A jogszabály mai napon ( 2024.09.11. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

Az Európai Unió joganyaga kizárólag az Európai Unió Hivatalos Lapjának elektronikus kiadásában megjelent változatban tekinthető hivatalosnak és hitelesnek. A Jogtár termékcsalád európai jogi dokumentumainak forrása az Európai Unió Kiadóhivatala, valamint a Hivatalos Lap magyar nyelvű változatának elektronikus kiadása. © Európai Unió, 1998-2022, https://eur-lex.europa.eu/

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2022. december 14-i (EU) 2022/2557 IRÁNYELVE

a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről * 

(EGT-vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére * ,

tekintettel a Régiók Bizottságának véleményére * ,

rendes jogalkotási eljárás keretében * ,

mivel:

(1) Alapvető szolgáltatásokat nyújtó szervezetekként a kritikus szervezetek nélkülözhetetlen szerepet töltenek be a belső piacon az alapvetően fontos társadalmi funkciók vagy gazdasági tevékenységek fenntartásában, egy olyan uniós gazdaságban, amelynek ágazatai egyre nagyobb mértékben függenek egymástól. Ezért alapvető fontosságú egy olyan uniós keret kidolgozása, amely mind a belső piacon működő kritikus szervezetek rezilienciájának fokozását célozza harmonizált minimumszabályok meghatározásával, mind pedig koherens és célzott támogatási és felügyeleti intézkedésekkel hivatott segíteni e szervezeteket.

(2) A 2008/114/EK tanácsi irányelv *  rendelkezik az energia- és a közlekedési ágazatban működő azon európai kritikus infrastruktúra kijelölésére szolgáló eljárásról, amelyek zavarának vagy megrongálódásának jelentős határokon átnyúló hatása lehet legalább két tagállamban. Az említett irányelv kizárólag az ilyen infrastruktúra védelmére összpontosít. A 2008/114/EK irányelv 2019-ben elvégzett értékelése azonban azt állapította meg, hogy a kritikus infrastruktúra használatával végzett műveletek egyre inkább összekapcsolódó és határokon átnyúló jellege miatt a kizárólag az egyes eszközökre vonatkozó védelmi intézkedések nem elegendőek a zavarok megelőzéséhez. Ezért változtatni kell a megközelítésen, és a kockázatok megfelelőbb figyelembevételének biztosítására kell összpontosítani, valamint arra, hogy a belső piac működése szempontjából alapvető szolgáltatásokat nyújtó kritikus szervezetek szerepe és feladatai jobban meg legyenek határozva és koherensek legyenek, valamint hogy uniós szabályok elfogadására kerüljön sor a kritikus szervezetek rezilienciájának fokozása érdekében. A kritikus szervezeteknek képeseknek kell lenniük fokozni az arra irányuló képességüket, hogy az alapvető szolgáltatások nyújtásában zavarokat előidézni képes eseményeket megelőzzék, azokkal szemben védekezzenek, azokra reagáljanak, azoknak ellenálljanak, azokat enyhítsék, tompítsák, azokhoz alkalmazkodjanak és azokból helyreálljanak.

(3) Noha több uniós szintű intézkedés, így például a kritikus infrastruktúrák védelmére vonatkozó európai program, valamint nemzeti szintű intézkedés célja támogatni az Unión belüli kritikus infrastruktúra védelmét, további intézkedéseket kell hozni annak érdekében, hogy az ilyen infrastruktúrát üzemeltető szervezeteket jobban felvértezzék a működésüket érintő azon kockázatok kezelésére, amelyek zavart idézhetnek elő az alapvető szolgáltatások nyújtásában. Többet kell tenni annak érdekében is, hogy az ilyen szervezeteket felvértezzék, mert dinamikusan változó a fenyegetettségi helyzet, amely magában foglal változó hibrid és terrorista fenyegetéseket, valamint az infrastruktúra és az ágazatok közötti növekvő kölcsönös függőségeket.. Ezen túlmenően a természeti katasztrófák és az éghajlatváltozás miatt megnövekedett a fizikai kockázat, az éghajlatváltozás ugyanis fokozza a szélsőséges időjárási események előfordulásának gyakoriságát és nagyságrendjét, és hosszú távú változásokat idéz elő az átlagos éghajlati viszonyokban, amelyek csökkenthetik bizonyos infrastruktúratípusok kapacitását, hatékonyságát és élettartamát, amennyiben nem kerülnek bevezetésre az éghajlatváltozáshoz való alkalmazkodást célzó intézkedések. Ezen kívül, a belső piacot a kritikus szervezetek azonosítását illetően fragmentáció jellemzi, mert a releváns ágazatokat és szervezeti kategóriákat nem minden tagállamban ismerik el következetesen kritikusként. Ezen irányelvnek ezért magas szintű harmonizációt kell megvalósítania a hatálya alá tartozó ágazatok és szervezeti kategóriák tekintetében.

(4) Míg egyes gazdasági ágazatokat - így például az energia- és a közlekedési ágazatot - már ágazatspecifikus uniós jogi aktusok szabályoznak, az említett jogi aktusok olyan rendelkezéseket tartalmaznak, amelyek az ezen ágazatokban működő szervezetek rezilienciájának csupán bizonyos aspektusaira vonatkoznak. A belső piac megfelelő működése szempontjából kritikus szervezetek rezilienciájának átfogó kezelése érdekében ez az irányelv olyan átfogó keretet hoz létre, amely figyelmet fordít a kritikus szervezetek valamennyi - akár természeti vagy ember okozta, véletlen vagy szándékos - veszéllyel szembeni rezilienciájára.

(5) Az infrastruktúra és az ágazatok közötti növekvő kölcsönös függőségek annak eredményeként alakulnak ki, hogy egyre inkább határokon átívelő és egymástól kölcsönösen függő, Unió-szerte a kulcsfontosságú infrastruktúrát használó szolgáltatási hálózatok jönnek létre az energia, a közlekedés, a banki szolgáltatások, az ivóvíz, a szennyvíz, az élelmiszer-termelés, -feldolgozás és -forgalmazás, az egészségügy, a világűr, a pénzügyi piaci infrastruktúra és a digitális infrastruktúra ágazatában, valamint a közigazgatási ágazat bizonyos aspektusaiban. A világűrágazat - a vagy a tagállamok által vagy a magánfelek által tulajdonolt, irányított és üzemeltetett földi infrastruktúrától függő bizonyos szolgáltatások nyújtása tekintetében - ezen irányelv hatálya alá tartozik; következésképpen az Unió űrprogramja részeként az Unió által vagy az Unió nevében tulajdonolt, irányított vagy üzemeltetett infrastruktúra nem tartozik ezen irányelv hatálya alá.

Az energiaágazatban, különösen (a villamosenergia-ellátás tekintetében) a villamosenergia-termelési és -átviteli módszerek vonatkozásában a villamosenergia-termelés adott esetben magában foglalhatja az atomerőművek villamosenergia-átvitelre szolgáló részeit, de kizárja a szerződések és az uniós jog hatálya alá tartozó, kifejezetten nukleáris elemeket, beleértve az Uniónak a nukleáris energiára vonatkozó releváns jogi aktusait. Az élelmiszer-ágazatbeli kritikus szervezetek azonosítására szolgáló eljárásnak megfelelően tükröznie kell a belső piac jellegét az említett ágazatban, valamint az élelmiszerjog és az élelmiszer-biztonság általános elveire és követelményeire vonatkozó kiterjedt uniós szabályokat. Ezért az arányos megközelítés biztosítása, valamint az említett szervezetek nemzeti szinten betöltött szerepének és jelentőségének megfelelő tükrözése érdekében a kritikus szervezeteket csak a kizárólag logisztikával és nagykereskedelmi forgalmazással, valamint nagyléptékű ipari termeléssel és feldolgozással foglalkozó, a nemzeti szinten jelentős piaci részesedéssel rendelkező élelmiszeripari vállalkozások közül kell beazonosítani, függetlenül attól, hogy nyereségorientáltak-e vagy sem, és hogy állami vagy magánvállalkozásokról van-e szó. Az említett kölcsönös függőségek azt jelentik, hogy az alapvető szolgáltatások bármely megzavarása, még ha az kezdetben csak egy szervezetre vagy ágazatra korlátozódik is, szélesebb körű továbbgyűrűző hatásokkal járhat, potenciálisan messzire nyúló és hosszú távú negatív hatást eredményezve a szolgáltatások nyújtására az egész belső piacon. Az olyan jelentős válságok, mint a Covid19-világjárvány, rámutattak az egyre inkább egymásra utalt társadalmaink sebezhetőségére a nagy hatású, csekély valószínűségű kockázatokkal szemben.

(6) Egyre gyakrabban fordul elő, hogy a nemzeti jog alapján eltérő követelmények vonatkoznak az alapvető szolgáltatások nyújtásában részt vevő szervezetekre. Az a tény, hogy egyes tagállamokban kevésbé szigorú biztonsági követelmények vonatkoznak az említett szervezetekre, nemcsak a reziliencia eltérő szintjeihez vezet, hanem Unió-szerte negatívan hathat az alapvetően fontos társadalmi funkciók vagy gazdasági tevékenységek fenntartására is, és a belső piac megfelelő működésével szembeni akadályokhoz vezet. A befektetők és a vállalkozások az olyan kritikus szervezetekre tudnak támaszkodni, és azokban tudnak megbízni, amelyek reziliensek, továbbá a megbízhatóság és a bizalom a jól működő belső piac sarokkövei. Hasonló típusú szervezetek egyes tagállamokban kritikusnak minősülnek, másokban viszont nem, és különböző tagállamokban eltérő követelmények vonatkoznak a kritikusnak minősített szervezetekre. Ez további és szükségtelen adminisztratív terhet ró a határokon átnyúlóan működő vállalatokra, különösen a szigorúbb követelményekkel rendelkező tagállamokban aktív vállalatokra. Az uniós keretnek ezért olyan hatása is volna, hogy Unió-szerte egyenlő versenyfeltételeket teremt a kritikus szervezetek számára.

(7) Harmonizált minimumszabályokat kell megállapítani az alapvető belső piaci szolgáltatások nyújtásának biztosítása, a kritikus szervezetek rezilienciájának fokozása, valamint az illetékes hatóságok közötti, határokon átnyúló együttműködés javítása érdekében. Fontos, hogy az említett szabályok a kialakításuk és végrehajtásuk tekintetében időtállók legyenek, miközben lehetővé teszik a szükséges rugalmasságot. Alapvető fontosságú javítani a kritikus szervezetek azon képességét is, hogy a különféle kockázatok ellenére alapvető szolgáltatásokat nyújtsanak.

(8) A magas szintű reziliencia elérése érdekében a tagállamoknak azonosítaniuk kell azon kritikus szervezeteket, amelyekre különleges követelmények és felügyelet fog vonatkozni, és amelyek - valamennyi releváns kockázat tekintetében - különös támogatást és iránymutatást fognak kapni.

(9) Tekintve a kiberbiztonság jelentőségét a kritikus szervezetek rezilienciája szempontjából, valamint a következetesség érdekében lehetőség szerint koherens megközelítést kell biztosítani ezen irányelv és az (EU) 2022/2555 európai parlamenti és tanácsi irányelv *  között. Szem előtt tartva a kiberkockázatok nagyobb gyakoriságát és sajátos jellemzőit, az (EU) 2022/2555 irányelv a szervezetek széles köre számára átfogó követelményeket szab meg kiberbiztonságuk biztosítása érdekében. Tekintve, hogy az (EU) 2022/2555 említett irányelv kellő mértékben foglalkozik a kiberbiztonsággal, az említett irányelv hatálya alá tartozó kérdéseket ki kell zárni ezen irányelv hatálya alól, a digitálisinfrastruktúra-ágazatban működő szervezetekre vonatkozó különös szabályozás sérelme nélkül.

(10) Amennyiben ágazatspecifikus uniós jogi aktusok rendelkezései előírják a kritikus szervezetek számára, hogy hozzanak intézkedéseket rezilienciájuk fokozása érdekében, és amennyiben az említett követelményeket a tagállamok legalább egyenértékűnek ismerik el az ezen irányelvben meghatározott megfelelő kötelezettségekkel, az átfedések és a szükségtelen terhek elkerülése érdekében ezen irányelv releváns rendelkezéseit nem kell alkalmazni. Ebben az esetben az ilyen uniós jogi aktusok releváns rendelkezéseit kell alkalmazni. Amennyiben ezen irányelv releváns rendelkezései nem alkalmazandók, a felügyeletre és a jogérvényesítésre vonatkozó, ezen irányelvben megállapított rendelkezések sem alkalmazandók.

(11) Ezen irányelv nem érinti a tagállamok és hatóságaik hatásköreit az igazgatási autonómia tekintetében, vagy a nemzetbiztonság és védelem megőrzésére vonatkozó felelősségét, vagy az egyéb alapvető állami funkciók védelmére vonatkozó hatáskörüket, különösen a közbiztonságra, a területi integritásra és a közrend fenntartására vonatkozóan. A közigazgatási szervezetek ezen irányelv hatálya alóli kizárását olyan szervezetekre kell alkalmazni, amelyek tevékenységeiket túlnyomórészt a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés területén - beleértve a bűncselekményekre irányuló nyomozást, felderítést és vádeljárás lefolytatását is - végzik. Azon közigazgatási szervezeteknek azonban, amelyek tevékenységei csak marginálisan kapcsolódnak az említett területekhez, ezen irányelv hatálya alá kell tartozniuk. Ezen irányelv alkalmazásában a szabályozási hatáskörrel rendelkező szervezetek nem tekintendők a bűnüldözés területén tevékenységeket folytató szervezetnek, és ezért nincsenek az említett alapon kizárva ezen irányelv hatálya alól. Azon közigazgatási szervezetek, amelyeket valamely nemzetközi megállapodásnak megfelelően egy harmadik országgal közösen hoznak létre, ki vannak zárva ezen irányelv hatálya alól. Ezen irányelv nem alkalmazandó a tagállamok harmadik országokban működő diplomáciai és konzuli képviseleteire.

Egyes kritikus szervezetek a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés területén folytatnak tevékenységeket, beleértve a bűncselekményekre irányuló nyomozást, felderítést és vádeljárás lefolytatását is, vagy kizárólag olyan közigazgatási szervezetek számára nyújtanak szolgáltatásokat, amelyek tevékenységüket túlnyomórészt az említett területeken végzik. Tekintettel a tagállamoknak a nemzetbiztonság és védelem megőrzésére irányuló felelősségére, a tagállamok dönthetnek úgy, hogy a kritikus szervezetekre vonatkozó, ezen irányelvben megállapított kötelezettségek részben vagy egészben nem alkalmazandók az említett kritikus szervezetekre, ha az általuk nyújtott szolgáltatások vagy az általuk végzett tevékenységek túlnyomórészt a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés területéhez kapcsolódnak, beleértve a bűncselekményekre irányuló nyomozást, felderítést és vádeljárás lefolytatását is. Azon kritikus szervezeteknek, amelyek szolgáltatásai vagy tevékenységei csak marginálisan kapcsolódnak az említett területekhez, ezen irányelv hatálya alá kell tartozniuk. Egyetlen tagállamot sem lehet arra kötelezni, hogy olyan információkat szolgáltasson, amelyek közlése ellentétes lenne nemzetbiztonságának alapvető érdekeivel. Relevanciával bírnak a minősített adatok védelmére vonatkozó uniós vagy nemzeti szabályok, valamint a titoktartási megállapodások.

(12) Annak érdekében, hogy ne veszélyeztessék a nemzetbiztonságot vagy a kritikus szervezetek biztonságát és kereskedelmi érdekeit, az érzékeny információkhoz való hozzáférést, azok cseréjét és kezelését gondosan kell végezni, továbbá különös figyelemmel a felhasznált továbbítási csatornákra és tárolási kapacitásokra.

(13) A kritikus szervezetek rezilienciájára vonatkozó átfogó megközelítés biztosítása céljából mindegyik tagállamnak rendelkeznie kell a kritikus szervezetek rezilienciájának erősítését célzó stratégiával (a továbbiakban: a stratégia). A stratégiának meg kell határoznia a stratégiai célkitűzéseket és a végrehajtandó szakpolitikai intézkedéseket. A koherencia és a hatékonyság érdekében a stratégiát úgy kell kialakítani, hogy gördülékenyen integrálja a meglévő szakpolitikákat, ahol lehetséges, építve a releváns, meglévő nemzeti és ágazati stratégiákra, tervekre vagy hasonló dokumentumokra. Az átfogó megközelítés elérése érdekében a tagállamoknak biztosítaniuk kell, hogy a stratégiájuk szakpolitikai keretet biztosítson az ezen irányelv szerinti illetékes hatóságok és az (EU) 2022/2555 irányelv szerinti illetékes hatóságok közötti fokozott koordinációhoz, a kiberbiztonsági kockázatokra, a kiberfenyegetésekre és kiberjellegű eseményekre, valamint a nem kiberjellegű kockázatokra, fenyegetésekre és eseményekre vonatkozó információmegosztással és a felügyeleti feladatok ellátásával összefüggésben. A stratégiájuk bevezetésekor a tagállamoknak kellően figyelembe kell venniük a kritikus szervezetekkel szembeni fenyegetések hibrid jellegét.

