ДИРЕКТИВА ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу. Європейський Союз. 2016

Офіційний вісник Європейського СоюзуL 194/1(До Розділу III "Юстиція, свобода та безпека")ДИРЕКТИВА ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території СоюзуЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,Беручи до уваги пропозицію Європейської Комісії,Після передачі проекту законодавчого акта національним парламентам,Беручи до уваги висновок Європейського економічно-соціального комітету (-1),Діючи згідно зі звичайною законодавчою процедурою (-2),Оскільки:(1) Мережеві та інформаційні системи та послуги відіграють важливу роль у суспільстві. Їхня надійність та безпека суттєва для економічної та соціальної діяльності і, зокрема, для функціонування внутрішнього ринку.(2) Масштаб, частота та вплив інцидентів, пов’язаних з безпекою, зростають та становлять велику загрозу для функціонування мережевих та інформаційних систем. Такі системи можуть також ставати об’єктом умисних шкідливих дій, мета яких - пошкодити такі системи або завадити їх експлуатації. Такі інциденти можуть перешкоджати здійсненню економічної діяльності, завдавати значних фінансових збитків, підривати довіру користувачів та спричиняти значну шкоду економіці Союзу.(3) Мережеві та інформаційні системи і, в першу чергу, інтернет, відіграють важливу роль у сприянні транскордонному руху товарів, послуг та людей. Через транснаціональний характер, значні порушення функціонування таких систем, як навмисні, так і ненавмисні, а також незалежно від місця здійснення, можуть впливати на окремі держави-члени та Союз у цілому. Таким чином, безпека мережевих та інформаційних систем суттєва для безперебійного функціонування внутрішнього ринку.(4) Спираючись на значний прогрес у рамках Європейського форуму держав-членів у сприянні обговоренням та обмінам належними практиками в політиці, у тому числі розробки принципів для європейського співробітництва з питань кібер-кризи, необхідно створити Групу співпраці, що складатиметься з представників держав-членів, Комісії та Європейського агентства з питань мережевої та інформаційної безпеки («ENISA»), для підтримки та сприяння стратегічній співпраці між державами-членами щодо безпеки мережевих та інформаційних систем. Для того, щоб така група була дієвою та інклюзивною, суттєво, щоб всі держави-члени мали мінімальні можливості та стратегію, що забезпечує високий рівень безпеки мережевих та інформаційних систем на їхній території. Крім того, необхідно застосовувати вимоги до безпеки та повідомлення до операторів основних послуг та надавачів цифрових послуг щоби просувати культуру управління ризиками та забезпечити звітування про найсерйозніші інциденти.(5) Існуючих можливостей недостатньо для забезпечення високого рівня безпеки мережевих та інформаційних систем в межах Союзу. Держави-члени мають дуже різні рівні підготованості, що призвело до фрагментованості підходів у Союзі. Це спричиняє неоднаковий рівень захисту споживачів та суб’єктів господарської діяльності і підриває загальний рівень безпеки мережевих та інформаційних систем в межах Союзу. В свою чергу, брак спільних вимог до операторів основних послуг та надавачів цифрових послуг унеможливлює заснування глобального та дієвого механізму співпраці на рівні Союзу. Університети та дослідницькі центри відіграють вирішальну роль у стимулюванні досліджень, розвитку та інновацій у таких сферах.(6) Таким чином, результативна відповідь на виклики в сфері безпеки мережевих та інформаційних систем вимагає глобального підходу на рівні Союзу, що охоплюватиме спільні мінімальні вимоги до розбудови спроможності і планування, обмін інформацією, вимоги співпраці та спільні безпекові вимоги до операторів основних послуг та надавачів цифрових послуг. Однак, ніщо не перешкоджає операторам основних послуг та надавачам цифрових послуг впроваджувати інструменти безпеки, суворіші за інструменти, передбачені в цій Директиві.(7) Для того, щоб охопити всі відповідні інциденти та ризики, цю Директиву необхідно застосовувати як до операторів основних послуг, так і до надавачів цифрових послуг. Однак, зобов’язання, що покладаються на операторів основних послуг та надавачів цифрових послуг, не можна застосовувати до підприємств, що надають мережі зв’язку загального користування або загальнодоступні послуги електронного зв’язку у розумінні Директиви Європейського Парламенту і Ради 2002/21/ЄС (-3), до яких застосовують спеціальні вимоги безпеки та цілісності, встановлені у зазначеній Директиві, а також їх не можна застосовувати до надавачів довірчих послуг у значенні Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 (-4), до яких застосовують вимоги безпеки, встановлені в зазначеному Регламенті.(8) Ця Директива не повинна обмежувати можливість кожної держави-члена вживати необхідних заходів для забезпечення захисту суттєвих інтересів її безпеки, для охорони публічного порядку та забезпечення громадської безпеки, а також щоби уможливити розслідування, розкриття та кримінальне переслідування кримінальних правопорушень. Відповідно до статті 346 Договору про функціонування Європейського Союзу (TFEU), жодна держава- член не може бути зобов’язана надавати інформацію, розкриття якої, на її думку, суперечитиме суттєвим інтересам її безпеки. У цьому контексті мають значення Рішення Ради 2013/488/ЄС (-5) та угоди про нерозкриття або неформальні угоди про нерозкриття інформації, такі як протокол «Світлофор» (TLP).(9) Певні сектори економіки вже регулюють або можуть регулювати у майбутньому галузеві правові акти Союзу, що включають правила, які стосуються безпеки мережевих та інформаційних систем. Коли такі правові акти Єсоюзу містять положення, що накладають вимоги відносно безпеки мережевих та інформаційних систем або повідомлень про інциденти, такі положення необхідно застосовувати, якщо вони містять вимоги, які щонайменше рівноцінні по суті зобов’язанням, що містяться в цій Директиві. В такому разі, держави-члени повинні застосовувати положення таких секторальних правових актів Союзу, у тому числі положення відносно юрисдикції, а також не повинні визначати операторів основних послуг, згідно з порядком, встановленим в цій Директиві. У цьому контексті, держави-члени повинні надавати Комісії інформацію про застосування таких положень lex specialis. Вирішуючи питання, чи вимоги до безпеки мережевих та інформаційних систем та до повідомлення про інциденти, що містяться у секторальних правових актах Союзу, рівноцінні вимогам, що містяться в цій Директиві, необхідно враховувати лише положення відповідних правових актів Союзу та їх застосування у державах-членах.