Dit document is overgenomen van EUR-Lex
Document 32022L2557
Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (Text with EEA relevance)
Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (Voor de EER relevante tekst)
Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (Voor de EER relevante tekst)
PE/51/2022/REV/1
PB L 333 van 27.12.2022, blz. 164–198
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Van kracht
27.12.2022 |
NL |
Publicatieblad van de Europese Unie |
L 333/164 |
RICHTLIJN (EU) 2022/2557 VAN HET EUROPEES PARLEMENT EN DE RAAD
van 14 december 2022
betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad
(Voor de EER relevante tekst)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité (1),
Gezien het advies van het Comité van de Regio's (2),
Handelend volgens de gewone wetgevingsprocedure (3),
Overwegende hetgeen volgt:
(1) |
In de onderling steeds afhankelijker wordende economie van de Unie spelen kritieke entiteiten, als aanbieders van essentiële diensten, een onontbeerlijke rol bij het behoud van vitale maatschappelijke functies of economische activiteiten op de interne markt. Het is daarom essentieel een Uniekader vast te stellen met het doel om kritieke entiteiten op de interne markt enerzijds weerbaarder te maken door geharmoniseerde minimumvoorschriften vast te stellen en anderzijds te helpen door middel van coherente en gerichte ondersteunende en toezichtmaatregelen. |
(2) |
Richtlijn 2008/114/EG van de Raad (4) voorziet in een procedure voor het aanwijzen van Europese kritieke infrastructuren in de sectoren energie en vervoer, waarvan de ontwrichting of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten. Die richtlijn is uitsluitend gericht op de bescherming van dergelijke infrastructuren. De in 2019 verrichte evaluatie van Richtlijn 2008/114/EG wees echter uit dat door de steeds sterkere verwevenheid en grensoverschrijdende aard van activiteiten waarbij gebruik wordt gemaakt van de kritieke infrastructuur, beschermende maatregelen met betrekking tot louter individuele activa niet volstaan om alle verstoringen te voorkomen. Die aanpak moet dan ook worden verruild voor een aanpak waarin meer oog is voor de risico's, waarin de rol en plichten van kritieke entiteiten die diensten aanbieden die essentieel zijn voor de werking van de interne markt, beter worden omschreven en samenhangend zijn en waarin Unieregels worden vastgesteld om de weerbaarheid van kritieke entiteiten te vergroten. Kritieke entiteiten moeten derhalve beter in staat zijn om incidenten die de verlening van essentiële diensten kunnen verstoren, te voorkomen, te bestrijden, te beperken, te beheersen, en om bescherming te bieden of bestand te zijn tegen, of zich aan te passen aan die incidenten of daarvan te herstellen. |
(3) |
Hoewel er momenteel een aantal maatregelen van kracht zijn die tot doel hebben de bescherming van kritieke infrastructuur in de Unie te ondersteunen, op zowel het nationaal niveau als op het niveau van de Unie, zoals het Europees programma voor de bescherming van kritieke infrastructuur, zou er meer moeten worden gedaan om de entiteiten die een dergelijke infrastructuur exploiteren beter toe te rusten om het hoofd te bieden aan de risico's die de verlening van essentiële diensten zouden kunnen verstoren. Ook moet meer worden gedaan om die entiteiten beter toe te rusten omdat er sprake is van een dynamisch dreigingslandschap, met onder andere veranderende hybride en terroristische dreigingen en toenemende onderlinge afhankelijkheid tussen infrastructuur en sectoren. Bovendien is er een toenemend fysiek risico wegens natuurrampen en klimaatverandering, waardoor zich vaker en op grotere schaal extreme weersomstandigheden zullen voordoen en de gemiddelde klimaatcondities langetermijnveranderingen ondergaan die, als er geen maatregelen voor aanpassing aan de klimaatverandering worden getroffen, afbreuk kunnen doen aan de capaciteit, efficiëntie en levensduur van bepaalde soorten infrastructuur. Bovendien wordt de interne markt gekenmerkt door versnippering wat betreft de identificatie van kritieke entiteiten, en worden de betreffende sectoren en categorieën entiteiten dus niet altijd in alle lidstaten als kritiek erkend. Met deze richtlijn moet ten aanzien van de sectoren en categorieën entiteiten die onder het toepassingsgebied ervan vallen derhalve een solide niveau van harmonisatie worden bereikt. |
(4) |
Hoewel bepaalde economische sectoren, zoals de energie- en vervoersectoren, reeds zijn gereguleerd door middel van sectorspecifieke rechtshandelingen van de Unie, bevatten die rechtshandelingen bepalingen die slechts verband houden met een aantal aspecten van de weerbaarheid van entiteiten die in die sectoren actief zijn. Om op een brede manier de weerbaarheid te bevorderen van entiteiten die van kritiek belang zijn voor een goede werking van de interne markt, creëert deze richtlijn een overkoepelend kader betreffende de weerbaarheid van kritieke entiteiten ten aanzien van alle gevaren, d.w.z. zowel natuurrampen als rampen die, accidenteel of opzettelijk, door de mens worden veroorzaakt. |
(5) |
