This document is an excerpt from the EUR-Lex website
Document 02022L2555-20221227
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)Text with EEA relevance
Consolidated text: Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (Voor de EER relevante tekst)Voor de EER relevante tekst
Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (Voor de EER relevante tekst)Voor de EER relevante tekst
- Date of document:
- 27/12/2022
- Date of effect:
- 27/12/2022
- Author:
- Not available
- Form:
- Geconsolideerde tekst
- Link
- Link
- Link
- Select all documents mentioning this document
- Consolidation: basic act:
- 32022L2555
02022L2555 — NL — 27.12.2022 — 000.002
Onderstaande tekst dient louter ter informatie en is juridisch niet bindend. De EU-instellingen zijn niet aansprakelijk voor de inhoud. Alleen de besluiten die zijn gepubliceerd in het Publicatieblad van de Europese Unie (te raadplegen in EUR-Lex) zijn authentiek. Deze officiële versies zijn rechtstreeks toegankelijk via de links in dit document
|
RICHTLIJN (EU) 2022/2555 VAN HET EUROPEES PARLEMENT EN DE RAAD van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80) |
Gerectificeerd bij:
RICHTLIJN (EU) 2022/2555 VAN HET EUROPEES PARLEMENT EN DE RAAD
van 14 december 2022
betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn)
(Voor de EER relevante tekst)
HOOFDSTUK I
ALGEMENE BEPALINGEN
Artikel 1
Onderwerp
Met het oog hierop voorziet deze richtlijn in:
verplichtingen die de lidstaten voorschrijven dat zij nationale cyberbeveiligingsstrategieën vaststellen, en bevoegde autoriteiten, cybercrisisbeheerautoriteiten, centrale contactpunten op het gebied van cyberbeveiliging (centrale contactpunten) en computer security incident response teams (CSIRT’s) aanwijzen of instellen;
risicobeheersmaatregelen en rapportageverplichtingen op het gebied van cyberbeveiliging voor entiteiten van het type waarnaar in bijlage I of II wordt verwezen alsmede voor entiteiten die uit hoofde van Richtlijn (EU) 2022/2557 als kritieke entiteiten worden aangemerkt;
regels en verplichtingen met betrekking tot het delen van cyberbeveiligingsinformatie;
toezichts- en handhavingsverplichtingen voor de lidstaten.
Artikel 2
Toepassingsgebied
Artikel 3, lid 4, van de bijlage bij die aanbeveling geldt niet voor de toepassing van deze richtlijn.
Deze richtlijn is ook van toepassing op entiteiten van het in bijlage I of II bedoelde soort, ongeacht hun omvang, wanneer:
de entiteit in een lidstaat de enige aanbieder is van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten;
verstoring van de door de entiteit verleende dienst aanzienlijke gevolgen kan hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid;
verstoring van de door de entiteit verleende dienst een aanzienlijk systeemrisico met zich kan brengen, met name voor sectoren waar een dergelijke verstoring een grensoverschrijdende impact kan hebben;
de entiteit kritiek is vanwege het specifieke belang ervan op nationaal of regionaal niveau voor de specifieke sector of het specifieke type dienst, of voor andere onderling afhankelijke sectoren in de lidstaat;
de entiteit een overheidsinstantie is:
van de centrale overheid zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht, of
op regionaal niveau zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht, die, na een risicobeoordeling, diensten verleent waarvan de verstoring aanzienlijke gevolgen kan hebben voor kritieke maatschappelijke of economische activiteiten.
De lidstaten kunnen bepalen dat deze richtlijn van toepassing is op:
overheidsinstanties op lokaal niveau;
onderwijsinstellingen, met name wanneer zij kritieke onderzoeksactiviteiten verrichten.
De verwerking van persoonsgegevens uit hoofde van deze richtlijn door aanbieders van openbare elektronischecommunicatienetwerken of aanbieders van openbare elektronischecommunicatiediensten wordt uitgevoerd overeenkomstig het Unierecht inzake gegevensbescherming en het Unierecht inzake privacy, met name Richtlijn 2002/58/EG.
Artikel 3
Essentiële en belangrijke entiteiten
Voor de toepassing van deze richtlijn worden de volgende entiteiten als essentiële entiteiten beschouwd:
entiteiten van een in bijlage I bedoeld type die de in artikel 2, lid 1, van de bijlage bij Aanbeveling 2003/361/EG vastgestelde plafonds voor middelgrote ondernemingen overschrijden;
gekwalificeerde aanbieders van vertrouwensdiensten en registers voor topleveldomeinnamen alsook DNS-dienstverleners, ongeacht hun omvang;
aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten die in aanmerking komen als middelgrote ondernemingen uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG;
in artikel 2, lid 2, punt f), i), bedoelde overheidsinstanties;
alle andere entiteiten van een in bijlage I of II bedoeld type die door een lidstaat aangemerkt zijn als essentiële entiteiten krachtens artikel 2, lid 2, punten b) tot en met e);
entiteiten die aangemerkt zijn als kritieke entiteiten uit hoofde van Richtlijn (EU) 2022/2557, zoals bedoeld in artikel 2, lid 3, van deze richtlijn;
indien de lidstaat daartoe besluit, entiteiten die vóór 16 januari 2023 door die lidstaat aangemerkt zijn als aanbieders van essentiële diensten overeenkomstig Richtlijn (EU) 2016/1148 of het nationale recht.
Met het oog op het opstellen van de in lid 3 bedoelde lijst vereisen de lidstaten van de in dat lid bedoelde entiteiten dat zij ten minste de volgende informatie aan de bevoegde autoriteiten verstrekken:
de naam van de entiteit;
het adres en actuele contactgegevens, waaronder e-mailadressen, IP-bereiken en telefoonnummers;
indien van toepassing, de relevante sector en subsector als bedoeld in bijlage I of II, en
indien van toepassing, een lijst van de lidstaten waar zij diensten verlenen die binnen het toepassingsgebied van deze richtlijn vallen.
De in lid 3 bedoelde entiteiten melden onmiddellijk elke wijziging in de bijzonderheden die zij op grond van de eerste alinea van dit lid hebben ingediend, en in elk geval binnen twee weken na de datum van de wijziging.
De Commissie bepaalt, met hulp van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), zonder onnodige vertraging richtsnoeren en modellen met betrekking tot de in dit lid vastgelegde verplichtingen.
De lidstaten kunnen nationale mechanismen instellen waarmee entiteiten zichzelf kunnen registreren.
Uiterlijk op 17 april 2025 en vervolgens om de twee jaar, melden de bevoegde autoriteiten:
aan de Commissie en de samenwerkingsgroep: het aantal essentiële en belangrijke entiteiten die op grond van lid 3 in een lijst zijn opgenomen voor elke sector en subsector als bedoeld in bijlage I of II, en
aan de Commissie: relevante informatie over het aantal essentiële en belangrijke entiteiten die op grond van artikel 2, lid 2, punten b) tot en met e), als dusdanig zijn aangemerkt, de in bijlage I of II bedoelde sector en subsector waartoe zij behoren, het type dienst dat zij verlenen, en de bepaling van artikel 2, lid 2, punten b) tot en met e), op grond waarvan zij als dusdanig zijn aangemerkt.
Artikel 4
Sectorspecifieke rechtshandelingen van de Unie
De in lid 1 van dit artikel bedoelde eisen worden geacht gelijkwaardig te zijn aan de in deze richtlijn vastgestelde verplichtingen wanneer:
de risicobeheersmaatregelen op het gebied van cyberbeveiliging ten minste een vergelijkbare uitwerking hebben als die welke zijn vastgesteld in artikel 21, leden 1 en 2, of
de sectorspecifieke rechtshandeling van de Unie voorziet in onmiddellijke toegang, in voorkomend geval automatisch en rechtstreeks, tot de meldingen van incidenten door de CSIRT’s, de bevoegde autoriteiten of de centrale contactpunten uit hoofde van deze richtlijn, en wanneer de eisen voor het melden van significante incidenten ten minste een vergelijkbare uitwerking hebben als die van artikel 23, leden 1 tot en met 6, van deze richtlijn.
Artikel 5
Minimumharmonisatie
Deze richtlijn belet de lidstaten niet om bepalingen vast te stellen of te handhaven die een hoger cyberbeveiligingsniveau waarborgen, mits dergelijke bepalingen stroken met de in het Unierecht vastgelegde verplichtingen van de lidstaten.