(10) У секторі водного транспорту безпекові вимоги до компаній, кораблів, портових споруд, портів та служб руху суден відповідно до правових актів Союзу охоплюють всі операції, у тому числі системи радіо- та електрозв’язку, комп’ютерні системи та мережі. Частина обов’язкових процедур, яких необхідно дотримуватися, включає звітування про всі інциденти і, таким чином, повинна вважатися lex specialis, настільки наскільки такі вимоги щонайменше рівноцінні відповідним положенням цієї Директиви.(11) Визначаючи операторів у секторі водного транспорту, держави-члени повинні враховувати існуючі та майбутні міжнародні кодекси та настанови, розроблені, зокрема, Міжнародною морською організацією, з метою забезпечення узгодженого підходу для окремих морських операторів.(12) Регулювання та нагляд у банківському секторі та секторі інфраструктур фінансового ринку високою мірою гармонізовані на рівні Союзу за допомогою первинного та вторинного законодавства Союзу та стандартів, розроблених разом з європейськими наглядовими органами. В рамках банківського союзу застосування таких вимог та нагляд за їх виконанням забезпечує єдиний наглядовий механізм. Для держав-членів, які не належать до банківського союзу - це забезпечують відповідні банківські регуляторні органи держав-членів. В інших сферах регулювання фінансового сектору, Європейська система фінансового нагляду також забезпечує високий ступінь спільності та конвергенції наглядових практик. Європейський орган з цінних паперів та ринків (ESMA) також відіграє роль прямого нагляду за певними суб’єктами, а саме кредитно-рейтинговими агентствами та реєстрами трансакцій.(13) Операційний ризик є важливою частиною пруденційного регулювання та нагляду у банківському секторі та секторі інфраструктур фінансового ринку. Він охоплює всі операції, у тому числі безпеку, цілісність та стійкість мережевих та інформаційних систем. Вимоги відносно таких систем, які часто перевищують вимоги, передбачені в цій Директиві, викладені у низці правових актів Союзу, у тому числі: правилах щодо доступу до діяльності кредитних установ та пруденційного нагляду за кредитними установами та інвестиційними компаніями, та правилах щодо пруденційних вимог до кредитних установ та інвестиційних компаній, котрі включають вимоги відносно операційного ризику; правилах щодо ринків фінансових інструментів, котрі включають вимоги стосовно оцінювання ризику для інвестиційних компаній та регульованих ринків; правилах щодо позабіржових похідних фінансових інструментів, центральних контрагентів та реєстрів трансакцій, що включають вимоги відносно операційного ризику для центральних контрагентів та реєстрів трансакцій; правилах щодо вдосконалення розрахунків за цінними паперами у Союзі та щодо центральних депозитаріїв цінних паперів, котрі включають вимоги відносно операційного ризику. Крім того, вимоги до повідомлення про інциденти входять до звичайної наглядової практики у фінансовому секторі та часто містяться у посібниках з нагляду. Держави-члени повинні брати до уваги такі правила та вимоги у їхньому застосуванні lex specialis.(14) Як відмітив Європейський Центральний Банк у своєму рішенні від 25 липня 2014 року (-6), ця Директива не впливає на режим нагляду за платіжними системами та системами розрахунків Євросистеми відповідно до законодавства Союзу. Було би доцільно для органів, відповідальних за такий нагляд, обмінюватися досвідом щодо питань стосовно безпеки мережевих та інформаційних систем, з компетентними органами відповідно до цієї Директиви. Така ж увага приділяється членам Європейської системи центральних банків з країн, що не входять до зони євро, що здійснюють такий нагляд за платіжними та розрахунковими системами на основі національних нормативно-правових актів.(15) Електронний торговий майданчик дозволяє споживачам та торговцям укладати онлайн договори продажу або надання послуг з торговцями і є кінцевим пунктом для укладання таких договорів. Він не повинен включати онлайнові послуги, що слугують лише посередником для послуг третіх сторін, за допомогою яких можна врешті укласти договір. Таким чином, він не повинен включати онлайнові послуги, що порівнюють ціну різних торговців на певні продукти або послуги, а потім перенаправляють користувача до торговця, якому надається перевага, для купівлі продукту. Обчислювальні послуги, які надають електронні торгові майданчики, можуть включати опрацювання трансакцій, агрегацію даних або створення облікових записів користувачів. Сховища програм, які функціонують як інтернет-магазини, що уможливлюють цифрове розповсюдження програм або програмного забезпечення третіх сторін, необхідно розуміти як один з типів електронних торгових майданчиків.(16) Електронна пошукова система дозволяє користувачеві здійснювати пошук, в принципі, по всім веб-сайтам за запитом на будь-яку тему. Також пошук може бути орієнтований на веб-сайти певною мовою. Означення пошукової системи, передбачене в цій Директиві, не повинне охоплювати пошукові функції, обмежені контентом конкретного веб-сайту, незалежно від того, чи таку пошукову функцію надає зовнішня електронна пошукова система. Також воно не повинне охоплювати інтернет-послуги, що порівнюють ціну різних торговців на певні продукти або послуги, а потім перенаправляють користувача до торговця, якому надається перевага, для купівлі продукту.(17) Послуги хмарних обчислень включають широке розмаїття видів діяльності, що можуть надаватись відповідно до різних моделей. Для цілей цієї Директиви, термін «послуги хмарних обчислень» охоплює послуги, що дозволяють доступ до масштабовного та еластичного пулу обчислювальних ресурсів спільного користування. Такі обчислювальні ресурси включають такі ресурси як мережі, сервери або іншу інфраструктуру, сховища, програми та послуги. Термін «масштабовний» означає, що надавач хмарної послуги гнучко розподілив обчислювальні ресурси незалежно від географічного розташування ресурсів для того, щоб справлятися з коливаннями попиту. Термін «еластичний пул» використовується для опису таких обчислювальних ресурсів, які вводять в дію та дозволяють до використання відповідно до попиту щоби швидко збільшувати та зменшувати доступні ресурси залежно від навантаження. Термін «спільного користування» використовується для опису обчислювальних ресурсів, котрі надаються багатьом користувачам зі спільним доступом до послуги, але опрацювання здійснюється для кожного користувача окремо, хоча послуга надається з одного й того ж електронного обладнання.