Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2) – najczęściej zadawane pytania

Dyrektywa w sprawie bezpieczeństwa sieci i informacji – pierwsze unijne przepisy dotyczące cyberbezpieczeństwa – jest pierwszym horyzontalnym instrumentem rynku wewnętrznego mającym na celu poprawę odporności sieci i systemów informatycznych w Unii na ryzyko w cyberprzestrzeni. Pomimo znaczących osiągnięć dyrektywa w sprawie bezpieczeństwa sieci i informacji wykazała pewne ograniczenia. Transformacja cyfrowa społeczeństwa, zintensyfikowana przez kryzys związany z COVID-19, rozszerzyła krajobraz zagrożeń. Pojawiły się nowe wyzwania, które wymagają dostosowanych i innowacyjnych reakcji.

Aby móc przeanalizować skutki i zidentyfikować niedociągnięcia dyrektywy w sprawie bezpieczeństwa sieci i informacji, Komisja przeprowadziła szeroko zakrojone konsultacje z zainteresowanymi stronami. Komisja zidentyfikowała następujące główne problemy:

• niewystarczający poziom cyberodporności przedsiębiorstw działających w UE
• niespójna odporność w poszczególnych państwach członkowskich i sektorach
• niewystarczające wspólne rozumienie głównych zagrożeń i wyzwań przez państwa członkowskie
• brak wspólnej reakcji kryzysowej.

W związku z tym, aby zareagować na rosnące zagrożenia wynikające z cyfryzacji i wzajemnych powiązań, w grudniu 2020 r. Komisja zaproponowała zmieniony zestaw zachowujących aktualność przepisów mających na celu wzmocnienie poziomu cyberodporności w Unii, co do których współprawodawcy osiągnęli porozumienie polityczne 13 maja 2022 r. i formalnie przyjęli nową dyrektywę pod koniec listopada 2022 r.

Od czasu kryzysu związanego z COVID-19 gospodarka europejska stała się bardziej zależna od rozwiązań cyfrowych niż kiedykolwiek wcześniej. Sektory i usługi stają się coraz bardziej wzajemnie powiązane i współzależne. Doprowadziło to do rosnącego i szybko zmieniającego się krajobrazu zagrożeń cyberbezpieczeństwa: każde zakłócenie, nawet początkowo ograniczone do jednego podmiotu lub jednego sektora, może mieć szerzej zakrojony efekt kaskadowy, potencjalnie powodując daleko idące i długotrwałe negatywne skutki w świadczeniu usług na całym rynku wewnętrznym.

Pandemia COVID-19 pokazała podatność naszych coraz bardziej współzależnych społeczeństw na nieoczekiwane zagrożenia. Wzmocniła ona już pojawiające się kwestie w obecnej dyrektywie w sprawie bezpieczeństwa sieci i informacji i posłużyła jako katalizator jej przeglądu. Konkretną zmianą w dyrektywie w sprawie bezpieczeństwa sieci i informacji w związku z tym kryzysem było rozszerzenie zakresu nowej dyrektywy, obejmując bardziej szczegółowe elementy w sektorze zdrowia, takie jak podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych.

Dyrektywa NIS 2 przewiduje środki prawne mające na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE, aby przyczynić się do ogólnego funkcjonowania rynku wewnętrznego. Opiera się on na trzech głównych filarach, które stanowiły podstawę dyrektywy NIS 1:

