Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

De weerbaarheid van kritieke entiteiten vergroten

 

SAMENVATTING VAN:

Richtlijn 2022/2557 betreffende de weerbaarheid van kritieke entiteiten

WAT IS HET DOEL VAN DE RICHTLIJN?

De richtlijn heeft ten doel om:

  • kwetsbaarheden te beperken en de fysieke weerbaarheid* te versterken van kritieke entiteiten in de Europese Unie (EU) teneinde de onbelemmerde verlening van diensten die essentieel zijn voor de economie en de samenleving als geheel te waarborgen;
  • de weerbaarheid te vergroten van de kritieke entiteiten die deze diensten verlenen.

KERNPUNTEN

De EU-lidstaten moeten, na een risicobeoordeling, kritieke entiteiten identificeren die diensten verlenen die essentieel zijn voor het behoud van functies die onmisbaar zijn voor de samenleving, de economie, volksgezondheid en veiligheid of het milieu, en waar een incident aanzienlijke verstorende effecten op deze essentiële diensten zou hebben. Dit heeft betrekking op entiteiten in de volgende sectoren:

  • energie, waaronder exploitanten van elektriciteit, stadsverwarming, olie, gas en waterstof;
  • vervoer per lucht, spoor, over water en over de weg, waaronder openbaar vervoer;
  • bankwezen, welke ook onder Verordening (EU) valt 2022/2554 (de verordening inzake digitale operationele veerkracht — zie de samenvatting);
  • infrastructuur voor de financiële markt, waaronder handelsplatforms, ook onderhevig aan de verordening inzake digitale operationele veerkracht;
  • volksgezondheid, waaronder zorgaanbieders, entiteiten die farmaceutische basisproducten vervaardigen en entiteiten die kritieke medische hulpmiddelen vervaardigen, en onderzoek naar en ontwikkeling van medicijnen;
  • drinkwater, leveranciers en distributeurs;
  • lozing en behandeling van afvalwater;
  • digitale infrastructuur, waaronder elektronischecommunicatienetwerken en datacenters, die ook onder Richtlijn (EU) 2022/2555 vallen (zie de samenvatting);
  • overheidsinstanties van centrale overheden, met uitzondering van openbare veiligheid, defensie en handhaving;
  • ruimtevaart, exploitanten van grondfaciliteiten; en
  • levensmiddelenbedrijven die zich uitsluitend bezighouden met logistiek en groothandel, en met grootschalige industriële productie en verwerking.

Let wel dat bepaalde delen van de richtlijn niet van toepassing zijn op entiteiten in de sectoren bankdiensten, infrastructuur voor de financiële markt en digitale infrastructuur.

Elke lidstaat moet:

  • een nationale strategie aannemen en regelmatig risicobeoordelingen uitvoeren;
  • rekening houdend met de uitkomst van de risicobeoordelingen, de entiteiten identificeren die afhankelijk zijn van kritieke infrastructuur om essentiële diensten te verlenen aan de samenleving, de economie, volksgezondheid en veiligheid of het milieu;
  • de geïdentificeerde kritieke entiteiten ondersteunen bij het vergroten van hun weerbaarheid met bijvoorbeeld richtsnoeren, oefeningen, advies en training;
  • zorgen dat de nationale autoriteiten de bevoegdheden, bronnen en middelen hebben om hun toezichthoudende taken uit te voeren, met inbegrip van het uitvoeren van inspecties op locatie bij kritieke entiteiten en het opleggen van sancties voor het niet naleven van de regels als onderdeel van een handhavingsmechanisme;
  • de voorwaarden aangeven waaronder een kritieke entiteit verzoeken kan indienen voor antecedentenonderzoek van personeel met gevoelige rollen.

Lidstaten moeten uiterlijk op 17 juli 2026 de kritieke entiteiten aanwijzen voor de sectoren en deelsectoren die zijn opgenomen in de bijlage bij de richtlijn.

Kritieke entiteiten moeten:

  • eigen risicobeoordelingen uitvoeren om risico’s te identificeren die hun vermogen om essentiële diensten te bieden kunnen verstoren;
  • technische, beveiligings-, en organisatorische maatregelen nemen om hun weerbaarheid te vergroten;
  • aanzienlijke verstorende incidenten rapporteren aan de nationale autoriteiten.

Indien kritieke entiteiten essentiële diensten verlenen in of voor zes of meer lidstaten, kunnen zij gebruikmaken van aanvullend advies in de vorm van adviesmissies die de risicobeoordeling en de maatregelen die de entiteit heeft getroffen voor het vergroten van de weerbaarheid evalueren.

Gedelegeerde handeling

De Europese Commissie heeft Gedelegeerde Verordening (EU) 2023/2450 aangenomen tot vaststelling van een niet-uitputtende lijst van essentiële diensten in de bovenstaande sectoren en deelsectoren. De bevoegde autoriteiten van de lidstaten moeten deze lijst gebruiken voor het uitvoeren van een risicobeoordeling. Deze risicobeoordeling wordt daarna gebruikt voor het identificeren van kritieke entiteiten.