(18) Функція точки обміну інтернет-трафіком (IXP) полягає у взаємоз’єднанні мереж. IXP не надає доступу до мережі та не діє як транзитний провайдер або передавач. Також IXP не надає інших послуг, не пов’язаних із взаємоз’єднанням, хоча це не стає на заваді IXP-операторові надавати непов’язані послуги. IXP існує для взаємоз’єднання технічно та організаційно відокремлених мереж. Термін «автономна система» використовується для опису технічно автономної мережі.(19) Держави-члени повинні нести відповідальність за визначення суб’єктів, які відповідають критеріям означення оператора основних послуг. Для того, щоб забезпечити узгоджений підхід, всі держави-члени повинні послідовно застосовувати означення оператора основних послуг. З цією метою, ця Директива передбачає оцінювання суб’єктів, що діють у конкретних секторах та підсекторах, створення списку основних послуг, розгляд спільного списку міжгалузевих факторів щоби визначити, чи може потенційний інцидент мати значний негативний вплив, процес консультацій із залученням відповідних держав-членів у випадку суб‘єктів, що надають послуги у декількох державах-членах, та підтримку Групи співпраці у процесі визначення. Для забезпечення точного відображення можливих змін на ринку, держави-члени повинні регулярно переглядати список визначених операторів та оновлювати його мірою необхідності. Врешті, держави-члени повинні надати Комісії інформацію, необхідну для оцінення межі узгодженого застосування державами-членами такого означення, яку дозволила ця спільна методологія.(20) У процесі визначення операторів основних послуг, держави-члени повинні оцінити, щонайменше для кожного підсектора, вказаного в цій Директиві, які послуги необхідно вважати основними для підтримки критичної соціально-економічної діяльності, а також чи суб'єкти, перелічені в секторах та підсекторах, вказаних у цій Директиві, що надають такі послуги, відповідають критеріям визначення операторів. Здійснюючи оцінювання питання, чи надає суб’єкт послугу, що є основною для підтримки критичної соціально-економічної діяльності, достатньо перевірити чи такий суб’єкт надає послугу, що включена до списку основних послуг. Крім того, необхідно довести, що надання такої основної послуги залежить від мережевих та інформаційних систем. Врешті, здійснюючи оцінювання питання, чи може інцидент мати значний негативний вплив на надання послуги, держави-члени повинні враховувати певні міжсекторальні чинники, а також, якщо доречно, секторальні чинники.(21) Для цілей визначення операторів основних послуг, створення у державі-члені вимагає дієвого та реального здійснення діяльності на основі стабільного впорядкування. Адміністративно-правова форма такого впорядкування, чи то відділення чи то дочірнє підприємство що володіє правосуб’єктністю, не є визначальним чинником у цьому відношенні.(22) Можливо, що такі суб’єкти, що діють у секторах та підсекторах, вказаних у цій Директив, надають як основні, так і неосновні послуги. Наприклад, у секторі повітряного транспорту аеропорти надають послуги, які держава-член може вважати основними, наприклад управління злітно-приземлювальною смугою, але також певні послуги, які можуть вважатися неосновними, наприклад забезпечення торгових зон. Оператори основних послуг повинні виконувати конкретні безпекові вимоги лише стосовно таких послуг, які вважаються основними. З метою визначення операторів держави-члени повинні створити список послуг, які вважаються основними.(23) Список послуг повинен містити всі послуги, що надаються на території певної держави-члена та відповідають вимогам згідно з цією Директивою. Держави-члени повинні мати змогу доповнювати існуючий список, додаючи нові послуги. Список послуг повинен слугувати орієнтиром для держав-членів, дозволяючи визначення операторів основних послуг. Його метою є визначення типів основних послуг у будь-якому певному секторі, вказаному у цій Директиві, таким чином відрізняючи їх від неосновної діяльності, за яку суб’єкт, який здійснює діяльність у відповідному секторі, може бути відповідальним. Список послуг, складений кожною державою-членом, слугуватиме додатковим внеском в оцінювання регуляторної практики кожної держави-члена з метою забезпечення загального рівня узгодженості процесу визначення серед держав-членів.(24) Для цілей процесу визначення, якщо суб’єкт надає основну послугу у двох або більше державах-членах, такі держави-члени повинні долучатися до двосторонніх або багатосторонніх обговорень одна з одною. Такий консультаційний процес має на меті допомогти їм оцінити критичність оператора стосовно транскордонного впливу, дозволяючи кожній залученій державі-члену представити свої погляди стосовно ризиків, пов’язаних з послугами, що надаються. Відповідні держави-члени повинні враховувати погляди одна одної в цьому процесі та повинні мати змогу звертатися по допомогу до Групи співпраці з цього приводу.(25) Як результат процесу визначення, держави-члени повинні ухвалювати національні інструменти щоби встановити, до яких суб’єктів застосовуються зобов’язання щодо безпеки мережевих та інформаційних систем. Цього результату можна досягти за допомогою ухвалення списку, що містить перелік всіх операторів основних послуг, або за допомогою ухвалення національних інструментів, що включають об’єктивні кількісно вимірювані критерії такі, як результативність оператора або кількість користувачів, що дає можливість встановити, до яких суб’єктів застосовуються зобов’язання щодо безпеки мережевих та інформаційних систем. Національні інструменти, які вже існують або ухвалені у контексті цієї Директиви, повинні включати всі правові інструменти, адміністративні інструменти та політики, що дозволяють визначення операторів основних послуг згідно з цією Директивою.(26) Для того, щоб охарактеризувати важливість - відносно відповідного сектора - визначених операторів основних послуг, держави-члени повинні враховувати кількість та розмір таких операторів, наприклад, щодо частки ринку або обсягу виробництва або перевезення, без зобов’язання розголошувати інформацію, що може виявити, яких операторів було визначено.