(14) A tagállamoknak továbbítaniuk kell a Bizottság részére a stratégiájukat és annak jelentősen aktualizált változatait, különösen annak lehetővé tétele érdekében, hogy a Bizottság értékelje ezen irányelv helyes alkalmazását a kritikus szervezetek rezilienciájával kapcsolatos nemzeti szintű szakpolitikai megközelítéseket illetően. A stratégiák szükség esetén minősített információként is továbbíthatók. A Bizottságnak összefoglaló jelentést kell készítenie a tagállamok által továbbított stratégiákról, hogy alapul szolgáljon a kritikus szervezetek rezilienciájával foglalkozó csoport keretében a legjobb gyakorlatok és a közös érdekű kérdések azonosítása céljából folytatott megbeszélésekhez. Az összefoglaló jelentésben foglalt aggregált információk érzékeny jellege miatt - függetlenül attól, hogy azok minősített adatok-e vagy sem - a Bizottságnak az összefoglaló jelentést a kritikus szervezetek, a tagállamok és az Unió biztonsága tekintetében a megfelelő szintű tudatossággal kell kezelnie. Az összefoglaló jelentést és a stratégiákat meg kell őrizni a jogellenes vagy rosszindulatú cselekményekkel szemben, és azokat csak az arra felhatalmazott személyek számára szabad hozzáférhetővé tenni ezen irányelv célkitűzéseinek teljesítése érdekében. A stratégiák és azok jelentősen aktualizált változatai továbbításának segítenie kell a Bizottságot annak megértésében is, hogy milyen fejlemények történtek a kritikus szervezetek rezilienciájával kapcsolatos megközelítések terén, és hozzá kell járulnia ezen irányelv hatásának és hozzáadott értékének monitorozásához, amit a Bizottságnak időszakosan felül kell vizsgálnia.

(15) A kritikus szervezetek azonosítására és rezilienciájának biztosítására irányuló tagállami intézkedéseknek kockázatalapú megközelítést kell követniük, amely az alapvető fontosságú társadalmi funkciók vagy gazdasági tevékenységek ellátása szempontjából leginkább releváns szervezetekre koncentrál. Az ilyen célzott megközelítés biztosítása érdekében egy összehangolt kereten belül minden egyes tagállamnak el kell végeznie az olyan releváns természeti és ember okozta kockázatok értékelését - ideértve a több ágazatot érintő, illetve a határokon átnyúló jellegű kockázatokat is -, amelyek hatással lehetnek az alapvető szolgáltatások nyújtására, beleértve a baleseteket, a természeti katasztrófákat, a népegészségügyi szükséghelyzeteket, így például a világjárványokat és a hibrid fenyegetéseket vagy egyéb ellenséges fenyegetéseket, ideértve a terrorista bűncselekményeket, a bűncselekményi célú beszivárgást és a szabotázst (a továbbiakban: tagállami kockázatértékelés). A tagállami kockázatértékelések elvégzésekor a tagállamoknak szem előtt kell tartaniuk a más uniós jogi aktusok alapján elvégzett egyéb általános vagy ágazatspecifikus kockázatértékeléseket, és figyelembe kell venniük annak mértékét, amennyire az ágazatok egymástól függenek, ideértve a más tagállamokbeli és a harmadik országbeli ágazatoktól is. A tagállami kockázatértékelés eredményét fel kell használni a kritikus szervezetek azonosítása céljából, és arra, hogy segítsen az említett szervezeteknek a reziliencia-követelményeik teljesítésében. Ezen irányelv csak a tagállamokra és az Unión belül működő kritikus szervezetekre alkalmazandó. Mindazonáltal, adott esetben és az alkalmazandó jogi eszközökkel összhangban fel lehetne használni a harmadik országok - különösen az Unió közvetlen szomszédságában fekvő országok - javára azon szakértelmet és tudást, amelyet az illetékes hatóságok különösen a kockázatértékelések révén generálnak, és amelyet a Bizottság különösen a különböző támogatási és együttműködési formák révén generál, beépítve azokat a rezilienciával kapcsolatos meglévő együttműködésbe.

(16) Annak biztosítása érdekében, hogy ezen irányelv reziliencia-követelményei valamennyi releváns szervezetre vonatkozzanak, és csökkenjenek az e tekintetben mutatkozó eltérések, fontos olyan harmonizált szabályokat megállapítani, amelyek Unió-szerte lehetővé teszik a kritikus szervezetek következetes azonosítását, egyúttal lehetővé teszik a tagállamok számára, hogy megfelelően tükrözzék az említett szervezetek nemzeti szinten betöltött szerepét és jelentőségét. Az ezen irányelvben meghatározott kritériumok alkalmazása során minden egyes tagállamnak azonosítania kell azon szervezeteket, amelyek egy vagy több alapvető szolgáltatást nyújtanak, valamint amelyek a területén működnek és ott kritikus infrastruktúrával rendelkeznek. Úgy tekintendő, hogy egy szervezet azon tagállam területén működik, amelyben a szóban forgó alapvető szolgáltatáshoz vagy szolgáltatásokhoz szükséges tevékenységeket végez, és amelyben az említett szervezetnek az említett szolgáltatás vagy szolgáltatások nyújtásához használt kritikus infrastruktúrája található. Amennyiben egy tagállamban egyik szervezet sem felel meg az említett kritériumoknak, az említett tagállam nem kötelezhető arra, hogy kritikus szervezetet azonosítson a vonatkozó ágazatban vagy alágazatban. Az eredményesség, a hatékonyság, a következetesség és a jogbiztonság érdekében megfelelő szabályokat kell meghatározni a szervezetek arról való értesítésére vonatkozóan, hogy kritikus szervezetként azonosították őket.

(17) A tagállamoknak az ezen irányelv célkitűzéseit teljesítő módon be kell nyújtaniuk a Bizottság részére az alapvető szolgáltatások jegyzékét, a mellékletben meghatározott egyes ágazatok és alágazatok, valamint az egyes szervezetek által nyújtott alapvető szolgáltatás vagy szolgáltatások tekintetében azonosított kritikus szervezetek számát, valamint - ha alkalmazandó - a küszöbértékeket. Lehetővé kell tenni a küszöbérték közlését önmagában vagy aggregált formában, ami azt jelenti, hogy az adatokat lehet földrajzi terület, év, ágazat vagy alágazat szerint, illetve egyéb módon átlagolni, és azok információt tartalmazhatnak a megadott mutatók köréről.

(18) Kritériumokat kell megállapítani egy esemény által keltett zavaró hatás jelentőségének meghatározásához. Az említett kritériumoknak az (EU) 2016/1148 európai parlamenti és tanácsi irányelvben *  meghatározott kritériumokra kell épülniük annak érdekében, hogy ki lehessen aknázni az említett irányelvben meghatározott, alapvető szolgáltatásokat üzemeltetők azonosítására tett tagállami erőfeszítéseket és az e tekintetben szerzett tapasztalatokat. Az olyan jelentős válságok, mint például a Covid19-világjárvány, megmutatták, hogy fontos biztosítani az ellátási lánc biztonságát, és rávilágítottak arra, hogy annak megzavarása miként jár negatív gazdasági és társadalmi hatással számos ágazatban és a határokon átnyúlóan. Ezért a tagállamoknak a lehetőségekhez mérten figyelembe kell venniük az ellátási láncra gyakorolt hatásokat is, amikor meghatározzák, hogy egyéb ágazatok és alágazatok milyen mértékben függenek egy kritikus szervezet által nyújtott alapvető szolgáltatástól.

(19) Az alkalmazandó uniós és nemzeti joggal, többek között az Unióba irányuló közvetlen külföldi befektetések átvilágítási keretét létrehozó (EU) 2019/452 európai parlamenti és tanácsi rendelettel *  összhangban figyelembe kell venni az Unión belüli kritikus infrastruktúra külföldi tulajdonba kerülése által jelentett potenciális veszélyt, mivel a szolgáltatások, a gazdaság, valamint az uniós polgárok szabad mozgása és biztonsága függ a kritikus infrastruktúra megfelelő működésétől.

(20) Az (EU) 2022/2555 irányelv előírja a digitálisinfrastruktúra-ágazathoz tartozó azon szervezetek számára, amelyek ezen irányelv alapján kritikus szervezetként azonosíthatóak, hogy hozzanak megfelelő és arányos technikai, operatív és szervezeti intézkedéseket a hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése, valamint a jelentős eseményekre és kiberfenyegetésekre vonatkozó értesítés érdekében. Mivel a hálózati és információs rendszerek biztonságát érintő fenyegetések eredete különböző lehet, az (EU) 2022/2555 irányelv minden veszélyre kiterjedő megközelítést alkalmaz, amelybe beletartozik a hálózati és információs rendszereknek, valamint az említett rendszerek fizikai alkotóelemeinek és környezetének a rezilienciája is.

Tekintve, hogy az (EU) 2022/2555 irányelvben e tekintetben megállapított követelmények legalább egyenértékűek az ezen irányelvben megállapított megfelelő kötelezettségekkel, az átfedések és a szükségtelen terhek elkerülése érdekében az ezen irányelv 11. cikkében, valamint III., IV. és VI. fejezetében megállapított kötelezettségek nem alkalmazhatók a digitálisinfrastruktúra-ágazathoz tartozó szervezetekre. Figyelembe véve azonban a digitálisinfrastruktúra-ágazathoz tartozó szervezetek által nyújtott szolgáltatások fontosságát a valamennyi egyéb ágazathoz tartozó, kritikus szervezetek számára, a tagállamoknak - az ezen irányelvben előírt kritériumok alapján és eljárást alkalmazva - kritikus szervezetekként kell azonosítaniuk a digitálisinfrastruktúra-ágazathoz tartozó szervezeteket. Következésképpen alkalmazni kell az ezen irányelv II. fejezetében meghatározott stratégiákat, tagállami kockázatértékeléseket és támogatási intézkedéseket. A tagállamok számára lehetővé kell tenni, hogy nemzeti jogi rendelkezéseket fogadjanak el vagy tartsanak fenn az említett kritikus szervezetek magasabb szintű rezilienciájának elérése érdekében, feltéve, hogy az említett rendelkezések összhangban vannak az alkalmazandó uniós joggal.

(21) A pénzügyi szolgáltatásokra vonatkozó uniós jog átfogó követelményeket állapít meg a pénzügyi szervezetek tekintetében az őket érintő valamennyi kockázat, köztük a működési kockázatok kezelése, és az üzletmenet-folytonosság biztosítása érdekében. Az ilyen jog körébe tartozik a 648/2012/EU * , az 575/2013/EU *  és a 600/2014/EU *  európai parlamenti és tanácsi rendelet, valamint a 2013/36/EU *  és a 2014/65/EU *  európai parlamenti és tanácsi irányelv. Az említett jogi keret kiegészül az (EU) 2022/2554 európai parlamenti és tanácsi rendelettel * , amely az információs és kommunikációs technológiai (IKT) kockázatok kezelését célzó, a pénzügyi szervezetekre alkalmazandó követelményeket állapít meg, ideértve a fizikai IKT-infrastruktúra védelmére vonatkozóan is. Mivel az említett szervezetek rezilienciája ezért átfogóan szabályozott, az átfedések és a szükségtelen terhek elkerülése érdekében ezen irányelv 11. cikke, valamint III., IV. és VI. fejezete az említett szervezetekre nem alkalmazandó.

Figyelembe véve azonban a pénzügyi ágazatban működő szervezetek által nyújtott szolgáltatások fontosságát a valamennyi egyéb ágazathoz tartozó, kritikus szervezetek számára, a tagállamoknak - az ezen irányelvben előírt kritériumok alapján és eljárást alkalmazva - kritikus szervezetekként kell azonosítaniuk a pénzügyi ágazatban működő szervezeteket. Következésképpen alkalmazni kell az ezen irányelv II. fejezetében meghatározott stratégiákat, a tagállami kockázatértékeléseket és támogatási intézkedéseket. A tagállamok számára lehetővé kell tenni, hogy nemzeti jogi rendelkezéseket fogadjanak el vagy tartsanak fenn az említett kritikus szervezetek magasabb szintű rezilienciájának elérése érdekében, feltéve, hogy az említett rendelkezések összhangban vannak az alkalmazandó uniós joggal.

(22) A tagállamoknak illetékes hatóságokat kell kijelölniük vagy létrehozniuk az ezen irányelvben foglalt szabályok alkalmazásának felügyeletére és szükség esetén érvényesítésére, valamint biztosítaniuk kell, hogy az említett hatóságok megfelelő felhatalmazással és forrásokkal rendelkezzenek. A nemzeti kormányzási struktúrák közötti különbségek fényében, a meglévő ágazati intézkedések vagy az uniós felügyeleti és szabályozó szervek megóvása érdekében, és az átfedések elkerülése érdekében a tagállamok számára lehetővé kell tenni, hogy egynél több illetékes hatóságot jelöljenek ki vagy hozzanak létre. Amennyiben a tagállamok egynél több illetékes hatóságot jelölnek ki vagy hoznak létre, világosan körül kell határolniuk az érintett hatóságok vonatkozó feladatait, és biztosítaniuk kell, hogy zökkenőmentesen és hatékonyan működjenek együtt. Valamennyi illetékes hatóságnak általánosabban véve együtt kell működnie más releváns hatóságokkal, uniós és nemzeti szinten egyaránt.

(23) A határokon átnyúló együttműködés és kommunikáció elősegítése, valamint ezen irányelv eredményes végrehajtása érdekében minden egyes tagállamnak - az ágazatspecifikus uniós jogi aktusok követelményeinek sérelme nélkül - ki kell jelölnie egy, a kritikus szervezetek rezilienciájával kapcsolatos kérdések koordinálásáért és az uniós szintű, határokon átnyúló együttműködésért felelős egyedüli kapcsolattartó pontot (a továbbiakban: egyedüli kapcsolattartó pont) adott esetben valamely illetékes hatóságon belül. Mindegyik egyedüli kapcsolattartó pontnak kapcsolatot kell fenntartania, és adott esetben koordinálnia kell a kommunikációt a tagállamának illetékes hatóságaival, a többi tagállam egyedüli kapcsolattartó pontjával és a kritikus szervezetek rezilienciájával foglalkozó csoporttal.

(24) Az ezen irányelv szerinti illetékes hatóságoknak és az (EU) 2022/2555 irányelv szerinti illetékes hatóságoknak együtt kell működniük és információkat kell cserélniük a kritikus szervezeteket érintő kiberbiztonsági kockázatokkal, kiberfenyegetésekkel és kiberjellegű eseményekkel, valamint a nem kiberjellegű kockázatokkal, fenyegetésekkel és eseményekkel kapcsolatban, továbbá az ezen irányelv szerinti illetékes hatóságok és az (EU) 2022/2555 irányelv szerinti illetékes hatóságok által hozott releváns intézkedésekkel kapcsolatban. Fontos, hogy a tagállamok biztosítsák az ezen irányelvben és az (EU) 2022/2555 irányelvben előírt követelmények kiegészítő módon történő végrehajtását, és azt, hogy a kritikus szervezetekre ne háruljanak azon túlmenő adminisztratív terhek, mint ami szükséges az ezen irányelv és az említett irányelv célkitűzéseinek eléréséhez.

(25) A tagállamoknak támogatniuk kell a kritikus szervezeteket - ideértve azokat is, amelyek kis- és középvállalkozásoknak minősülnek - rezilienciájuknak az ezen irányelvben megállapított tagállami kötelezettségeknek megfelelő megerősítésében, a kritikus szervezeteknek az ilyen megfelelés biztosítására irányuló saját jogi felelősségének sérelme nélkül, és ennek során meg kell előzniük a túlzott adminisztratív terheket. A tagállamok így különösen iránymutatásokat és módszereket dolgozhatnak ki, támogathatják a kritikus szervezetek rezilienciájának tesztelését szolgáló gyakorlatok szervezését, valamint tanácsadást és képzést biztosíthatnak a kritikus szervezetek személyzete számára. Amennyiben szükséges és azt közérdekű célkitűzések indokolják, a tagállamok pénzügyi forrásokat biztosíthatnak, és elő kell segíteniük a kritikus szervezetek közötti önkéntes információmegosztást és a bevált gyakorlatok cseréjét, az Európai Unió működéséről szóló szerződésben (EUMSZ) megállapított versenyszabályok alkalmazásának sérelme nélkül.

(26) A tagállamok által azonosított, kritikus szervezetek rezilienciájának fokozása és az említett kritikus szervezetekre nehezedő adminisztratív terhek csökkentése céljából az illetékes hatóságoknak adott esetben konzultálniuk kell egymással annak biztosítása céljából, hogy ezen irányelvet következetes módon alkalmazzák. Az említett konzultációkat bármely érdekelt illetékes hatóság kérésére meg kell indítani, és azoknak egy konvergáló megközelítés biztosítására kell összpontosítaniuk az egymással összekapcsolt azon kritikus szervezetek vonatkozásában, amelyek két vagy több tagállam között fizikailag összekötött kritikus infrastruktúrát használnak, amelyek ugyanazon csoportokhoz vagy vállalati struktúrákhoz tartoznak, vagy amelyeket egy tagállamban azonosítottak, és amelyek más tagállamok számára vagy más tagállamokban nyújtanak alapvető szolgáltatásokat.

