи 25 и с целью предоставления государствам-членам дополнительных возможностей для надлежащего сотрудничества в период транспонирования Группа сотрудничества и сеть CSIRT должны приступить к выполнению задач, изложенных в статьях 11(3) и 12. (3) соответственно до 9 февраля 2017 г.
2. В период с 9 февраля 2017 г. по 9 ноября 2018 г. и в целях оказания поддержки государствам-членам в применении последовательного подхода в процессе идентификации операторов основных услуг Группа сотрудничества обсудит процесс, содержание и тип национальные меры, позволяющие идентифицировать операторов основных услуг в конкретном секторе в соответствии с критериями, изложенными в Статьях 5 и 6. Группа сотрудничества также обсуждает, по запросу государства-члена, конкретные проекты национальных мер этого члена. Государство, позволяющее идентифицировать операторов основных услуг в конкретном секторе в соответствии с критериями, изложенными в статьях 5 и 6.
3. К 9 февраля 2017 года и для целей настоящей статьи государства-члены должны обеспечить соответствующее представительство в Группе сотрудничества и сети CSIRT.
Статья 25
Транспонирование
1. Государства-члены должны принять и опубликовать до 9 мая 2018 года законы, постановления и административные положения, необходимые для соблюдения настоящей Директивы. Они должны немедленно проинформировать об этом Комиссию.
Они начнут применять эти меры с 10 мая 2018 года.
Когда государства-члены принимают эти меры, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.
2. Государства-члены должны сообщить Комиссии текст основных положений национального законодательства, которые они принимают в области, охватываемой настоящей Директивой.
Статья 26
Вступление в силу
Настоящая Директива вступает в силу на двадцатый день после ее публикации в Официальном журнале Европейского Союза.
Статья 27
Адресаты
Настоящая Директива адресована государствам-членам.
Совершено в Страсбурге 6 июля 2016 г.
За Европейский парламент
Президент
М. ШУЛЬЦ
Для Совета
Президент
И. КОРЧОК
(1) OJ C 271, 19 сентября 2013 г., стр. 133.
(2) Позиция Европейского парламента от 13 марта 2014 г. (еще не опубликована в Официальном журнале) и позиция Совета в первом чтении от 17 мая 2016 г. (еще не опубликована в Официальном журнале). Позиция Европейского парламента от 6 июля 2016 г. (пока не опубликована в Официальном журнале).
(3) Директива 2002/21/EC Европейского парламента и Совета от 7 марта 2002 г. об общей нормативной базе для сетей и услуг электронных коммуникаций (Рамочная директива) (OJ L 108, 24.4.2002, стр. 33).
(4) Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC (OJ L 257, 28.8) .2014, стр. 73).
(5) Решение Совета 2013/488/EU от 23 сентября 2013 г. о правилах безопасности для защиты секретной информации ЕС (OJ L 274, 15.10.2013, стр. 1).
(6) OJ C 352, 7.10.2014, с. 4.
(7) Регламент (ЕС) № 526/2013 Европейского парламента и Совета от 21 мая 2013 г., касающийся Агентства Европейского Союза по сетевой и информационной безопасности (ENISA) и отменяющий Регламент (ЕС) № 460/2004 (OJ L 165, 18.6.2013, стр. 41).
(8) Регламент (ЕС) № 1025/2012 Европейского парламента и Совета от 25 октября 2012 г. о европейской стандартизации, вносящий поправки в Директивы Совета 89/686/EEC и 93/15/EEC и Директивы 94/9/EC, 94 /25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC и 2009/105/EC Европейского парламента и Совета и отменяет Решение Совета 87/95/EEC и Решение № 1673/2006/EC Европейского Парламента и Совета (ОЖ L 316, 14.11.2012, стр. 12).
(9) Регламент (ЕС) № 182/2011 Европейского парламента и Совета от 16 февраля 2011 г., устанавливающий правила и общие принципы, касающиеся механизмов контроля со стороны государств-членов за осуществлением Комиссией имплементационных полномочий (ОЖ L 55, 28.2) .2011, стр. 13).
(10) Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите частных лиц в отношении обработки персональных данных и о свободном перемещении таких данных (OJ L 281, 23.11.1995 г.) , стр. 31).
(11) Регламент (ЕС) № 45/2001 Европейского парламента и Совета от 18 декабря 2000 г. о защите физических лиц в отношении обработки персональных данных учреждениями и органами Сообщества, а также о свободном перемещении таких данных. (ОЖ L 8, 12 января 2001 г., стр. 1).
(12) Регламент (ЕС) № 1049/2001 Европейского парламента и Совета от 30 мая 2001 г. относительно публичного доступа к документам Европейского парламента, Совета и Комиссии (ОЖ L 145, 31 мая 2001 г., стр. 43).