1. W oparciu o strategię NIS 1 dotyczącą bezpieczeństwa sieci i systemów informatycznych, aby osiągnąć wysoki poziom gotowości państw członkowskich, w dyrektywie NIS 2 zobowiązano państwa członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa. Państwa członkowskie są również zobowiązane do wyznaczenia krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), które są odpowiedzialne za zarządzanie ryzykiem i incydentami, właściwego krajowego organu ds. cyberbezpieczeństwa oraz pojedynczego punktu kontaktowego (SPOC). SPOC musi pełnić funkcję łącznikową w celu zapewnienia współpracy transgranicznej między organami państw członkowskich a odpowiednimi organami w innych państwach członkowskich oraz, w stosownych przypadkach, z Komisją i ENISA, a także w celu zapewnienia współpracy międzysektorowej z innymi właściwymi organami w swoim państwie członkowskim.
2. Dyrektywa NIS 2 stanowi również kontynuację ram NIS 1 ustanawiających grupę współpracy NIS w celu wspierania i ułatwiania współpracy strategicznej i wymiany informacji między państwami członkowskimi oraz sieci CSIRT, która promuje szybką i skuteczną współpracę operacyjną między krajowymi CSIRT.
3. Dyrektywa NIS 1 zapewnia podejmowanie środków w zakresie cyberbezpieczeństwa w siedmiu sektorach, które mają zasadnicze znaczenie dla naszej gospodarki i społeczeństwa i które w dużym stopniu opierają się na ICT, takich jak energetyka, transport, bankowość, infrastruktura rynku finansowego, woda pitna, opieka zdrowotna i infrastruktura cyfrowa.

Podmioty publiczne i prywatne wskazane przez państwa członkowskie jako operatorzy usług kluczowych w tych sektorach są zobowiązane do przeprowadzenia oceny ryzyka w cyberprzestrzeni i wprowadzenia odpowiednich i proporcjonalnych środków bezpieczeństwa. Są one zobowiązane do zgłaszania poważnych incydentów odpowiednim organom. Ponadto dostawcy kluczowych usług cyfrowych (dostawcy usług cyfrowych lub dostawcy usług cyfrowych), takich jak wyszukiwarki, usługi przetwarzania w chmurze i internetowe platformy handlowe, muszą również spełniać wymogi dotyczące bezpieczeństwa i powiadamiania określone w dyrektywie. Jednocześnie te ostatnie podlegają tak zwanemu „łagodnemu” systemowi regulacyjnemu, co oznacza, że podmioty te nie podlegają środkom nadzorczym ex ante.

Dyrektywa NIS 2 znacznie rozszerza zakres sektorów i wprowadza próg wielkości w celu określenia, które podmioty wchodzą w jej zakres i byłyby zobowiązane do zgłaszania istotnych incydentów w cyberbezpieczeństwie właściwym organom krajowym.

Dyrektywa NIS 2 ma na celu wyeliminowanie niedociągnięć poprzednich przepisów, dostosowanie ich do obecnych potrzeb i dostosowanie do przyszłych wyzwań.

W tym celu dyrektywa rozszerza zakres poprzednich przepisów, dodając nowe sektory w oparciu o ich stopień cyfryzacji i wzajemnych powiązań oraz ich kluczowe znaczenie dla gospodarki i społeczeństwa, wprowadzając jasną zasadę progu wielkości – co oznacza, że wszystkie średnie i duże przedsiębiorstwa w wybranych sektorach zostaną objęte zakresem dyrektywy. Jednocześnie pozostawia państwom członkowskim pewną swobodę w identyfikowaniu mniejszych podmiotów o wysokim profilu ryzyka dla bezpieczeństwa, które również powinny być objęte obowiązkami wynikającymi z nowej dyrektywy.

Nowa dyrektywa eliminuje również rozróżnienie między operatorami usług kluczowych a dostawcami usług cyfrowych. Podmioty byłyby klasyfikowane na podstawie ich znaczenia i podzielone na dwie kategorie: podmioty niezbędne i istotne, które będą podlegać różnym systemom nadzoru.

Wzmacnia i usprawnia wymogi w zakresie bezpieczeństwa i sprawozdawczości dla przedsiębiorstw poprzez nałożenie podejścia do zarządzania ryzykiem, które zapewnia minimalny wykaz podstawowych elementów bezpieczeństwa, które należy stosować. Nowa dyrektywa wprowadza bardziej precyzyjne przepisy dotyczące procesu zgłaszania incydentów, treści zgłoszeń i terminów.