(27) Для того, щоб визначити чи може інцидент мати значний негативний вплив на надання основної послуги, держави-члени повинні враховувати декілька різних чинників, таких як кількість користувачів, які залежать від такої послуги для особистих або професійних цілей. Використання такої послуги може бути пряме, непряме або за посередництва. Оцінюючи вплив, який може мати такий інцидент, відповідно до його ступеню та тривалості, на економічну та соціальну діяльність або громадську безпеку, держави-члени повинні також оцінювати час, що імовірно пройде до того, як таке порушення безперервності почне мати негативний вплив.(28) Окрім міжсекторальних чинників, необхідно враховувати також і специфічні для сектора чинники для того, щоб визначити, чи матиме інцидент значний негативний вплив на надання основної послуги. Що стосується постачальників енергії, то такі чинники можуть включати обсяг або частку виробленої енергії на національному рівні; для постачальників нафти - добовий обсяг; для повітряного транспорту, у тому числі аеропортів та авіаперевізників, залізничного транспорту та морських портів - частку обсягу національного руху та річна кількість пасажирів або вантажних операцій; для інфраструктур банківського та фінансових ринків - їхню системну важливість, що базується на загальному обсягу активів або співвідношенні такого загального обсягу активів до ВВП; для сектора охорони здоров'я - річна кількість пацієнтів під наглядом надавача (медичних послуг); для виробництва, підготування та постачання води - обсяг, кількість та типи користувачів, яким було здійснене постачання, у тому числі, наприклад, лікарні, комунальні служби або фізичні особи, та існування альтернативних джерел води для охоплення тієї самої географічної місцевості.(29) Для того, щоб досягти та підтримувати високий рівень безпеки мережевих та інформаційних систем, кожна держава-член повинна мати національну стратегію щодо безпеки мережевих та інформаційних систем, що визначає стратегічні цілі та конкретні дії в сфері політики, які необхідно здійснити.(30) 3 огляду на відмінності в структурах національного врядування та для охорони вже існуючого секторального впорядкування або наглядових та регуляторних органів Союзу, а також щоб уникнути дублювання, держави-члени повинні мати змогу призначити більш ніж один національний компетентний орган, відповідальний за виконання завдань, пов’язаних із безпекою мережевих та інформаційних систем операторів основних послуг та надавачів цифрових послуг відповідно до цієї Директиви.(31) Для сприяння транскордонної співпраці та комунікації, та для того, щоб уможливити результативну імплементацію цієї Директиви, необхідно для кожної держави-члена, не обмежуючи секторального регуляторного впорядкування, призначити єдиний національний контактний пункт, відповідальний за координацію питань, пов'язаних із безпекою мережевих та інформаційних систем та транскордонною співпрацею на рівні Союзу. Компетентні органи та єдині контактні пункти повинні мати належні технічні, фінансові та людські ресурси для забезпечення їх здатності виконувати завдання, поставлені перед ними, у результативний та ефективний спосіб і таким чином досягати цілей цієї Директиви. Оскільки ця Директива має на меті покращити функціонування внутрішнього ринку через створення повної довіри, органи держав-членів повинні мати змогу результативно співпрацювати з суб’єктами економічної діяльності та бути відповідним чином структурованими.(32) Компетентні органи або групи реагування на інциденти, пов’язані з комп’ютерною безпекою («CSIRT»), повинні отримувати повідомлення про інциденти. Єдині контактні пункти не повинні прямо отримувати повідомлення про інциденти, крім випадків, коли вони також діють як компетентний орган або CSIRT. Однак, компетентний орган або CSIRT повинна мати можливість доручати єдиному контактному пункту надсилати повідомлення про інциденти єдиним контактним пунктам інших держав-членів, які піддаються негативній дії.(33) Щоби забезпечити результативне надання інформації державам-членам та Комісії, єдиний контактний пункт повинен подати підсумковий звіт Групі співпраці; цей звіт повинен бути анонімним для того, щоб зберегти конфіденційність повідомлень та особи операторів основних послуг та надавачів цифрових послуг, оскільки інформація про особу суб'єктів, що повідомляють, не вимагається для обміну кращими практиками у Групі співпраці. Підсумковий звіт повинен містити інформацію про кількість отриманих повідомлень, а також зазначення характеру інцидентів, про які було надіслано повідомлення, такого як типи випадків порушення безпеки, їхня серйозність або їхня тривалість.(34) Держави-члени повинні бути належним чином оснащені, з огляду на технічні та організаційні спроможності, для запобігання, виявлення, реагування на інциденти та ризики мережевих та інформаційних систем та усунення їхніх наслідків. Отже, держави-члени повинні забезпечувати наявність у себе надійно функціонуючі CSIRT, також відомі як групи реагування на комп'ютерні надзвичайні ситуації («CERT»), що відповідають основним вимогам гарантування результативних та сумісних спроможностей для подолання наслідків таких інцидентів та ризиків і забезпечення ефективної співпраці на рівні Союзу. Для того, щоби всі типи операторів основних послуг та надавачів цифрових послуг користувалися перевагами таких спроможностей та співпраці, держави-члени повинні забезпечувати, щоби призначена CSIRT була передбачена для всіх типів. Враховуючи важливість міжнародної співпраці з питань кібербезпеки, CSIRT повинні мати можливість брати участь у мережах міжнародної співпраці окрім мережі CSIRT, заснованої цією Директивою.(35) Оскільки більшість мережевих та інформаційних систем експлуатують на приватній основі, співпраця між публічним та приватним секторами є суттєвим моментом. Операторів основних послуг та надавачів цифрових послуг необхідно заохочувати до розроблення своїх власних механізмів міжнародної співпраці для забезпечення безпеки мережевих та інформаційних систем. Група співробітництва повинна, за доречності, мати змогу запрошувати відповідних стейкхолдерів до обговорень. З метою забезпечення дієвого обміну інформацією та кращими практиками, необхідно забезпечувати відсутність дій на шкоду операторам основних послуг та надавачам цифрових послуг, які беруть участь у такому обміні.