Artikel 6
Definities
Voor de toepassing van deze richtlijn wordt verstaan onder:
“netwerk- en informatiesysteem”:
een elektronischecommunicatienetwerk in de zin van artikel 2, punt 1), van Richtlijn (EU) 2018/1972;
elk apparaat of elke groep van onderling verbonden of verwante apparaten, waarvan er een of meer, op grond van een programma, een automatische verwerking van digitale gegevens uitvoeren, of
digitale gegevens die worden opgeslagen, verwerkt, opgehaald of verzonden met behulp van de in punten a) en b) bedoelde elementen met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan;
“beveiliging van netwerk- en informatiesystemen”: het vermogen van netwerk- en informatiesystemen om op een bepaald niveau van betrouwbaarheid weerstand te bieden aan elke gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via deze netwerk- en informatiesystemen worden aangeboden, in gevaar kan brengen;
“cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1), van Verordening (EU) 2019/881;
“nationale cyberbeveiligingsstrategie”: een samenhangend kader van een lidstaat met strategische doelstellingen en prioriteiten op het vlak van cyberbeveiliging en de governance om die doelstellingen en prioriteiten in die lidstaat te verwezenlijken;
“bijna-incident”: een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar had kunnen brengen, maar die met succes is voorkomen of zich niet heeft voorgedaan;
“incident”: een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt;
“grootschalig cyberbeveiligingsincident”: een incident dat leidt tot een verstoringsniveau dat te groot is om door een getroffen lidstaat alleen te worden verholpen of dat significante gevolgen heeft voor ten minste twee lidstaten;
“incidentenbehandeling”: alle acties en procedures die gericht zijn op het voorkomen, opsporen, analyseren en indammen van of het reageren op en het herstellen van een incident;
“risico”: de mogelijkheid van verlies of verstoring als gevolg van een incident, wat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet;
“cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8), van Verordening (EU) 2019/881;
“significante cyberdreiging”: een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat zij ernstige gevolgen kan hebben voor de netwerk- en informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door het veroorzaken van aanzienlijke materiële of immateriële schade;
“ICT-product”: een ICT-product zoals gedefinieerd in artikel 2, punt 12), van Verordening (EU) 2019/881;
“ICT-dienst”: een ICT-dienst zoals gedefinieerd in artikel 2, punt 13), van Verordening (EU) 2019/881;
“ICT-proces”: een ICT-proces zoals gedefinieerd in artikel 2, punt 14), van Verordening (EU) 2019/881;
“kwetsbaarheid”: een zwakheid, vatbaarheid of gebrek van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit;
“norm”: een norm zoals gedefinieerd in artikel 2, punt 1), van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad ( 3 );
“technische specificatie”: een technische specificatie in de zin van artikel 2, punt 4), van Verordening (EU) nr. 1025/2012;
“internetknooppunt”: een netwerkfaciliteit die de interconnectie van meer dan twee onafhankelijke netwerken (autonome systemen) mogelijk maakt, voornamelijk ter vergemakkelijking van de uitwisseling van internetverkeer, die alleen interconnectie voor autonome systemen biedt en die niet vereist dat het internetverkeer dat tussen een paar deelnemende autonome systemen verloopt, via een derde autonoom systeem verloopt, noch dat verkeer wijzigt of anderszins verstoort;
“domeinnaamsysteem (DNS)”: een hiërarchisch gedistribueerd naamgevingssysteem dat het mogelijk maakt internetdiensten en -bronnen te identificeren, waardoor eindgebruikersapparaten in staat worden gesteld routing- en connectiviteitsdiensten op het internet te gebruiken om die diensten en bronnen te bereiken;
“DNS-dienstverlener”: een entiteit die de volgende diensten verleent:
openbare recursieve domeinnaamomzettingsdiensten voor interneteindgebruikers, of
gezaghebbende domeinnaamomzettingsdiensten voor gebruik door derden, met uitzondering van root-naamservers;
“register voor topleveldomeinnamen”: een entiteit waaraan een specifieke topleveldomeinnaam is gedelegeerd en die verantwoordelijk is voor het beheer van de topleveldomeinnaam, met inbegrip van de registratie van domeinnamen onder de topleveldomeinnaam en de technische exploitatie van de topleveldomeinnaam, met inbegrip van de exploitatie van de naamservers, het onderhoud van de databases en de verdeling van de zonebestanden van de topleveldomeinnaam over de naamservers, ongeacht of die activiteiten door de entiteit zelf worden uitgevoerd of worden uitbesteed, maar met uitzondering van situaties waarin topleveldomeinnamen uitsluitend voor eigen gebruik worden aangewend door een register;
“entiteit die domeinnaamregistratiediensten aanbiedt”: een registrator of een agent die namens registrators optreedt, zoals een aanbieder van privacy- of proxy-registratiediensten of wederverkoper;
“digitale dienst”: een dienst zoals gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad ( 4 );
“vertrouwensdienst”: een vertrouwensdienst zoals gedefinieerd in artikel 3, punt 16), van Verordening (EU) nr. 910/2014;
“verlener van vertrouwensdiensten”: een verlener van vertrouwensdiensten zoals gedefinieerd in artikel 3, punt 19), van Verordening (EU) nr. 910/2014;
“gekwalificeerde vertrouwensdienst”: een gekwalificeerde vertrouwensdienst zoals gedefinieerd in van artikel 3, punt 17), van Verordening (EU) nr. 910/2014;
“gekwalificeerde verlener van vertrouwensdiensten”: een gekwalificeerde verlener van vertrouwensdiensten zoals gedefinieerd in artikel 3, punt 20), van Verordening (EU) nr. 910/2014;
“onlinemarktplaats”: een onlinemarktplaats zoals gedefinieerd in artikel 2, punt n), van Richtlijn 2005/29/EG van het Europees Parlement en de Raad ( 5 );
“onlinezoekmachine”: een onlinezoekmachine zoals gedefinieerd in artikel 2, punt 5), van Verordening (EU) 2019/1150 van het Europees Parlement en de Raad ( 6 );
“cloudcomputingdienst”: een digitale dienst die administratie op aanvraag en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook wanneer die bronnen over verschillende locaties verspreid zijn;
“datacentrumdienst”: een dienst die structuren of groepen van structuren omvat die bestemd zijn voor de gecentraliseerde accommodatie, de interconnectie en de exploitatie van IT en netwerkapparatuur die diensten op het gebied van gegevensopslag, -verwerking en -transport aanbiedt, samen met alle faciliteiten en infrastructuren voor energiedistributie en omgevingscontrole;
“netwerk voor de levering van inhoud”: een netwerk van geografisch verspreide servers met het oog op een hoge beschikbaarheid, toegankelijkheid of snelle levering van digitale inhoud en diensten aan internetgebruikers ten behoeve van aanbieders van inhoud en diensten;
“platform voor socialenetwerkdiensten”: een platform dat eindgebruikers in staat stelt zich met elkaar te verbinden, te delen, te ontdekken en met elkaar te communiceren via meerdere apparaten, met name via chats, posts, video’s en aanbevelingen;
“vertegenwoordiger”: een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een register voor topleveldomeinnamen, een entiteit die domeinnaamregistratiediensten verleent, een aanbieder van cloudcomputingdiensten, een aanbieder van datacentrumdiensten, een aanbieder van een netwerk voor de levering van inhoud, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten, of een aanbieder van een onlinemarktplaats, van een onlinezoekmachine of van een platform voor socialenetwerkdiensten die niet in de Unie is gevestigd, en die door een bevoegde autoriteit of een CSIRT kan worden aangesproken in plaats van de entiteit zelf met betrekking tot de verplichtingen van die entiteit uit hoofde van deze richtlijn;
“overheidsinstantie”: een entiteit die overeenkomstig het nationale recht als zodanig in een lidstaat is erkend, met uitzondering van de rechterlijke macht, parlementen en centrale banken, en die aan de volgende criteria voldoet:
zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;
zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met rechtspersoonlijkheid optreden;
zij wordt grotendeels gefinancierd door de staat, regionale autoriteiten of andere publiekrechtelijke organen, is onderworpen aan beheerstoezicht door die autoriteiten of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd;
zij heeft de bevoegdheid om ten aanzien van natuurlijke of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal;
“openbaar elektronischecommunicatienetwerk”: een openbaar elektronischecommunicatienetwerk zoals gedefinieerd in artikel 2, punt 8), van Richtlijn (EU) 2018/1972;
“elektronischecommunicatiedienst”: een elektronischecommunicatiedienst zoals gedefinieerd in van artikel 2, punt 4), van Richtlijn (EU) 2018/1972;
“entiteit”: een natuurlijke of rechtspersoon die als zodanig is opgericht en erkend volgens het nationale recht van zijn vestigingsplaats, en die in eigen naam rechten kan uitoefenen en aan verplichtingen kan worden onderworpen;
“aanbieder van beheerde diensten”: een entiteit die diensten verleent die verband houden met de installatie, het beheer, de exploitatie of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via bijstand of actieve administratie bij de klant ter plaatse of op afstand;
“aanbieder van beheerde beveiligingsdiensten”: een aanbieder van beheerde diensten die bijstand biedt of verleent voor activiteiten die verband houden met risicobeheer op het gebied van cyberbeveiliging;
“onderzoeksorganisatie”: een entiteit die als hoofddoel heeft het verrichten van toegepast onderzoek of experimentele ontwikkeling met het oog op de exploitatie van de resultaten van dat onderzoek voor commerciële doeleinden, met uitsluiting van onderwijsinstellingen.
HOOFDSTUK II
GECOÖRDINEERDE KADERS OP HET GEBIED VAN CYBERBEVEILIGING
Artikel 7
Nationale cyberbeveiligingsstrategie
Elke lidstaat moet een nationale cyberbeveiligingsstrategie vaststellen die voorziet in de strategische doelstellingen, de middelen die nodig zijn om die doelstellingen te behalen, en passende beleids- en regelgevingsmaatregelen, om een hoog niveau van cyberbeveiliging te bereiken en te handhaven. De nationale cyberbeveiligingsstrategie omvat:
doelstellingen en prioriteiten van de cyberbeveiligingsstrategie van de lidstaat, met name inzake de in de bijlagen I en II bedoelde sectoren;
een governancekader om de in punt a) van dit lid bedoelde doelstellingen en prioriteiten te verwezenlijken, met inbegrip van het in lid 2 bedoelde beleid;
een governancekader dat de taken en verantwoordelijkheden van relevante belanghebbenden op nationaal niveau verduidelijkt, ter onderbouwing van de samenwerking en coördinatie op nationaal niveau tussen de bevoegde autoriteiten, de centrale contactpunten en de CSIRT’s uit hoofde van deze richtlijn, alsmede van de coördinatie en samenwerking tussen die organen en uit hoofde van sectorspecifieke rechtshandelingen van de Unie bevoegde autoriteiten;
een mechanisme om relevante activa vast te stellen en een beoordeling van de risico’s in die lidstaat;
een inventarisatie van de maatregelen om te zorgen voor paraatheid, respons en herstel bij incidenten, met inbegrip van samenwerking tussen de publieke en de particuliere sector;
een lijst van de verschillende autoriteiten en belanghebbenden die betrokken zijn bij de uitvoering van de nationale cyberbeveiligingsstrategie;
een beleidskader voor versterkte coördinatie tussen de uit hoofde van deze richtlijn bevoegde autoriteiten en de uit hoofde van Richtlijn (EU) 2022/2557 bevoegde autoriteiten, met als doel het delen van informatie over risico’s, cyberdreigingen, en incidenten alsook over niet-cyberrisico’s, -dreigingen en -incidenten, en in voorkomend geval de uitoefening van toezichthoudende taken;
een plan, met inbegrip van de noodzakelijke maatregelen, om het algemene niveau van cyberbeveiligingsbewustzijn bij de burgers te verbeteren.
In het kader van de nationale cyberbeveiligingsstrategie stellen de lidstaten met name beleid vast:
inzake cyberbeveiliging in de toeleveringsketen voor ICT-producten en ICT-diensten die door entiteiten worden gebruikt voor het verlenen van hun diensten;
inzake het opnemen en specificeren van cyberbeveiligingsgerelateerde eisen voor ICT-producten en ICT-diensten bij overheidsopdrachten, onder meer met betrekking tot cyberbeveiligingscertificering, versleuteling en het gebruik van open-source-cyberbeveiligingsproducten;
voor het beheer van kwetsbaarheden, met inbegrip van de bevordering en vergemakkelijking van de gecoördineerde bekendmaking van kwetsbaarheden uit hoofde van artikel 12, lid 1;
inzake het in stand houden van de algemene beschikbaarheid, integriteit en vertrouwelijkheid van de openbare kern van het open internet, in voorkomend geval met inbegrip van de cyberbeveiliging van onderzeese communicatiekabels;
voor het bevorderen van de ontwikkeling en integratie van relevante geavanceerde technologieën met het oog op de toepassing van geavanceerde risicobeheersmaatregelen op het gebied van cyberbeveiliging;
voor het bevorderen en ontwikkelen van onderwijs en opleiding op het gebied van cyberbeveiliging, cyberbeveiligingsvaardigheden, -bewustmakings- en -onderzoeks- en ontwikkelingsinitiatieven, alsook van richtsnoeren voor goede praktijken en controles op het gebied van cyberhygiëne, gericht op burgers, belanghebbenden en entiteiten;
voor het ondersteunen van academische en onderzoeksinstellingen bij de ontwikkeling, versterking en bevordering van de uitrol van instrumenten voor cyberbeveiliging en een veilige netwerkinfrastructuur;
met inbegrip van relevante procedures en passende instrumenten voor het delen van informatie, ter ondersteuning van het vrijwillige delen van cyberbeveiligingsinformatie tussen entiteiten overeenkomstig het Unierecht;
voor het versterken van de digitale weerbaarheid en het basisniveau van cyberhygiëne van kleine en middelgrote ondernemingen, met name die welke van het toepassingsgebied van deze richtlijn zijn uitgesloten, door te voorzien in gemakkelijk toegankelijke richtsnoeren en bijstand voor hun specifieke behoeften;
voor het bevorderen van actieve cyberbescherming.
Artikel 8
Bevoegde autoriteiten en centrale contactpunten
Artikel 9
Nationale kaders voor cybercrisisbeheer
Elke lidstaat stelt een nationaal plan voor grootschalige cyberbeveiligingsincidenten en crisisrespons vast, waarin de doelstellingen van en regelingen voor het beheer van grootschalige cyberbeveiligingsincidenten en crises zijn vastgelegd. In dat plan wordt in het bijzonder het volgende vastgelegd:
de doelstellingen van nationale paraatheidsmaatregelen en -activiteiten;
de taken en verantwoordelijkheden van de cybercrisisbeheerautoriteiten;
de cybercrisisbeheerprocedures, met inbegrip van de integratie ervan in het algemene nationale crisisbeheerkader en in de informatie-uitwisselingskanalen;
de nationale paraatheidsmaatregelen, met inbegrip van oefeningen en opleidingsactiviteiten;
de relevante publieke en particuliere belanghebbenden en betrokken infrastructuur;
de nationale procedures en regelingen tussen de betrokken nationale autoriteiten en instanties om de effectieve deelname van de lidstaat aan het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en crises op Unieniveau en de ondersteuning daarvan te waarborgen.