(27) Amennyiben az uniós vagy a nemzeti jog rendelkezései előírják a kritikus szervezetek számára, hogy értékeljék az ezen irányelv céljából releváns kockázatokat, és hozzanak intézkedéseket saját rezilienciájuk biztosítása érdekében, az említett követelményeket megfelelően figyelembe kell venni a kritikus szervezetek ezen irányelvnek való megfelelése felügyeletének céljából.

(28) A kritikus szervezeteknek átfogó ismeretekkel kell rendelkezniük az őket érintő releváns kockázatokról, és kötelezettséggel arra, hogy elemezzék az említett kockázatokat. E célból kockázatértékeléseket kell végezniük, valahányszor szükséges a sajátos körülményeikre és az említett kockázatok alakulására tekintettel, és egyébként négyévente, valamennyi olyan releváns kockázat értékelése érdekében, amely akadályozhatja az alapvető szolgáltatásaik nyújtását (a továbbiakban: kritikus szervezet általi kockázatértékelés). Amennyiben a kritikus szervezetek más jogi aktusokban megállapított kötelezettségek alapján egyéb olyan kockázatértékeléseket végeztek, vagy olyan dokumentumokat készítettek, amelyek a kritikus szervezetek általi kockázatértékelés szempontjából relevánsak, képesnek kell lenniük arra, hogy az említett értékeléseket és dokumentumokat felhasználják a kritikus szervezet általi kockázatértékelésre vonatkozóan ezen irányelvben meghatározott követelményeknek való megfelelés érdekében. Lehetővé kell tenni valamely illetékes hatóság számára, hogy kijelentse, egy kritikus szervezet által végzett meglévő kockázatértékelés, amely kitér a releváns kockázatokra és a függőség releváns mértékére, részben vagy egészben megfelel az ezen irányelvben megállapított kötelezettségeknek.

(29) A kritikus szervezeteknek megfelelő és az őket érintő kockázatokkal arányos technikai, biztonsági és szervezeti intézkedéseket kell hozniuk, hogy megelőzzenek valamely eseményt, védekezzenek azzal szemben, reagáljanak arra, ellenálljanak annak, enyhítsék, tompítsák azt, alkalmazkodjanak ahhoz, és abból helyreálljanak. Míg a kritikus szervezeteknek ezen irányelvvel összhangban kell meghozniuk az említett intézkedéseket, az ilyen intézkedések részleteinek és mértékének megfelelő és arányos módon tükrözniük kell az egyes kritikus szervezetek által a kritikus szervezet általi kockázatértékelés részeként azonosított különböző kockázatokat és az ilyen szervezet sajátosságait. A koherens uniós megközelítés előmozdítása érdekében a Bizottságnak - a kritikus szervezetek rezilienciájával foglalkozó csoporttal folytatott konzultációt követően - nem kötelező erejű iránymutatásokat kell elfogadnia az említett technikai, biztonsági és szervezeti intézkedések további pontosítása érdekében. A tagállamoknak biztosítaniuk kell, hogy mindegyik kritikus szervezet kijelöljön egy összekötő tisztviselőt vagy egy ezzel egyenértékű személyt kapcsolattartó pontként az illetékes hatóságok felé.

(30) A hatékonyság és az elszámoltathatóság érdekében a kritikus szervezeteknek - a rezilienciatervben vagy a rezilienciatervvel egyenértékű dokumentumban, illetve dokumentumokban azonosított kockázatok figyelembevételével - a hatékonysági és elszámoltathatósági célok elégséges eléréséhez szükséges részletességgel ismertetniük kell az általuk hozott intézkedéseket, és a gyakorlatban is alkalmazniuk kell az említett tervet. Amennyiben a kritikus szervezet már hozott technikai, biztonsági és szervezeti intézkedéseket, valamint az ezen irányelv szerinti reziliencia-fokozó intézkedések szempontjából releváns egyéb jogi aktusok alapján készített dokumentumokat, az átfedések elkerülése érdekében lehetővé kell tenni számára, hogy alkalmazza az említett intézkedéseket és dokumentumokat az ezen irányelv szerinti reziliencia-intézkedések tekintetében fennálló követelmények teljesítéséhez. Az átfedések elkerülése érdekében lehetővé kell tenni az illetékes hatóság számára, hogy kijelentse, egy kritikus szervezet által hozott olyan meglévő reziliencia-intézkedések, amelyek kitérnek a technikai, biztonsági és szervezeti intézkedések meghozatalára vonatkozó, ezen irányelv szerinti kötelezettségére, részben vagy egészben megfelelnek ezen irányelv követelményeinek.

(31) A 725/2004/EK *  és a 300/2008/EK európai parlamenti és tanácsi rendelet * , valamint a 2005/65/EK európai parlamenti és tanácsi irányelv *  a légi közlekedési és a tengeri szállítási ágazatban működő szervezetekre vonatkozó követelményeket állapít meg a jogellenes cselekmények által okozott események megelőzése, valamint az ilyen események következményeinek való ellenállás és azok enyhítése érdekében. Bár a kezelt kockázatok és a meghozandó intézkedések típusai tekintetében az ezen irányelv alapján előírt intézkedések szélesebb körűek, az említett ágazatokban tevékenykedő kritikus szervezetek reziliencia-tervében vagy azzal egyenértékű dokumentumaiban tükröződniük kell az említett egyéb uniós jogi aktusok alapján hozott intézkedéseknek. A kritikus szervezeteknek figyelembe kell venniük a 2008/96/EK európai parlamenti és tanácsi irányelvet *  is, amely egy hálózati szintű közúti felmérést vezet be a balesetek kockázatának feltérképezése érdekében, valamint egy célzott közúti közlekedésbiztonsági felülvizsgálatot a balesetek és sérülések kockázatát fokozó veszélyes körülmények, hibák és problémák azonosítása érdekében, amely meglévő utak vagy útszakaszok helyszíni bejárásain alapul. A kritikus szervezetek védelmének és rezilienciájának biztosítása kiemelkedő fontosságú a vasúti ágazat számára, és az ezen irányelv szerinti reziliencia-intézkedések végrehajtásakor a kritikus szervezeteket arra kell ösztönözni, hogy vegyék figyelembe az ágazati munkafolyamatok keretében kidolgozott, nem kötelező erejű iránymutatásokat és a bevált gyakorlatokat tartalmazó dokumentumokat, így például a 2018/C 232/03 bizottsági határozattal *  létrehozott Európai Uniós Vasúti Utasbiztonsági Platformot.

(32) Növekvő aggodalomra ad okot annak kockázata, hogy a kritikus szervezetek alkalmazottai vagy vállalkozóik sérelem- és károkozás céljából visszaélnek például a kritikus szervezeten belüli hozzáférési jogaikkal. A tagállamoknak ezért pontosan meg kell határozniuk azon feltételeket, amelyek mellett a kritikus szervezetek számára megengedett, hogy - kellően indokolt esetekben és a tagállami kockázatértékelések figyelembevételével - kérelmezzék a személyzetük meghatározott kategóriáiba tartozó személyek háttérellenőrzését. Biztosítani kell, hogy a releváns hatóságok észszerű határidőn belül értékeljék az ilyen kérelmeket, és azokat a nemzeti jogszabályokkal és eljárásokkal, valamint a releváns és alkalmazandó, többek között a személyes adatok védelmére vonatkozó uniós joggal összhangban dolgozzák fel. Azon személy személyazonosságának megerősítése érdekében, aki háttérellenőrzésen esik át, helyénvaló, hogy a tagállamok az alkalmazandó joggal összhangban előírják a személyazonosság igazolását, így például útlevéllel, nemzeti személyazonosító igazolvánnyal vagy digitális személyazonosító formában.

A háttérellenőrzéseknek ki kell terjedniük az érintett személyre vonatkozó bűnügyi nyilvántartások ellenőrzésére is. A tagállamoknak a 2009/315/IB tanácsi kerethatározatban * , valamint - adott esetben és amennyiben alkalmazandó - az (EU) 2019/816 európai parlamenti és tanácsi rendeletben *  meghatározott eljárásoknak megfelelően az Európai Bűnügyi Nyilvántartási Információs Rendszert (ECRIS) kell igénybe venniük abból a célból, hogy beszerezzék a más tagállamok által fenntartott bűnügyi nyilvántartásokból származó információkat. A tagállamok - adott esetben és amennyiben alkalmazandó - támaszkodhatnak az (EU) 2018/1862 európai parlamenti és tanácsi rendelettel *  létrehozott Schengeni Információs Rendszer második generációjára (SIS II), hírszerzési adatokra és bármely egyéb, rendelkezésre álló objektív információra, amely szükséges lehet annak megállapításához, hogy az érintett személy alkalmas-e arra, hogy azon pozícióban dolgozzon, amellyel kapcsolatban a kritikus szervezet háttérellenőrzést kért.

(33) Ki kell alakítani a bizonyos eseményekről szóló értesítést szolgáló mechanizmust annak lehetővé tétele érdekében, hogy az illetékes hatóságok gyorsan és megfelelően reagáljanak az eseményekre, továbbá hogy átfogó képpel rendelkezzenek azon események hatásairól, jellegéről, okáról és lehetséges következményeiről, amelyekkel a kritikus szervezetek szembesülnek. A kritikus szervezeteknek indokolatlan késedelem nélkül értesíteniük kell az illetékes hatóságokat azon eseményekről, amelyek jelentősen megzavarják, vagy alkalmasak lehetnek arra, hogy jelentős megzavarják az alapvető szolgáltatások nyújtását. A kritikus szervezeteknek legkésőbb 24 órán belül be kell nyújtaniuk a kezdeti értesítést azt követően, hogy tudomást szereztek egy eseményről, kivéve, ha ezt operatív okokból nem képesek megtenni. A kezdeti értesítésnek csak azon információkat kell tartalmaznia, amelyek feltétlenül szükségesek ahhoz, hogy az illetékes hatóság tudomást szerezzen az eseményről, és lehetővé teszik a kritikus szervezet számára, hogy szükség esetén segítséget kérjen. Egy ilyen értesítésnek lehetőség szerint meg kell jelölnie az esemény feltételezett okát. A tagállamoknak biztosítaniuk kell, hogy a kezdeti értesítés benyújtására vonatkozó követelmény ne vonja el a kritikus szervezet erőforrásait az esemény kezelésével kapcsolatos tevékenységektől, amelyeket prioritásként kell kezelni. A kezdeti értesítést az eseményt követő legkésőbb egy hónappal adott esetben részletes jelentésnek kell követnie. A részletes jelentésnek ki kell egészítenie a kezdeti értesítést, és teljesebb áttekintést kell nyújtania az eseményről.

(34) A szabványosításnak elsősorban piacvezérelt folyamatnak kell maradnia. Előfordulhatnak azonban még olyan helyzetek, amelyekben helyénvaló előírni a meghatározott szabványoknak való megfelelést. A tagállamoknak - amikor az hasznosnak bizonyul - ösztönözniük kell a kritikus szervezetekre alkalmazandó biztonsági és reziliencia-intézkedések szempontjából releváns, európai és nemzetközi szabványok és technikai előírások alkalmazását.

(35) Bár a kritikus szervezetek általában egyre szorosabban összekapcsolt szolgáltatásnyújtási és infrastrukturális hálózat részeként működnek, valamint gyakran egynél több tagállamban nyújtanak alapvető szolgáltatásokat, az említett kritikus szervezetek némelyike különös jelentőséggel bír az Unió és annak belső piaca tekintetében, mivel hat vagy több tagállam számára, illetve tagállamban nyújtanak alapvető szolgáltatásokat, és ezért uniós szintű egyedi támogatásban részesülhetnek. Szabályokat kell ezért megállapítani az ilyen különös európai jelentőségű kritikus szervezetek tekintetében a tanácsadó missziókra vonatkozóan. Az említett szabályok nem érintik az ezen irányelvben meghatározott, felügyeletre és jogérvényesítésre vonatkozó szabályokat.

(36) A Bizottság, vagy egy vagy több olyan tagállam indokolással ellátott megkeresése alapján, amely számára vagy amelyben az alapvető szolgáltatást nyújtják, amennyiben további információra van szükség ahhoz, hogy tanácsot lehessen adni egy kritikus szervezetnek az ezen irányelv alapján fennálló kötelezettségeinek teljesítéséhez vagy ahhoz, hogy értékelni lehessen, hogy egy különös európai jelentőségű, kritikus szervezet megfelel-e az említett kötelezettségeknek, azon tagállamnak, amely kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet, a Bizottság rendelkezésére kell bocsátania bizonyos információkat az ezen irányelvben foglaltaknak megfelelően. A Bizottság számára lehetővé kell tenni, hogy - azon tagállammal egyetértésben, amely kritikus szervezetként azonosította a különös európai jelentőségű kritikus szervezetet - tanácsadó missziót szervezzen a szóban forgó szervezet által foganatosított intézkedések értékelésére. Az ilyen tanácsadó missziók megfelelő végrehajtásának biztosítása érdekében kiegészítő szabályokat kell megállapítani, különösen a tanácsadó missziók megszervezésére és lebonyolítására, a megteendő utánkövetési tevékenységekre és az érintett különös európai jelentőségű kritikus szervezetek kötelezettségeire vonatkozóan. A tanácsadó missziókat - nem érintve azt, hogy a misszió lebonyolításának helye szerinti tagállamnak és a kritikus szervezetnek meg kell felelnie az ezen irányelvben megállapított szabályoknak - az említett tagállam jogának részletes szabályai - például a releváns helyiségekhez vagy dokumentumokhoz való hozzáférés megszerzéséhez teljesítendő pontos feltételekre és a bírósági jogorvoslatra vonatkozó szabályok - szerint kell lebonyolítani. Az ilyen tanácsadó missziókhoz szükséges különleges szakértelmet adott esetben az 1313/2013/EU európai parlamenti és tanácsi határozattal *  létrehozott Veszélyhelyzet-reagálási Koordinációs Központon keresztül lehet igényelni.

(37) A Bizottság támogatása, valamint az ezen irányelvvel kapcsolatos kérdésekre vonatkozóan a tagállamok közötti együttműködés és többek között a legjobb gyakorlatokra vonatkozó információcsere elősegítése érdekében létre kell hozni a kritikus szervezetek rezilienciájával foglalkozó csoportot. A tagállamoknak törekedniük kell annak biztosítására, hogy az illetékes hatóságaik kijelölt képviselői hatékonyan és eredményesen működjenek együtt a kritikus szervezetek rezilienciájával foglalkozó csoportban, többek között azáltal, hogy adott esetben biztonsági tanúsítvánnyal rendelkező képviselőket jelölnek ki. A kritikus szervezetek rezilienciájával foglalkozó csoportnak a lehető leghamarabb meg kell kezdenie feladatainak ellátását annak érdekében, hogy további eszközöket biztosítson az ezen irányelv átültetési időszaka alatti megfelelő együttműködéshez. A kritikus szervezetek rezilienciájával foglalkozó csoportnak kapcsolatot kell fenntartania egyéb releváns ágazatspecifikus szakértői munkacsoportokkal.

(38) A kritikus szervezetek rezilienciájával foglalkozó csoportnak együtt kell működnie az (EU) 2022/2555 irányelv alapján létrehozott együttműködési csoporttal a kritikus szervezetek kiber- és nemkiber-rezilienciájára vonatkozó átfogó keret támogatása céljából. A kritikus szervezetek rezilienciájával foglalkozó csoportnak és az (EU) 2022/2555 irányelv alapján létrehozott együttműködési csoportnak rendszeres párbeszédet kell folytatnia az ezen irányelv szerinti és az (EU) 2022/2555 irányelv szerinti illetékes hatóságok közötti együttműködés előmozdítása és az információcsere elősegítése érdekében, különösen a mindkét csoport számára relevanciával bíró témákról.

(39) Ezen irányelv célkitűzéseinek elérése érdekében, valamint a tagállamok és a kritikus szervezetek azon jogi felelősségének sérelme nélkül, hogy biztosítsák az ezen irányelvben megállapított kötelezettségeiknek való megfelelést, a Bizottságnak az általa szükségesnek tartott esetekben támogatnia kell az illetékes hatóságokat és a kritikus szervezeteket a vonatkozó kötelezettségeiknek való megfelelés elősegítése céljából. A tagállamoknak és a kritikus szervezeteknek az ezen irányelv szerinti kötelezettségek végrehajtásához való támogatásnyújtás során a Bizottságnak a meglévő struktúrákra és eszközökre - így például az 1313/2013/EU határozattal létrehozott uniós polgári védelmi mechanizmus és a kritikus infrastruktúrák védelmével foglalkozó európai referenciahálózat keretében rendelkezésre állókra - kell támaszkodnia. A Bizottságnak emellett tájékoztatnia kell a tagállamokat az uniós szinten - így például az (EU) 2021/1149 európai parlamenti és tanácsi rendelettel *  létrehozott Belső Biztonsági Alap, az (EU) 2021/695 európai parlamenti és tanácsi rendelettel *  létrehozott Horizont Európa vagy a kritikus szervezetek rezilienciája tekintetében releváns egyéb eszközök keretében - rendelkezésre álló erőforrásokról.