De Groep voor de weerbaarheid van kritieke entiteiten bevordert de samenwerking tussen lidstaten, waaronder het uitwisselen van informatie en goede praktijken.

De Commissie biedt ondersteuning, met inbegrip van intersectorale risico’s, goede praktijken, methodologieën, grensoverschrijdende training en oefeningen om de weerbaarheid van kritieke entiteiten te testen.

VANAF WANNEER TREDEN DE REGELS IN WERKING?

De richtlijn moet uiterlijk op 17 oktober 2024 in nationaal recht zijn omgezet. Deze regels moeten vanaf 18 oktober 2024 van toepassing zijn.

ACHTERGROND

In de EU-strategie voor de veiligheidsunie van de Commissie en de terrorismebestrijdingsagenda van de EU wordt het belang benadrukt van het waarborgen van de weerbaarheid van kritieke entiteiten ten aanzien van fysieke en digitale risico’s.

Deze richtlijn maakt deel uit van een pakket wetgevende maatregelen om de weerbaarheid en het vermogen om te reageren op incidenten van publieke en particuliere entiteiten in de EU op het gebied van cyberbeveiliging en bescherming van kritieke infrastructuur te verbeteren.

De Raad heeft in januari 2023 ook een aanbeveling gedaan over een EU-brede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken.

Zie voor meer informatie:

KERNBEGRIPPEN

Weerbaarheid. Het vermogen om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident dat onder andere kan worden veroorzaakt door natuurrampen, zoals volksgezondheidcrises, of door de mens veroorzaakte dreigingen, zoals terrorisme, sabotage of hybride bedreigingen. Hybride bedreigingen doen zich voor wanneer actoren, van de overheid of niet van de overheid, de kwetsbaarheden van kritieke infrastructuur willen exploiteren door op gecoördineerde wijze een combinatie van maatregelen te gebruiken (bijv. diplomatiek, militair, economisch, technologisch) waarbij ze onder de drempel van officiële oorlogvoering blijven, bijvoorbeeld massadesinformatiecampagnes die het democratische proces bij verkiezingen belemmeren.

BELANGRIJKSTE DOCUMENT

Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PB L 333 van 27.12.2022, blz. 164-198).

GERELATEERDE DOCUMENTEN

Gedelegeerde Verordening (EU) 2023/2450 van de Commissie van 25 juli 2023 tot aanvulling van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad door de vaststelling van een lijst van essentiële diensten (PB L 2023/2450 van 30.10.2023).

Aanbeveling van de Raad van 8 december 2022 betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken (PB C 20 van 20.1.2023, blz. 1-11).

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1-79).

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80-152).

Mededeling van de Commissie aan het Europees Parlement, de Europese Raad, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — Een terrorismebestrijdingsagenda voor de EU: anticiperen, voorkomen, beschermen en reageren (COM(2020) 795 final van 9.12.2020).

Mededeling van de Commissie aan het Europees Parlement, de Europese Raad, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s betreffende de EU-strategie voor de veiligheidsunie (COM(2020) 605 final van 24.7.2020).

Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (herschikking) (PB L 158 van 14.6.2019, blz. 125-199).

Achtereenvolgende wijzigingen in Richtlijn (EU) 2019/944 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

Verordening (EU) 2019/943 van het Europees Parlement en de Raad van 5 juni 2019 betreffende de interne markt voor elektriciteit (herschikking) (PB L 158 van 14.6.2019, blz. 54-124).

Zie de geconsolideerde versie.

Verordening (EU) 2019/941 van het Europees Parlement en de Raad van 5 juni 2019 betreffende risicoparaatheid in de elektriciteitssector en tot intrekking van Richtlijn 2005/89/EG (PB L 158 van 14.6.2019, blz. 1-21).

Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen (herschikking) (PB L 328 van 21.12.2018, blz. 82-209).

Zie de geconsolideerde versie.

Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6-21).

Verordening (EU) 2017/1938 van het Europees Parlement en de Raad van 25 oktober 2017 betreffende maatregelen tot veiligstelling van de gasleveringszekerheid en houdende intrekking van Verordening (EU) nr. 994/2010 (PB L 280 van 28.10.2017, blz. 1-56).

Zie de geconsolideerde versie.

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1-88).

Zie de geconsolideerde versie.

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89-131).

Zie de geconsolideerde versie.

Richtlijn 2012/18/EU van het Europees Parlement en de Raad van 4 juli 2012 betreffende de beheersing van de gevaren van zware ongevallen waarbij gevaarlijke stoffen zijn betrokken, houdende wijziging en vervolgens intrekking van Richtlijn 96/82/EG van de Raad (PB L 197 van 24.7.2012, blz. 1-37).

Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12-33).

Zie de geconsolideerde versie.

Richtlijn 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG (PB L 211 van 14.8.2009, blz. 94-136).

Zie de geconsolideerde versie.

Richtlijn 2007/60/EG van het Europees Parlement en de Raad van 23 oktober 2007 over beoordeling en beheer van overstromingsrisico’s (PB L 288 van 6.11.2007, blz. 27-34).

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37-47).

Zie de geconsolideerde versie.

Laatste bijwerking 19.02.2024

Top