Artikel 10
Computer security incident response teams (CSIRT’s)
Artikel 11
Eisen, technische capaciteiten en taken van de CSIRT’s
De CSIRT’s voldoen aan de volgende eisen:
de CSIRT’s garanderen een hoge mate van beschikbaarheid van hun communicatiekanalen door zwakke punten (single points of failure) te voorkomen, en beschikken over diverse middelen waarlangs te allen tijde contact met hen kan worden opgenomen en contact met anderen kan worden opgenomen; ze specificeren communicatiekanalen duidelijk en delen ze mee aan de gebruikersgroep en de samenwerkingspartners;
de lokalen en werkruimten van de CSIRT’s en de ondersteunende informatiesystemen bevinden zich op beveiligde locaties;
de CSIRT’s worden, met het oog op doeltreffende en efficiënte overdrachten, uitgerust met een adequaat systeem voor het beheren en routeren van verzoeken;
de CSIRT’s waarborgen de vertrouwelijkheid en betrouwbaarheid van hun activiteiten;
de CSIRT’s beschikken over voldoende personeel om te allen tijde de beschikbaarheid van hun diensten te garanderen, en zij zorgen ervoor dat hun personeel naar behoren wordt opgeleid;
de CSIRT’s zijn uitgerust met redundante systemen en reservewerkruimten om de continuïteit van hun diensten te waarborgen.
De CSIRT’s kunnen deelnemen aan internationale samenwerkingsnetwerken.
De CSIRT’s hebben de volgende taken:
het monitoren en analyseren van cyberdreigingen, kwetsbaarheden en incidenten op nationaal niveau, en, op verzoek, het verlenen van bijstand aan betrokken essentiële en belangrijke entiteiten met betrekking tot het realtime of bijna-realtime monitoren van hun netwerk en informatiesystemen;
het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen en het verspreiden van informatie onder betrokken essentiële en belangrijke entiteiten en aan de bevoegde autoriteiten en andere relevante belanghebbenden over cyberdreigingen, kwetsbaarheden en incidenten, in bijna-realtime indien mogelijk;
het reageren op incidenten en verlenen van bijstand aan de betrokken essentiële en belangrijke entiteiten, indien van toepassing;
het verzamelen en analyseren van forensische gegevens en het zorgen voor dynamische risico- en incidentenanalyse en situationeel bewustzijn met betrekking tot cyberbeveiliging;
op verzoek van een essentiële of belangrijke entiteit: het proactief scannen van de netwerk- en informatiesystemen van de betrokken entiteit om kwetsbaarheden met mogelijk significante gevolgen op te sporen;
het deelnemen aan het CSIRT-netwerk en, in overeenstemming met hun capaciteiten en bevoegdheden, het verlenen van wederzijdse bijstand aan andere leden van het netwerk op hun verzoek;
indien van toepassing, het optreden als coördinator ten behoeve van het in artikel 12, lid 1 bedoelde proces van gecoördineerde bekendmaking van kwetsbaarheden;
het bijdragen aan de uitrol van veilige instrumenten voor het delen van informatie op grond van artikel 10, lid 3.
De CSIRT’s kunnen overgaan tot het proactief en niet-intrusief scannen van openbaar toegankelijke netwerk- en informatiesystemen van essentiële en belangrijke entiteiten. Een dergelijk scannen wordt uitgevoerd om kwetsbare of onveilig geconfigureerde netwerk- en informatiesystemen op te sporen en de betrokken entiteiten te informeren. Een dergelijk scannen mag geen negatieve gevolgen hebben voor de werking van de diensten van de entiteiten.
Bij de uitvoering van de in de eerste alinea bedoelde taken kunnen de CSIRT’s, op grond van een risicogebaseerde benadering, prioriteit geven aan bepaalde taken.
Om de in lid 4 bedoelde samenwerking te vergemakkelijken, bevorderen de CSIRT’s de invoering en het gebruik van gemeenschappelijke of gestandaardiseerde praktijken, classificatieschema’s en taxonomieën met betrekking tot:
procedures voor de incidentenbehandeling;
crisisbeheer, en
gecoördineerde bekendmaking van kwetsbaarheden uit hoofde van artikel 12, lid 1.
Artikel 12
Gecoördineerde bekendmaking van de kwetsbaarheden en een Europese kwetsbaarheidsdatabase
Elke lidstaat wijst een van zijn CSIRT’s aan als coördinator met het oog op een gecoördineerde bekendmaking van kwetsbaarheden. Het als coördinator aangewezen CSIRT treedt op als een betrouwbare tussenpersoon en vergemakkelijkt, waar nodig, de interactie tussen de natuurlijke of rechtspersoon die een kwetsbaarheid meldt enerzijds en de fabrikant of aanbieder van de mogelijk kwetsbare ICT-producten of -diensten anderzijds, op verzoek van een van beide partijen. De taken van het als coördinator aangewezen CSIRT omvatten:
het identificeren van en contact opnemen met de betrokken entiteiten;
het bijstaan van de natuurlijke of rechtspersonen die een kwetsbaarheid melden; en
het onderhandelen over tijdschema’s voor de bekendmaking, en het beheren van kwetsbaarheden die van invloed zijn op meerdere entiteiten.
De lidstaten zorgen ervoor dat natuurlijke of rechtspersonen, desgevraagd anoniem, melding kunnen maken van een kwetsbaarheid aan het als coördinator aangewezen CSIRT. Het als coördinator aangewezen CSIRT ziet erop toe dat zorgvuldige follow-up wordt gegeven aan de gemelde kwetsbaarheid en waarborgt de anonimiteit van de natuurlijke of rechtspersoon die de kwetsbaarheid meldt. Wanneer een gemelde kwetsbaarheid significante gevolgen kan hebben voor entiteiten in meer dan één lidstaat, werkt het als coördinator aangewezen CSIRT van iedere betrokken lidstaat, in voorkomend geval, samen met andere als coördinator aangewezen CSIRT’s binnen het CSIRT-netwerk.
Enisa ontwikkelt en onderhoudt, na raadpleging van de samenwerkingsgroep, een Europese kwetsbaarheidsdatabase. Daartoe stelt Enisa de passende informatiesystemen, beleidsmaatregelen en procedures vast en onderhoudt deze, alsook de noodzakelijke technische en organisatorische maatregelen om de veiligheid en integriteit van de Europese kwetsbaarheidsdatabase te waarborgen, met name om entiteiten, ongeacht of zij binnen het toepassingsgebied van deze richtlijn vallen, en hun leveranciers van netwerk- en informatiesystemen, in staat te stellen de in ICT-producten of ICT-diensten aanwezige algemeen bekende kwetsbaarheden op een vrijwillige basis bekend te maken en te registreren. Alle belanghebbenden krijgen toegang tot de informatie over de kwetsbaarheden die in de Europese kwetsbaarheidsdatabase is opgenomen. Die database omvat:
informatie die de kwetsbaarheid beschrijft;
de betrokken ICT-producten of ICT-diensten en de ernst van de kwetsbaarheid in het licht van de omstandigheden waarin deze kan worden uitgebuit;
de beschikbaarheid van gerelateerde patches en, bij gebrek aan beschikbare patches, door de bevoegde autoriteiten of de CSIRT’s bepaalde richtsnoeren voor gebruikers van kwetsbare ICT-producten en ICT-diensten over de wijze waarop de risico’s die voortvloeien uit bekendgemaakte kwetsbaarheden kunnen worden beperkt.
Artikel 13
Samenwerking op nationaal niveau
HOOFDSTUK III
SAMENWERKING OP UNIE- EN INTERNATIONAAL NIVEAU
Artikel 14
Samenwerkingsgroep
In voorkomend geval kan de samenwerkingsgroep het Europees Parlement en vertegenwoordigers van relevante belanghebbenden uitnodigen om deel te nemen aan zijn werkzaamheden.
Het secretariaat wordt verzorgd door de diensten van de Commissie.
De samenwerkingsgroep heeft de volgende taken:
het verstrekken van richtsnoeren aan de bevoegde autoriteiten met betrekking tot de omzetting en uitvoering van deze richtlijn;
het verstrekken van richtsnoeren aan de bevoegde autoriteiten met betrekking tot de ontwikkeling en uitvoering van het beleid inzake gecoördineerde bekendmaking van kwetsbaarheden, als bedoeld in artikel 7, lid 2, punt c);
het uitwisselen van beste praktijken en informatie met betrekking tot de uitvoering van deze richtlijn, onder meer inzake cyberdreigingen, incidenten, kwetsbaarheden, bijna-incidenten, bewustmakingsinitiatieven, opleidingen, oefeningen en vaardigheden, capaciteitsopbouw, normen en technische specificaties, alsook inzake het als dusdanig aanmerken van essentiële en belangrijke entiteiten op grond van artikel 2, lid 2, punten b) tot en met e);
het uitwisselen van advies en samenwerken met de Commissie rondom opkomende beleidsinitiatieven op het gebied van cyberbeveiliging en rondom de algehele samenhang van sectorspecifieke cyberbeveiligingseisen;
het uitwisselen van advies en samenwerken met de Commissie rondom ontwerpen van uitvoeringshandelingen of gedelegeerde handelingen die op grond van deze richtlijn worden vastgesteld;
het uitwisselen van beste praktijken en informatie met de betrokken instellingen, organen en instanties van de Unie;
het van gedachten wisselen over de uitvoering van sectorspecifieke rechtshandelingen van de Unie die bepalingen inzake cyberbeveiliging bevatten;
indien van toepassing, het bespreken van de verslagen van de in artikel 19, lid 9, bedoelde collegiale toetsing en het opstellen van conclusies en aanbevelingen;
het uitvoeren van gecoördineerde veiligheidsrisicobeoordelingen van kritieke toeleveringsketens overeenkomstig artikel 22, lid 1;
het bespreken van gevallen van wederzijdse bijstand, met inbegrip van ervaringen en resultaten van grensoverschrijdende gezamenlijke toezichtsacties als bedoeld in artikel 37;
op verzoek van een of meer betrokken lidstaten, het bespreken van specifieke verzoeken om wederzijdse bijstand als bedoeld in artikel 37;
het verstrekken van strategische richtsnoeren over specifieke opkomende kwesties aan het CSIRT-netwerk en EU-CyCLONe;
het van gedachten wisselen over het beleid inzake de follow-up die wordt gegeven aan grootschalige cyberbeveiligingsincidenten en crises, op basis van de uit het CSIRT-netwerk en EU-CyCLONe getrokken lessen;
het bijdragen tot de cyberbeveiligingscapaciteiten in de hele Unie door de uitwisseling van nationale ambtenaren te vergemakkelijken via een programma voor capaciteitsopbouw waarbij personeel van de bevoegde autoriteiten of van de CSIRT’s betrokken is;
het organiseren van regelmatige en gezamenlijke bijeenkomsten met relevante particuliere belanghebbenden uit de hele Unie om de activiteiten van de samenwerkingsgroep te bespreken en input te verzamelen over nieuwe beleidsuitdagingen;
het bespreken van de werkzaamheden in verband met cyberbeveiligingsoefeningen, met inbegrip van het werk van Enisa;
het vaststellen van de methodologie en organisatorische aspecten van de in artikel 19, lid 1, bedoelde collegiale toetsingen, alsook het vastleggen van de zelfevaluatiemethode voor lidstaten overeenkomstig artikel 19, lid 5, met bijstand van de Commissie en Enisa, en, in samenwerking met de Commissie en Enisa, het ontwikkelen van gedragscodes ter onderbouwing van de werkmethoden van aangewezen cyberbeveiligingsdeskundigen overeenkomstig artikel 19, lid 6;
het opstellen van verslagen over de ervaringen die zijn opgedaan op strategisch niveau en bij collegiale toetsingen, met het oog op de in artikel 40 bedoelde evaluatie;
het regelmatig beoordelen van de stand van zaken met betrekking tot cyberdreigingen of -incidenten, zoals gijzelsoftware.