(36) ENISA повинне допомагати державам-членам та Комісії, надаючи експертні знання та консультації, а також сприяючи обміну кращими практиками. Зокрема, у застосування цієї Директиви Комісія повинна - а держави-члени повинні мати змогу - консультуватися з ENISA. Для нарощування потенціалу та знань держав-членів, Група співпраці повинна також слугувати інструментом обміну кращими практиками, обговорення спроможностей та підготованості держав-членів, а також добровільно допомагати її членам в оцінюванні національних стратегій з безпеки мережевих та інформаційних систем, нарощування потенціалу та оцінювання завдань, що стосуються безпеки мережевих та інформаційних систем.(37) 3а доцільності, держави-члени повинні мати змогу використовувати або адаптовувати існуючі організаційні структури або стратегії, у застосуванні цієї Директиви.(38) Відповідні завдання Групи співпраці та ENISA є взаємозалежними та доповняльними. В цілому, ENISA повинне допомагати Групі співпраці у виконанні її завдань відповідно до цілі ENISA, встановленої в Регламенті Європейського Парламенту і Ради (ЕС) № 526/2013 (-7), а саме допомагати установам, органам, офісам та агентствам Союзу та державам-членам в реалізації політик, необхідних для дотримання правових та нормативних вимог безпеки мережевих та інформаційних систем відповідно до існуючих та майбутніх законодавчих актів Союзу. Зокрема, ENISA повинне надавати допомогу в таких сферах, які відповідають її власним завданням, як викладено в Регламенті (ЄС) № 526/2013, а саме: в аналізі стратегій безпеки мережевих та інформаційних систем, підтримці організації та здійснення завдань Союзу стосовно безпеки мережевих та інформаційних систем, обміні інформацією та кращими практиками щодо підвищення обізнаності й навчання. ENISA також необхідно залучати до розроблення настанов для секторальних критеріїв визначення вагомості впливу інциденту.(39) Для того, щоб просувати додаткову безпеку мережевих та інформаційних систем, Група співпраці повинна, у відповідних випадках, співпрацювати з відповідними установами, органами, офісами та агентствами Союзу для обміну ноу-хау та кращими практиками, а також для консультування щодо аспектів безпеки мережевих та інформаційних систем, що можуть мати вплив на їхню роботу, дотримуючись при цьому існуючого порядку та умов обміну інформацією з обмеженим доступом. Співпрацюючи з правоохоронними органами стосовно аспектів безпеки мережевих та інформаційних систем, що можуть впливати на їхню роботу, Група співпраці повинна враховувати наявні канали інформації та створені мережі.(40) Інформація про інциденти дедалі стає важливішою для громадськості та суб’єктів господарської діяльності, особливо для малих та середніх підприємств. У деяких випадках, така інформація вже надається за допомогою веб-сайтів на національному рівні мовою конкретної країни, вона орієнтована головним чином на інциденти та події національного масштабу. З огляду на те, що суб’єкти господарської діяльності дедалі більше діяльності працюють через кордони і громадяни використовують онлайн послуги, інформацію про інциденти необхідно надавати комплексно на рівні Союзу. Секретаріат мережі CSIRT заохочують підтримувати веб-сайт або розміщати виділену сторінку на існуючому веб-сайті, де оприлюднюють загальну інформацію про значні інциденти, які трапилися на території Союзу, з особливою увагою до інтересів та потреб суб’єктів господарської діяльності. CSIRT, які беруть участь у мережі CSIRT, заохочують добровільно надавати інформацію, що буде опублікована на такому веб-сайті, за винятком конфіденційної або чутливої інформації.(41) Якщо інформація вважається конфіденційною відповідно до правил Союзу або національних правил щодо комерційної таємниці, необхідно забезпечувати таку таємницю, здійснюючи діяльність та досягаючи цілі, встановлені цією Директивою.(42) Навчання із симуляцією сценаріїв інцидентів в реальному часі важливі для випробовування підготованості та співпраці держав- членів щодо безпеки мережевих та інформаційних систем. Цикл навчань «CyberEurope», який координує ENISA за участі держав-членів - корисний інструмент для випробування та розробки рекомендацій стосовно того, як повинне врегулювання інцидентів на рівні Союзу покращитися з часом. Враховуючи те, що держави-члени наразі не зобов’язані планувати навчання або брати участь у них, створення мережі CSIRT відповідно до цієї Директиви повинне уможливити держави-члени брати участь у навчаннях на основі точного планування та стратегічних рішень. Група співпраці, створена згідно з цією Директивою, повинна обговорювати стратегічні рішення щодо навчань, зокрема, але не виключно, стосовно регулярності навчань та розробки сценаріїв. ENISA повинне, відповідно до свого мандату, підтримувати організацію та виконання навчань у масштабах всього Союзу, надаючи свої експертні знання та консультації Групі співпраці та мережі CSIRT.(43) Враховуючи глобальний характер проблем безпеки, що впливають на мережеві та інформаційні системи, існує потреба в тіснішій міжнародній співпраці для покращення стандартів безпеки та інформаційного обміну та для сприяння спільному глобальному підходу до питань безпеки.(44) Відповідальність за забезпечення безпеки мережевих та інформаційних систем лежить, значною мірою, на операторах основних послуг та надавачах цифрових послуг. Необхідно сприяти культурі управління ризиками, у тому числі оцінюванню ризику та реалізації інструментів безпеки, відповідних ризикам, що постають наразі, та розвивати її за допомогою належних регуляторних вимог та добровільних галузевих практик. Створення надійних однакових умов конкуренції також важливо для результативного функціонування Групи співпраці та мережі CSIRT для забезпечення результативної співпраці всіх держав-членів.(45) Цю Директиву застосовують лише до публічних адміністрацій, визначених операторами основних послуг. Таким чином, держави-члени несуть відповідальність за забезпечення безпеки мережевих та інформаційних систем публічних адміністрацій, які не підпадають під сферу застосування цієї Директиви.(46) Інструменти управління ризиками включають інструменти для визначення ризиків інцидентів, для запобігання, виявлення та врегулювання інцидентів, а також зменшення їхнього впливу. Безпека мережевих та інформаційних систем включає безпеку збережених, переданих та опрацьованих даних.(47) Компетентні органи повинні зберігати можливість ухвалювати національні настанови щодо обставин, за яких оператори основних послуг повинні повідомляти про інциденти.