(13) ОЖ C 32, 04.02.2014, с. 19.
(14) Директива Совета 2008/114/EC от 8 декабря 2008 г. об идентификации и назначении европейских критически важных инфраструктур и оценке необходимости улучшения их защиты (OJ L 345, 23.12.2008, стр. 75).
(15) Директива 2011/93/EU Европейского парламента и Совета от 13 декабря 2011 г. о борьбе с сексуальным насилием и сексуальной эксплуатацией детей и детской порнографией и заменяющая Рамочное решение Совета 2004/68/JHA (OJ L 335, 17.12.2011, п. 1).
(16) Директива 2013/40/EU Европейского парламента и Совета от 12 августа 2013 г. об атаках на информационные системы и замене рамочного решения Совета 2005/222/JHA (OJ L 218, 14 августа 2013 г., стр. 8).
(17) Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 г., устанавливающая процедуру предоставления информации в области технических регламентов и правил об услугах информационного общества (OJ L 241, 17.9) .2015, стр. 1).
(18) Директива 2013/11/ЕС Европейского парламента и Совета от 21 мая 2013 г. об альтернативном разрешении потребительских споров и внесении изменений в Регламент (ЕС) № 2006/2004 и Директиву 2009/22/EC (Директива о потребительских ADR ) (ОЖ L 165, 18.6.2013, стр. 63).
(19) Рекомендация Комиссии 2003/361/EC от 6 мая 2003 г. относительно определения микро-, малых и средних предприятий (ОЖ L 124, 20 мая 2003 г., стр. 36).
ПРИЛОЖЕНИЕ I
ТРЕБОВАНИЯ И ЗАДАЧИ ГРУПП РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ (CSIRT)
Требования и задачи CSIRT должны быть адекватно и четко определены и подкреплены национальной политикой и/или регулированием. Они должны включать следующее:
(1)
Требования к CSIRT:
(а)
CSIRT должны обеспечивать высокий уровень доступности своих коммуникационных услуг, избегая единых точек отказа, и должны иметь несколько средств для связи и связи с другими в любое время. Кроме того, каналы связи должны быть четко определены и хорошо известны избирателям и партнерам по сотрудничеству.
(б)
Помещения CSIRT и вспомогательные информационные системы должны располагаться в безопасных местах.
(с)
Непрерывность бизнеса:
(я)
CSIRT должны быть оснащены соответствующей системой управления и маршрутизации запросов для облегчения передачи обслуживания.
(ii)
CSIRT должны быть укомплектованы соответствующим образом, чтобы обеспечить постоянную доступность.
(iii)
CSIRT должны опираться на инфраструктуру, непрерывность которой обеспечивается. Для этого должны быть доступны резервные системы и резервное рабочее пространство.
(г)
CSIRT должны иметь возможность участвовать, если они того пожелают, в сетях международного сотрудничества.
(2)
Задачи CSIRT:
(а)
Задачи CSIRT должны включать как минимум следующее:
(я)
мониторинг инцидентов на национальном уровне;
(ii)
обеспечение раннего предупреждения, оповещений, объявлений и распространение информации о рисках и инцидентах среди соответствующих заинтересованных сторон;
(iii)
реагирование на инциденты;
(iv)
обеспечение динамического анализа рисков и инцидентов, а также осведомленности о ситуации;
(в)
участие в сети CSIRT.
(б)
CSIRT должны установить отношения сотрудничества с частным сектором.
(с)
Для облегчения сотрудничества CSIRT должны способствовать принятию и использованию общих или стандартизированных практик для:
(я)
процедуры управления инцидентами и рисками;
(ii)
схемы классификации инцидентов, рисков и информации.
ПРИЛОЖЕНИЕ II
ТИПЫ СУБЪЕКТОВ ДЛЯ ЦЕЛЕЙ ПУНКТА (4) СТАТЬИ 4
Сектор
Подсектор
Тип объекта
1.
Энергия
(а)
Электричество
—
Электроэнергетические предприятия, как определено в пункте (35) статьи 2 Директивы 2009/72/EC Европейского парламента и Совета (1), которые выполняют функцию «поставки», как определено в пункте (19) статьи 2. этой Директивы
—
Операторы распределительных систем, как определено в пункте (6) статьи 2 Директивы 2009/72/EC.
—
Операторы систем передачи, как определено в пункте (4) статьи 2 Директивы 2009/72/EC.
(б)
Масло
—
Операторы нефтепроводов
—
Операторы объектов добычи, переработки и подготовки нефти, ее хранения и транспортировки
(с)
Газ
—
Предприятия-поставщики, как определено в пункте (8) статьи 2 Директивы 2009/73/EC Европейского парламента и Совета (2)
—
Операторы распределительных систем, как определено в пункте (6) статьи 2 Директивы 2009/73/EC.