De samenwerkingsgroep dient de in de eerste alinea, punt r), bedoelde verslagen in bij de Commissie, het Europees Parlement en de Raad.
Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 39, lid 2, bedoelde onderzoeksprocedure.
De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep rond de in de eerste en tweede alinea van dit artikel bedoelde ontwerpuitvoeringshandelingen, overeenkomstig lid 4, punt e).
Artikel 15
CSIRT-netwerk
Het CSIRT-netwerk heeft de volgende taken:
het uitwisselen van informatie over de capaciteiten van de CSIRT’s;
het vergemakkelijken van het delen, overdragen en uitwisselen van technologie en relevante maatregelen, beleidsmaatregelen, instrumenten, processen, beste praktijken, en kaders tussen de CSIRT’s;
het uitwisselen van relevante informatie over incidenten, bijna-incidenten, cyberdreigingen, risico’s en kwetsbaarheden;
het uitwisselen van informatie over publicaties en aanbevelingen op het gebied van cyberbeveiliging;
het zorgen voor interoperabiliteit met betrekking tot specificaties en protocollen voor informatie-uitwisseling;
op verzoek van een lid van het CSIRT-netwerk dat mogelijkerwijs gevolgen ondervindt van een incident, het uitwisselen en bespreken van informatie over dat incident en de daarmee samenhangende cyberdreigingen, risico’s en kwetsbaarheden;
op verzoek van een lid van het CSIRT-netwerk, het bespreken en waar mogelijk uitvoeren van een gecoördineerde respons op een incident dat binnen de jurisdictie van die lidstaat is vastgesteld;
het verlenen van bijstand aan de lidstaten bij de aanpak van grensoverschrijdende incidenten uit hoofde van deze richtlijn;
het samenwerken, uitwisselen van beste praktijken en verlenen van bijstand aan de CSIRT’s die op grond van artikel 12, lid 1, zijn aangewezen als coördinatoren, waar het gaat om het beheer van de gecoördineerde openbaarmaking van kwetsbaarheden die aanzienlijke gevolgen kunnen hebben voor entiteiten in meer dan één lidstaat;
het bespreken en identificeren van verdere vormen van operationele samenwerking, ook met betrekking tot:
categorieën van cyberdreigingen en -incidenten;
vroegtijdige waarschuwingen;
wederzijdse bijstand;
beginselen en regelingen voor coördinatie als antwoord op grensoverschrijdende risico’s en incidenten;
op verzoek van een lidstaat, bijdragen aan het in artikel 9, lid 4, bedoelde nationale plan voor grootschalige cyberbeveiligingsincidenten en crisisrespons;
het informeren van de samenwerkingsgroep over zijn activiteiten en over de verdere vormen van operationele samenwerking, besproken op grond van punt j), en zo nodig het verzoeken om richtsnoeren in dat verband;
het opmaken van de balans van cyberbeveiligingsoefeningen, ook van de door Enisa georganiseerde oefeningen;
op verzoek van een individueel CSIRT, het bespreken van de capaciteiten en de paraatheid van dat CSIRT;
het samenwerken en uitwisselen van informatie met centra voor beveiligingsoperaties (“Security Operations Centres” — SOC’s) op regionaal en Unieniveau om het gemeenschappelijk situationeel bewustzijn inzake incidenten en cyberdreigingen in de hele Unie te verbeteren;
indien van toepassing, het bespreken van de in artikel 19, lid 9, bedoelde collegiale-toetsingsverslagen;
het verstrekken van richtsnoeren om de convergentie van de operationele praktijken te vergemakkelijken waar het gaat om de toepassing van de bepalingen van dit artikel inzake operationele samenwerking.
Artikel 16
Het Europese netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe)
Enisa verzorgt het secretariaat van EU-CyCLONe, ondersteunt de veilige uitwisseling van informatie en voorziet in de noodzakelijke instrumenten ter ondersteuning van de samenwerking tussen de lidstaten met het oog op een veilige uitwisseling van informatie.
Indien nodig kan EU-CyCLONe vertegenwoordigers van belanghebbenden uitnodigen om als waarnemers deel te nemen aan zijn werkzaamheden.
EU-CyCLONe heeft tot taak:
het niveau van de paraatheid te verhogen bij het beheer van grootschalige cyberbeveiligingsincidenten en crises;
een gedeeld situationeel bewustzijn voor grootschalige cyberbeveiligingsincidenten en crises te ontwikkelen;
de gevolgen en de impact van relevante grootschalige cyberbeveiligingsincidenten en crises te beoordelen en mogelijke beperkende maatregelen voor te stellen;
het beheer van grootschalige cyberbeveiligingsincidenten en crises te coördineren en de besluitvorming op politiek niveau met betrekking tot dergelijke incidenten en crises te ondersteunen;
op verzoek van een betrokken lidstaat de in artikel 9, lid 4, bedoelde nationale plannen voor grootschalige cyberbeveiligingsincidenten en crisisrespons te bespreken.
Artikel 17
Internationale samenwerking
De Unie kan indien nodig overeenkomstig artikel 218 VWEU internationale overeenkomsten met derde landen of internationale organisaties sluiten die hun deelname aan bepaalde activiteiten van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe mogelijk maken en organiseren. Dergelijke overeenkomsten moeten in overeenstemming zijn met het Uniegegevensbeschermingsrecht.
Artikel 18
Verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie
Enisa stelt in samenwerking met de Commissie en de samenwerkingsgroep een tweejaarlijks verslag over de stand van zaken op het gebied van cyberbeveiliging in de Unie op en legt dat verslag voor aan het Europees Parlement. Het verslag wordt onder meer in machinaal leesbare data beschikbaar gesteld en bevat het volgende:
een beoordeling van de cyberbeveiligingsrisico’s op het niveau van de Unie, rekening houdend met het cyberdreigingslandschap;
een beoordeling van de ontwikkeling van cyberbeveiligingscapaciteiten in de publieke en private sectoren in de hele Unie;
een beoordeling van het algemene niveau van bewustzijn van cyberbeveiliging en cyberhygiëne bij burgers en entiteiten, met inbegrip van kleine en middelgrote ondernemingen;
een geaggregeerde beoordeling van het resultaat van de in artikel 19 bedoelde collegiale toetsingen;
een geaggregeerde beoordeling van het volwassenheidsniveau van de cyberbeveiligingscapaciteiten en -middelen in de hele Unie, met inbegrip van die op sectorniveau, en van de mate waarin de nationale cyberbeveiligingsstrategieën van de lidstaten op elkaar zijn afgestemd.
Artikel 19
Collegiale toetsingen
De collegiale toetsingen hebben betrekking op ten minste een van de volgende zaken:
de mate van uitvoering van de in de artikelen 21 en 23 bedoelde risicobeheersmaatregelen en rapportageverplichtingen op het gebied van cyberbeveiliging;
het niveau van de capaciteiten, met inbegrip van de beschikbare financiële, technische en personele middelen, en de doeltreffendheid van de uitoefening van de taken van de bevoegde autoriteiten;
de operationele capaciteit van de CSIRT’s;
de mate van uitvoering van de in artikel 37 bedoelde wederzijdse bijstand;
de mate van uitvoering van het in artikel 29 bedoelde kader voor de uitwisseling van informatie over cyberbeveiliging;
specifieke kwesties van grens- of sectoroverschrijdende aard.
HOOFDSTUK IV
RISICOBEHEERSMAATREGELEN EN RAPPORTAGEVERPLICHTINGEN OP HET GEBIED VAN CYBERBEVEILIGING
Artikel 20
Governance
De toepassing van dit lid doet geen afbreuk aan het nationale recht met betrekking tot de aansprakelijkheidsregels die gelden voor overheidsinstanties en voor de aansprakelijkheid van ambtenaren en verkozen of benoemde overheidsfunctionarissen.
Artikel 21
Maatregelen voor het beheer van cyberbeveiligingsrisico’s
Rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten, zorgen de in de eerste alinea bedoelde maatregelen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat is afgestemd op de risico’s die zich voordoen. Bij de beoordeling van de evenredigheid van die maatregelen wordt naar behoren rekening gehouden met de mate waarin de entiteit aan risico’s is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.
De in lid 1 bedoelde maatregelen zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen, en omvatten ten minste het volgende:
beleid inzake risicoanalyse en beveiliging van informatiesystemen;
incidentenbehandeling;
bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
De Commissie kan uitvoeringshandelingen vaststellen met de technische en methodologische vereisten en, zo nodig, de sectorale vereisten voor de in lid 2 bedoelde maatregelen met betrekking tot andere dan de in de eerste alinea van dit lid bedoelde essentiële en belangrijke entiteiten.
Bij de voorbereiding van de in de eerste en de tweede alinea van dit lid bedoelde uitvoeringshandelingen volgt de Commissie zoveel mogelijk de Europese en internationale normen en de relevante technische specificaties. De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep en Enisa rond de ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, punt e).
Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 39, lid 2, bedoelde onderzoeksprocedure.
Artikel 22
Op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens
Artikel 23
Rapportageverplichtingen
Wanneer de betrokken entiteiten een significant incident overeenkomstig de eerste alinea melden bij de bevoegde autoriteit, zorgt de lidstaat ervoor dat die bevoegde autoriteit de melding na ontvangst doorstuurt naar het CSIRT.
In het geval van een grensoverschrijdend of sectoroverschrijdend significant incident zorgen de lidstaten ervoor dat relevante informatie die overeenkomstig lid 4 is gemeld, tijdig aan hun centrale contactpunten wordt verstrekt.
Een incident wordt als significant beschouwd als het:
een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken;
andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
De lidstaten zorgen ervoor dat de betrokken entiteiten, voor de in lid 1 bedoelde melding, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit:
onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing geven, waarin, indien van toepassing, wordt aangegeven of het significante incident vermoedelijk door een onrechtmatige of kwaadwillige handeling is veroorzaakt, dan wel grensoverschrijdende gevolgen zou kunnen hebben;
onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding indienen met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting;
op verzoek van het CSIRT of, indien van toepassing, de bevoegde autoriteit, een tussentijds verslag indienen over relevante updates van de situatie;
uiterlijk één maand na de indiening van het in punt b) bedoelde incidentmelding, een eindverslag indienen waarin het volgende is opgenomen:
een gedetailleerde beschrijving van het incident, met inbegrip van de ernst en de gevolgen ervan;
het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
toegepaste en lopende risicobeperkende maatregelen;
in voorkomend geval, de grensoverschrijdende gevolgen van het incident;
indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, zorgen de lidstaten ervoor dat de betrokken entiteiten op dat moment een voortgangsverslag indienen en binnen één maand nadat zij het incident hebben afgehandeld, een eindverslag indienen.
In afwijking van de eerste alinea, punt b), meldt een verlener van vertrouwensdiensten significante incidenten die gevolgen hebben voor de verlening van zijn vertrouwensdiensten onverwijld, en in elk geval binnen 24 uur nadat hij kennis heeft gekregen van het significante incident, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit.