(48) Багато суб’єктів господарської діяльності в Союзі залежать від надавачів цифрових послуг у наданні своїх послуг. Оскільки деякі цифрові послуги можуть бути важливим ресурсом для користувачів, у тому числі операторів основних послуг, і такі користувачі не завжди можуть мати доступні альтернативи, цю Директиву також необхідно застосовувати до надавачів таких послуг. Безпека, неперервність та надійність типу цифрових послуг, зазначеного в цій Директиві - основа безперебійного функціонування багатьох суб’єктів господарської діяльності. Перебої такої цифрової послуги можуть перешкоджати наданню інших послуг, які залежать від неї і, таким чином, впливати на ключову економічну та соціальну діяльність у Союзі. Такі цифрові послуги можуть мати вирішальне значення для безперебійного функціонування суб’єктів господарської діяльності, що залежать від них і, більше того, для участі таких суб’єктів у внутрішньому ринку та транскордонній торгівлі в межах Союзу. Зазначені надавачі цифрових послуг, на яких розповсюджується дія цієї Директиви, вважаються такими, що пропонують цифрові послуги, від яких дедалі більше залежить багато суб’єктів господарської діяльності в Союзі.(49) Надавачі цифрових послуг повинні забезпечити рівень безпеки, співмірний з рівнем ризику, що виникає для безпеки цифрових послуг, які вони надають, враховуючи важливість інших послуг для операцій інших суб’єктів господарської діяльності в межах Союзу. На практиці, ступінь ризику для операторів основних послуг, які часто є істотними для підтримки важливої соціальної та економічної діяльності, є вищим ніж для надавачів цифрових послуг. Таким чином, вимоги до безпеки для надавачів цифрових послуг повинні бути менш суворими. Надавачі цифрових послуг повинні мати свободу вживати заходів, які вони вважають належними для управління ризиками, що виникають для безпеки їхніх мережевих та інформаційних систем. Через свій транскордонний характер, надавачі цифрових послуг повинні підлягати більш гармонізованому підходу на рівні Союзу. Імплементаційні акти повинні сприяти конкретизації та реалізації таких заходів.(50) Хоча виробники апаратного забезпечення та розробники програмного забезпечення не є операторами основних послуг і надавачами цифрових послуг, їхні продукти посилюють безпеку мережевих та інформаційних систем. Таким чином, вони відіграють важливу роль у забезпеченні можливості операторів основних послуг та надавачів цифрових послуг убезпечити їхні мережеві та інформаційні системи. На такі продукти апаратного та програмного забезпечення вже розповсюджуються існуючі правила щодо відповідальності за продукт.(51) Технічні та організаційні інструменти, введені щодо операторів основних послуг та надавачів цифрових послуг, не повинні вимагати певної комерційної інформації та певного способу проектування, розроблення або виготовлення продукту технологій зв’язку.(52) Оператори основних послуг та надавачі цифрових послуг повинні забезпечувати безпеку мережевих та інформаційних систем, які вони використовують. Це, в першу чергу, приватні мережеві та інформаційні системи, якими управляє їхній внутрішній ІТ-персонал або безпеку яких забезпечують сторонні організації. Вимоги до безпеки та повідомлення необхідно застосовувати до відповідних операторів основних послуг та надавачів цифрових послуг незалежно від того, чи здійснюють вони технічне обслуговування своїх мережевих та інформаційних систем самостійно чи доручають це стороннім організаціям.(53) Для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств.(54) Якщо публічні адміністрації у державах-членах використовують послуги, запропоновані надавачами цифрових послуг, зокрема послугами хмарних обчислень, вони можуть захотіти вимагати від надавачів таких послуг додаткових заходів безпеки окрім тих, які надавачі цифрових послуг зазвичай запропонували би згідно з вимогами цієї Директиви. Вони повинні мати змогу робити це за допомогою договірних зобов’язань.(55) Означення електронних торгових майданчиків, пошукових систем та послуг хмарних обчислень у цій Директиві слугують конкретній меті цієї Директиви і не обмежують будь-яких інших інструментів.(56) Ця Директива не повинна перешкоджати державам-членам ухвалювати національні інструменти, що вимагають від державних організацій забезпечувати конкретні вимоги до безпеки коли вони укладають договори на послуги хмарних обчислень. Будь-які такі національні інструменти необхідно застосовувати до відповідної державної організації, а не до надавача послуги хмарних обчислень.(57) Враховуючи фундаментальні відмінності між операторами основних послуг, зокрема їхній прямий зв’язок з фізичною інфраструктурою, та надавачами цифрових послуг, зокрема їхній транскордонний характер, ця Директива повинна застосовувати диференційований підхід відносно рівня гармонізації щодо цих двох груп суб’єктів. Стосовно операторів основних послуг, держави-члени повинні мати змогу визначати відповідних операторів та висувати суворіші вимоги ніж ті, що встановлено в цій Директиві. Держави-члени не повинні визначати надавачів цифрових послуг, оскільки цю Директиву в її сфері застосування необхідно застосовувати до всіх надавачів цифрових послуг. Крім цього, ця Директива та імплементаційні акти, ухвалені відповідно до неї, повинні забезпечувати високий рівень гармонізації для надавачів цифрових послуг відносно вимог до безпеки та повідомлення. Це повинне уможливити однакове ставлення до надавачів цифрових послуг у всьому Союзу у спосіб, пропорційний їхньому характеру та ступеню ризику, який може постати перед ними.(58) Ця Директива не повинна перешкоджати державам-членам висувати вимоги до безпеки та повідомлення до суб’єктів, які не є надавачами цифрових послуг в рамках цієї Директиви, без обмеження зобов’язань держав-членів згідно із законодавством Союзу.(59) Компетентні органи повинні звертати належну увагу на збереження неформальних та надійних каналів обміну інформацією. Розголошуючи інциденти, про які було повідомлено компетентним органам, необхідно належним чином забезпечувати баланс між інтересом громадськості в отриманні інформації про загрози та можливою шкодою репутації чи бізнесу операторів основних послуг та надавачів цифрових послуг, що повідомляють про інциденти. Виконуючи зобов’язання щодо повідомлення, компетентні органи та CSIRT повинні звертати особливу увагу на необхідність зберігати сувору конфіденційність інформації про вразливості продукту поки не будуть видані відповідні виправлення безпеки.