(40) A tagállamoknak biztosítaniuk kell, hogy illetékes hatóságaik bizonyos konkrét hatáskörökkel rendelkezzenek ezen irányelvnek a kritikus szervezetek tekintetében történő megfelelő alkalmazására és érvényesítésére, amennyiben az említett szervezetek az ezen irányelvben meghatározottak szerint a joghatóságuk alá tartoznak. Az említett hatáskörök magukban foglalják különösen a következőket: ellenőrzések és auditok lefolytatására vonatkozó hatáskör, felügyeleti hatáskör, hatáskör annak előírására, hogy a kritikus szervezetek biztosítsanak tájékoztatást és bizonyítékot a kötelezettségeik teljesítése érdekében hozott intézkedések kapcsán, valamint szükség esetén hatáskör a beazonosított jogsértések orvoslását célzó határozatok kibocsátására. Az ilyen határozatok kibocsátásakor a tagállamok által előírt intézkedések nem léphetik túl az érintett kritikus szervezet megfelelésének biztosításához szükséges és arányos mértéket, figyelembe véve különösen a jogsértés súlyosságát és az érintett kritikus szervezet gazdasági képességét. Általánosabban véve, az Európai Unió Alapjogi Chartájával összhangban az említett hatásköröket a nemzeti jogban pontosan meghatározandó megfelelő és hatékony biztosítékoknak kell kísérniük. Az ezen irányelv szerinti illetékes hatóságok számára lehetővé kell tenni, hogy - annak értékelése során, hogy valamely kritikus szervezet megfelel-e az ezen irányelvben megállapított kötelezettségeinek - felkérhessék az (EU) 2022/2555 irányelv szerinti illetékes hatóságokat arra, hogy gyakorolják felügyeleti és jogérvényesítési hatáskörüket valamely olyan, az említett irányelv szerinti szervezet tekintetében, amelyet ezen irányelv alapján kritikus szervezetként azonosítottak. Az ezen irányelv szerinti illetékes hatóságoknak és az (EU) 2022/2555 irányelv szerinti illetékes hatóságoknak e célból együtt kell működniük, és információt kell cserélniük.

(41) Ezen irányelv hatékony és következetes alkalmazása érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el abból a célból, hogy az alapvető szolgáltatások jegyzékének összeállításával kiegészítse ezen irányelvet. Az említett jegyzéket az illetékes hatóságoknak a tagállami kockázatértékelések elvégzése és a kritikus szervezetek ezen irányelv szerinti azonosítása céljából kell használniuk. Ezen irányelv minimumharmonizációs megközelítésének fényében az említett jegyzék nem kimerítő jellegű, és a tagállamok nemzeti szinten további alapvető szolgáltatásokkal egészíthetik ki azt annak érdekében, hogy figyelembe lehessen venni az alapvető szolgáltatások nyújtása terén fennálló nemzeti sajátosságokat. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban *  megállapított elvekkel összhangban kerüljön sor. Így különösen a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

(42) Ezen irányelv végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek *  megfelelően kell gyakorolni.

(43) Mivel ezen irányelv céljait, nevezetesen annak biztosítását, hogy az alapvetően fontos társadalmi funkciók vagy gazdasági tevékenységek fenntartásához nélkülözhetetlen szolgáltatásokat a belső piacon akadálytalan módon nyújtsák, és az ilyen szolgáltatásokat nyújtó kritikus szervezetek rezilienciájának fokozását a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat a szubszidiaritásnak az Európai Unióról szóló szerződés 5. cikkében foglalt elvével összhangban. Az arányosságnak az 5. cikkben foglalt elvével összhangban ez az irányelv nem lépi túl az e célok eléréséhez szükséges mértéket.

(44) Az európai adatvédelmi biztossal az (EU) 2018/1725 európai parlamenti és tanácsi rendelet *  42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2021. augusztus 11-én véleményt nyilvánított.

(45) A 2008/114/EK irányelvet ezért hatályon kívül kell helyezni,

ELFOGADTA EZT AZ IRÁNYELVET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy és hatály

(1) Ez az irányelv:

a) kötelezettségeket - különösen a kritikus szervezetek azonosítására és a kritikus szervezetek részére a rájuk rótt kötelezettségek teljesítéséhez nyújtott támogatásra vonatkozó kötelezettségeket - állapít meg a tagállamok számára, hogy hozzanak konkrét intézkedéseket, amelyek célja biztosítani, hogy az EUMSZ 114. cikkének hatálya alá tartozó alapvetően fontos társadalmi funkciók vagy gazdasági tevékenységek fenntartásához nélkülözhetetlen szolgáltatások nyújtására akadálytalan módon kerüljön sor a belső piacon;

b) kötelezettségeket állapít meg a kritikus szervezetek számára, amelyek célja rezilienciájuk és az a) pontban említett szolgáltatások belső piacon történő nyújtására való képességük fokozása;

c) szabályokat állapít meg a következőkre vonatkozóan:

i. a kritikus szervezetek felügyelete;

ii. jogérvényesítés;

iii. a különös európai jelentőségű kritikus szervezetek azonosítása, valamint tanácsadó missziók azon intézkedések értékelésére, amelyeket az ilyen szervezetek a III. fejezet szerinti kötelezettségeik teljesítése érdekében vezettek be;

d) közös eljárásokat határoz meg az ezen irányelv alkalmazásával kapcsolatos együttműködésre és jelentéstételre vonatkozóan;

e) intézkedéseket állapít meg a kritikus szervezetek magas szintű rezilienciájának elérése céljából az alapvető szolgáltatások Unión belüli nyújtásának biztosítása és a belső piac működésének javítása érdekében.

(2) Ezen irányelv 8. cikkének sérelme nélkül, ezen irányelv nem alkalmazandó az (EU) 2022/2555 irányelv hatálya alá tartozó kérdésekre. A kritikus szervezetek fizikai biztonsága és kiberbiztonsága közötti kapcsolat fényében a tagállamok biztosítják, hogy ezen irányelv és az (EU) 2022/2555 irányelv végrehajtására koordinált módon kerüljön sor.

(3) Amennyiben ágazatspecifikus uniós jogi aktusok rendelkezései előírják a kritikus szervezetek számára, hogy hozzanak intézkedéseket rezilienciájuk fokozása érdekében, és amennyiben a tagállamok az említett követelményeket az ezen irányelvben megállapított kötelezettségekkel legalább egyenértékűnek ismerik el, ezen irányelv releváns rendelkezései - többek között a VI. fejezetben megállapított, a felügyeletre és a jogérvényesítésre vonatkozó rendelkezések - nem alkalmazandók.

(4) Az EUMSZ 346. cikkének sérelme nélkül, az uniós vagy a nemzeti szabályok - így például az üzleti titoktartásra vonatkozó szabályok - értelmében bizalmasnak minősülő információkat csak abban az esetben kell megosztani a Bizottsággal és más érintett hatóságokkal ezen irányelvnek megfelelően, ha az említett információmegosztás ezen irányelv alkalmazásához szükséges. A megosztott információknak az említett megosztás célja szempontjából releváns és arányos mértékre kell korlátozódnia. Az információmegosztás során meg kell őrizni az említett információk bizalmas jellegét, valamint a kritikus szervezetek biztonsági és kereskedelmi érdekeit, tiszteletben tartva ugyanakkor a tagállamok biztonságát.

(5) Ez az irányelv nem érinti a tagállamoknak a nemzetbiztonság és védelem megőrzésére irányuló felelősségét, valamint az egyéb alapvető állami funkciók védelmére vonatkozó hatáskörüket, beleértve az állam területi integritásának biztosítását és a közrend fenntartását.

(6) Ez az irányelv nem alkalmazandó azon közigazgatási szervezetekre, amelyek a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés területén végzik tevékenységüket, beleértve a bűncselekményekre irányuló nyomozást, felderítést és vádeljárás lefolytatását is.

(7) A tagállamok dönthetnek úgy, hogy a 11. cikkben, valamint a III., IV. és VI. fejezetben foglalt rendelkezések részben vagy egészben nem alkalmazandók olyan konkrét kritikus szervezetekre, amelyek a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés területén folytatnak tevékenységeket, beleértve a bűncselekményekre irányuló nyomozást, felderítést és vádeljárás lefolytatását is, vagy amelyek kizárólag az e cikk (6) bekezdésében említett közigazgatási szervezeteknek nyújtanak szolgáltatásokat.

(8) Az ezen irányelvben megállapított kötelezettségek nem járhatnak olyan információk biztosításával, amelyek nyilvánosságra hozatala ellentétes volna a tagállamok nemzetbiztonságának, közbiztonságának vagy védelmének alapvető érdekeivel.

(9) Ezen irányelv nem érinti a személyes adatok védelmére vonatkozó uniós jogot, különösen az (EU) 2016/679 európai parlamenti és tanácsi rendeletet *  és a 2002/58/EK európai parlamenti és tanácsi irányelvet * .

2. cikk

Fogalommeghatározások

Ezen irányelv alkalmazásában:

1. „kritikus szervezet”: olyan köz- vagy magánjogi szervezet, amelyet valamely tagállam a 6. cikknek megfelelően a mellékletben foglalt táblázat harmadik oszlopában meghatározott kategóriák egyikébe tartozóként azonosított;

2. „reziliencia”: valamely kritikus szervezet azon képessége, hogy megelőzzön egy eseményt, azzal szemben védekezzen, arra reagáljon, annak ellenálljon, azt enyhítse, tompítsa, ahhoz alkalmazkodjon, és abból helyreálljon;

3. „esemény”: olyan esemény, amely alkalmas arra, hogy jelentős zavart okozzon, vagy amely zavart okoz valamely alapvető szolgáltatás nyújtásában, beleértve, amikor érinti a jogállamiság védelmét biztosító nemzeti rendszereket;

4. „kritikus infrastruktúra”: olyan eszköz, létesítmény, berendezés, hálózat vagy rendszer, vagy valamely eszköz, létesítmény, berendezés, hálózat vagy rendszer része, amely szükséges az alapvető szolgáltatás nyújtásához;

5. „alapvető szolgáltatás”: az alapvetően fontos társadalmi funkciók, a gazdasági tevékenységek, a népegészségügy és a biztonság vagy a környezet fenntartásához elengedhetetlen szolgáltatás;

6. „kockázat”: valamely esemény által okozott potenciális veszteség vagy zavar, és azt az ilyen veszteség vagy zavar nagyságrendjének és az esemény bekövetkezési valószínűségének kombinációjaként kell kifejezni;

7. „kockázatértékelés „: átfogó eljárás, amely valamely kockázat jellegének és mértékének meghatározására irányul, olyan potenciális releváns fenyegetések, sebezhetőségek és veszélyek azonosításával és elemzésével, amelyek eseményt idézhetnek elő, valamint az alapvető szolgáltatás nyújtása tekintetében felmerülő, az említett esemény által okozott potenciális veszteség vagy zavar értékelésével;

8. „szabvány”: az 1025/2012/EU európai parlamenti és tanácsi rendelet *  2. cikkének 1. pontjában meghatározott szabvány;

9. „műszaki előírás”: az 1025/2012/EU rendelet 2. cikkének 4. pontjában meghatározott műszaki előírás;

10. „közigazgatási szervezet”: olyan szervezet, amelyet az adott tagállam a nemzeti joggal összhangban ilyenként ismer el, nem beleértve a bíróságokat, a parlamenteket vagy a központi bankokat, és amely megfelel a következő kritériumoknak:

a) az általános érdekű szükségletek kielégítése céljából jött létre, és nincs ipari vagy kereskedelmi jellege;

b) jogi személyiséggel rendelkezik, vagy törvény alapján jogosult egy másik, jogi személyiséggel rendelkező szervezet nevében eljárni;

c) legnagyobb részben az állami hatóságok vagy egyéb, központi szintű közjogi szervek finanszírozzák, irányítása az említett hatóságok, illetve szervek felügyelete alatt áll, vagy van olyan igazgatási, irányító vagy felügyeleti testülete, amely tagjainak több mint felét az állami hatóságok vagy egyéb, központi szintű közjogi szervek nevezi ki;

d) hatáskörrel rendelkezik arra, hogy természetes vagy jogi személyekhez a személyek, az áruk, a szolgáltatások vagy a tőke határokon átnyúló mozgásával kapcsolatos jogaikat érintő közigazgatási vagy szabályozási határozatokat intézzen.

3. cikk

Minimumharmonizáció

Ezen irányelv nem zárja ki, hogy a tagállamok a kritikus szervezetek magasabb szintű rezilienciájának elérése érdekében nemzeti jogi rendelkezéseket fogadjanak el vagy tartsanak fenn, feltéve hogy az ilyen rendelkezések összhangban vannak a tagállamoknak az uniós jogban megállapított kötelezettségeivel.

II. FEJEZET

A KRITIKUS SZERVEZETEK REZILIENCIÁJÁRA VONATKOZÓ NEMZETI KERETEK

4. cikk

A kritikus szervezetek rezilienciájára vonatkozó stratégia

(1) Az érintett érdekelt felek számára - a gyakorlatban lehetséges mértékben - nyitott konzultációt követően minden tagállam 2026. január 17-ig stratégiát fogad el a kritikus szervezetek rezilienciájának fokozására (a továbbiakban: a stratégia). A stratégia a meglévő releváns nemzeti és ágazati stratégiákra, tervekre vagy hasonló dokumentumokra építve meghatározza a stratégiai célokat és szakpolitikai intézkedéseket, a kritikus szervezetek részéről a magas szintű reziliencia elérése és fenntartása céljából, és lefedve legalább a mellékletben meghatározott ágazatokat.

(2) Minden egyes stratégiának legalább a következő elemeket kell tartalmaznia:

a) a kritikus szervezetek általános reziliencájának fokozására vonatkozó stratégiai célkitűzések és prioritások, figyelembe véve a határokon átnyúló és ágazatközi függőségeket és kölcsönös függőségeket;

b) a stratégiai célkitűzések és prioritások elérését szolgáló irányítási keretrendszer, ideértve a különböző hatóságok, a kritikus szervezetek és a stratégia végrehajtásában részt vevő egyéb felek szerepkörének és felelősségének a leírását is;

c) a kritikus szervezetek általános rezilienciájának fokozásához szükséges intézkedések leírása, beleértve az 5. cikkben említett kockázatértékelés leírását is;

d) a kritikus szervezetek azonosítására szolgáló eljárás leírása;

e) a kritikus szervezetek e fejezettel összhangban történő támogatását célzó eljárás leírása, beleértve az egyrészről a közszektor, és másrészről a magánszektor, valamint a közjogi és magánjogi szervezetek közötti együttműködés erősítését célzó intézkedéseket;

f) a stratégia végrehajtásában részt vevő főbb hatóságok és a kritikus szervezetektől eltérő érintett érdekelt felek jegyzéke;

g) az ezen irányelv szerinti illetékes hatóságok (a továbbiakban: illetékes hatóságok) és az (EU) 2022/2555 irányelv szerinti illetékes hatóságok közötti koordinációt szolgáló szakpolitikai keret a kiberbiztonsági kockázatokra, a kiberfenyegetésekre és kiberjellegű eseményekre, valamint a nem kiberjellegű kockázatokra, fenyegetésekre és eseményekre vonatkozó információmegosztás és a felügyeleti feladatok ellátása céljából;

h) a már bevezetett olyan intézkedések leírása, amelyek célja elősegíteni az ezen irányelv III. fejezete szerinti kötelezettségeknek a 2003/361/EK bizottsági ajánlás *  mellékletének értelmében vett, a szóban forgó tagállam által kritikus szervezetként azonosított kis- és középvállalkozások általi végrehajtását.

A releváns érdekelt felek számára - a gyakorlatban lehetséges mértékig - nyitott konzultációt követően a tagállamok legalább négyévente aktualizálják stratégiájukat.

(3) A tagállamok továbbítják a Bizottságnak a stratégiájukat és annak jelentősen aktualizált változatait az elfogadásukat követő három hónapon belül.

5. cikk

A tagállamok általi kockázatértékelés

(1) A Bizottság felhatalmazást kap arra, hogy a 23. cikknek megfelelően 2023. november 17-ig felhatalmazáson alapuló jogi aktust fogadjon el annak érdekében, hogy kiegészítse ezt az irányelvet a mellékletben meghatározott ágazatokban és alágazatokban nyújtott alapvető szolgáltatások nem kimerítő jegyzékének megállapítása révén. Az illetékes hatóságok 2026. január 17-ig, és azt követően szükség esetén, de legalább négyévente felhasználják az alapvető szolgáltatások említett jegyzékét kockázatértékelés elvégzése céljából (a továbbiakban: tagállami kockázatértékelés). Az illetékes hatóságok a tagállami kockázatértékelést felhasználják abból a célból, hogy a 6. cikkel összhangban azonosítsák a kritikus szervezeteket, és segítséget nyújtsanak az említett kritikus szervezeteknek a 13. cikk szerinti intézkedések meghozatalához.