Uiterlijk op 17 oktober 2024 stelt de Commissie met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsook aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, uitvoeringshandelingen vast waarin nader wordt gespecificeerd in welke gevallen een incident als significant wordt beschouwd als bedoeld in lid 3. De Commissie kan dergelijke uitvoeringshandelingen vaststellen met betrekking tot andere essentiële en belangrijke entiteiten.
De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep rond de in de eerste en tweede alinea van dit artikel bedoelde ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, punt e).
Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 39, lid 2, bedoelde onderzoeksprocedure.
Artikel 24
Gebruik van Europese cyberbeveiligingscertificeringsregelingen
Alvorens dergelijke gedelegeerde handelingen vast te stellen, voert de Commissie een effectbeoordeling uit en pleegt zij overleg overeenkomstig artikel 56 van Verordening (EU) 2019/881.
Artikel 25
Normalisatie
HOOFDSTUK V
JURISDICTIE EN REGISTRATIE
Artikel 26
Jurisdictie en territorialiteit
Binnen het toepassingsgebied van deze richtlijn vallende entiteiten worden geacht onder de jurisdictie te vallen van de lidstaat waar zij zijn gevestigd, behalve in het geval van:
aanbieders van openbare elektronischecommunicatienetwerken of aanbieders van openbare elektronischecommunicatiediensten, die worden geacht te vallen onder de jurisdictie van de lidstaat waar zij hun diensten aanbieden;
DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsmede aanbieders van onlinemarktplaatsen, van onlinezoekmachines of van platforms voor socialenetwerkdiensten, die worden geacht onder de jurisdictie te vallen van de lidstaat waar zij hun hoofdvestiging in de Unie overeenkomstig lid 2 hebben;
overheidsinstanties, die worden geacht te vallen onder de jurisdictie van de lidstaat die ze heeft opgericht.
Artikel 27
Register van entiteiten
De lidstaten vereisen van de in lid 1 bedoelde entiteiten dat zij de volgende informatie uiterlijk op 17 januari 2025 bij de bevoegde autoriteiten indienen:
de naam van de entiteit;
de relevante sector, subsector en soort entiteit bedoeld in bijlage I of II, waar van toepassing;
het adres van de hoofdvestiging van de entiteit en haar andere wettelijke vestigingen in de Unie of, indien deze niet in de Unie zijn gevestigd, van haar op grond van artikel 26, lid 3, aangewezen vertegenwoordiger;
actuele contactgegevens, met inbegrip van e-mailadressen en telefoonnummers van de entiteit en, indien van toepassing, haar op grond van artikel 26, lid 3, aangewezen vertegenwoordiger;
de lidstaten waar de entiteit diensten verleent, en
de IP-bereiken van de entiteit.
Artikel 28
Database met domeinnaamregistratiegegevens
Voor de toepassing van lid 1 schrijven de lidstaten voor dat de database met domeinnaamregistratiegegevens over de registratie van domeinnamen de noodzakelijke informatie bevat om de houders van de domeinnamen en de contactpunten die de domeinnamen onder de topleveldomeinnamen beheren, te identificeren en te contacteren. Die informatie omvat:
de domeinnaam;
de registratiedatum van registratie;
de naam, het e-mailadres en het telefoonnummer van de registrant;
het e-mailadres en het telefoonnummer van het contactpunt dat de domeinnaam beheert, indien deze verschillen van die van de registrant.
HOOFDSTUK VI
INFORMATIE-UITWISSELING
Artikel 29
Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
De lidstaten zorgen ervoor dat binnen het toepassingsgebied van deze richtlijn vallende entiteiten en, indien van toepassing, andere entiteiten die niet binnen het toepassingsgebied van deze richtlijn vallen, op vrijwillige basis onderling relevante informatie over cyberbeveiliging kunnen uitwisselen, met inbegrip van informatie over cyberdreigingen, bijna-incidenten, kwetsbaarheden, technieken en procedures, indicatoren voor aantasting, vijandige tactieken, dreigingsactorspecifieke informatie, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om cyberaanvallen te detecteren, wanneer dat uitwisselen van informatie:
beoogt incidenten te voorkomen, te detecteren, erop te reageren of ervan te herstellen of de gevolgen ervan te beperken;
het niveau van de cyberbeveiliging verhoogt, met name door de bewustwording met betrekking tot cyberdreigingen te vergroten, het vermogen van dergelijke dreigingen om zich te verspreiden te beperken of te belemmeren, een reeks verdedigingscapaciteiten, het herstel en openbaarmaking van kwetsbaarheden, het opsporen van dreigingen, beheersings- en preventietechnieken, beperkingsstrategieën of respons- en herstelfasen te ondersteunen of gezamenlijk onderzoek naar cyberdreigingen door publieke en particuliere entiteiten te bevorderen.
Artikel 30
Vrijwillige melding van relevante informatie
De lidstaten zorgen ervoor dat, naast de in artikel 23 geregelde meldingsplicht, op vrijwillige basis meldingen bij de CSIRT’s of, indien van toepassing, de bevoegde autoriteiten kunnen worden ingediend door:
essentiële en belangrijke entiteiten betreffende cyberdreigingen en bijna-incidenten;
andere dan in punt a) bedoelde entiteiten, ongeacht of zij binnen het toepassingsgebied van deze richtlijn vallen, wat significante incidenten, cyberdreigingen en bijna-incidenten betreft.
Indien nodig verstrekken de CSIRT’s en, waar dit van toepassing is, de bevoegde autoriteiten, de centrale contactpunten de informatie over de meldingen die op grond van dit artikel zijn ontvangen, met inachtneming van de vertrouwelijkheid en passende bescherming van de door de meldende entiteit verstrekte informatie. Onverminderd de voorkoming van, het onderzoek naar en de opsporing en de vervolging van strafbare feiten, mag vrijwillige melding er niet toe leiden dat de meldende entiteit bijkomende verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn geweest indien zij de melding niet had ingediend.
HOOFDSTUK VII
TOEZICHT EN HANDHAVING
Artikel 31
Algemene aspecten van het toezicht en de handhaving
Artikel 32
Toezichts- en handhavingsmaatregelen met betrekking tot essentiële entiteiten
De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun toezichthoudende taken met betrekking tot essentiële entiteiten de bevoegdheid hebben om deze entiteiten te onderwerpen aan ten minste:
inspecties ter plaatse en toezicht elders, met inbegrip van steekproefsgewijze controles die worden uitgevoerd door daartoe opgeleide professionals;
regelmatige en gerichte beveiligingsaudits die worden uitgevoerd door een onafhankelijke instantie of een bevoegde autoriteit;
ad-hocaudits, ook in gevallen waarin dat gerechtvaardigd is op grond van een significant incident of inbreuk op deze richtlijn door de essentiële entiteit;
beveiligingsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicobeoordelingscriteria, indien nodig in samenwerking met de betrokken entiteit;
verzoeken om informatie die nodig is om de door de betrokken entiteit genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen, met inbegrip van gedocumenteerd cyberbeveiligingsbeleid, alsmede de naleving van de verplichting op grond van artikel 27 om bij de bevoegde autoriteiten informatie in te dienen;
verzoeken om toegang tot gegevens, documenten en informatie die nodig zijn voor de uitoefening van hun toezichthoudende taken;
verzoeken om bewijs van de uitvoering van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die door een gekwalificeerde auditor zijn uitgevoerd en de respectieve onderliggende bewijzen.
De in de eerste alinea, punt b), bedoelde gerichte beveiligingsaudits zijn gebaseerd op door de bevoegde autoriteit of de gecontroleerde entiteit verrichte risicobeoordelingen of op andere beschikbare risicogerelateerde informatie.
De resultaten van een gerichte beveiligingsaudit worden ter beschikking gesteld van de bevoegde autoriteit. De kosten van een dergelijke gerichte door een onafhankelijke instantie uitgevoerde beveiligingsaudit worden betaald door de gecontroleerde entiteit, behalve in naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit anders besluit.
De lidstaten zorgen ervoor dat hun bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van essentiële entiteiten, de bevoegdheid hebben om ten minste:
waarschuwingen te geven over inbreuken door de betrokken entiteiten op deze richtlijn;
bindende aanwijzingen vast te stellen, met inbegrip van aanwijzingen inzake de noodzakelijke maatregelen om een incident te voorkomen of te verhelpen alsook uiterste termijnen voor de uitvoering van dergelijke maatregelen en voor verslaggeving over de uitvoering ervan, of een bevel uit te vaardigen waarin de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuken op deze richtlijn te verhelpen;
de betrokken entiteiten te gelasten een einde te maken aan gedragingen die inbreuk maken op deze richtlijn en af te zien van herhaling van die gedragingen;
de betrokken entiteiten te gelasten er op een gespecificeerde wijze en binnen een gespecificeerde termijn voor te zorgen dat hun maatregelen voor het beheer van cyberbeveiligingsrisico’s in overeenstemming zijn met artikel 21 of te voldoen aan de in artikel 23 vastgestelde rapportageverplichtingen;
de betrokken entiteiten te gelasten de natuurlijke of rechtspersonen aan wie zij diensten verlenen of voor wie zij activiteiten uitvoeren die mogelijkerwijs door een significante cyberdreiging worden beïnvloed, in kennis te stellen van de aard van de dreiging en alle mogelijke beschermings- of herstelmaatregelen die deze natuurlijke of rechtspersonen kunnen nemen als reactie op die dreiging;
de betrokken entiteiten te gelasten de naar aanleiding van een beveiligingsaudit gedane aanbevelingen binnen een redelijke termijn uit te voeren;
een controlefunctionaris aan te wijzen die gedurende een bepaalde periode duidelijk omschreven taken heeft om erop toe te zien dat de betrokken entiteiten aan de artikelen 21 en 23 voldoen;
de betrokken entiteiten te gelasten aspecten van inbreuken op deze richtlijn op een bepaalde manier openbaar te maken;
op grond van artikel 34 een administratieve geldboete op te leggen of de oplegging ervan door de bevoegde organen of rechterlijke instanties overeenkomstig het nationale recht te verzoeken bovenop een of meer van de in punten a) tot en met h) van dit lid bedoelde maatregelen.
Indien de op grond van lid 4, punten a) tot en met d) en punt f), genomen handhavingsmaatregelen ondoeltreffend zijn, zorgen de lidstaten ervoor dat hun bevoegde autoriteiten de bevoegdheid hebben om een termijn vast te stellen waarbinnen de essentiële entiteit wordt verzocht de noodzakelijke maatregelen te nemen om de tekortkomingen te verhelpen of aan de eisen van die autoriteiten te voldoen. Indien de gevraagde actie niet binnen de gestelde termijn wordt ondernomen, zorgen de lidstaten ervoor dat de bevoegde autoriteiten de bevoegdheid hebben om:
een certificering of vergunning tijdelijk op te schorten of een certificerings- of vergunningsinstantie of een rechterlijke instantie overeenkomstig het nationale recht te verzoeken deze tijdelijk op te schorten met betrekking tot alle of een deel van de relevante door de essentiële entiteit verleende diensten of verrichte activiteiten;
verzoeken dat de bevoegde organen of rechterlijke instanties overeenkomstig het nationale recht een natuurlijke persoon met leidinggevende verantwoordelijkheden op het niveau van de algemeen directeur of de wettelijke vertegenwoordiger in de essentiële entiteit tijdelijk verbieden leidinggevende functies in die entiteit uit te oefenen.
Op grond van dit lid opgelegde tijdelijke opschortingen of verboden worden slechts toegepast totdat de betrokken entiteit de noodzakelijke maatregelen neemt om de tekortkomingen te verhelpen of voldoet aan de vereisten van de bevoegde autoriteit waarvoor dergelijke handhavingsmaatregelen zijn opgelegd. Het opleggen van dergelijke tijdelijke opschortingen of verboden moet worden onderworpen aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het Unierecht en het Handvest, waaronder het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, het vermoeden van onschuld en de rechten van de verdediging.