Ponadto NIS 2 odnosi się do bezpieczeństwa łańcuchów dostaw i relacji z dostawcami, wymagając od poszczególnych przedsiębiorstw przeciwdziałania zagrożeniom dla cyberbezpieczeństwa w łańcuchach dostaw i relacjach z dostawcami. Na szczeblu europejskim dyrektywa wzmacnia cyberbezpieczeństwo łańcucha dostaw kluczowych technologii informacyjno-komunikacyjnych. Państwa członkowskie we współpracy z Komisją i ENISA mogą przeprowadzać skoordynowane na poziomie Unii oceny ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw, opierając się na udanym podejściu przyjętym w kontekście zalecenia Komisji w sprawie cyberbezpieczeństwa sieci 5G.

Dyrektywa wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, bardziej rygorystyczne wymogi w zakresie egzekwowania przepisów i ma na celu harmonizację systemów sankcji we wszystkich państwach członkowskich.

Zwiększa również rolę grupy współpracy w kształtowaniu strategicznych decyzji politycznych oraz zwiększa wymianę informacji i współpracę między organami państw członkowskich. Wzmacnia również współpracę operacyjną w ramach sieci CSIRT i ustanawia europejską sieć organizacji łącznikowych ds. kryzysów cyberbezpieczeństwa (EU-CyCLONe) w celu wspierania skoordynowanego zarządzania cyberincydentami i cyberkryzysami na dużą skalę.

NIS 2 ustanawia również podstawowe ramy z odpowiedzialnymi kluczowymi podmiotami w zakresie skoordynowanego ujawniania podatności w odniesieniu do nowo wykrytych podatności w całej UE oraz tworzy unijną bazę danych na temat podatności w odniesieniu do publicznie znanych podatności w produktach ICT i usługach ICT, która ma być obsługiwana i utrzymywana przez Agencję UE ds. Cyberbezpieczeństwa (ENISA).

NIS 2 obejmuje podmioty z następujących sektorów:

Sektory o wysokim stopniu krytyczności: energia (energia elektryczna, systemy ciepłownicze i chłodnicze, ropa naftowa, gaz i wodór); transport (lotniczy, kolejowy, wodny i drogowy); bankowość; infrastruktury rynku finansowego; zdrowie, w tym wytwarzanie produktów farmaceutycznych, w tym szczepionek; wody pitnej; ścieki; infrastruktura cyfrowa (punkty wymiany internetowej; dostawcy usług DNS; rejestry nazw TLD; dostawców usług przetwarzania w chmurze; dostawcy usług ośrodka przetwarzania danych; sieci dostarczania treści; dostawców usług zaufania; dostawców publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej); Zarządzanie usługami ICT (dostawcy usług zarządzanych i dostawcy usług zarządzanych w zakresie bezpieczeństwa), administracja publiczna i przestrzeń kosmiczna.

Inne sektory krytyczne: usługi pocztowe i kurierskie; gospodarowanie odpadami; chemikalia; żywność; produkcja wyrobów medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych, przyczep i naczep oraz innego sprzętu transportowego; dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki internetowe i platformy usług sieci społecznościowych) oraz organizacje badawcze.

Ocena obecnych przepisów dotyczących wymogów w zakresie bezpieczeństwa i zgłaszania incydentów wykazała, że w niektórych przypadkach państwa członkowskie wdrożyły te wymogi na znacznie różne sposoby. Spowodowało to dodatkowe obciążenie dla przedsiębiorstw prowadzących działalność w więcej niż jednym państwie członkowskim.

Ponadto, jeśli chodzi o wymogi dotyczące cyberbezpieczeństwa, chcemy mieć pewność, że wszystkie firmy uwzględniają niezbędny podstawowy zestaw elementów w swoich politykach zarządzania ryzykiem w cyberprzestrzeni.

Z tego powodu NIS2 zawiera wykaz 10 kluczowych elementów, które wszystkie przedsiębiorstwa muszą uwzględnić lub wdrożyć w ramach podejmowanych przez siebie środków, w tym postępowanie w przypadku incydentów związanych z bezpieczeństwem łańcucha dostaw ,, postępowanie w przypadku podatności na zagrożenia i ich ujawnianie, stosowanie kryptografii oraz, w stosownych przypadkach, szyfrowanie.