A tagállami kockázatértékeléseknek ki kell terjednie a releváns természeti és ember okozta kockázatokra, beleértve a több ágazatot érintő vagy a határokon átnyúló jellegű kockázatokat, a baleseteket, a természeti katasztrófákat, a népegészségügyi szükséghelyzeteket és a hibrid fenyegetéseket vagy egyéb ellenséges fenyegetéseket, ideértve az (EU) 2017/541 európai parlamenti és tanácsi irányelvben *  foglaltak szerinti terrorista bűncselekményeket.

(2) A tagállami kockázatértékelések elvégzése során a tagállamok figyelembe veszik legalább a következőket:

a) az 1313/2013/EU határozat 6. cikkének (1) bekezdése alapján elvégzett általános kockázatértékelés;

b) a releváns ágazatspecifikus uniós jogi aktusok - többek között az (EU) 2017/1938 *  és az (EU) 2019/941 *  európai parlamenti és tanácsi rendelet, valamint a 2007/60/EK *  és a 2012/18/EU *  európai parlamenti és tanácsi irányelv - követelményeinek megfelelően elvégzett egyéb releváns kockázatértékelések;

c) a mellékletben meghatározott ágazatok egymás közötti függőségének mértékéből eredő releváns kockázatok, ideértve a más tagállamokban és harmadik országokban található szervezetektől való függőségük mértékét is, valamint az egyik ágazatban bekövetkező jelentős zavarok más ágazatokra gyakorolt esetleges hatása, ideértve a polgárokat és a belső piacot érintő jelentős kockázatokat is;

d) a 15. cikknek megfelelően bejelentett eseményekre vonatkozó információk.

Az első albekezdés c) pontjának alkalmazásában a tagállamok adott esetben együttműködnek más tagállamok illetékes hatóságaival és harmadik országok illetékes hatóságaival.

(3) A tagállamok a 6. cikkel összhangban általuk azonosított kritikus szervezetek rendelkezésére bocsátják a tagállami kockázatértékelés releváns elemeit, adott esetben az egyedüli nemzeti kapcsolattartó pontjukon keresztül. A tagállamok biztosítják, hogy a kritikus szervezeteknek nyújtott információk segítsenek nekik a 12. cikk szerinti kockázatértékelésük elvégzésében, valamint a rezilienciájukat biztosító intézkedéseknek a 13. cikk szerinti meghozatalában.

(4) A tagállami kockázatértékelés elvégzésétől számított három hónapon belül, a tagállam a mellékletben meghatározott ágazatonkénti és alágazatonkénti bontásban a Bizottság rendelkezésére bocsátja az említett tagállami kockázatértékelést követően azonosított kockázati típusokra és az említett tagállami kockázatértékelés eredményeire vonatkozó releváns információkat.

(5) A Bizottság - a tagállamokkal együttműködve - önkéntes közös jelentéstételi mintadokumentumot dolgoz ki a (4) bekezdésnek való megfelelés céljából.

6. cikk

A kritikus szervezetek azonosítása

(1) Minden egyes tagállam 2026. július 17-ig a mellékletben meghatározott ágazatok és alágazatok tekintetében azonosítja a kritikus szervezeteket.

(2) Amikor egy tagállam az (1) bekezdés értelmében kritikus szervezeteket azonosít, figyelembe veszi a tagállami kockázatértékelésének eredményeit és a stratégiáját, továbbá alkalmazza a következő kritériumok mindegyikét:

a) a szervezet egy vagy több alapvető szolgáltatást nyújt;

b) az említett tagállam területén működik a szervezet, és ott található a kritikus infrastruktúrája; és

c) egy esemény a 7. cikk (1) bekezdésével összhangban meghatározottak szerint jelentős zavart keltő hatásokkal járna egy vagy több alapvető szolgáltatásnak a szervezet által történő biztosítására nézve, vagy egyéb olyan alapvető szolgáltatások biztosítására nézve a mellékletben meghatározott ágazatokban, amelyek az említett egy vagy több alapvető szolgáltatástól függenek.

(3) Minden tagállam összeállítja a (2) bekezdés alapján azonosított kritikus szervezetek jegyzékét, és biztosítja, hogy az említett kritikus szervezeteket az azonosításukat követő egy hónapon belül értesítsék a kritikus szervezetként való azonosításukról. A tagállamok tájékoztatják az említett kritikus szervezeteket a III. és a IV. fejezet szerinti kötelezettségeikről és azon időpontról, amelytől kezdve az említett kötelezettségek - a 8. cikk sérelme nélkül - alkalmazandók rájuk. Amennyiben a nemzeti intézkedések másként nem rendelkeznek, a tagállamok tájékoztatják a mellékletben foglalt táblázat 3., 4. és 8. pontjában meghatározott ágazatokban működő kritikus szervezeteket arról, hogy nincsenek a III. és a IV. fejezet szerinti kötelezettségeik.

Az érintett kritikus szervezetek tekintetében a III. fejezet az e bekezdés első albekezdésében említett értesítés időpontjától számított 10 hónap elteltével alkalmazandó.

(4) A tagállamok biztosítják, hogy az ezen irányelv szerinti illetékes hatóságaik az azonosítást követő egy hónapon belül értesítsék az (EU) 2022/2555 irányelv szerinti illetékes hatóságokat azon kritikus szervezetek identitásáról, amelyeket e cikk alapján azonosítottak. Az említett értesítésben adott esetben pontosítani kell, hogy az érintett kritikus szervezetek az ezen irányelv mellékletében foglalt táblázat 3., 4. és 8. pontjában meghatározott ágazatokban működő szervezetek, és nincsenek az ezen irányelv III. és IV. fejezete szerinti kötelezettségeik.

(5) A tagállamok szükség esetén, de legalább négyévente felülvizsgálják, és adott esetben aktualizálják a (3) bekezdésben említett azonosított kritikus szervezetek jegyzékét. Amennyiben az említett aktualizálások további kritikus szervezetek azonosításához vezetnek, a (3) és a (4) bekezdést kell alkalmazni az említett további kritikus szervezetekre. Ezen túlmenően a tagállamok biztosítják, hogy azon szervezeteket, amelyeket egy ilyen aktualizálást követően már nem azonosítanak kritikus szervezetként, kellő időben értesítsék erről a tényről, továbbá arról a tényről, hogy az említett értesítés kézhezvételének napjától már nem vonatkoznak rájuk a III. fejezet szerinti kötelezettségek.

(6) A Bizottság - a tagállamokkal együttműködve - ajánlásokat és nem kötelező erejű iránymutatásokat dolgoz ki, hogy támogatást nyújtson a tagállamoknak a kritikus szervezetek azonosításához.

7. cikk

Jelentős zavart keltő hatás

(1) A 6. cikk (2) bekezdésének c) pontjában említett zavart keltő hatások jelentőségének meghatározásakor a tagállamok a következő kritériumokat veszik figyelembe:

a) az érintett szervezet által nyújtott alapvető szolgáltatásra támaszkodó felhasználók száma;

b) a mellékletben meghatározott egyéb ágazatok és alágazatok függésének mértéke a szóban forgó alapvető szolgáltatástól;

c) azon hatás, amelyet az események - mértéküket és időtartamukat tekintve - gyakorolhatnak a gazdasági és társadalmi tevékenységekre, a környezetre, a közvédelemre és -biztonságra, vagy a lakosság egészségére;

d) a szervezet piaci részesedése az érintett alapvető szolgáltatás vagy alapvető szolgáltatások piacán;

e) azon földrajzi terület, amelyet egy esemény érinthet, ideértve a határokon átnyúló hatásokat is, figyelembe véve bizonyos típusú, olyan földrajzi területeknek az elszigeteltség mértékével összefüggő sebezhetőségét, mint például a szigeti régiók, a távoli régiók és a hegyvidéki területek;

f) a szervezet jelentősége az alapvető szolgáltatás elégséges szintjének fenntartásában, figyelembe véve az adott alapvető szolgáltatás nyújtásához rendelkezésre álló egyéb lehetőségeket is.

(2) Minden egyes tagállam - a kritikus szervezetek 6. cikk (1) bekezdés szerinti azonosítását követően - indokolatlan késedelem nélkül benyújtja a Bizottságnak a következő információkat:

a) az említett tagállamban nyújtott alapvető szolgáltatások jegyzéke, amennyiben van bármely további alapvető szolgáltatás az 5. cikk (1) bekezdésében említett alapvető szolgáltatások jegyzékéhez képest;

b) a mellékletben meghatározott egyes ágazatok és alágazatok, valamint az egyes alapvető szolgáltatások tekintetében azonosított kritikus szervezetek száma;

c) az (1) bekezdésben foglalt egy vagy több kritérium meghatározásához alkalmazott küszöbértékek.

Az első albekezdés c) pontjában említett küszöbértékeket önmagukban vagy aggregált formában lehet közölni.

A tagállamok ezt követően szükség esetén, de legalább négyévente nyújtják be az első albekezdésben említett információkat.

(3) A Bizottság - a 19.cikkben említett, a kritikus szervezetek rezilienciájával foglalkozó csoporttal folytatott konzultációt követően - az e cikk (2) bekezdésében említett információk figyelembevételével nem kötelező erejű iránymutatásokat fogad el az e cikk (1) bekezdésben említett kritériumok alkalmazásának elősegítése érdekében.

8. cikk

Kritikus szervezetek a banki szolgáltatások, a pénzügyi piaci infrastruktúra és a digitális infrastruktúra ágazatában

A tagállamok biztosítják, hogy a 11. cikk, valamint a III., a IV. és a VI. fejezet ne legyen alkalmazandó olyan kritikus szervezetekre, amelyeket a mellékletben foglalt táblázat 3., 4. és 8. pontjában meghatározott ágazatokban azonosítottak. A tagállamok az említett kritikus szervezetek magasabb szintű rezilienciájának elérése érdekében nemzeti jogi rendelkezéseket fogadhatnak el vagy tarthatnak fenn, feltéve, hogy az említett rendelkezések összhangban vannak az alkalmazandó uniós joggal.

9. cikk

Illetékes hatóságok és egyedüli kapcsolattartó pont

(1) Minden egyes tagállam kijelöl vagy létrehoz egy vagy több, az ezen irányelvben meghatározott szabályok helyes nemzeti szintű alkalmazásáért és szükség esetén érvényesítéséért felelős nemzeti illetékes hatóságot.

Az ezen irányelv mellékletében foglalt táblázat 3. és 4. pontjában meghatározott ágazatokban működő kritikus szervezetek tekintetében az illetékes hatóságoknak főszabályként meg kell egyezniük az (EU) 2022/2554 rendelet 46. cikkében említett illetékes hatóságokkal. Az ezen irányelv mellékletében foglalt táblázat 8. pontjában meghatározott ágazatban működő kritikus szervezetek tekintetében az illetékes hatóságoknak főszabályként meg kell egyezniük az (EU) 2022/2555 irányelv szerinti illetékes hatóságokkal. A tagállamok az ezen irányelv mellékletében foglalt táblázat 3., 4. és 8. pontjában meghatározott ágazatok tekintetében kijelölhetnek egy különböző illetékes hatóságot a meglévő nemzeti keretekkel összhangban.

Amennyiben a tagállamok egynél több hatóságot jelölnek ki vagy hoznak létre, egyértelműen meghatározzák minden egyes érintett hatóság feladatait, és biztosítják, hogy azok hatékonyan együttműködjenek az ezen irányelv szerinti feladataik teljesítése érdekében, többek között a (2) bekezdésben említett egyedüli kapcsolattartó pont kijelölése és tevékenységei tekintetében.

(2) Minden egyes tagállam kijelöl vagy létrehoz egy egyedüli kapcsolattartó pontot, hogy összekötő funkciót lásson el a többi tagállam egyedüli kapcsolattartó pontjaival és a 19. cikkben említett, a kritikus szervezetek rezilienciájával foglalkozó csoporttal való, határokon átnyúló együttműködés biztosítása céljából. A tagállam az egyedüli kapcsolattartó pontját adott esetben egy illetékes hatóságon belül jelöli ki. A tagállam adott esetben úgy rendelkezhet, hogy egyedüli kapcsolattartó pontja összekötő funkciót is ellát a Bizottság felé, és együttműködést biztosít harmadik országokkal.

(3) Az egyedüli kapcsolattartó pont 2028. július 17-ig, és azt követően kétévente összefoglaló jelentést nyújt be a Bizottságnak és a 19. cikkben említett, a kritikus szervezetek rezilienciájával foglalkozó csoportnak az általuk kapott értesítésekről, beleértve az értesítések számát, a bejelentett események jellegét és a 15. cikk (3) bekezdésével összhangban hozott intézkedéseket.

A Bizottság - a kritikus szervezetek rezilienciájával foglalkozó csoporttal együttműködve - közös jelentéstételi mintadokumentumot dolgoz ki. Az illetékes hatóságok önkéntes alapon használhatják a közös jelentéstételi mintadokumentumot az első albekezdésben említett összefoglaló jelentések benyújtása céljából.

(4) Minden egyes tagállam biztosítja, hogy illetékes hatósága és az egyedüli kapcsolattartó pont rendelkezzen hatáskörrel, valamint a megfelelő pénzügyi, emberi és technikai erőforrásokkal a rá bízott feladatok hatékony és eredményes módon történő ellátásához.

(5) Minden egyes tagállam biztosítja, hogy illetékes hatósága - adott esetben - az uniós és a nemzeti jogszabályokkal összhangban egyeztessen és működjön együtt más releváns nemzeti hatóságokkal, ideértve a polgári védelemért, a bűnüldözésért és a személyes adatok védelméért felelős hatóságokat, továbbá a kritikus szervezetekkel és a releváns érdekelt felekkel is.

(6) Minden egyes tagállam biztosítja, hogy az ezen irányelv szerinti illetékes hatósága együttműködjön és információt cseréljen az (EU) 2022/2555 irányelv szerinti illetékes hatóságokkal a kritikus szervezeteket érintő kiberbiztonsági kockázatokról, kiberfenyegetésekről és kiberjellegű eseményekről, valamint nem kiberjellegű kockázatokról, fenyegetésekről és eseményekről, beleértve az illetékes hatósága és az (EU) 2022/2555 irányelv szerinti illetékes hatóságok által hozott releváns intézkedések tekintetében.

(7) Az illetékes hatóság és az egyedüli kapcsolattartó pont kijelölését vagy létrehozását követő három hónapon belül minden egyes tagállam értesíti a Bizottságot azok identitásáról, valamint az ezen irányelv szerinti feladataikról és hatáskörükről, elérhetőségeikről és ezek bármely későbbi változásairól. A tagállamok tájékoztatják a Bizottságot, amennyiben úgy döntenek, hogy az (1) bekezdés második albekezdésében említett illetékes hatóságtól eltérő hatóság kijelöléséről határoznak a mellékletben foglalt táblázat 3., 4. és 8. pontjában meghatározott szektorokban működő kritikus szervezetek tekintetében illetékes hatóságként. Minden egyes tagállam közzéteszi, hogy mely illetékes hatóságot és egyedüli kapcsolattartó pontot jelölte ki.

(8) A Bizottság nyilvánosságra hozza az egyedüli kapcsolattartó pontok jegyzékét.

10. cikk

A kritikus szervezetek tagállamok általi támogatása

(1) A tagállamok támogatják a kritikus szervezeteket rezilienciájuk fokozásában. E támogatás részét képezheti iránymutatások és módszerek kidolgozása, a reziliencia tesztelésére szolgáló gyakorlatok szervezésének támogatása, valamint a kritikus szervezetek személyzete számára tanácsadás és képzés biztosítása. A tagállamok - az állami támogatásokra vonatkozóan alkalmazandó szabályok sérelme nélkül - pénzügyi forrásokat biztosíthatnak a kritikus szervezetek számára, amennyiben ez szükséges és közérdekű célokból indokolt.

(2) Minden egyes tagállam biztosítja, hogy az illetékes hatósága működjön együtt, valamint cseréljen információkat és bevált gyakorlatokat a mellékletben meghatározott ágazatok kritikus szervezeteivel.

(3) A tagállamok - az uniós és a nemzeti jogszabályokkal, különösen a minősített és az érzékeny adatokra vonatkozó szabályokkal, a versenyszabályokkal, valamint a személyes adatok védelmére vonatkozó szabályokkal összhangban - elősegítik a kritikus szervezetek közötti önkéntes információmegosztást az ezen irányelv hatálya alá tartozó kérdésekkel kapcsolatban.

11. cikk

Tagállamok közötti együttműködés

(1) Adott esetben a tagállamok konzultálnak egymással a kritikus szervezetekkel kapcsolatban ezen irányelv következetes módon történő alkalmazásának biztosítása céljából. Az ilyen konzultációkra különösen azon kritikus szervezetekkel kapcsolatban kerül sor,

a) amelyek olyan kritikus infrastruktúrát vesznek igénybe, amely két vagy több tagállam között fizikailag össze van kötve;

b) amelyek olyan vállalati struktúrák részét képezik, amelyek más tagállamokban lévő kritikus szervezetekkel összeköttetésben vagy kapcsolatban állnak;

c) amelyeket kritikus szervezetként azonosítottak egy tagállamban, és alapvető szolgáltatásokat nyújtanak más tagállamoknak vagy tagállamokban.

(2) Az (1) bekezdésben említett konzultációk célja a kritikus szervezetek rezilienciájának fokozása és - amennyiben lehetséges - a rájuk nehezedő adminisztratív terhek csökkentése.