De in dit lid bedoelde handhavingsmaatregelen zijn niet van toepassing op onder deze richtlijn vallende overheidsinstanties.
Wat overheidsinstanties betreft, doet dit lid geen afbreuk aan het nationale recht inzake de aansprakelijkheid van ambtenaren en gekozen of benoemde overheidsfunctionarissen.
Bij het nemen van de in lid 4 of 5 bedoelde handhavingsmaatregelen eerbiedigen de bevoegde autoriteiten de rechten van de verdediging en houden zij rekening met de omstandigheden van elk afzonderlijk geval, en houden zij ten minste naar behoren rekening met:
de ernst van de inbreuk en het belang van de geschonden bepalingen, waarbij onder meer het volgende in ieder geval een ernstige inbreuk vormt:
herhaalde inbreuken;
niet melden of niet verhelpen van significante incidenten;
niet verhelpen van tekortkomingen naar aanleiding van bindende aanwijzingen van de bevoegde autoriteiten;
het belemmeren van audits of monitoringsactiviteiten waartoe de bevoegde autoriteit opdracht heeft gegeven naar aanleiding van de vaststelling van een inbreuk;
het verstrekken van valse of zeer onnauwkeurige informatie met betrekking tot de in de artikelen 21 en 23 vastgelegde cyberbeveiligingsrisicobeheersmaatregelen of rapportageverplichtingen;
de duur van de inbreuk;
eventuele relevante eerdere inbreuken door de betrokken entiteit;
elke veroorzaakte materiële of immateriële schade, met inbegrip van elke financiële of economische schade, effecten op andere diensten en het aantal getroffen gebruikers;
opzet of nalatigheid van de pleger van de inbreuk;
door de entiteit genomen maatregelen om de materiële of immateriële schade te voorkomen of te beperken;
de naleving van goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen;
de mate waarin de aansprakelijk gestelde natuurlijke of rechtspersonen meewerken met de bevoegde autoriteiten.
Artikel 33
Toezichts- en handhavingsmaatregelen met betrekking tot belangrijke entiteiten
De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun toezichthoudende taken met betrekking tot belangrijke entiteiten de bevoegdheid hebben om deze entiteiten te onderwerpen aan ten minste:
inspecties ter plaatse en toezicht elders achteraf, uitgevoerd daartoe door opgeleide professionals;
door een onafhankelijke instantie of een bevoegde autoriteit uitgevoerde gerichte beveiligingsaudits;
beveiligingsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicobeoordelingscriteria, indien nodig in samenwerking met de betrokken entiteit;
verzoeken om informatie die nodig is om de door de betrokken entiteit genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s achteraf te beoordelen, met inbegrip van gedocumenteerd cyberbeveiligingsbeleid, alsmede de naleving van de verplichting op grond van artikel 27 om informatie in te dienen bij de bevoegde autoriteiten;
verzoeken om toegang tot gegevens, documenten en informatie die nodig zijn voor de uitoefening van hun toezichthoudende taken;
verzoeken om bewijs van de uitvoering van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die door een gekwalificeerde auditor zijn uitgevoerd en de respectieve onderliggende bewijzen.
De in de eerste alinea, punt b), bedoelde gerichte beveiligingsaudits zijn gebaseerd op door de bevoegde autoriteit of de gecontroleerde entiteit uitgevoerde risicobeoordelingen of op andere beschikbare risicogerelateerde informatie.
De resultaten van een gerichte beveiligingsaudit worden ter beschikking gesteld van de bevoegde autoriteit. De kosten van een dergelijke gerichte door onafhankelijke instantie uitgevoerde beveiligingsaudit, worden betaald door de gecontroleerde entiteit, behalve in naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit anders besluit.
De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van belangrijke entiteiten, ten minste de bevoegdheid hebben om:
waarschuwingen te geven over inbreuken op deze richtlijn door de betrokken entiteiten;
bindende aanwijzingen vast te stellen of een bevel uit te vaardigen waarin de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuk op deze richtlijn te verhelpen;
de betrokken entiteiten te gelasten een einde te maken aan gedragingen die inbreuk maken op deze richtlijn en af te zien van herhaling van die gedragingen;
de betrokken entiteiten te gelasten er op een gespecificeerde wijze en binnen een gespecificeerde termijn voor te zorgen dat hun maatregelen voor het beheer van cyberbeveiligingsrisico’s in overeenstemming zijn met artikel 21 of te voldoen aan de in artikel 23 vastgestelde rapportageverplichtingen;
de betrokken entiteiten te gelasten de natuurlijke of rechtspersonen ten aanzien van wie zij diensten verlenen of activiteiten uitvoeren die mogelijkerwijs door een significante cyberdreiging worden beïnvloed, in kennis te stellen van de aard van de dreiging en alle mogelijke beschermings- of herstelmaatregelen die deze natuurlijke of rechtspersonen kunnen nemen als reactie op die dreiging;
de betrokken entiteiten te gelasten de naar aanleiding van een beveiligingsaudit gedane aanbevelingen binnen een redelijke termijn uit te voeren;
de betrokken entiteiten te gelasten aspecten van inbreuken op deze richtlijn op een bepaalde manier openbaar te maken;
op grond van artikel 34 een administratieve geldboete op te leggen of de oplegging ervan door de bevoegde organen of rechterlijke instanties overeenkomstig het nationale recht te verzoeken bovenop een van de in de punten a) tot en met g) van dit lid bedoelde maatregelen.
Artikel 34
Algemene voorwaarden voor het opleggen van administratieve geldboeten aan essentiële en belangrijke entiteiten
Artikel 35
Inbreuken die een inbreuk in verband met persoonsgegevens inhouden
Artikel 36
Sancties
De lidstaten stellen regels vast voor de sancties die van toepassing zijn op inbreuken op de krachtens deze richtlijn vastgestelde nationale bepalingen en nemen alle noodzakelijke maatregelen om ervoor te zorgen dat deze worden uitgevoerd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie uiterlijk op 17 januari 2025 in kennis van deze regels en maatregelen en stellen haar onverwijld in kennis van eventuele latere wijzigingen daarvan.
Artikel 37
Wederzijdse bijstand
Wanneer een entiteit diensten verricht in meer dan één lidstaat, of indien zij diensten verricht in een of meer lidstaten en haar netwerk- en informatiesystemen zich in een of meer andere lidstaten bevinden, werken de bevoegde autoriteiten van de betrokken lidstaten met elkaar samen en verlenen ze elkaar indien nodig bijstand. Die samenwerking houdt ten minste in dat:
de bevoegde autoriteiten die in een lidstaat toezichts- of handhavingsmaatregelen toepassen, via het centrale contactpunt de bevoegde autoriteiten in de andere betrokken lidstaten informeren en raadplegen over de genomen toezichts- en handhavingsmaatregelen;
een bevoegde autoriteit een andere bevoegde autoriteit kan verzoeken toezichts- of handhavingsmaatregelen te nemen;
een bevoegde autoriteit, na ontvangst van een gemotiveerd verzoek van een andere bevoegde autoriteit, de andere bevoegde autoriteit wederzijdse bijstand verleent in verhouding tot haar eigen middelen, zodat de toezichts- of handhavingsmaatregelen op een effectieve, efficiënte en consistente wijze kunnen worden uitgevoerd.
De in punt c) van de eerste alinea bedoelde wederzijdse bijstand kan betrekking hebben op verzoeken om informatie en toezichtsmaatregelen, met inbegrip van verzoeken om inspecties ter plaatse of toezicht elders of gerichte beveiligingsaudits uit te voeren. Een bevoegde autoriteit waaraan een verzoek om bijstand is gericht, mag dat verzoek niet weigeren, tenzij wordt vastgesteld dat zij niet bevoegd is om de gevraagde bijstand te verlenen, dat de gevraagde bijstand niet in verhouding staat tot de toezichthoudende taken van de bevoegde autoriteit, of dat het verzoek betrekking heeft op informatie of activiteiten inhoudt die, indien ze openbaar zouden worden gemaakt of zouden worden uitgevoerd, in strijd zouden zijn met de wezenlijke belangen van zijn nationale veiligheid, de openbare veiligheid of de defensie van die lidstaat. Alvorens een dergelijk verzoek af te wijzen, raadpleegt de bevoegde autoriteit de andere betrokken bevoegde autoriteiten alsmede, op verzoek van een van de betrokken lidstaten, de Commissie en Enisa.
HOOFDSTUK VIII
GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN
Artikel 38
Uitoefening van de bevoegdheidsdelegatie
Artikel 39
Comitéprocedure
HOOFDSTUK IX
SLOTBEPALINGEN
Artikel 40
Evaluatie
Uiterlijk op 17 oktober 2027 en vervolgens om de 36 maanden evalueert de Commissie de werking van deze richtlijn en brengt zij daarover verslag uit aan het Europees Parlement en aan de Raad. In het verslag wordt met name de relevantie van de omvang van de betrokken entiteiten, en de sectoren, subsectoren en types van de in de bijlagen I en II bedoelde entiteiten voor het functioneren van de economie en de samenleving met betrekking tot cyberbeveiliging beoordeeld. Daartoe en teneinde de strategische en operationele samenwerking verder te bevorderen, houdt de Commissie rekening met de verslagen van de samenwerkingsgroep en het CSIRT-netwerk over de opgedane ervaring op strategisch en operationeel niveau. Het verslag gaat zo nodig vergezeld van een wetgevingsvoorstel.
Artikel 41
Omzetting
Zij passen die bepalingen toe met ingang van 18 oktober 2024.
Artikel 42
Wijziging van Verordening (EU) nr. 910/2014
In Verordening (EU) nr. 910/2014 wordt artikel 19 geschrapt met ingang van 18 oktober 2024.
Artikel 43
Wijziging van Richtlijn (EU) 2018/1972
In Richtlijn (EU) 2018/1972 worden de artikelen 40 en 41 geschrapt met ingang van 18 oktober 2024.
Artikel 44
Intrekking
Richtlijn (EU) 2016/1148 wordt ingetrokken met ingang van 18 oktober 2024.
Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar de onderhavige richtlijn en worden gelezen volgens de concordantietabel in bijlage III.
Artikel 45
Inwerkingtreding
Deze richtlijn treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Artikel 46
Adressaten
Deze richtlijn is gericht tot de lidstaten.