Jeśli chodzi o zgłaszanie incydentów, musimy znaleźć właściwą równowagę między potrzebą szybkiego zgłaszania, aby uniknąć potencjalnego rozprzestrzeniania się incydentów, a potrzebą dogłębnego zgłaszania, aby wyciągnąć cenne wnioski z poszczególnych incydentów. Nowa dyrektywa przewiduje wieloetapowe podejście do zgłaszania incydentów. Przedsiębiorstwa, których dotyczy incydent, mają 24 godziny od momentu, w którym po raz pierwszy dowiedziały się o incydencie, na przedłożenie CSIRT lub właściwemu organowi krajowemu wczesnego ostrzeżenia, które umożliwiłoby im również zwrócenie się o pomoc (wytyczne lub porady operacyjne dotyczące wdrażania ewentualnych środków łagodzących), jeżeli o to wystąpią. Po wczesnym ostrzeżeniu powinno nastąpić powiadomienie o incydencie w ciągu 72 godzin od powzięcia wiadomości o incydencie oraz sprawozdanie końcowe nie później niż miesiąc później.

Nowa dyrektywa w sprawie bezpieczeństwa sieci i informacji stawia nadzór i egzekwowanie przepisów w centrum zadań właściwych organów i ustanawia spójne ramy dla wszystkich działań w zakresie nadzoru i egzekwowania przepisów we wszystkich państwach członkowskich.

W celu wzmocnienia nadzoru, który pomaga zapewnić skuteczne przestrzeganie przepisów, w NIS 2 przewidziano minimalny wykaz środków nadzorczych, za pomocą których właściwe organy mogą nadzorować podmioty niezbędne i istotne. Obejmują one regularne i ukierunkowane audyty, kontrole na miejscu i kontrole zewnętrzne, żądanie informacji oraz dostęp do dokumentów lub dowodów.

Ponadto nowa dyrektywa wprowadza rozróżnienie systemów nadzoru między podmiotami niezbędnymi i istotnymi, aby zapewnić sprawiedliwą równowagę obowiązków zarówno dla podmiotów, jak i właściwych organów.

Jeżeli chodzi o egzekwowanie przepisów, do tej pory we wszystkich państwach członkowskich występowała ogólna niechęć do nakładania kar na podmioty, które nie wprowadziły środków bezpieczeństwa lub nie zgłosiły incydentów. Może to mieć negatywne konsekwencje dla cyberodporności podmiotów. Aby egzekwowanie przepisów było skuteczne, nowa dyrektywa ustanawia spójne ramy sankcji w całej Unii. Ustanowiono w nim zatem minimalny wykaz sankcji administracyjnych za naruszenie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni i obowiązków sprawozdawczych określonych w dyrektywie NIS 2. Sankcje te obejmują wiążące instrukcje, nakaz wdrożenia zaleceń audytu bezpieczeństwa, nakaz dostosowania środków bezpieczeństwa do wymogów bezpieczeństwa sieci i informacji oraz administracyjne kary pieniężne. W odniesieniu do administracyjnych kar pieniężnych w nowej dyrektywie w sprawie bezpieczeństwa sieci i informacji rozróżnia się podmioty niezbędne i istotne. W odniesieniu do podmiotów niezbędnych wymaga się, aby państwa członkowskie przewidziały pewien poziom administracyjnych kar pieniężnych, w szczególności maksymalną kwotę wynoszącą co najmniej 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa. W odniesieniu do podmiotów istotnych w dyrektywie NIS 2 zobowiązano państwa członkowskie do ustanowienia maksymalnej grzywny w wysokości co najmniej 7 000 000 EUR lub co najmniej 1,4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa.

Wykonując swoje uprawnienia w zakresie egzekwowania prawa, właściwe organy powinny należycie uwzględniać szczególne okoliczności każdej sprawy, takie jak charakter, waga i czas trwania naruszenia, wyrządzona szkoda lub poniesione straty, umyślny lub wynikający z zaniedbania charakter naruszenia.