III. FEJEZET

A KRITIKUS SZERVEZETEK REZILIENCIÁJA

12. cikk

A kritikus szervezetek általi kockázatértékelés

(1) A 6. cikk (3) bekezdése második albekezdésében meghatározott határidőtől eltérve, a tagállamok biztosítják, hogy a kritikus szervezetek - a 6. cikk (3) bekezdésében említett értesítés kézhezvételétől számított kilenc hónapon belül, és azt követően szükség esetén, de legalább négyévente - a tagállami kockázatértékelések és más releváns információforrások alapján kockázatértékelést végezzenek valamennyi olyan releváns kockázat értékelése érdekében, amely zavart okozhat az alapvető szolgáltatásaik nyújtásában (a továbbiakban: kritikus szervezet általi kockázatértékelés).

(2) A kritikus szervezet általi kockázatértékeléseknek ki kell terjedniük valamennyi olyan releváns természeti és ember okozta kockázatokra, amelyek eseményhez vezethetnek, beleértve a több ágazatot érintő vagy a határokon átnyúló jellegű kockázatokat, baleseteket, természeti katasztrófákat, népegészségügyi szükséghelyzeteket és hibrid fenyegetéseket, valamint egyéb ellenséges fenyegetéseket, köztük az (EU) 2017/541 irányelvben foglaltak szerinti terrorista bűncselekményeket. A kritikus szervezet általi kockázatértékelésben figyelembe kell venni, hogy a mellékletben meghatározott más ágazatok milyen mértékben függenek a kritikus szervezet által nyújtott alapvető szolgáltatástól, és hogy az említett kritikus szervezet milyen mértékben függ az ilyen más ágazatokban működő más szervezetek által nyújtott alapvető szolgáltatásoktól.

Amennyiben egy kritikus szervezet - a saját kritikus szervezet általi kockázatértékelése számára releváns egyéb jogi aktusokban megállapított kötelezettségek alapján - egyéb kockázatértékeléseket végzett, vagy dokumentumokat készített, az említett értékeléseket és dokumentumokat felhasználhatja az e cikkben meghatározott követelményeknek való megfeleléshez. Az illetékes hatóság - felügyeleti funkcióinak gyakorlása során - kijelentheti, hogy egy kritikus szervezet által végzett olyan kockázatértékelés, amely kitér az e bekezdés első albekezdésében említett kockázatokra és függőségi mértékre, részben vagy egészben megfelel az e cikk szerinti kötelezettségeknek.

13. cikk

A kritikus szervezetek reziliencia-intézkedései

(1) A tagállamok biztosítják, hogy a kritikus szervezetek - a tagállami kockázatértékelésről a tagállamok által szolgáltatott releváns információk és a kritikus szervezet általi kockázatértékelés eredményei alapján - megfelelő és arányos technikai, biztonsági és szervezeti intézkedéseket hozzanak rezilienciájuk biztosítása érdekében, beleértve a következőkhöz szükséges intézkedéseket:

a) az események bekövetkezésének megelőzése, kellő figyelemmel a katasztrófakockázatok csökkentését és az éghajlatváltozáshoz való alkalmazkodást célzó intézkedésekre;

b) a helyiségeik és területeik, valamint kritikus infrastruktúrájuk megfelelő fizikai védelmének biztosítása, kellő figyelemmel például a következőkre: kerítések, akadályok, periméterfigyelő eszközök és rutinok, érzékelő berendezések és belépési ellenőrzések;

c) az események következményeire való reagálás, az azoknak való ellenállás és azok enyhítése, kellő figyelemmel a kockázat- és válságkezelési eljárások és protokollok, valamint riasztási rutinok végrehajtására;

d) az eseményekből történő helyreállás, kellő figyelemmel az üzletmenet-folytonossági intézkedésekre és az alternatív ellátási láncok azonosítására az alapvető szolgáltatás nyújtásának újraindítása érdekében;

e) hatékony munkavállalói biztonságirányítás garantálása, kellő figyelemmel olyan intézkedésekre, mint a kritikus funkciókat ellátó személyzet kategóriáinak meghatározása, a helyiségekhez és területekhez, kritikus infrastruktúrához és az érzékeny információkhoz való hozzáférési jogok megállapítása, a 14. cikkel összhangban háttérellenőrzésekre vonatkozó eljárások kialakítása és azon személyek kategóriáinak megjelölése, akik kötelesek magukat ilyen háttérellenőrzéseknek alávetni, továbbá megfelelő képzési követelmények és képesítések megállapítása;

f) az érintett személyzet figyelmének felhívása az a)-e) pontban említett intézkedésekre, kellő figyelemmel a képzésekre, tájékoztató anyagokra és gyakorlatokra.

Az első albekezdés e) pontjának alkalmazásában a tagállamok biztosítják, hogy a kritikus funkciókat ellátó személyzet kategóriáinak meghatározásakor a kritikus szervezetek figyelembe vegyék a külső szolgáltatók személyzetét.

(2) A tagállamok biztosítják, hogy a kritikus szervezetek az (1) bekezdés alapján megtett intézkedéseket leíró reziliencia-tervvel vagy azzal egyenértékű dokumentummal vagy dokumentumokkal rendelkezzenek, és alkalmazzák azt vagy azokat. Amennyiben a kritikus szervezetek az (1) bekezdésben említett intézkedések szempontjából releváns egyéb jogi aktusokban megállapított kötelezettségek alapján készítettek dokumentumokat vagy hoztak intézkedéseket, az említett dokumentumokat és intézkedéseket felhasználhatják az e cikkben meghatározott követelményeknek való megfeleléshez. Az illetékes hatóság - felügyeleti funkcióinak gyakorlása során - kijelentheti, hogy egy kritikus szervezet által hozott olyan meglévő reziliencia-fokozási intézkedések, amelyek megfelelő és arányos módon kitérnek az (1) bekezdésben említett technikai, biztonsági és szervezeti intézkedésekre, részben vagy egészben megfelel az e cikk szerinti kötelezettségeknek.

(3) A tagállamok biztosítják, hogy minden egyes kritikus szervezet kijelöljön egy összekötő tisztviselőt vagy egy ezzel egyenértékű személyt kapcsolattartó pontként az illetékes hatóságok felé.

(4) A kritikus szervezetet azonosító tagállam kérésére és az érintett kritikus szervezet egyetértésével a Bizottság - a 18. cikk (6), (8) és (9) bekezdésében meghatározott szabályoknak megfelelően - tanácsadó missziókat szervez, hogy tanáccsal lássa el az érintett kritikus szervezetet a III. fejezet szerinti kötelezettségeinek teljesítéséhez. A tanácsadó misszió a megállapításairól köteles jelentést tenni a Bizottságnak, az adott tagállamnak és az érintett kritikus szervezetnek.

(5) A Bizottság - a 19. cikkben említett, a kritikus szervezetek rezilienciájával foglalkozó csoporttal folytatott konzultációt követően - nem kötelező erejű iránymutatásokat fogad el az e cikk (1) bekezdése alapján hozható technikai, biztonsági és szervezeti intézkedések további pontosítása érdekében.

(6) A Bizottság végrehajtási jogi aktusokat fogad el az e cikk (1) bekezdésében említett intézkedések alkalmazására vonatkozó, szükséges technikai és módszertani előírások meghatározása érdekében. Ezeket a végrehajtási jogi aktusokat a 24. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

14. cikk

Háttérellenőrzések

(1) A tagállamok pontosan meghatározzák azon feltételeket, amelyek mellett egy kritikus szervezet számára megengedett, hogy - kellően indokolt esetekben és a tagállami kockázatértékelés figyelembevételével - kérelmet nyújtson be azon személyek háttérellenőrzésére vonatkozóan,

a) akik érzékeny szerepet töltenek be a kritikus szervezetben vagy a számára, különösen a kritikus szervezet rezilienciájával kapcsolatban;

b) akik engedéllyel rendelkeznek arra, hogy - közvetlenül vagy távolról - hozzáférjenek a kritikus szervezet helyiségeihez és területeihez, illetve információs vagy kontrollrendszereihez, többek között a kritikus szervezet biztonságával összefüggésben;

c) akiknek a felvételét mérlegelik olyan álláshelyekre, amelyekre az a) vagy b) pontban meghatározott kritériumok vonatkoznak.

(2) Az e cikk (1) bekezdésében említett kérelmeket észszerű időn belül értékelni kell, és azokat a nemzeti joggal és eljárásokkal, valamint a releváns és alkalmazandó uniós joggal, többek között az (EU) 2016/679 rendelettel és az (EU) 2016/680 európai parlamenti és tanácsi irányelvvel *  összhangban kell feldolgozni. A háttérellenőrzéseknek arányosnak kell lenniük, és szigorúan a szükséges mértékre kell korlátozódniuk. Azokat kizárólag az érintett kritikus szervezetet érintő potenciális biztonsági kockázat értékelése céljából kell elvégezni.

(3) Az (1) bekezdésben említett háttérellenőrzésnek ki kell terjednie legalább a következőkre:

a) a háttérellenőrzésnek alávetett személy személyazonosságának megerősítése;

b) az említett személy bűnügyi nyilvántartásban fellelhető adatainak ellenőrzése olyan bűncselekmények vonatkozásában, amelyek egy konkrét álláshely szempontjából relevánsak volnának.

A háttérellenőrzések végzésekor a tagállamok a 2009/315/IB kerethatározatban és - adott esetben és amennyiben alkalmazandó - az (EU) 2019/816 rendeletben meghatározott eljárásoknak megfelelően az Európai Bűnügyi Nyilvántartási Információs Rendszert veszik igénybe abból a célból, hogy más tagállamok által fenntartott bűnügyi nyilvántartásokból szerezzenek be információkat. A 2009/315/IB kerethatározat 3. cikkének (1) bekezdésében és az (EU) 2019/816 rendelet 3. cikkének 5. pontjában említett központi hatóságok a megkeresésnek a 2009/315/IB kerethatározat 8. cikkének (1) bekezdésével összhangban történő kézhezvételétől számított 10 munkanapon belül válaszolnak az ilyen információkérésekre.

15. cikk

Az eseményekre vonatkozó értesítés

(1) A tagállamok biztosítják, hogy a kritikus szervezetek indokolatlan késedelem nélkül értesítsék az illetékes hatóságokat azon eseményekről, amelyek jelentős zavart okoznak vagy okozhatnak az alapvető szolgáltatások nyújtásában. A tagállamok biztosítják - kivéve, ha ezt operatív okokból nem tudják megtenni -, hogy a kritikus szervezet 24 órán belül benyújtsa a kezdeti értesítést azt követően, hogy tudomást szerzett valamely eseményről, majd ezt legfeljebb egy hónappal később adott esetben részletes jelentésnek kell követnie. A zavar jelentőségének meghatározása érdekében különösen a következő paramétereket kell figyelembe venni:

a) a zavar által érintett felhasználók száma és aránya;

b) a zavar időtartama;

c) a zavar által érintett földrajzi terület, figyelembe véve azt is, hogy földrajzilag elszigetelt területről van-e szó.

Amennyiben valamely esemény hat vagy több tagállamban jelentős hatást gyakorol vagy gyakorolhat az alapvető szolgáltatások nyújtásának folytonosságára, a zavar által érintett tagállamok illetékes hatóságainak értesíteniük kell a Bizottságot az említett eseményről.

(2) Az (1) bekezdés első albekezdésében említett értesítéseknek tartalmazniuk kell minden olyan rendelkezésre álló információt, amely szükséges ahhoz, hogy az illetékes hatóság megérthesse az esemény jellegét, okát és lehetséges következményeit, beleértve minden olyan rendelkezésre álló információt, amely az esemény esetleges határokon átnyúló hatásainak meghatározásához szükséges. Az ilyen értesítések nem róhatnak többletfelelősséget a kritikus szervezetekre.

(3) A kritikus szervezet által az (1) bekezdésben említett értesítésben nyújtott információk alapján a releváns illetékes hatóság az egyedüli kapcsolattartó ponton keresztül tájékoztatja a többi érintett tagállam egyedüli kapcsolattartó pontját, amennyiben az jelentős hatást gyakorol vagy gyakorolhat a kritikus szervezetekre és az alapvető szolgáltatások egy vagy több más tagállam számára vagy tagállamban való nyújtásának folytonosságára.

Az első albekezdés alapján információkat küldő és fogadó egyedüli kapcsolattartó pontok - az uniós vagy a nemzeti joggal összhangban - olyan módon kezelik az említett információkat, amely tiszteletben tartja azok bizalmas jellegét, valamint védi az érintett kritikus szervezet biztonsági és kereskedelmi érdekeit.

(4) Az (1) bekezdésben említett értesítést követően az érintett illetékes hatóság a lehető leghamarabb biztosítja az érintett kritikus szervezet számára a releváns utánkövetési információkat, ideértve az olyan információkat, amelyek támogathatják az említett kritikus szervezetnek a szóban forgó eseményre való hatékony reagálását. A tagállamok tájékoztatják a nyilvánosságot, amennyiben úgy ítélik meg, hogy ez a közérdeket szolgálná.

16. cikk

Szabványok

Ezen irányelv konvergens végrehajtásának előmozdítása érdekében a tagállamok - amennyiben az hasznos, és anélkül, hogy előírnák vagy előnyben részesítenék egy konkrét technológia-típus alkalmazását - ösztönzik a kritikus szervezetekre alkalmazandó biztonsági és reziliencia-intézkedések szempontjából releváns, európai és nemzetközi szabványok és műszaki előírások alkalmazását.

IV. FEJEZET

KÜLÖNÖS EURÓPAI JELENTŐSÉGŰ KRITIKUS SZERVEZETEK

17. cikk

A különös európai jelentőségű kritikus szervezetek azonosítása

(1) Egy szervezet különös európai jelentőségű kritikus szervezetnek minősül, amennyiben:

a) a 6. cikk (1) bekezdése értelmében kritikus szervezetként azonosították;

b) hat vagy több tagállamban vagy tagállam számára azonos vagy hasonló alapvető szolgáltatásokat nyújt;

c) e cikk (3) bekezdésének értelmében értesítették.

(2) A tagállamok biztosítják, hogy a 6. cikk (3) bekezdésében említett értesítést követően a kritikus szervezet tájékoztassa az illetékes hatóságát, amennyiben hat vagy több tagállam számára vagy tagállamban nyújt alapvető szolgáltatásokat. Ilyen esetben a tagállamok biztosítják, hogy a kritikus szervezet tájékoztassa az illetékes hatóságát azon alapvető szolgáltatásokról, amelyeket az említett tagállamok számára vagy tagállamokban nyújt, valamint azon tagállamokról, amelyek számára vagy amelyekben nyújt ilyen alapvető szolgáltatásokat. A tagállamok indokolatlan késedelem nélkül értesítik a Bizottságot az ilyen kritikus szervezetek identitásáról és azon információkról, amelyeket e bekezdés alapján nyújtanak.

A Bizottság konzultál azon tagállam illetékes hatóságával, amely az első albekezdésben említettek szerint azonosított egy kritikus szervezetet, a többi érintett tagállam illetékes hatóságával és a szóban forgó kritikus szervezettel. Az említett konzultációk során minden egyes tagállam tájékoztatja a Bizottságot, amennyiben úgy ítéli meg, hogy a kritikus szervezet által az említett tagállam számára nyújtott szolgáltatások alapvető szolgáltatások.

(3) Amennyiben a Bizottság az e cikk (2) bekezdésében említett konzultációk alapján megállapítja, hogy az érintett kritikus szervezet hat vagy több tagállam számára vagy tagállamban nyújt alapvető szolgáltatásokat, a Bizottság értesíti a kritikus szervezetet annak illetékes hatóságán keresztül, hogy különös európai jelentőségű kritikus szervezetnek minősül, továbbá tájékoztatja az említett kritikus szervezetet az e fejezet szerinti kötelezettségeiről és arról az időpontról, amelytől kezdve az említett kötelezettségek alkalmazandók rá. Mihelyt a Bizottság tájékoztatja az illetékes hatóságot azon döntéséről, hogy egy kritikus szervezetet különös európai jelentőségű kritikus szervezetnek minősít, az illetékes hatóság indokolatlan késedelem nélkül továbbítja az említett értesítést az említett kritikus szervezetnek.

(4) E fejezetet az érintett különös európai jelentőségű kritikus szervezetre az e cikk (3) bekezdésében említett értesítés kézhezvételének napjától kell alkalmazni.

18. cikk

Tanácsadó missziók

(1) Azon tagállam kérésére, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet, a Bizottság tanácsadó missziót szervez az említett kritikus szervezet által a III. fejezet szerinti kötelezettségeinek teljesítése érdekében bevezetett intézkedések értékelése céljából.

(2) A Bizottság - saját kezdeményezésére vagy egy vagy több olyan tagállam kérésére, amely számára vagy amelyben az alapvető szolgáltatást nyújtják, és feltéve, hogy az a tagállam, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet, ezzel egyetért - az e cikk (1) bekezdésében említettek szerinti tanácsadó missziót szervez.

