1. Členské štáty zabezpečia, aby poskytovatelia digitálnych služieb identifikovali riziká súvisiace s bezpečnosťou sietí a informačných systémov, ktoré používajú v kontexte poskytovania služieb uvedených v prílohe III v rámci Únie, a aby prijali vhodné a primerané technické a organizačné opatrenia na riadenie týchto rizík. S ohľadom na najnovší technický vývoj musia tieto opatrenia zabezpečiť takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika, a zohľadniť tieto prvky:
a) bezpečnosť systémov a zariadení;
b) riešenie incidentov;
c) riadenie kontinuity činnosti;
d) monitorovanie, audit a skúšanie;
e) súlad s medzinárodnými normami.
2. Členské štáty zabezpečia, aby poskytovatelia digitálnych služieb prijali opatrenia na zabránenie a minimalizovanie vplyvu incidentov ovplyvňujúcich bezpečnosť ich sietí a informačných systémov na služby uvedené v prílohe III, ktoré sa poskytujú v rámci Únie, s cieľom zabezpečiť kontinuitu týchto služieb.
3. Členské štáty zabezpečia, aby poskytovatelia digitálnych služieb bezodkladne oznámili príslušnému orgánu alebo jednotke CSIRT každý incident, ktorý má závažný vplyv na poskytovanie služby uvedenej v prílohe III, ktorú poskytujú v rámci Únie. Oznámenia obsahujú informácie, ktoré umožnia príslušnému orgánu alebo jednotke CSIRT určiť závažnosť prípadného cezhraničného vplyvu. Oznámenie nesmie mať pre oznamujúcu stranu za následok vyššiu zodpovednosť.
4. Pri určovaní, či je vplyv incidentu závažný, sa zohľadňujú najmä tieto parametre:
a) počet používateľov postihnutých incidentom, najmä používateľov využívajúcich danú službu na účely poskytovania vlastných služieb;
b) dĺžka trvania incidentu;
c) geografické rozšírenie z hľadiska oblasti, ktorú incident postihol;
d) stupeň narušenia fungovania služby;
e) rozsah vplyvu na hospodárske a spoločenské činnosti.
Povinnosť oznámiť incident sa uplatňuje len v prípade, ak má poskytovateľ digitálnych služieb prístup k informáciám, ktoré sú potrebné na posúdenie dosahu incidentu na základe parametrov uvedených v prvom pododseku.
5. Ak prevádzkovateľ základných služieb využíva tretiu stranu, ktorou je poskytovateľ digitálnych služieb, na poskytovanie služby, ktorá je základná pre zachovanie rozhodujúcich spoločenských a hospodárskych činností, uvedený prevádzkovateľ oznamuje každý závažný vplyv na kontinuitu základných služieb, ktorý je dôsledkom incidentu, ktorý postihol poskytovateľa digitálnych služieb.
6. Ak je to vhodné, a najmä ak sa incident uvedený v odseku 3 týka dvoch alebo viacerých členských štátov, príslušný orgán alebo jednotka CSIRT informuje ostatné dotknuté členské štáty. Príslušné orgány, jednotky CSIRT a jednotné kontaktné miesta pritom v súlade s právom Únie alebo vnútroštátnymi právnymi predpismi, ktoré sú v súlade s právom Únie, chránia bezpečnosť a obchodné záujmy poskytovateľa digitálnych služieb, ako aj dôvernosť poskytnutých informácií.
7. Po porade s dotknutým poskytovateľom digitálnych služieb môže príslušný orgán alebo jednotka CSIRT a prípadne orgány alebo jednotky CSIRT ďalších dotknutých členských štátov informovať verejnosť o jednotlivých incidentoch alebo požiadať o to poskytovateľa digitálnych služieb, ak je informovanosť verejnosti potrebná na zabránenie incidentu alebo riešenie prebiehajúceho incidentu alebo ak je zverejnenie incidentu vo verejnom záujme z iného dôvodu.
8. Komisia prijme vykonávacie akty s cieľom bližšie špecifikovať prvky uvedené v odseku 1 a parametre uvedené v odseku 4 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 22 ods. 2 do 9. augusta 2017.
9. Komisia môže prijať vykonávacie akty stanovujúce formáty a postupy uplatniteľné na oznamovacie požiadavky. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 22 ods. 2.
10. Bez toho, aby bol dotknutý článok 1 ods. 6, členské štáty nesmú ukladať poskytovateľom digitálnych služieb žiadne ďalšie bezpečnostné ani oznamovacie požiadavky.
11. Kapitola V sa nevzťahuje na mikropodniky a malé podniky, ako sú vymedzené v odporúčaní Komisie 2003/361/ES (19).