1. La presente Directiva se aplicará a las entidades públicas o privadas de alguno de los tipos mencionados en los anexos I o II que sean consideradas medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo, y que presten sus servicios o lleven a cabo sus actividades en la Unión.
El artículo 3, apartado 4, del anexo de dicha Recomendación no se aplicará a efectos de la presente Directiva.
2. Independientemente de su tamaño, la presente Directiva también se aplicará a las entidades de alguno de los tipos mencionados en los anexos I o II cuando:
|
a) |
los servicios son prestados por:
|
|
b) |
la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas; |
|
c) |
una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública; |
|
d) |
una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo; |
|
e) |
la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro; |
|
f) |
la entidad sea una entidad de la Administración pública:
|
3. Independientemente de su tamaño, la presente Directiva se aplica a las entidades que se identifiquen como entidades críticas con arreglo a la Directiva (UE) 2022/2557
4. Independientemente de su tamaño, la presente Directiva se aplica a las entidades que presten servicios de registro de nombres de dominio.
5. Los Estados miembros podrán disponer que la presente Directiva se aplique a:
|
a) |
entidades de la Administración pública a nivel local; |
|
b) |
centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación. |
6. La presente Directiva se entenderá sin perjuicio de las responsabilidades de los Estados miembros de salvaguardar la seguridad nacional y de sus competencias de salvaguardar otras funciones esenciales del Estado, incluidos garantizar la integridad territorial del Estado o mantener el orden público.
7. La presente Directiva no se aplicará a las entidades de la Administración pública que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales.
8. Los Estados miembros podrán eximir a las entidades específicas que llevan a cabo actividades en los ámbitos de la defensa, la seguridad nacional, la seguridad pública o la garantía del cumplimiento de la ley, incluidas las actividades relativas a la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales, o que prestan servicios exclusivamente a entidades de la Administración pública a que se refiere el apartado 7 del presente artículo, de las obligaciones establecidas en el artículo 21 o en el artículo 23 en relación con dichas actividades o servicios. En tales casos, las medidas de supervisión y garantía del cumplimiento a que se refiere el capítulo VII no se aplicarán en relación con esas actividades o servicios específicos. Cuando las entidades realicen actividades o presten servicios exclusivamente del tipo contemplado en el presente apartado, los Estados miembros podrán decidir eximir también a dichas entidades de las obligaciones establecidas en los artículos 3 y 27.
9. Los apartados 7 y 8 no se aplicarán cuando una entidad actúe como prestador de servicios de confianza.
10. La presente Directiva no se aplicará a las entidades que los Estados miembros hayan excluido del ámbito de aplicación del Reglamento (UE) 2022/2554 de conformidad con el artículo 2, apartado 4, de dicho Reglamento.
11. Las obligaciones establecidas en la presente Directiva no implican el suministro de información cuya divulgación sea contraria a los intereses esenciales de los Estados miembros en materia de seguridad nacional, seguridad pública o defensa.
12. La presente Directiva se entenderá sin perjuicio del Reglamento (UE) 2016/679, la Directiva 2002/58/CE, las Directivas 2011/93/UE (27) y 2013/40/UE (28) del Parlamento Europeo y del Consejo y la Directiva (UE) 2022/2557.
13. Sin perjuicio de lo dispuesto en el artículo 346 del TFUE, la información que se considere confidencial de acuerdo con las normas de la Unión o nacionales, como las normas sobre confidencialidad empresarial, se intercambiará con la Comisión y otras autoridades competentes de conformidad con la presente Directiva únicamente cuando tal intercambio sea necesario a efectos de la aplicación de la presente Directiva. La información que se intercambie se limitará a aquella que resulte pertinente y proporcionada para la finalidad del intercambio. El intercambio de información preservará la confidencialidad de esta y protegerá la seguridad y los intereses comerciales de las entidades interesadas.
14. Las entidades, las autoridades competentes, los puntos de contacto únicos y los CSIRT tratarán los datos personales en la medida necesaria para los fines de la presente Directiva y de conformidad con el Reglamento (UE) 2016/679; en particular, dicho tratamiento se basará en su artículo 6.
El tratamiento de datos personales en virtud de la presente Directiva por parte de los proveedores de redes públicas de comunicaciones electrónicas o los proveedores de servicios de comunicaciones electrónicas disponibles para el público se llevará a cabo de conformidad con el Derecho de la Unión en materia de protección de datos y de la intimidad aplicables, en particular la Directiva 2002/58/CE.