(3) A Bizottság vagy egy vagy több olyan tagállam indokolt kérésére, amely számára vagy amelyben az alapvető szolgáltatást nyújtják, azon tagállam, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet, a Bizottság rendelkezésére bocsátja a következőket:

a) a kritikus szervezet általi kockázatértékelés releváns részei;

b) a 13. cikknek megfelelően hozott releváns intézkedések listája;

c) azon felügyeleti vagy jogérvényesítési intézkedések - ideértve a megfelelési értékeléseket vagy kibocsátott határozatokat is -, amelyeket az említett kritikus szervezet tekintetében annak illetékes hatósága a 21. és a 22. cikk értelmében végrehajtott.

(4) A tanácsadó misszió a tanácsadó misszió lezárásától számított három hónapon belül beszámol a megállapításairól a Bizottságnak, azon tagállamnak, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet, azon tagállamoknak, amelyek számára vagy amelyekben az alapvető szolgáltatást nyújtják, és az érintett kritikus szervezetnek.

Azon tagállamok, amelyek számára vagy amelyekben az alapvető szolgáltatást nyújtják, elemzik az első albekezdésben említett jelentést, és szükség esetén tanácsot adnak a Bizottságnak arra vonatkozóan, hogy az érintett különös európai jelentőségű kritikus szervezet teljesíti-e a III. fejezet szerinti kötelezettségeit, és adott esetben azon intézkedésekre vonatkozóan, amelyeket az említett kritikus szervezet rezilienciájának javítása érdekében lehetne hozni.

A Bizottság az e bekezdés második albekezdésében említett tanács alapján közli a véleményét azon tagállammal, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet, azon tagállamokkal, amelyek számára vagy amelyekben az alapvető szolgáltatást nyújtják, valamint az említett kritikus szervezettel arra vonatkozóan, hogy az említett kritikus szervezet teljesíti-e a III. fejezet szerinti kötelezettségeit, és adott esetben azon intézkedésekre vonatkozóan, amelyeket az említett kritikus szervezet rezilienciájának javítása érdekében lehetne hozni.

A tagállam, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet, biztosítja, hogy az illetékes hatósága és az érintett kritikus szervezet figyelembe vegye az e bekezdés harmadik albekezdésében említett véleményt, és tájékoztatást ad a Bizottságnak és azon tagállamoknak, amelyek számára vagy amelyekben az alapvető szolgáltatást nyújtják, az említett vélemény alapján általa hozott intézkedésekről.

(5) Minden egyes tanácsadó missziónak a következő személyekből kell állnia: azon tagállam szakértői, amelyben a különös európai jelentőségű kritikus szervezet található, azon tagállamok szakértői, amelyek számára vagy amelyekben az alapvető szolgáltatást nyújtják, valamint a Bizottság képviselői. Az említett tagállamok jelölteket javasolhatnak a tanácsadó misszióban való részvételre. A Bizottság - az azon tagállammal folytatott konzultációt követően, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet - kiválasztja és kinevezi az egyes tanácsadó missziók tagjait a szakmai alkalmasságuknak megfelelően, és amennyiben lehetséges, biztosítva valamennyi említett tagállam földrajzi szempontból kiegyensúlyozott képviseletét. Bármely szükséges esetben a tanácsadó misszió tagjainak érvényes és megfelelő biztonsági tanúsítvánnyal kell rendelkezniük. A tanácsadó missziókban való részvétellel kapcsolatos költségeket a Bizottság viseli.

A Bizottság szervezi meg minden egyes tanácsadó misszió programját, a szóban fogó tanácsadó misszió tagjaival konzultálva, és azon tagállam egyetértésével, amely a 6. cikk (1) bekezdése alapján kritikus szervezetként azonosított egy különös európai jelentőségű kritikus szervezetet.

(6) A Bizottság végrehajtási jogi aktust fogad el, amelyben meghatározza a következőkre vonatkozó eljárási szabályokat: a tanácsadó missziók szervezésére irányuló kérések, az ilyen kérések kezelése, a tanácsadó missziók lebonyolítása és jelentései, valamint a Bizottság e cikk (4) bekezdésének harmadik albekezdésében említett véleményére és a meghozott intézkedésekre vonatkozó kommunikáció kezelése, kellő figyelemmel az érintett információk bizalmas és üzleti szempontból érzékeny jellegére. Az említett végrehajtási jogi aktust a 24. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(7) A tagállamok biztosítják, hogy a különös európai jelentőségű kritikus szervezetek hozzáférést biztosítsanak a tanácsadó missziók számára az alapvető szolgáltatásaik nyújtásával kapcsolatos olyan információkhoz, rendszerekhez és létesítményekhez, amelyek az érintett tanácsadó misszió lebonyolításához szükségesek.

(8) A tanácsadó missziókat azon tagállam alkalmazandó nemzeti jogával összhangban kell lebonyolítani, amelyben azokra sor kerül, tiszteletben tartva az említett tagállamnak a nemzetbiztonságért és a biztonsági érdekeinek védelméért való felelősségét.

(9) Tanácsadó missziók szervezésekor a Bizottság figyelembe veszi a Bizottság által az érintett kritikus szervezet tekintetében a 725/2004/EK és a 300/2008/EK rendelet alapján végzett ellenőrzésekről szóló jelentéseket, valamint a Bizottság által a 2005/65/EK irányelv alapján végzett nyomon követésről szóló jelentéseket.

(10) A Bizottság minden olyan esetben tájékoztatja a 19. cikkben említett, a kritikus szervezetek rezilienciájával foglalkozó csoportot, amikor tanácsadó misszió szervezésére kerül sor. Azon tagállam, amelyben a tanácsadó misszióra sor került, és a Bizottság - a kölcsönös tanulás előmozdítása céljából - tájékoztatja a kritikus szervezetek rezilienciájával foglalkozó csoportot is a tanácsadó misszió főbb megállapításairól és a levont tanulságokról.

V. FEJEZET

EGYÜTTMŰKÖDÉS ÉS JELENTÉSTÉTEL

19. cikk

A kritikus szervezetek rezilienciájával foglalkozó csoport

(1) Létrejön a kritikus szervezetek rezilienciájával foglalkozó csoport. A kritikus szervezetek rezilienciájával foglalkozó csoportnak támogatnia kell a Bizottságot, és elő kell segítenie a tagállamok közötti együttműködést és az információcserét az ezen irányelvvel kapcsolatos kérdésekben.

(2) A kritikus szervezetek rezilienciájával foglalkozó csoport a tagállamok és a Bizottság képviselőiből áll, akik adott esetben biztonsági tanúsítvánnyal rendelkeznek. Amennyiben a feladatai ellátása szempontjából releváns, a kritikus szervezetek rezilienciájával foglalkozó csoport felkérhet releváns érdekelt feleket, hogy vegyenek részt a munkájában. Az Európai Parlament kérésére a Bizottság szakértőket hívhat meg az Európai Parlamentből, hogy vegyenek részt a kritikus szervezetek rezilienciájával foglalkozó csoport ülésein.

A kritikus szervezetek rezilienciájával foglalkozó csoport elnöki tisztségét a Bizottság képviselője tölti be.

(3) A kritikus szervezetek rezilienciájával foglalkozó csoport a következő feladatokat látja el:

a) a Bizottság támogatása abban, hogy segítse a tagállamokat azon képességük megerősítésében, hogy ezen irányelvvel összhangban hozzájáruljanak a kritikus szervezetek rezilienciájának biztosításához;

b) a stratégiák elemzése a legjobb gyakorlatok azonosítása érdekében a stratégiák tekintetében;

c) a legjobb gyakorlatok megosztásának elősegítése a kritikus szervezeteknek a tagállamok által a 6. cikk (1) bekezdése alapján elvégzett azonosítása tekintetében, többek között a határokon átnyúló és a több ágazatot érintő függőségekkel kapcsolatban, valamint a kockázatokra és eseményekre vonatkozóan;

d) adott esetben hozzájárulás - az ezen irányelvvel kapcsolatos kérdéseket illetően - az uniós szintű rezilienciára vonatkozó dokumentumokhoz;

e) hozzájárulás a 7. cikk (3) bekezdésében és a 13. cikk (5) bekezdésében említett iránymutatások, valamint - kérésre - az ezen irányelv alapján elfogadott bármely felhatalmazáson alapuló vagy végrehajtási jogi aktus elkészítéséhez;

f) a 9. cikk (3) bekezdésében említett összefoglaló jelentések elemzése a 15. cikk (3) bekezdésének megfelelően hozott intézkedésekkel kapcsolatos legjobb gyakorlatok megosztásának előmozdítása céljából;

g) az eseményekre vonatkozó, a 15. cikkben említett értesítéssel kapcsolatos legjobb gyakorlatok cseréje;

h) a tanácsadó missziók összefoglaló jelentéseinek és a levont tanulságoknak a megvitatása a 18. cikk (10) bekezdésének megfelelően;

i) a kritikus szervezetek ezen irányelv szerinti rezilienciájával kapcsolatos innovációra, kutatásra és fejlesztésre vonatkozó információk és legjobb gyakorlatok cseréje;

j) adott esetben a kritikus szervezetek rezilienciájával kapcsolatos kérdésekről az érintett uniós intézményekkel, szervekkel, hivatalokkal és ügynökségekkel folytatott információcsere.

(4) A kritikus szervezetek rezilienciájával foglalkozó csoport 2025. január 17-ig, és azt követően kétévente munkaprogramot állít össze a célkitűzései és feladatai végrehajtása érdekében végzendő tevékenységek tekintetében. Az említett munkaprogramnak összhangban kell lennie ezen irányelv követelményeivel és célkitűzéseivel.

(5) A kritikus szervezetek rezilienciájával foglalkozó csoport rendszeresen és minden esetben évente legalább egy alkalommal összeül az (EU) 2022/2555 irányelv alapján létrehozott együttműködési csoporttal az együttműködés és az információcsere ösztönzése és elősegítése érdekében.

(6) A Bizottság - az 1. cikk (4) bekezdését tiszteletben tartva - végrehajtási jogi aktusokat fogadhat el a kritikus szervezetek rezilienciájával foglalkozó csoport működéséhez szükséges eljárásrend megállapítása céljából. Ezeket a végrehajtási jogi aktusokat a 24. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(7) A Bizottság - 2027. január 17-ig, azt követően szükség esetén, de legalább négyévente - a kritikus szervezetek rezilienciájával foglalkozó csoport számára összefoglaló jelentést biztosít a tagállamok által a 4. cikk (3) bekezdése és az 5. cikk (4) bekezdése alapján szolgáltatott információkról.

20. cikk

A Bizottság által az illetékes hatóságoknak és a kritikus szervezeteknek nyújtott támogatás

(1) A Bizottság adott esetben támogatja a tagállamokat és a kritikus szervezeteket az ezen irányelv szerinti kötelezettségeik teljesítésében. A Bizottság uniós szintű áttekintést készít az alapvető szolgáltatások nyújtásával kapcsolatos, határokon átnyúló és több ágazatot érintő kockázatokról, tanácsadó missziókat szervez a 13. cikk (4) bekezdésében és a 18. cikkben említettek szerint, valamint az Unió egész területén elősegíti a tagállamok és a szakértők közötti információcserét.

(2) A Bizottság kiegészíti a tagállamok 10. cikkben említett tevékenységeit azáltal, hogy legjobb gyakorlatokat, iránymutatásokat és módszertanokat, valamint határokon átnyúló képzési tevékenységeket és a kritikus szervezetek rezilienciájának tesztelését szolgáló gyakorlatokat dolgoz ki.

(3) A Bizottság tájékoztatja a tagállamokat azon uniós szintű pénzügyi forrásokról, amelyek a kritikus szervezetek rezilienciájának fokozása érdekében a tagállamok rendelkezésére állnak.

VI. FEJEZET

FELÜGYELET ÉS JOGÉRVÉNYESÍTÉS

21. cikk

Felügyelet és jogérvényesítés

(1) Annak értékelése érdekében, hogy a tagállamok által a 6. cikk alapján kritikus szervezetként azonosított szervezetek megfelelnek-e az ezen irányelvben megállapított kötelezettségeknek, a tagállamok biztosítják, hogy az illetékes hatóságok rendelkezzenek a következőkhöz szükséges hatáskörrel és eszközökkel:

a) helyszíni ellenőrzéseket végezni a kritikus infrastruktúránál és a kritikus szervezet által alapvető szolgáltatásai nyújtásához használt telephelyeken, valamint külső ellenőrzéseket végezni a kritikus szervezetek által a13. cikknek megfelelően hozott intézkedések tekintetében;

b) a kritikus szervezetek tekintetében ellenőrzéseket végezni vagy elrendelni.

(2) A tagállamok biztosítják, hogy az illetékes hatóságok rendelkezzenek az ahhoz szükséges hatáskörrel és eszközökkel, hogy - amennyiben az ezen irányelv szerinti feladataik ellátásához szükséges - előírják, hogy az (EU) 2022/2555 irányelv szerinti szervezetek, amelyeket a tagállamok ezen irányelv alapján kritikus szervezetként azonosítottak, az említett hatóságok által meghatározott észszerű határidőn belül biztosítsák a következőket:

a) az annak értékeléséhez szükséges információk, hogy az említett szervezetek által a rezilienciájuk biztosítása érdekében hozott intézkedések megfelelnek-e a 13. cikkben meghatározott követelményeknek;

b) az említett intézkedések tényleges végrehajtására vonatkozó bizonyítékok, beleértve az adott szervezet által kiválasztott független és képesített ellenőr által a szervezet költségén végzett ellenőrzés eredményeit is.

Az illetékes hatóságoknak az említett tájékoztatási kötelezettség előírásakor fel kell tüntetniük az előírás célját, és meg kell határozniuk a kért információkat.

(3) A 22. cikknek megfelelő szankciókiszabás lehetőségének sérelme nélkül, az illetékes hatóságok az e cikk (1) bekezdésében említett felügyeleti intézkedéseket vagy az információk e cikk (2) bekezdésében említett értékelését követően elrendelhetik, hogy az érintett kritikus szervezetek az említett hatóságok által meghatározott észszerű határidőn belül tegyék meg a szükséges és arányos intézkedéseket az ezen irányelvet érintő, feltárt jogsértések orvoslására, és tájékoztassák az említett hatóságokat a meghozott intézkedésekről. Az említett elrendelő határozatokban különösen a jogsértés súlyosságát kell figyelembe venni.

(4) A tagállamok biztosítják, hogy az (1), a (2) és a (3) bekezdésben meghatározott hatásköröket csak megfelelő biztosítékok mellett lehessen gyakorolni. Az említett biztosítékoknak garantálniuk kell különösen, hogy e hatáskörök gyakorlására objektív, átlátható és arányos módon kerüljön sor, valamint hogy az érintett kritikus szervezetek jogai és jogos érdekei - így például a kereskedelmi és üzleti titkok védelme - megfelelő védelemben részesüljenek, ideértve a meghallgatáshoz való jogot, a védelemhez való jogot és a független bíróság előtti hatékony jogorvoslathoz való jogot is.

(5) A tagállamok biztosítják, hogy amikor egy ezen irányelv szerinti illetékes hatóság e cikk alapján értékeli valamely kritikus szervezet megfelelőségét, az említett illetékes hatóság tájékoztassa az érintett tagállamoknak az (EU) 2022/2555 irányelv szerinti illetékes hatóságait. E célból a tagállamok biztosítják, hogy az ezen irányelv szerinti illetékes hatóságok felkérhessék az (EU) 2022/2555 irányelv szerinti illetékes hatóságokat arra, hogy gyakorolják felügyeleti és jogérvényesítési hatáskörüket egy, az említett irányelv szerinti olyan szervezet tekintetében, amelyet ezen irányelv alapján kritikus szervezetként azonosítottak. E célból a tagállamok biztosítják, hogy az ezen irányelv szerinti illetékes hatóságok együttműködjenek és információt cseréljenek az (EU) 2022/2555 irányelv szerinti illetékes hatóságokkal.

22. cikk

Szankciók

A tagállamok megállapítják az ezen irányelv alapján elfogadott nemzeti rendelkezések megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A tagállamok e szabályokról és intézkedésekről 2024. október 17-ig tájékoztatják a Bizottságot, és haladéktalanul tájékoztatják a Bizottságot az e szabályokat és intézkedéseket érintő minden későbbi módosításról.

VII. FEJEZET

FELHATALMAZÁSON ALAPULÓ JOGI AKTUSOK ÉS VÉGREHAJTÁSI JOGI AKTUSOK

23. cikk

A felhatalmazás gyakorlása

(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.

(2) A Bizottságnak az 5. cikk (1) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása ötéves időtartamra szól 2023. január 16-tól kezdődő hatállyal.

(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja az 5. cikk (1) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.

(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(6) Az 5. cikk (1) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam két hónappal meghosszabbodik.

24. cikk

A bizottsági eljárás

(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

VIII. FEJEZET

ZÁRÓ RENDELKEZÉSEK

25. cikk

Jelentéstétel és felülvizsgálat

A Bizottság 2027. július 17-ig jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, amelyben értékeli, hogy az egyes tagállamok milyen mértékben tették meg az irányelvnek való megfeleléshez szükséges intézkedéseket.