Aby zapewnić rzeczywistą rozliczalność za środki w zakresie cyberbezpieczeństwa na poziomie organizacyjnym, w dyrektywie NIS 2 wprowadzono przepisy dotyczące odpowiedzialności osób fizycznych zajmujących stanowiska kierownicze wyższego szczebla w podmiotach objętych zakresem nowej dyrektywy w sprawie bezpieczeństwa sieci i informacji.

Nowe przepisy usprawniają sposób, w jaki UE zapobiega incydentom i kryzysom w cyberbezpieczeństwie na dużą skalę, radzi sobie z nimi i reaguje na nie. Dokonują tego poprzez wprowadzenie jasnych obowiązków, odpowiedniego planowania i ściślejszej współpracy UE. W NIS 2 zobowiązano państwa członkowskie do wyznaczenia organów krajowych odpowiedzialnych za zarządzanie kryzysowe w cyberprzestrzeni, wprowadzono krajowe plany reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę oraz ustanowiono europejską sieć organizacji łącznikowych ds. kryzysów cyberbezpieczeństwa (EU-CYCLONe) w celu wspierania skoordynowanego zarządzania incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę na poziomie operacyjnym. Sieć ta jest kluczowym elementem przyczyniającym się do ustanowienia unijnych ram zarządzania kryzysowego w cyberprzestrzeni określonych przez Komisję w 2017 r. w zaleceniu w sprawie skoordynowanego reagowania na incydenty i kryzysy na dużą skalę.

Co do zasady uznaje się, że podmioty niezbędne i istotne podlegają jurysdykcji państwa członkowskiego, w którym mają siedzibę. Jeżeli podmiot ma siedzibę w więcej niż jednym państwie członkowskim, powinien podlegać jurysdykcji każdego z tych państw członkowskich. Właściwe organy każdego z tych państw członkowskich powinny współpracować, udzielać sobie wzajemnej pomocy oraz, w stosownych przypadkach, prowadzić wspólne działania nadzorcze. Istnieje kilka wyjątków od tej zasady:

• dostawcy publicznych sieci lub dostawców łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej podlegaliby jurysdykcji państwa członkowskiego, w którym świadczą swoje usługi.
• podmioty administracji publicznej podlegałyby jurysdykcji państwa członkowskiego, które je ustanowiło.
• niektóre rodzaje podmiotów podlegałyby jurysdykcji państwa członkowskiego, w którym mają główną jednostkę organizacyjną w Unii. Podmioty te obejmują dostawców usług systemu nazw domen, rejestry nazw domen najwyższego poziomu, podmioty świadczące usługi rejestracji nazw domen, dostawców usług przetwarzania w chmurze, dostawców usług centrów danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, a także dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform sieci społecznościowych. Ma to na celu zapewnienie, aby takie podmioty nie podlegały wielu różnym wymogom prawnym, ponieważ w szczególnie dużym stopniu świadczą usługi transgraniczne. Do celów skutecznego nadzoru tego rodzaju podmioty będą zobowiązane przez państwa członkowskie do powiadomienia m.in. o tym, gdzie znajduje się główna jednostka organizacyjna podmiotu, a także o innych jednostkach organizacyjnych w Unii lub, jeżeli nie mają one jednostki organizacyjnej w Unii, o miejscu, w którym wyznaczono przedstawiciela podmiotu. ENISA byłaby zobowiązana do utworzenia i prowadzenia rejestru zawierającego informacje przekazywane na tej podstawie przez państwa członkowskie.

Współpraca UE jest kontynuowana poprzez umożliwienie państwom członkowskim wspólnego działania i przeciwdziałania pojawiającym się zagrożeniom dla bezpieczeństwa wynikającym z trwającej transformacji cyfrowej.