BIJLAGE I
ZEER KRITIEKE SECTOREN
|
Sector |
Subsector |
Soort entiteit |
|
1. Energie |
a) Elektriciteit |
— Elektriciteitsbedrijven zoals gedefinieerd in artikel 2, punt 57, van Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad (1), die de functie verrichten van “levering” zoals gedefinieerd in artikel 2, punt 12, van die richtlijn |
|
— Distributiesysteembeheerders zoals gedefinieerd in artikel 2, punt 29, van Richtlijn (EU) 2019/944 |
||
|
— Transmissiesysteembeheerders zoals gedefinieerd in artikel 2, punt 35, van Richtlijn (EU) 2019/944 |
||
|
— Producenten zoals gedefinieerd in artikel 2, punt 38, van Richtlijn (EU) 2019/944 |
||
|
— Benoemde elektriciteitsmarktbeheerders zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/943 van het Europees Parlement en de Raad (2) — Marktdeelnemers zoals gedefinieerd in artikel 2, punt 25, van Verordening (EU) 2019/943 die aggregatie verrichten of vraagrespons- of energieopslagdiensten verstrekken zoals gedefinieerd in artikel 2, punten 18, 20 en 59, van Richtlijn (EU) 2019/944 — Exploitanten van een laadpunt die verantwoordelijk zijn voor het beheer en de exploitatie van een laadpunt dat een laaddienst levert aan eindgebruikers, onder meer namens en voor rekening van een aanbieder van mobiliteitsdiensten |
||
|
b) Stadsverwarming en -koeling |
— Exploitanten van stadsverwarming of stadskoeling zoals gedefinieerd in artikel 2, punt 19, van Richtlijn (EU) 2018/2001van het Europees Parlement en de Raad (3) |
|
|
c) Aardolie |
— Exploitanten van oliepijpleidingen |
|
|
— Exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie, opslag en transport |
||
|
— Centrale entiteiten voor de voorraadvorming zoals gedefinieerd in artikel 2, punt f), van Richtlijn 2009/119/EG van de Raad (4) |
||
|
d) Aardgas |
— Leveringsbedrijven zoals gedefinieerd in artikel 2, punt 8, van Richtlijn 2009/73/EG van het Europees Parlement en de Raad (5) |
|
|
— Distributiesysteembeheerders zoals gedefinieerd in artikel 2, punt 6, van Richtlijn 2009/73/EG |
||
|
— Transmissiesysteembeheerders zoals gedefinieerd in artikel 2, punt 4, van Richtlijn 2009/73/EG |
||
|
— Opslagsysteembeheerders zoals gedefinieerd in artikel 2, punt 10, van Richtlijn 2009/73/EG |
||
|
— LNG-systeembeheerders zoals gedefinieerd in artikel 2, punt 12, van Richtlijn 2009/73/EG |
||
|
— Aardgasbedrijven zoals gedefinieerd in artikel 2, punt 1, van Richtlijn 2009/73/EG |
||
|
— Exploitanten van voorzieningen voor de raffinage en behandeling van aardgas |
||
|
e) Waterstof |
— Exploitanten van voorzieningen voor de productie, opslag en transmissie van waterstof |
|
|
2. Vervoer |
a) Lucht |
— Luchtvaartmaatschappijen zoals gedefinieerd in artikel 3, punt 4, Verordening (EG) nr. 300/2008 die voor commerciële doeleinden worden gebruikt |
|
— Luchthavenbeheerders zoals gedefinieerd in artikel 2, punt 2, van Richtlijn 2009/12/EG van het Europees Parlement en de Raad (6), luchthavens als bedoeld in artikel 2, punt 1, van die richtlijn, met inbegrip van de kernluchthavens die in bijlage II, afdeling 2, bij Verordening (EU) 1315/2013 van het Europees Parlement en de Raad (7) zijn opgenomen, alsook de entiteiten die bijbehorende installaties bedienen welke zich op luchthavens bevinden |
||
|
— Exploitanten op het gebied van verkeersbeheer en -controle die luchtverkeersleidingsdiensten zoals gedefinieerd in artikel 2, punt 1, van Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad (8) aanbieden |
||
|
b) Spoor |
— Infrastructuurbeheerders zoals gedefinieerd in artikel 3, punt 2, van Richtlijn 2012/34/EU van het Europees Parlement en de Raad (9) |
|
|
— Spoorwegondernemingen zoals gedefinieerd in artikel 3, punt 1, van Richtlijn 2012/34/EU, inclusief exploitanten van dienstvoorzieningen zoals gedefinieerd in artikel 3, punt 12, van die richtlijn |
||
|
c) Water |
— Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht, die in bijlage I bij Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad (10) als bedrijven in maritiem vervoer worden gedefinieerd, met uitzondering van de door deze bedrijven geëxploiteerde individuele vaartuigen |
|
|
— Beheerders van havens zoals gedefinieerd in artikel 3, punt 1, van Richtlijn 2005/65/EG van het Europees Parlement en de Raad (11), inclusief hun havenfaciliteiten zoals gedefinieerd in artikel 2, punt 11, van Verordening (EG) nr. 725/2004; alsook entiteiten die werken en uitrusting in havens beheren |
||
|
— Exploitanten van verkeersbegeleidingssystemen (VBS) zoals gedefinieerd in artikel 3, punt o), van Richtlijn 2002/59/EG van het Europees Parlement en de Raad (12) |
||
|
d) Weg |
— Wegenautoriteiten zoals gedefinieerd in artikel 2, punt 12, van gedelegeerde Verordening (EU) 2015/962 van de Commissie (13) die verantwoordelijk zijn voor het verkeersbeheer, met uitzondering van overheidsinstanties waarvoor verkeersbeheer of de exploitatie van intelligente vervoerssystemen slechts een niet-essentieel onderdeel van hun algemene activiteit is |
|
|
— Exploitanten van intelligente vervoerssystemen zoals gedefinieerd in artikel 4, punt 1, van Richtlijn 2010/40/EU van het Europees Parlement en de Raad (14) |
||
|
3. Bankwezen |
|
Kredietinstellingen zoals gedefinieerd in artikel 4, punt 1, Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad (15) |
|
4. Infrastructuur voor de financiële markt |
|
— Exploitanten van handelsplatformen zoals gedefinieerd in artikel 4, punt 24, van Richtlijn 2014/65/EU van het Europees Parlement en de Raad (16) |
|
— Centrale tegenpartijen zoals gedefinieerd in artikel 2, punt 1, Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad (17) |
||
|
5. Gezondheidszorg |
|
— Zorgaanbieders zoals gedefinieerd in artikel 3, punt g), van Richtlijn 2011/24/EU van het Europees Parlement en de Raad (18) |
|
— EU-referentielaboratoria als bedoeld in artikel 15 van Verordening (EU) 2022/2371 van het Europees Parlement en de Raad inzake ernstige grensoverschrijdende bedreigingen van de gezondheid (19) |
||
|
— Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen zoals gedefinieerd in artikel 1, punt 2, van Richtlijn 2001/83/EG van het Europees Parlement en de Raad (20) — Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen als bedoeld in sectie C, afdeling 21, van NACE Rev. 2 vervaardigen — Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd (“de lijst van in een noodsituatie op het gebied van de volksgezondheid kritieke hulpmiddelen”) in de zin van artikel 22 van Verordening (EU) 2022/123 van het Europees Parlement en de Raad (21) |
||
|
6. Drinkwater |
|
Leveranciers en distributeurs van voor menselijke consumptie bestemd water zoals gedefinieerd in artikel 2, punt 1, a), van Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad (22), met uitzondering van distributeurs waarvoor de distributie van water voor menselijke consumptie een niet-essentieel deel is van hun algemene activiteit van distributie van andere waren en goederen die niet worden beschouwd als essentiële of belangrijke diensten |
|
7. Afvalwater |
|
Ondernemingen die stedelijk afvalwater, huishoudelijk afvalwater of industrieel afvalwater zoals gedefinieerd in artikel 2, punten 1, 2 en 3, van Richtlijn 91/271/EEG van de Raad (23) opvangen, lozen of behandelen, met uitzondering van ondernemingen waarvoor het opvangen, lozen of behandelen van stedelijk afvalwater, huishoudelijk afvalwater of industrieel afvalwater een niet-essentieel onderdeel van hun algemene activiteit is |
|
8. Digitale infrastructuur |
|
— Aanbieders van internetknooppunten |
|
— DNS-dienstverleners, met uitzondering van exploitanten van root-naamservers |
||
|
— Register voor topleveldomeinnamen |
||
|
— Aanbieders van cloudcomputingdiensten |
||
|
— Aanbieders van datacenterdiensten |
||
|
— Aanbieders van netwerken voor de levering van inhoud |
||
|
— Verleners van vertrouwensdiensten |
||
|
— Aanbieders van openbare elektronischecommunicatienetwerken |
||
|
— Aanbieders van openbare elektronischecommunicatiediensten |
||
|
9. Beheer van ICT-diensten (business-to-business) |
|
— Aanbieders van beheerde diensten — Aanbieders van beheerde beveiligingsdiensten |
|
10. Overheid |
|
— Overheidsinstanties van centrale overheden zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht |
|
— Overheidsinstanties op regionaal niveau zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht |
||
|
11. Ruimtevaart |
|
Exploitanten van grondfaciliteiten die in het bezit zijn van of beheerd of geëxploiteerd worden door de lidstaten of door particuliere partijen en die de verlening van vanuit de ruimte opererende diensten ondersteunen, met uitzondering van aanbieders van openbare elektronischecommunicatienetwerken |
|
(1)
Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (PB L 158 van 14.6.2019, blz. 125).
(2)
Verordening (EU) 2019/943 van het Europees Parlement en de Raad van 5 juni 2019 betreffende de interne markt voor elektriciteit (PB L 158 van 14.6.2019, blz. 54).
(3)
Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen (PB L 328 van 21.12.2018, blz. 82).
(4)
Richtlijn 2009/119/EG van de Raad van 14 september 2009 houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden (PB L 265 van 9.10.2009, blz. 9).
(5)
Richtlijn 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG (PB L 211 van 14.8.2009, blz. 94).
(6)
Richtlijn 2009/12/EG van het Europees Parlement en de Raad van 11 maart 2009 inzake luchthavengelden (PB L 70 van 14.3.2009, blz. 11).
(7)
Verordening (EU) nr. 1315/2013 van het Europees Parlement en de Raad van 11 december 2013 betreffende richtsnoeren van de Unie voor de ontwikkeling van het trans-Europees vervoersnetwerk en tot intrekking van Besluit nr. 661/2010/EU (PB L 348 van 20.12.2013, blz. 1).
(8)
Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot vaststelling van het kader voor de totstandbrenging van het gemeenschappelijke Europese luchtruim (de kaderverordening) (PB L 96 van 31.3.2004, blz. 1).
(9)
Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte, (PB L 343 van 14.12.2012, blz. 32).
(10)
Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten (PB L 129 van 29.4.2004, blz. 6).
(11)
Richtlijn 2005/65/EG van het Europees Parlement en de Raad van 26 oktober 2005 betreffende het verhogen van de veiligheid van havens (PB L 310 van 25.11.2005, blz. 28).
(12)
Richtlijn 2002/59/EG van het Europees Parlement en de Raad van 27 juni 2002 betreffende de invoering van een communautair monitoring en informatiesysteem voor de zeescheepvaart en tot intrekking van Richtlijn 93/75/EEG van de Raad (PB L 208 van 5.8.2002, blz. 10).
(13)
Gedelegeerde verordening (EU) 2015/962 van de Commissie van 18 december 2014 ter aanvulling van Richtlijn 2010/40/EU van het Europees Parlement en de Raad wat de verlening van EU-wijde realtimeverkeersinformatiediensten betreft (PB L 157 van 23.6.2015, blz. 21).
(14)
Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen (PB L 207 van 6.8.2010, blz. 1).
(15)
Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en tot wijziging van Verordening (EU) nr. 648/2012, PB L 176 van 27.6.2013, blz. 1.
(16)
Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PB L 173 van 12.6.2014, blz. 349).
(17)
Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PB L 201 van 27.7.2012, blz. 1).
(18)
Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).
(19)
Verordening (EU) 2022/2371 van het Europees Parlement en de Raad van 23 november 2022 inzake ernstige grensoverschrijdende bedreigingen van de gezondheid en houdende intrekking van Besluit nr. 1082/2013/EU (PB L 314 van 6.12.2022, blz. 26).
(20)
Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik (PB L 311 van 28.11.2001, blz. 67).
(21)
Verordening (EU) 2022/123 van het Europees Parlement en de Raad van 25 januari 2022 betreffende een grotere rol van het Europees Geneesmiddelenbureau inzake crisisparaatheid en -beheersing op het gebied van geneesmiddelen en medische hulpmiddelen (PB L 20 van 31.1.2022, blz. 1).