A Bizottság rendszeres időközönként felülvizsgálja ezen irányelv működését, és jelentést tesz arról az Európai Parlamentnek és a Tanácsnak. Az említett jelentésben értékelni kell különösen az irányelv hozzáadott értékét, hatását a kritikus szervezetek rezilienciájának biztosítása szempontjából, és azt, hogy szükséges-e módosítani ezen irányelv mellékletét. A Bizottság az első ilyen jelentést 2029. június 17-ig nyújtja be. Az e cikk szerinti jelentéstétel céljából a Bizottság figyelembe veszi a kritikus szervezetek rezilienciájával foglalkozó csoport releváns dokumentumait.

26. cikk

Átültetés

(1) A tagállamok legkésőbb 2024. október 17-ig elfogadják és kihirdetik azokat a rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek. Erről haladéktalanul tájékoztatják a Bizottságot.

A tagállamok ezeket a rendelkezéseket 2024. október 18-tól alkalmazzák.

(2) Amikor a tagállamok elfogadják az (1) bekezdésben említett rendelkezéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

27. cikk

A 2008/114/EK irányelv hatályon kívül helyezése

A 2008/114/EK irányelv 2024. október 18-ával hatályát veszti.

A hatályon kívül helyezett irányelvre való hivatkozásokat erre az irányelvre való hivatkozásnak kell tekinteni.

28. cikk

Hatálybalépés

Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

29. cikk

Címzettek

Ennek az irányelvnek a tagállamok a címzettjei.

Kelt Strasbourgban, 2022. december 14-én.

az Európai Parlament részéről a Tanács részéről
az elnök az elnök
R. METSOLA M. BEK

MELLÉKLET

ÁGAZATOK, ALÁGAZATOK ÉS A SZERVEZETEK KATEGÓRIÁI

Ágazatok Alágazatok Szervezetek kategóriái
1. Energia a) Villamos energia - Az (EU) 2019/944 európai parlamenti és tanácsi irányelv (1) 2. cikkének 57. pontjában meghatározott villamosenergia-ipari vállalkozások, amelyek az említett irányelv 2. cikkének 12. pontjában meghatározott „ellátás” funkciót látják el
- Az (EU) 2019/944 irányelv 2. cikkének 29. pontjában meghatározott elosztórendszer-üzemeltetők
- Az (EU) 2019/944 irányelv 2. cikkének 35. pontjában meghatározott átvitelirendszer-üzemelte- tők
- Az (EU) 2019/944 irányelv 2. cikkének 38. pontjában meghatározott termelők
- Az (EU) 2019/943 európai parlamenti és tanácsi rendelet (2) 2. cikkének 8. pontjában meghatározott kijelölt villamosenergiapiac-üzemeltetők
- Az (EU) 2019/944 irányelv 2. cikkének 18., 20. és 59. pontjában meghatározott aggregálási, keresletoldali válasz- vagy energiatárolási szolgáltatásokat nyújtó, az (EU) 2019/943 rendelet 2. cikkének 25. pontjában meghatározott piaci szereplők
b) Távfűtés vagy távhűtés - Az (EU) 2018/2001 európai parlamenti és tanácsi irányelv (3) 2. cikkének 19. pontjában meghatározott távfűtés vagy távhűtés üzemeltetői
c) Kőolaj - Kőolajvezetékek üzemeltetői
- Kőolajtermelő, -finomító és - feldolgozó létesítmények, -tárolás és - szállítás üzemeltetői
- A 2009/119/EK tanácsi irányelv(4) 2. cikkének f) pontjában meghatározott központi készletezőszervek
d) Földgáz - A 2009/73/EK európai parlamenti és tanácsi irányelv (5) 2. cikkének 8. pontjában meghatározott ellátó vállalkozások
- A 2009/73/EK irányelv 2. cikkének 6. pontjában meghatározott elosztórendszer-üzemeltetők
- A 2009/73/EK irányelv 2. cikkének 4. pontjában meghatározott szállításirendszer-üzemeltetők
- A 2009/73/EK irányelv 2. cikkének 10. pontjában meghatározott tárolásirendszer-üzemelte- tők
- A 2009/73/EK irányelv 2. cikkének 12. pontjában meghatározott LNG-létesítmény-rendszerü- zemeltetők
- A 2009/73/EK irányelv 2. cikkének 1. pontjában meghatározott földgázipari vállalkozások
- Földgázfinomító és -feldolgozó létesítmények üzemeltetői
e) Hidrogén - A hidrogéntermelés, -tárolás és - szállítás üzemeltetői
2. Közlekedés a) Légi - A 300/2008/EK rendelet 3. cikkének 4. pontjában meghatározott, kereskedelmi célra igénybe vett légi fuvarozók
- A 2009/12/EK európai parlamenti és tanácsi irányelv (6) 2. cikkének 2. pontjában meghatározott repülőtér-irányító szervezetek, az említett irányelv 2. cikkének 1. pontjában meghatározott repülőterek, a törzshálózathoz tartozó, az 1315/2013/EU európai parlamenti és tanácsi rendelet (7) II. mellékletének 2. szakaszában felsorolt törzshálózati repülőtereket is beleértve, valamint a repülőtereken található kapcsolódó létesítményeket üzemeltető szervezetek
- Az 549/2004/EK európai parlamenti és tanácsi rendelet (8) 2. cikkének 1. pontjában meghatározott légiforgalmi irányító (ATC) szolgálatot ellátó forgalomirányítási üzemeltetők
b) Vasúti - A 2012/34/EU európai parlamenti és tanácsi irányelv (9) 3. cikkének 2. pontjában meghatározott pályahálózat-működtetők
- A 2012/34/EU irányelv 3. cikkének 1. pontjában meghatározott vállalkozó vasúti társaságok és az említett irányelv 3. cikkének 12. pontjában meghatározott, a kiszolgáló létesítmények üzemeltetői
c) Vízi - A tengeri szállítás vonatkozásában a 2004/725/EK rendelet I. mellékletében meghatározott belvízi, tengeri és part menti személy- és teherszállító vállalkozások, az említett vállalkozások által üzemeltetett egyes hajók kivételével
- A 2005/65/EK irányelv 3. cikkének 1. pontjában meghatározott kikötőket irányító szervek, a 725/2004/EK rendelet 2. cikkének 11. pontjában meghatározott kikötőlétesítményeket is beleértve, valamint a kikötőkben található létesítményeket és berendezéseket üzemeltető szervek
- A 2002/59/EK európai parlamenti és tanácsi irányelv (10) 3. cikkének o) pontjában meghatározott hajóforgalmi szolgálatok üzemeltetői
d) Közúti - Az (EU) 2015/962 felhatalmazáson alapuló bizottsági rendelet (11) 2. cikkének 12. pontjában meghatározott, a forgalomirányításért felelős közúti hatóságok, azon közigazgatási szervek kivételével, amelyek általános tevékenységének nem alapvető része a forgalomszervezés vagy az intelligens közlekedési rendszerek üzemeltetése
- A 2010/40/EU európai parlamenti és tanácsi irányelv (12) 4. cikkének 1. pontjában meghatározott intelligens közlekedési rendszerek üzemeltetői
e) Tömegközlekedés - Az 1370/2007/EK európai parlamenti és tanácsi rendelet (13) 2. cikkének d) pontjában meghatározott közszolgáltatók
3. Banki szolgáltatások - Az 575/2013/EU rendelet 4. cikkének 1. pontjában meghatározott hitelintézetek
4. Pénzügyi piaci infrastruktúra - A 2014/65/EU irányelv 4. cikkének 24. pontjában meghatározott kereskedési helyszínek üzemeltetői
- A 648/2012/EU rendelet 2. cikkének 1. pontjában meghatározott központi szerződő felek
5. Egészségügy - A 2011/24/EU európai parlamenti és tanácsi irányelv (14) 3. cikkének g) pontjában meghatározott egészségügyi szolgáltatók
- Az (EU) 2022/2371 európai parlamenti és tanácsi rendelet (15) 15. cikkében meghatározott uniós referencialaboratóriumok
- A 2001/83/EK európai parlamenti és tanácsi irányelv (16) 1. cikkének 2. pontjában meghatározott, gyógyszerek kutatásával és fejlesztésével foglalkozó szervezetek
- A NACE Rev. 2. C nemzetgazdasági ágának 21. ágazatában említett gyógyszeripari alaptermékeket és gyógyszerkészítményeket gyártó szervezetek
- Az (EU) 2022/123 európai parlamenti és tanácsi rendelet (17) 22. cikke értelmében népegészségügyi szükséghelyzet idején kritikus fontosságúnak ítélt orvostechnikai eszközöket („a népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzéke”) előállító szervezetek
- A 2001/83/EK irányelv 79. cikkében említett nagykereskedelmi forgalmazási engedélyek birtokában lévő szervezetek
6. Ivóvíz - Az (EU) 2020/2184 európai parlamenti és tanácsi irányelv (18) 2. cikke 1. pontjának a) alpontjában meghatározott, emberi fogyasztásra szánt víz szállítói és forgalmazói, azon forgalmazókat kivéve, amelyek számára az emberi fogyasztásra szánt víz forgalmazása a más áruk és javak forgalmazásából álló általános tevékenységüknek nem alapvető része
7. Szennyvíz - A 91/271/EGK tanácsi irányelv (19) 2. cikkének 1., 2. és 3. pontjában meghatározott települési szennyvíz, háztartási szennyvíz és ipari szennyvíz összegyűjtését, ártalmatlanítását vagy kezelését végző vállalkozások, azon vállalkozásokat kivéve, amelyek általános tevékenységének nem alapvető része a települési szennyvíz, háztartási szennyvíz és ipari szennyvíz összegyűjtése, ártalmatlanítása és kezelése
8. Digitális infrastruktúra - Az (EU) 2022/2555 irányelv 6. cikkének 18. pontjában meghatározott internetkapcsolódási pontok szolgáltatói
- Az (EU) 2022/2555 irányelv 6. cikkének 20. pontjában meghatározott DNS-szolgáltatók, a gyökérnév szerverek üzemeltetőinek kivételével
- Az (EU) 2022/2555 irányelv 6. cikkének 21. pontjában meghatározott legfelső szintű doménnév-nyilvántartók
- Az (EU) 2022/2555 irányelv 6. cikkének 30. pontjában meghatározott felhőszolgáltatások szolgáltatói
- Az (EU) 2022/2555 irányelv 6. cikkének 31. pontjában meghatározott adatközpont-szolgáltatás nyújtói
- Az (EU) 2022/2555 irányelv 6. cikkének 32. pontjában meghatározott tartalomszolgáltató hálózatok szolgáltatói
- A 910/2014/EU európai parlamenti és tanácsi rendelet (20) 3. cikkének 19. pontjában meghatározott bizalmi szolgáltatók
- Az (EU) 2018/1972 európai parlamenti és tanácsi irányelv (21) 2. cikkének 8. pontjában meghatározott nyilvános elektronikus hírközlő hálózatok üzemeltetői
- Az (EU) 2018/1972 irányelv 2. cikkének 4. pontjában meghatározott elektronikus hírközlési szolgáltatások nyújtói, amennyiben szolgáltatásaik nyilvánosan elérhetőek
9. Közigazgatás - A központi kormányzat közigazgatási szervezetei, a tagállamok által a nemzeti joggal összhangban meghatározottak szerint
10. Világűr - A tagállamok vagy magánfelek tulajdonában, kezelésében és üzemeltetésében lévő azon földi infrastruktúra üzemeltetői, amelyek támogatják az űralapú szolgáltatások nyújtását, kivéve az (EU) 2018/1972 irányelv 2. cikkének 8. pontjában meghatározott nyilvános elektronikus hírközlő hálózatok üzemeltetőit
11. Élelmiszer-előállítás, - feldolgozás és - forgalmazás - A 178/2002/EK európai parlamenti és tanácsi rendelet (22) 3. cikkének 2. pontjában meghatározott élelmiszer-vállalkozások, amelyek kizárólag logisztikával és nagykereskedelmi forgalmazással, valamint nagyléptékű ipari termeléssel és feldolgozással foglalkoznak
(1) Az Európai Parlament és a Tanács (EU) 2019/944 irányelve (2019. június 5.) a villamos energia belső piacára vonatkozó közös szabályokról és a 2012/27/EU irányelv módosításáról (HL L 158., 2019.6.14., 125. o.).
(2) Az Európai Parlament és a Tanács (EU) 2019/943 rendelete (2019. június 5.) a villamos energia belső piacáról (HL L 158., 2019.6.14., 54. o.).
(3) Az Európai Parlament és a Tanács (EU) 2018/2001 irányelve (2018. december 11.) a megújuló energiaforrásokból előállított energia használatának előmozdításáról (HL L 328., 2018.12.21., 82. o.).
(4) A Tanács 2009/119/EK irányelve (2009. szeptember 14.) a tagállamok minimális kőolaj- és/vagy kőolajtermék-készletezési kötelezettségéről (HL L 265., 2009.10.9., 9. o.).
(5) Az Európai Parlament és a Tanács 2009/73/EK irányelve (2009. július 13.) a földgáz belső piacára vonatkozó közös szabályokról és a 2003/55/EK irányelv hatályon kívül helyezéséről (HL L 211., 2009.8.14., 94. o.).
(6) Az Európai Parlament és a Tanács 2009/12/EK irányelve (2009. március 11.) a repülőtéri díjakról (HL L 70., 2009.3.14., 11. o.).
(7) Az Európai Parlament és a Tanács 1315/2013/EU rendelete (2013. december 11.) a transzeurópai közlekedési hálózat fejlesztésére vonatkozó uniós iránymutatásokról és a 661/2010/EU határozat hatályon kívül helyezéséről (HL L 348., 2013.12.20., 1. o.).
(8) Az Európai Parlament és a Tanács 549/2004/EK rendelete (2004. március 10.) az egységes európai égbolt létrehozására vonatkozó keret megállapításáról (keretrendelet) (HL L 96., 2004.3.31., 1. o.).
(9) Az Európai Parlament és a Tanács 2012/34/EU irányelve (2012. november 21.) az egységes európai vasúti térség létrehozásáról (HL L 343., 2012.12.14., 32. o.).
(10) Az Európai Parlament és a Tanács 2002/59/EK irányelve (2002. június 27.) a közösségi hajóforgalomra vonatkozó megfigyelő és információs rendszer létrehozásáról és a 93/75/EGK irányelv hatályon kívül helyezéséről (HL L 208., 2002.8.5., 10. o.).
(11) A Bizottság (EU) 2015/962 felhatalmazáson alapuló rendelete (2014. december 18.) a 2010/40/EU európai parlamenti és tanácsi irányelvnek az EU egészére kiterjedő valós idejű forgalmi információs szolgáltatások nyújtása tekintetében történő kiegészítéséről (HL L 157., 2015.6.23., 21. o.).
(12) Az Európai Parlament és a Tanács 2010/40/EU irányelve (2010. július 7.) az intelligens közlekedési rendszereknek a közúti közlekedés területén történő kiépítésére, valamint a más közlekedési módokhoz való kapcsolódására vonatkozó keretről (HL L 207., 2010.8.6., 1 o.).
(13) Az Európai Parlament és a Tanács 1370/2007/EK rendelete (2007. október 23.) a vasúti és közúti személyszállítási közszolgáltatásról, valamint az 1191/69/EGK és az 1107/70/EGK tanácsi rendelet hatályon kívül helyezéséről (HL L 315., 2007.12.3., 1. o.).
(14) Az Európai Parlament és a Tanács 2011/24/EU irányelve (2011. március 9.) a határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről (HL L 88., 2011.4.4., 45. o.).
(15) Az Európai Parlament és a Tanács (EU) 2022/2371 rendelete (2022. november 23.) a határokon át terjedő súlyos egészségügyi veszélyekről és az 1082/2013/EU határozat hatályon kívül helyezéséről (HL L 314., 2022.12.6., 26. o.).
(16) Az Európai Parlament és a Tanács 2001/83/EK irányelve (2001. november 6.) az emberi felhasználásra szánt gyógyszerek közösségi kódexéről (HL L 311., 2001.11.28., 67. o.).
(17) Az Európai Parlament és a Tanács (EU) 2022/123 rendelete (2022. január 25.) az Európai Gyógyszerügynökség által a gyógyszerek és orvostechnikai eszközök tekintetében a válsághelyzetekre való felkészültség és a válságkezelés terén betöltött szerep megerősítéséről (HL L 20., 2022.1.31., 1. o.).
(18) Az Európai Parlament és a Tanács (EU) 2020/2184 irányelve (2020. december 16.) az emberi fogyasztásra szánt víz minőségéről (HL L 435., 2020.12.23., 1. o.).
(19) A Tanács 91/271/EGK irányelve (1991. május 21.) a települési szennyvíz kezeléséről (HL L 135., 1991.5.30., 40. o.).
(20) Az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 73. o.).
(21) Az Európai Parlament és a Tanács (EU) 2018/1972 irányelve (2018. december 11.) az Európai Elektronikus Hírközlési Kódex létrehozásáról (HL L 321., 2018.12.17., 36. o.).
(22) Az Európai Parlament és a Tanács 178/2002/EK rendelete (2002. január 28.) az élelmiszerjog általános elveiről és követelményeiről, az Európai Élelmiszerbiztonsági Hatóság létrehozásáról és az élelmiszerbiztonságra vonatkozó eljárások megállapításáról (HL L 31., 2002.2.1., 1. o.).