W szczególności państwa członkowskie będą mogły wspólnie nadzorować wdrażanie przepisów UE i udzielać sobie wzajemnej pomocy w przypadku transgranicznych nadużyć, prowadzić bardziej zorganizowany dialog z sektorem prywatnym i koordynować ujawnianie luk w zabezpieczeniach oprogramowania i sprzętu komputerowego sprzedawanych na rynku wewnętrznym. Będą one również w stanie pracować w sposób skoordynowany, aby ocenić ryzyko dla bezpieczeństwa i zagrożenia związane z nowymi technologiami, tak jak miało to miejsce po raz pierwszy w przypadku sieci 5G.

Państwa członkowskie będą korzystać ze współpracy UE w celu poprawy zdolności krajowych poprzez wymianę pracowników między organami i wzajemne oceny. Istniejące grupy, w szczególności grupa współpracy skupiająca krajowe organy ds. cyberbezpieczeństwa oraz sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), przyczynią się do zacieśnienia współpracy, odpowiednio, zarówno na poziomie strategicznym, jak i technicznym.

Dyrektywa NIS 2 jest ściśle powiązana z dwiema innymi inicjatywami: dyrektywą w sprawie odporności podmiotów krytycznych (CER) i rozporządzeniem w sprawie operacyjnej odporności cyfrowej sektora finansowego (akt w sprawie operacyjnej odporności cyfrowej, DORA) ..

Zakres dyrektywy NIS 2 i dyrektywy w sprawie odporności podmiotów krytycznych (dyrektywa CER) został w dużym stopniu dostosowany, aby zapewnić kompleksowe zajęcie się kwestią odporności fizycznej i cyberodporności podmiotów krytycznych. Podmioty określone jako podmioty krytyczne na podstawie dyrektywy CER będą również podlegać obowiązkom w zakresie cyberbezpieczeństwa określonym w dyrektywie NIS 2. Ponadto właściwe organy krajowe na mocy dyrektyw CER i NIS 2 muszą regularnie współpracować i wymieniać się istotnymi informacjami, takimi jak informacje na temat ryzyka, cyberzagrożeń i cyberincydentów, a także ryzyka, zagrożeń i incydentów niezwiązanych z cyberprzestrzenią. Grupa współpracy w ramach NIS 2 będzie musiała spotykać się regularnie i co najmniej raz w roku z Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na mocy dyrektywy CER.

Jeżeli chodzi o sektor finansowy, chociaż nowa dyrektywa w sprawie bezpieczeństwa sieci i informacji obejmuje swoim zakresem instytucje kredytowe, operatorów systemów obrotu i kontrahentów centralnych, DORA będzie miała zastosowanie do tych podmiotów w odniesieniu do zarządzania ryzykiem w cyberprzestrzeni i obowiązków sprawozdawczych. Jednocześnie ważne jest utrzymanie silnych stosunków w zakresie wymiany informacji między sektorem finansowym a innymi sektorami objętymi dyrektywą NIS 2. W tym celu w ramach DORA , europejskie urzędy nadzoru sektora finansowego i właściwe organy krajowe mogłyby uczestniczyć w dyskusjach grupy współpracy ds. bezpieczeństwa sieci i informacji. Ponadto właściwe organy DORA byłyby w stanie konsultować się i wymieniać istotne informacje z pojedynczymi punktami kontaktowymi (SPOC) i CSIRT ustanowionymi na mocy NIS2. Właściwe organy, pojedyncze punkty kontaktowe lub CSIRT ustanowione na podstawie NIS 2 również otrzymywałyby szczegółowe informacje na temat poważnych incydentów związanych z ICT od właściwych organów na podstawie DORA. Ponadto państwa członkowskie powinny nadal uwzględniać sektor finansowy w swoich strategiach cyberbezpieczeństwa, a krajowe CSIRT mogą objąć sektor finansowy swoją działalnością.

Państwa członkowskie będą musiały dokonać transpozycji dyrektywy do 17 października 2024 r. (21 miesięcy od wejścia w życie dyrektywy NIS 2). Następnie Komisja musi okresowo dokonywać przeglądu funkcjonowania dyrektywy i do dnia 17 października 2027 r. po raz pierwszy składać Parlamentowi i Radzie sprawozdania na ten temat.