—
Операторы систем передачи, как определено в пункте (4) статьи 2 Директивы 2009/73/EC.
—
Операторы систем хранения, как определено в пункте (10) статьи 2 Директивы 2009/73/EC.
—
Операторы системы СПГ, как определено в пункте (12) статьи 2 Директивы 2009/73/EC.
—
Предприятия природного газа, как определено в пункте (1) статьи 2 Директивы 2009/73/EC
—
Операторы объектов по переработке и очистке природного газа
2.
Транспорт
(а)
Воздушный транспорт
—
Авиаперевозчики, как определено в пункте (4) статьи 3 Регламента (ЕС) № 300/2008 Европейского парламента и Совета (3)
—
Органы управления аэропортами, как определено в пункте (2) статьи 2 Директивы 2009/12/EC Европейского парламента и Совета (4), аэропорты, как определено в пункте (1) статьи 2 этой Директивы, включая ядро аэропорты, перечисленные в Разделе 2 Приложения II к Регламенту (ЕС) № 1315/2013 Европейского Парламента и Совета (5), а также организации, эксплуатирующие вспомогательные установки, находящиеся на территории аэропортов
—
Операторы по управлению движением, предоставляющие услуги по управлению воздушным движением (УВД), как определено в пункте (1) статьи 2 Регламента (ЕС) № 549/2004 Европейского парламента и Совета (6)
(б)
Железнодорожный транспорт
—
Менеджеры инфраструктуры, как это определено в пункте (2) статьи 3 Директивы 2012/34/EU Европейского парламента и Совета (7)
—
Железнодорожные предприятия, как определено в пункте (1) статьи 3 Директивы 2012/34/ЕС, включая операторов объектов обслуживания, как определено в пункте (12) статьи 3 Директивы 2012/34/ЕС
(с)
Водный транспорт
—
Компании внутреннего, морского и прибрежного пассажирского и грузового водного транспорта, как это определено для морского транспорта в Приложении I к Регламенту (ЕС) № 725/2004 Европейского парламента и Совета (8), не включая отдельные суда, эксплуатируемые этими компаниями.
—
Органы управления портами, как определено в пункте (1) статьи 3 Директивы 2005/65/EC Европейского парламента и Совета (9), включая их портовые сооружения, как определено в пункте (11) статьи 2 Регламента ( ЕС) № 725/2004, а также субъекты, эксплуатирующие работы и оборудование, находящиеся в портах.
—
Операторы служб движения судов, как определено в пункте (o) статьи 3 Директивы 2002/59/EC Европейского парламента и Совета (10)
(г)
Дорожный транспорт
—
Дорожные органы, как определено в пункте (12) статьи 2 Делегированного регламента Комиссии (ЕС) 2015/962 (11), ответственны за контроль управления дорожным движением.
—
Операторы интеллектуальных транспортных систем, как определено в пункте (1) статьи 4 Директивы 2010/40/EU Европейского парламента и Совета (12)
3.
Банковское дело
Кредитные организации, как определено в пункте (1) статьи 4 Регламента (ЕС) № 575/2013 Европейского парламента и Совета (13)
4.
Инфраструктура финансового рынка
—
Операторы торговых площадок, как определено в пункте (24) статьи 4 Директивы 2014/65/EU Европейского парламента и Совета (14)
—
Центральные контрагенты (ЦКА), как они определены в пункте (1) статьи 2 Регламента (ЕС) № 648/2012 Европейского парламента и Совета (15)
5.
Сектор здравоохранения
Медицинские учреждения (включая больницы и частные клиники)
Поставщики медицинских услуг, как определено в пункте (g) статьи 3 Директивы 2011/24/ЕС Европейского парламента и Совета (16)
6.
Поставка и распределение питьевой воды
Поставщики и дистрибьюторы воды, предназначенной для потребления человеком, как определено в пункте (1)(a) статьи 2 Директивы Совета 98/83/EC (17), но исключая дистрибьюторов, для которых распределение воды для потребления человеком является лишь частью их общих обязанностей. деятельность по распространению других товаров и товаров, которые не считаются услугами первой необходимости
7.
Цифровая инфраструктура
—
IXP
—
Поставщики услуг DNS
—
Реестры имен TLD
(1) Директива 2009/72/EC Европейского парламента и Совета от 13 июля 2009 г. об общих правилах для внутреннего рынка электроэнергии и отменяющая Директиву 2003/54/EC (OJ L 211, 14 августа 2009 г., стр. 55) ).
(2) Директива 2009/73/EC Европейского парламента и Совета от 13 июля 2009 г., касающаяся общих правил внутреннего рынка природного газа и отменяющая Директиву 2003/55/EC (OJ L 211, 14.8.2009, стр. 94).