(60) Надавачі цифрових послуг повинні бути об’єктом спрощеної та реакційної наглядової діяльності ex post, обґрунтованої характером їхніх послуг та операцій. Таким чином, відповідний компетентний орган повинен вживати заходів лише коли він має докази того, що надавач цифрових послуг не відповідає вимогам цієї Директиви, зокрема, в результаті інциденту, які надав, наприклад, сам надавач цифрових послуг, інший компетентний орган, у тому числі компетентний орган іншої держави-члена, або користувач послуги. Таким чином, компетентний орган не повинен мати загального обов’язку здійснювати нагляд за надавачами цифрових послуг.(61) Компетентні органи повинні мати необхідні засоби для виконання своїх обов’язків, у тому числі повноваження отримувати достатню інформацію для оцінювання рівня безпеки мережевих та інформаційних систем.(62) Інциденти можуть бути результатом злочинної діяльності, попередженню, розслідуванню та кримінальному переслідуванню яких сприяє координація та співпраця між операторами основних послуг, надавачами цифрових послуг, компетентними органами та правоохоронними органами. У разі підозри, що інцидент пов’язаний із серйозною злочинною діяльністю відповідно до національного законодавства або законодавства Союзу, держави-члени повинні заохочувати операторів основних послуг та надавачів цифрових послуг повідомляти відповідні правоохоронні органи про інциденти, щодо серйозного злочинного характеру яких виникає підозра. Якщо доречно, бажано, щоб координації компетентних органів та правоохоронних органів різних держав-членів сприяли Європейський центр боротьби з кіберзлочинністю (ЕСЗ) та ENISA.(63) У багатьох випадках персональні дані викрадають у результаті інцидентів. З огляду на це, компетентні органи та органи з питань захисту даних повинні співпрацювати та обмінюватися інформацією щодо всіх відповідних питань, з метою боротьби з витоками персональних даних внаслідок інцидентів.(64) Необхідно визнати юрисдикцію щодо надавачів цифрових послуг за державою-членом, в якій у відповідного надавач цифрових послуг має основний осідок в Союзі, який в принципі відповідає місцю, в якому надавач має головний офіс у Союзі. Осідок передбачає дієве та реальне здійснення діяльності за допомогою стабільного впорядкування. Адміністративно-правова форма такого впорядкування, незалежно від того чи це відділення, чи дочірня компанія, що володіє правосуб’єктністю, не є при цьому вирішальним чинником. Цей критерій не повинен залежати від того, чи мережеві та інформаційні системи фізично розташовані в даному місці; наявність та використання таких систем само по собі не становить такий основний осідок і, таким чином, не є критерієм визначення головного осідка.(65) Якщо надавач цифрових послуг, заснований не в Союзі, пропонує послуги на території Союзу, він повинен призначити представника. Для того щоб визначити, чи такий надавач цифрових послуг пропонує послуги на території Союзу, необхідно впевнитися в очевидності його планів пропонувати послуги особам в одній чи декількох державах-членах. Однієї доступності на території Союзу веб-сайту, електронної адреси чи інших контактів надавача цифрових послуг або посередника, або використання мови, що загалом використовують у третій країні, в якій заснований надавач цифрових послуг, недостатньо для підтвердження такого наміру. Однак, такі чинники, як використання мови або валюти, що загалом використовують в одній або декількох державах-членах з можливістю замовлення послуг такою іншою мовою, або згадування клієнтів чи користувачів в Союзі, може вказувати на очевидність планів надавача цифрових послуг пропонувати послуги в межах Союзу. Представник повинен діяти від імені надавача цифрових послуг і компетентні органи або С8ІКТ повинні мати можливість контактувати з таким представником. Представник повинен бути безпосередньо призначений письмовим мандатом надавача цифрових послуг діяти від імені останнього щодо зобов’язань останнього відповідно до цієї Директиви, у тому числі звітування про інциденти.(66) Стандартизація вимог до безпеки є обумовленим ринком процесом. Для забезпечення збіжного застосування стандартів безпеки, держави-члени повинні заохочувати дотримання установлених стандартів або відповідність їм щоби забезпечити високий рівень безпеки мережевих та інформаційних систем на рівні Союзу. ENISA повинне допомагати державам-членам шляхом консультацій та настанов. З цією метою, може бути корисно розбити проект гармонізованих стандартів, що відповідатимуть Регламенту Європейського Парламенту і Ради (ЄС) № 1025/2012 (-8).(67) Суб’єкти, на яких не розповсюджується сфера застосування цієї Директиви, можуть зазнавати інцидентів, що матимуть значний вплив на послуги, які вони надають. Якщо вони вважатимуть, що повідомлення про настання таких інцидентів становить суспільний інтерес, вони повинні мати змогу добровільно повідомляти про них. Такі повідомлення повинен опрацьовувати компетентний орган або CSIRT, якщо таке опрацювання не становить непропорційний або неналежний тягар для відповідних держав-членів.(68) Для того, щоб забезпечити єдині умови для імплементації цієї Директиви, необхідно покласти на Комісію виконавчі повноваження для встановлення процедурного порядку та умов, необхідних для функціонування Групи співпраці та вимог до безпеки та повідомлення, застосовних до надавачів цифрових послуг. Такі повноваження необхідно здійснювати відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 182/2011 (-9). Ухвалюючи імплементаційні акти, пов’язані з процедурним порядком та умовами, необхідними для функціонування Групи співпраці, Комісія повинна враховувати позицію ENISA.(69) Ухвалюючи імплементаційні акти щодо вимог до безпеки надавачів цифрових послуг, Комісія повинна враховувати позицію ENISA та повинна консультуватися із заінтересованими стейкхолдерами. Крім того, Комісію заохочують враховувати такі приклади: стосовно безпеки систем та устатковання: фізична безпека та безпека для довкілля, безпека постачання, контроль доступу до мережевих та інформаційних систем та цілісність мережевих та інформаційних систем; стосовно врегулювання інцидентів: процедури врегулювання інцидентів, спроможність виявляти інциденти, звітування та повідомлення про інциденти; стосовно управління безперервністю бізнесу: стратегія та плани на непередбачені випадки для забезпечення безперервності надання послуг, спроможності відновлення після аварій; та стосовно моніторингу, аудиту та випробування: політики моніторингу та ведення системних журналів, плани на випадок надзвичайних ситуацій, випробування мережевих та інформаційних систем, оцінювання безпеки та моніторинг відповідності.