(22)
Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (PB L 435 van 23.12.2020, blz. 1).
(23)
Richtlijn 91/271/EEG van de Raad van 21 mei 1991 inzake de behandeling van stedelijk afvalwater (PB L 135 van 30.5.1991, blz. 40). |
||
BIJLAGE II
ANDERE KRITIEKE SECTOREN
|
Sector |
Subsector |
Soort entiteit |
|
1. Post- en koeriersdiensten |
|
Aanbieders van postdiensten zoals gedefinieerd in artikel 2, punt 1 bis, van Richtlijn 97/67/EG, met inbegrip van aanbieders van koeriersdiensten |
|
2. Afvalstoffenbeheer |
|
Ondernemingen die handelingen in het kader van afvalstoffenbeheer uitvoeren zoals gedefinieerd in artikel 3, punt 9, van Richtlijn 2008/98/EG van het Europees Parlement en de Raad (1), met uitzondering van ondernemingen waarvoor afvalstoffenbeheer niet de voornaamste economische activiteit is |
|
3. Vervaardiging, productie en distributie van chemische stoffen |
|
Ondernemingen die stoffen vervaardigen en stoffen of mengsels distribueren als bedoeld in artikel 3, punten 9 en 14, van Verordening (EG) nr. 1907/2006 van het Europees Parlement en de Raad (2) en ondernemingen die voorwerpen zoals gedefinieerd in artikel 3, punt 3, van die verordening produceren uit stoffen of mengsels |
|
4. Productie, verwerking en distributie van levensmiddelen |
|
Levensmiddelenbedrijven zoals gedefinieerd in artikel 3, punt 2, Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad (3) die zich bezighouden met groothandel en industriële productie en verwerking |
|
5. Vervaardiging |
a) Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek |
Entiteiten die medische hulpmiddelen zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2017/745 van het Europees Parlement en de Raad (4) vervaardigen en entiteiten die medische hulpmiddelen voor in-vitrodiagnostiek zoals gedefinieerd in artikel 2, punt 2, van Verordening (EU) 2017/746 van het Europees Parlement en de Raad (5) vervaardigen, met uitzondering van entiteiten die medische hulpmiddelen vervaardigen als bedoeld in bijlage I, punt 5, vijfde streepje, van deze richtlijn |
|
b) Vervaardiging van informaticaproducten en van elektronische en optische producten |
Ondernemingen die economische activiteiten uitvoeren als bedoeld in sectie C, afdeling 26, van NACE Rev. 2 |
|
|
c) Vervaardiging van elektrische apparatuur |
Ondernemingen die economische activiteiten uitvoeren als bedoeld in sectie C, afdeling 27, van NACE Rev. 2 |
|
|
d) Vervaardiging van machines, apparaten en werktuigen, n.e.g. |
Ondernemingen die economische activiteiten uitvoeren als bedoeld in sectie C, afdeling 28, van NACE Rev. 2 |
|
|
e) Vervaardiging van motorvoertuigen, aanhangers en opleggers |
Ondernemingen die economische activiteiten uitvoeren als bedoeld in sectie C, afdeling 29, van NACE Rev. 2 |
|
|
f) Vervaardiging van andere transportmiddelen |
Ondernemingen die economische activiteiten uitvoeren als bedoeld in sectie C, afdeling 30, van NACE Rev. 2 |
|
|
6. Digitale aanbieders |
|
— Aanbieders van onlinemarktplaatsen |
|
— Aanbieders van onlinezoekmachines |
||
|
— Aanbieders van platforms voor socialenetwerkdiensten |
||
|
7. Onderzoek |
|
Onderzoeksorganisaties |
|
(1)
Richtlijn 2008/98/EG van het Europees Parlement en de Raad van 19 november 2008 betreffende afvalstoffen en tot intrekking van een aantal richtlijnen (PB L 312 van 22.11.2008, blz. 3).
(2)
Verordening (EG) nr. 1907/2006 van het Europees Parlement en de Raad van 18 december 2006 inzake de registratie en beoordeling van en de autorisatie en beperkingen ten aanzien van chemische stoffen (REACH), tot oprichting van een Europees Agentschap voor chemische stoffen, houdende wijziging van Richtlijn 1999/45/EG en houdende intrekking van Verordening (EEG) nr. 793/93 van de Raad en Verordening (EG) nr. 1488/94 van de Commissie alsmede Richtlijn 76/769/EEG van de Raad en de Richtlijnen 91/155/EEG, 93/67/EEG, 93/105/EG en 2000/21/EG van de Commissie (PB L 396 van 30.12.2006, blz. 1).
(3)
Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden (PB L 31 van 1.2.2002, blz. 1).
(4)
Verordening (EU) 2017/745 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen, tot wijziging van Richtlijn 2001/83/EG, Verordening (EG) nr. 178/2002 en Verordening (EG) nr. 1223/2009, en tot intrekking van Richtlijnen 90/385/EEG en 93/42/EEG van de Raad (PB L 117 van 5.5.2017, blz. 1).
(5)
Verordening (EU) 2017/746 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen voor in-vitrodiagnostiek en tot intrekking van Richtlijn 98/79/EG en Besluit 2010/227/EU van de Commissie (PB L 117 van 5.5.2017, blz. 176). |
||
BIJLAGE III
CONCORDANTIETABEL
|
Richtlijn (EU) 2016/1148 |
Deze richtlijn |
|
Artikel 1, lid 1 |
Artikel 1, lid 1 |
|
Artikel 1, lid 2 |
Artikel 1, lid 2 |
|
Artikel 1, lid 3 |
— |
|
Artikel 1, lid 4 |
Artikel 2, lid 12 |
|
Artikel 1, lid 5 |
Artikel 2, lid 13 |
|
Artikel 1, lid 6 |
Artikel 2, leden 6 en 11 |
|
Artikel 1, lid 7 |
Artikel 4 |
|
Artikel 2 |
Artikel 2, lid 14 |
|
Artikel 3 |
Artikel 5 |
|
Artikel 4 |
Artikel 6 |
|
Artikel 5 |
— |
|
Artikel 6 |
— |
|
Artikel 7, lid 1 |
Artikel 7, leden 1 en 2 |
|
Artikel 7, lid 2 |
Artikel 7, lid 4 |
|
Artikel 7, lid 3 |
Artikel 7, lid 3 |
|
Artikel 8, leden 1 tot en met 5 |
Artikel 8, leden 1 tot en met 5 |
|
Artikel 8, lid 6 |
Artikel 13, lid 4 |
|
Artikel 8, lid 7 |
Artikel 8, lid 6 |
|
Artikel 9, leden 1, 2 en 3 |
Artikel 10, leden 1, 2 en 3 |
|
Artikel 9, lid 4 |
Artikel 10, lid 9 |
|
Artikel 9, lid 5 |
Artikel 10, lid 10 |
|
Artikel 10, lid 1, lid 2 en lid 3, eerste alinea |
Artikel 13, leden 1, 2 en 3 |
|
Artikel 10, lid 3, tweede alinea |
Artikel 23, lid 9 |
|
Artikel 11, lid 1 |
Artikel 14, leden 1 en 2 |
|
Artikel 11, lid 2 |
Artikel 14, lid 3 |
|
Artikel 11, lid 3 |
Artikel 14, lid 4, eerste alinea, punten a) tot en met q) en s), en lid 7 |
|
Artikel 11, lid 4 |
Artikel 14, lid 4, eerste alinea, punt r), en tweede alinea |
|
Artikel 11, lid 5 |
Artikel 14, lid 8 |
|
Artikel 12, leden 1 tot en met 5 |
Artikel 15, leden 1 tot en met 5 |
|
Artikel 13 |
Artikel 17 |
|
Artikel 14, leden 1 en 2 |
Artikel 21, leden 1 tot en met 4 |
|
Artikel 14, lid 3 |
Artikel 23, lid 1 |
|
Artikel 14, lid 4 |
Artikel 23, lid 3 |
|
Artikel 14, lid 5 |
Artikel 23, leden 5, 6 en 8 |
|
Artikel 14, lid 6 |
Artikel 23, lid 7 |
|
Artikel 14, lid 7 |
Artikel 23, lid 11 |
|
Artikel 15, lid 1 |
Artikel 31, lid 1 |
|
Artikel 15, lid 2, eerste alinea, punt a) |
Artikel 32, lid 2, punt e) |
|
Artikel 15, lid 2, eerste alinea, punt b) |
Artikel 32, lid 2, punt g) |
|
Artikel 15, lid 2, tweede alinea |
Artikel 32, lid 3 |
|
Artikel 15, lid 3 |
Artikel 32, lid 4, punt b) |
|
Artikel 15, lid 4 |
Artikel 31, lid 3 |
|
Artikel 16, leden 1 en 2 |
Artikel 21, leden 1 tot en met 4 |
|
Artikel 16, lid 3 |
Artikel 23, lid 1 |
|
Artikel 16, lid 4 |
Artikel 23, lid 3 |
|
Artikel 16, lid 5 |
— |
|
Artikel 16, lid 6 |
Artikel 23, lid 6 |
|
Artikel 16, lid 7 |
Artikel 23, lid 7 |
|
Artikel 16, leden 8 en 9 |
Artikel 21, lid 5, en artikel 23, lid 11 |
|
Artikel 16, lid 10 |
— |
|
Artikel 16, lid 11 |
Artikel 2, leden 1, 2 en 3 |
|
Artikel 17, lid 1 |
Artikel 33, lid 1 |
|
Artikel 17, lid 2, punt a) |
Artikel 32, lid 2, punt e) |
|
Artikel 17, lid 2, punt b) |
Artikel 32, lid 4, punt b) |
|
Artikel 17, lid 3 |
Artikel 37, lid 1, punten a) en b) |
|
Artikel 18, lid 1 |
Artikel 26, lid 1, punt b), en lid 2 |
|
Artikel 18, lid 2 |
Artikel 26, lid 3 |
|
Artikel 18, lid 3 |
Artikel 26, lid 4 |
|
Artikel 19 |
Artikel 25 |
|
Artikel 20 |
Artikel 30 |
|
Artikel 21 |
Artikel 36 |
|
Artikel 22 |
Artikel 39 |
|
Artikel 23 |
Artikel 40 |
|
Artikel 24 |
— |
|
Artikel 25 |
Artikel 41 |
|
Artikel 26 |
Artikel 45 |
|
Artikel 27 |
Artikel 46 |
|
Bijlage I, punt 1 |
Artikel 11, lid 1 |
|
Bijlage I, punt 2, punt a), i)-iv) |
Artikel 11, lid 2, punten a) tot en met d) |
|
Bijlage I, punt 2, punt a), v) |
Artikel 11, lid 2, punt f) |
|
Bijlage I, punt 2, punt b) |
Artikel 11, lid 4 |
|
Bijlage I, punt 2, punt c), i)-ii) |
Artikel 11, lid 5, punt a) |
|
Bijlage II |
Bijlage I |
|
Bijlage III, punten 1 en 2 |
Bijlage II, punt 6 |
|
Bijlage III, punt 3 |
Bijlage I, punt 8 |
( 1 ) Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad (PB L 335 van 17.12.2011, blz. 1).
( 2 ) Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PB L 218 van 14.8.2013, blz. 8).
( 3 ) Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).
( 4 ) Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).
( 5 ) Richtlijn 2005/29/EG van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van Richtlijn 84/450/EEG van de Raad, Richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van Verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad (“Richtlijn oneerlijke handelspraktijken”) (PB L 149 van 11.6.2005, blz. 22).
( 6 ) Verordening (EU) 2019/1150 van het Europees Parlement en de Raad van 20 juni 2019 ter bevordering van billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten (PB L 186 van 11.7.2019, blz. 57).
