Source: OJ L 333, 27.12.2022, p. 80–152Current language: SV
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 30 Frivillig underrättelse om relevant information
Summary What does Article 30 of the NIS 2 directive say?
This article sits alongside the mandatory reporting framework established under Article 23, creating a parallel voluntary notification channel.
It opens up the ability for both in-scope and out-of-scope entities to report incidents, cyber threats, and near misses to CSIRTs or competent authorities on a voluntary basis.
Importantly, the article includes a protection for those who choose to report voluntarily, ensuring they do not take on any additional obligations simply by virtue of having reported.
Important points:
- Essential and important entities, as well as any other entities regardless of whether they fall within the scope of this Directive, can voluntarily notify CSIRTs or competent authorities of incidents, cyber threats, and near misses.
- Member States may prioritise the processing of mandatory notifications over voluntary ones.
- Voluntary reporting shall not result in any additional obligations being imposed on the notifying entity that would not have applied had it not submitted the notification.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Medlemsstaterna ska säkerställa att underrättelser, utöver den underrättelseskyldighet som föreskrivs i artikel 23, kan lämnas in till CSIRT-enheterna eller, i tillämpliga fall, de behöriga myndigheterna, på frivillig basis av
väsentliga och viktiga entiteter med avseende på incidenter, cyberhot och tillbud,
andra entiteter än de som avses i led a, oberoende av om de omfattas av detta direktiv, vad gäller om betydande incidenter, cyberhot och tillbud.
Medlemsstaterna ska behandla de underrättelser som avses i punkt 1 i denna artikel i enlighet med det förfarande som anges i artikel 23. Medlemsstaterna får ge behandling av obligatoriska underrättelser företräde framför behandling av frivilliga underrättelser.
CSIRT-enheterna, och i tillämpliga fall, de behöriga myndigheterna ska vid behov informera de gemensamma kontaktpunkterna om underrättelser som mottagits i enlighet med denna artikel, och samtidigt säkerställa att informationen från den underrättande entiteten förblir konfidentiell och skyddas på lämpligt sätt. Utan att det påverkar förebyggande, utredning, avslöjande och lagföring av brott får frivillig rapportering inte leda till att den underrättande entiteten åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in underrättelsen.
Relevant recitals
Skäl 105 Voluntary reporting of cyber threats
En proaktiv strategi mot cyberhot är en viktig del av riskhanteringsåtgärderna för cybersäkerhet som bör göra det möjligt för de behöriga myndigheterna att effektivt förhindra att cyberhot blir incidenter som kan vålla betydande materiell eller immateriell skada. Det är därför av avgörande vikt att cyberhot anmäls. I detta syfte uppmuntras entiteter att rapportera cyberhot på frivillig basis.
Skäl 119 Obstacles to information sharing
I och med att cyberhoten blir mer komplexa och sofistikerade är god upptäckt av sådana hot och förebyggande åtgärder mot dem i stor utsträckning beroende av ett regelbundet utbyte av underrättelser om hot och sårbarhet mellan entiteter. Informationsutbyte bidrar till ökad medvetenhet om cyberhot, vilket i sin tur ökar entiteternas förmåga att förhindra att hot blir till incidenter och gör det möjligt för entiteterna att bättre begränsa effekterna av incidenter och återhämta sig mer effektivt. I avsaknad av vägledning på unionsnivå verkar olika faktorer ha hindrat sådant utbyte av underrättelser, särskilt osäkerheten om förenligheten med konkurrens- och ansvarsreglerna.
Skäl 120 Encouragement of information sharing
Entiteter bör uppmuntras och bistås av medlemsstaterna för att kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt förebygga, upptäcka, reagera på eller återhämta sig från incidenter eller begränsa deras verkningar. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av arrangemang för frivilligt informationsutbyte om cybersäkerhet. I detta syfte bör medlemsstaterna aktivt bistå och uppmuntra entiteter, såsom de som erbjuder cybersäkerhetstjänster och forskning, samt relevanta entiteter som inte omfattas av detta direktiv, att delta i sådana arrangemang för informationsutbyte om cybersäkerhet. Dessa arrangemang bör fastställas i enlighet med unionens konkurrensregler och unionens dataskyddslagstiftning.
Skäl 139 Implementing acts on the Cooperation Group, measures and reporting
För att säkerställa enhetliga villkor för genomförandet av detta direktiv bör kommissionen tilldelas genomförandebefogenheter för att fastställa de förfaranden som krävs för samarbetsgruppens verksamhet och de tekniska och metodologiska kraven samt sektorskraven avseende riskhanteringsåtgärder för cybersäkerhet, samt ytterligare precisera typen av information samt formatet och förfarandet för underrättelser om incidenter, cyberhot och tillbud och för kommunikation om betydande cyberhot, samt i vilka fall en incident ska betraktas som betydande. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011(23).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cyberhot
(En. cyber threat)
Definition
IKT-produkt
(En. ICT product)
Definition
cybersäkerhet
(En. cybersecurity)
Definition
sårbarhet
(En. vulnerability)
Definition
entitet
(En. entity)
Definition
tillbud
(En. near miss)
Definition
betydande cyberhot
(En. significant cyber threat)
Definition
incident
Definition
nätverks- och informationssystem
(En. network and information system)
- Ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.
- En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.
- Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.
Definition
IKT-tjänst
(En. ICT service)
Footnote 23