(3) Регламент (ЕС) № 300/2008 Европейского парламента и Совета от 11 марта 2008 года об общих правилах в области безопасности гражданской авиации и отменяющий Регламент (ЕС) № 2320/2002 (ОЖ L 97, 9.4. 2008, стр. 72).
(4) Директива 2009/12/EC Европейского парламента и Совета от 11 марта 2009 г. об аэропортовых сборах (ОЖ L 70, 14 марта 2009 г., стр. 11).
(5) Регламент (ЕС) № 1315/2013 Европейского парламента и Совета от 11 декабря 2013 г. о руководящих принципах Союза по развитию трансъевропейской транспортной сети и отмене Решения № 661/2010/ЕС (OJ L 348, 20.12.2013, п. 1).
(6) Регламент (ЕС) № 549/2004 Европейского парламента и Совета от 10 марта 2004 г., устанавливающий основу для создания единого европейского неба (рамочный Регламент) (ОЖ L 96, 31.3.2004, стр. 1).
(7) Директива 2012/34/EU Европейского парламента и Совета от 21 ноября 2012 г. о создании единой европейской железнодорожной зоны (OJ L 343, 14.12.2012, стр. 32).
(8) Регламент (ЕС) № 725/2004 Европейского парламента и Совета от 31 марта 2004 г. о повышении безопасности судов и портовых средств (ОЖ L 129, 29.4.2004, стр. 6).
(9) Директива 2005/65/EC Европейского парламента и Совета от 26 октября 2005 г. об усилении безопасности портов (OJ L 310, 25.11.2005, стр. 28).
(10) Директива 2002/59/EC Европейского парламента и Совета от 27 июня 2002 года о создании системы мониторинга и информации о движении судов Сообщества и отменяющая Директиву Совета 93/75/EEC (OJ L 208, 5.8.2002, стр. 10).
(11) Делегированный регламент Комиссии (ЕС) 2015/962 от 18 декабря 2014 г., дополняющий Директиву 2010/40/EU Европейского парламента и Совета в отношении предоставления услуг информации о дорожном движении в масштабе всего ЕС (OJ L 157) , 23.6.2015, стр. 21).
(12) Директива 2010/40/EU Европейского парламента и Совета от 7 июля 2010 г. о рамках развертывания интеллектуальных транспортных систем в области автомобильного транспорта и взаимодействия с другими видами транспорта (OJ L 207, 6.8.2010, п. 1).
(13) Регламент (ЕС) № 575/2013 Европейского парламента и Совета от 26 июня 2013 г. о пруденциальных требованиях к кредитным учреждениям и инвестиционным фирмам и вносящий поправки в Регламент (ЕС) № 648/2012 (ОЖ L 176, 27.6.2013 г.) , стр. 1).
(14) Директива 2014/65/EU Европейского парламента и Совета от 15 мая 2014 г. о рынках финансовых инструментов и внесение поправок в Директиву 2002/92/EC и Директиву 2011/61/EU (OJ L 173, 12.6.2014, стр. 349).
(15) Регламент (ЕС) № 648/2012 Европейского парламента и Совета от 4 июля 2012 г. о внебиржевых деривативах, центральных контрагентах и торговых репозиториях (ОЖ L 201, 27.7.2012, стр. 1).
(16) Директива 2011/24/EU Европейского парламента и Совета от 9 марта 2011 г. о применении прав пациентов в трансграничном здравоохранении (ОЖ L 88, 4.4.2011, стр. 45).
(17) Директива Совета 98/83/EC от 3 ноября 1998 г. о качестве воды, предназначенной для потребления человеком (OJ L 330, 5.12.1998, стр. 32).
ПРИЛОЖЕНИЕ III
ВИДЫ ЦИФРОВЫХ УСЛУГ ДЛЯ ЦЕЛЕЙ ПУНКТА (5) СТАТЬИ 4
1.
Интернет-рынок.
2.
Интернет-поисковик.
3.
Сервис облачных вычислений.
Вершина
Директивы по годам
- 2024
- 2023
- 2022
- 2021
- 2020
- 2019
- 2018
- 2017
- 2016
- 2015
- 2014
- 2013
- 2012
- 2011
- 2010
- 2009
- 2008
- 2007
- 2006
- 2005
- 2004
- 2003
- 2002
- 2001
- 2000
- 1999
- 1998
- 1997
- 1996
- 1995
- 1994
- 1993
- 1992
- 1991
- 1990
- 1989
- 1988
- 1987
- 1986
- 1985
- 1984
- 1983
- 1982
- 1981
- 1980
- 1979
- 1978
- 1977
- 1976
- 1975
- 1974
- 1973
- 1972
- 1971
- 1970
- 1969
- 1968
- 1967
- 1966
- 1965
- 1964
- 1963
- 1962
- 1961
- 1960
- 1959