(70) 3 метою імплементації цієї Директиви, Комісія повинна підтримувати, за доречності, зв'язки з відповідними секторальними комітетами та відповідними органами, заснованими на рівні Союзу у сферах, на які розповсюджується ця Директива.(71) Комісія повинна періодично переглядати цю Директиву, консультуючись із заінтересованими стейкхолдерами, зокрема, щодо визначення потреби у змінах з огляду на зміни в соціальних, політичних, технологічних або ринкових умовах.(72) Обмін інформацією щодо ризиків та інцидентів у межах Групи співпраці та мережі CSIRT та відповідність вимогам повідомляти про інциденти національним компетентним органам або CSIRT може вимагати опрацювання персональних даних. Таке опрацювання повинно відповідати Директиві Європейського Парламенту і Ради 95/46/ЄС (-10) та Регламенту Європейського Парламенту і Ради (ЄС) № 45/2001 (-11). З метою застосування цієї Директиви, Регламент Європейського Парламенту і Ради (ЄС) № 1049/2001 (-12) необхідно застосовувати у відповідних випадках.(73) 3 Європейським інспектором із захисту даних були проведені консультації відповідно до статті 28(2) Регламенту (ЄС) № 45/2001 і 14 червня 2013 року (-13) він надав свій висновок.(74) Оскільки держави-члени не можуть достатньо досягти мети цієї Директиви, а саме досягнення високого спільного рівня безпеки мережевих та інформаційних систем у Союзі, однак, через наслідки дій, її можна краще досягнути на рівні Союзу, Союзу може ухвалювати інструменти відповідно до принципу субсидіарності, як викладено в статті 5 Договору про функціонування Європейського Союзу. Відповідно до принципу пропорційності, як викладено в зазначеній статті, ця Директива не виходить за межі необхідного для досягнення такої мети.(75) Ця Директива поважає фундаментальні права та дотримується принципів, визнаних Хартією фундаментальних прав Європейського Союзу, зокрема права на повагу особистого життя та комунікацій, захисту персональних даних, свободи підприємництва, права власності, права дієвого правового захисту в суді та права бути вислуханим. Цю Директиву необхідно імплементувати відповідно до таких прав та принципів,УХВАЛИЛИ ЦЮ ДИРЕКТИВУ:... дивитись законодавчий акт

= завантажити законодавчий акт, актуальний на поточний час =

Законодавство Європейського Союзу:

1. УГОДА про фінансування заходу «EU4BUSINESS: Підтримка малих та середніх підприємств (МСП) в Україні» (ENI/2020/042-435). Європейський Союз. 2020 рікк
2. РІШЕННЯ № ____/2019 РАДИ АСОЦІАЦІЇ МІЖ УКРАЇНОЮ ТА ЄС від ____ ____________ 2019 року про внесення змін і доповнень до Додатка XXVII до Угоди про асоціацію між Європейським Союзом і Європейським співтовариством з атомної енергії і їхніми державами-членами, з однієї сторони, та між Україною, з іншої сторони. Європейський Союз. 2019 рікк
3. "ДОДАТКОВА УГОДА № 1 (у формі обміну листами) між Урядом України та Європейським Союзом, представленим Європейською Комісією, до Угоди про фінансування Рамкової програми на підтримку угод між Україною та Європейським Союзом від 20 грудня 2013 року". Європейський Союз. 2018 рікк
4. "УГОДА між Урядом України і Європейським Союзом про участь України в програмі ЄС “Конкурентоспроможність підприємств малого і середнього бізнесу (COSME) (2014-2020)”". Європейський Союз. 2018 рікк
5. ДОДАТКОВА УГОДА № 2 між Урядом України та Європейською Комісією, що діє від імені Європейського Союзу, до Угоди про фінансування ENPI/2013/024-517 "Програма підтримки секторальної політики - Підтримка регіональної політики України". Європейський Союз. 2017 рікк
6. "МЕМОРАНДУМ про взаєморозуміння щодо Стратегічного Енергетичного Партнерства між Україною та Європейським Союзом спільно з Європейським Співтовариством з атомної енергії". Європейський Союз. 2016 рікк
7. ДИРЕКТИВА ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) № 2016/1629 від 14 вересня 2016 року про встановлення технічних вимог до суден внутрішнього плавання, про внесення змін до Директиви 2009/100/ЄС і про скасування Директиви 2006/87/ЄС. Європейський Союз. 2016 рікк
8. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних). Європейський Союз. 2016 рікк
9. ІМПЛЕМЕНТАЦІЙНЕ РІШЕННЯ КОМІСІЇ (ЄС) 2016/650 від 25 квітня 2016 року щодо стандартів оцінки безпеки засобів для створення кваліфікованих підпису та печатки відповідно до статей 30(3) та 39(2) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку. Європейський Союз. 2016 рікк
10. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) № 2016/426 від 9 березня 2016 року про прилади, що працюють на газоподібному паливі, та про скасування Директиви 2009/142/ЄС. Європейський Союз. 2016 рікк
11. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) № 2016/425 від 9 березня 2016 року про засоби індивідуального захисту та скасування Директиви Ради 89/686/ЄЕС. Європейський Союз. 2016 рікк
12. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/424 від 9 березня 2016 року про канатні дороги та скасування Директиви 2000/9/ЄС. Європейський Союз. 2016 рікк
13. УГОДА про фінансування. Європейський Союз. 2016 рікк
14. УГОДА про фінансування. Європейський Союз. 2016 рікк
15. "УГОДА (у формі обміну нотами) між Урядом України, Урядом Республіки Молдова та Європейською Комісією про продовження дії мандату Місії Європейської Комісії з надання допомоги в питаннях кордону в Україні та Республіці Молдова". Європейський Союз. 2015 рікк
16. "ДОДАТКОВА УГОДА № 2 (у формі обміну листами)між Урядом України та Європейським Союзом, представленим Європейською Комісією, до Угоди про фінансування програми "Твіннінг і технічна допомога для підтримки Європейської політики сусідства"(ENPI/2010/22315) від 30 листопада 2011 року". Європейський Союз. 2015 рікк
17. "МАКРОФІНАНСОВА ДОПОМОГА УКРАЇНІ""КРЕДИТНА УГОДА між УКРАЇНОЮ як Позичальником, НАЦІОНАЛЬНИМ БАНКОМ УКРАЇНИ як Фінансовим агентом Позичальника та ЄВРОПЕЙСЬКИМ СОЮЗОМ як Кредитором". Європейський Союз. 2015 рікк
18. "РЕКОМЕНДАЦІЯ № 2015/1 від 16.03.2015 про імплементацію Порядку денного асоціації між Україною та ЄС". Європейський Союз. 2015 рікк
19. "ДОДАТКОВА УГОДА № 1 (у формі обміну листами) між Урядом України та Європейським Союзом, представленим Європейською Комісією, до Угоди про фінансування Рамкової програми на підтримку угод між Україною та Європейським Союзом від 19 грудня 2012 року". Європейський Союз. 2015 рікк
20. "МЕМОРАНДУМ про взаєморозуміння між Верховною Радою України та Європейським Парламентом про спільні рамки парламентської підтримки та підвищення інституційної спроможності". Європейський Союз. 2015 рікк