De toenemende onderlinge afhankelijkheid tussen infrastructuren en sectoren komt doordat er een netwerk van dienstverlening is dat steeds meer grensoverschrijdend en onderling afhankelijk is en dat in de hele Unie gebruikmaakt van belangrijke infrastructuur in de energie, vervoer, bankwezen, drinkwater, afvalwater, productie, verwerking en distributie van levensmiddelen, volksgezondheid, ruimtevaart, financiëlemarktinfrastructuur en digitaledienstverleningsectoren en bepaalde aspecten van de overheidssector.. De ruimtevaartsector valt onder het toepassingsgebied van deze richtlijn met betrekking tot de verlening van bepaalde diensten die afhankelijk zijn van grondinfrastructuren die eigendom zijn van en beheerd en geëxploiteerd worden door lidstaten of particuliere partijen; bijgevolg vallen infrastructuren die eigendom zijn van en beheerd of geëxploiteerd worden door of namens de Unie in het kader van haar ruimtevaartprogramma niet onder het toepassingsgebied van deze richtlijn. Wat de energiesector betreft, en meer bepaald de wijze van elektriciteitsproductie en -transmissie (met het oog op de elektriciteitsvoorziening), kan, indien zulks wenselijk wordt geacht, de elektriciteitsproductie ook de transmissieonderdelen van kerncentrales omvatten, maar niet de specifiek nucleaire elementen die vallen onder verdragen en het Unierecht, met inbegrip van relevante rechtshandelingen van de Unie betreffende kernenergie. In het proces om kritieke entiteiten in de levensmiddelensector te identificeren moet op passende wijze rekening worden gehouden met de aard van de interne markt in die sector en de uitgebreide Unievoorschriften met betrekking tot de algemene beginselen en voorschriften van het levensmiddelenrecht en de voedselveiligheid. Om een evenredige aanpak te waarborgen en om op passende wijze rekening te houden met de rol en het belang van die entiteiten op nationaal niveau, mogen levensmiddelenbedrijven, met of zonder winstoogmerk, publiek of privaat, derhalve alleen als kritieke entiteiten worden geïdentificeerd als zij zich uitsluitend bezighouden met logistiek en groothandel, dan wel grootschalige industriële productie en verwerking met een significant marktaandeel op nationaal niveau. Die onderlinge afhankelijkheden betekenen dat elke verstoring van essentiële diensten, ook als deze aanvankelijk beperkt is tot één entiteit of één sector, bredere cascade-effecten kan hebben, die in potentie verstrekkende en negatieve gevolgen op lange termijn kunnen hebben voor het verlenen van diensten op de interne markt. Grote crises, zoals de COVID-19-pandemie, hebben duidelijk gemaakt hoe kwetsbaar onze steeds meer onderling afhankelijke samenlevingen zijn voor risico's met een hoge impact en lage waarschijnlijkheid. |
(6) |
De entiteiten die betrokken zijn bij de verlening van essentiële diensten, zien zich steeds meer geconfronteerd met uiteenlopende voorschriften uit hoofde van het nationale recht. Het feit dat de veiligheidsvoorschriften voor die entiteiten in sommige lidstaten minder streng zijn, leidt niet alleen tot verschillende weerbaarheidsniveaus, maar brengt ook het risico met zich mee van negatieve gevolgen voor de instandhouding van vitale maatschappelijke functies of economische activiteiten in de hele Unie, en belemmert daarnaast de goede werking van de interne markt. Investeerders en bedrijven moeten kunnen steunen en vertrouwen op kritieke entiteiten die weerbaar zijn, en betrouwbaarheid en vertrouwen zijn de hoekstenen van een goed functionerende interne markt. Soortgelijke entiteiten worden door sommige lidstaten wel en door andere niet als kritiek beschouwd, en voor de entiteiten die wel als kritiek worden geïdentificeerd, gelden in verschillende lidstaten andere voorschriften. Dat leidt tot extra en onnodige administratieve lasten voor bedrijven die grensoverschrijdend opereren, met name als zij actief zijn in lidstaten met strengere voorschriften. Daarom zou een Uniekader ook leiden tot de totstandkoming van een gelijk speelveld voor kritieke entiteiten in de gehele Unie. |
(7) |
Het is nodig geharmoniseerde minimumvoorschriften vast te stellen om de verlening van essentiële diensten op de interne markt te waarborgen, de weerbaarheid van kritieke entiteiten te versterken en de grensoverschrijdende samenwerking tussen de bevoegde autoriteiten te verbeteren. Het is belangrijk dat deze voorschriften toekomstbestendig zijn wat betreft ontwerp en uitvoering, en dat er ruimte wordt gelaten voor de nodige flexibiliteit. Het is ook van cruciaal belang de capaciteit van kritieke entiteiten te vergroten zodat zij essentiële diensten kunnen blijven leveren tegen een achtergrond van een gevarieerde reeks risico's. |
(8) |
Om te zorgen voor een hoge weerbaarheid moeten de lidstaten vaststellen welke kritieke entiteiten aan specifieke voorschriften en toezicht zullen worden onderworpen bijzondere ondersteuning en begeleiding zullen krijgen ten aanzien van alle relevante risico's. |
(9) |
Gezien het belang van cyberbeveiliging voor de weerbaarheid van kritieke entiteiten en met het oog op consistentie moet waar mogelijk worden gezorgd voor een aanpak die coherent is met deze richtlijn en met Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (5). Gezien de hogere frequentie en bijzondere kenmerken van cyberrisico's legt Richtlijn (EU) 2022/2555 een grote groep entiteiten brede voorschriften op om hun cyberbeveiliging te waarborgen. Aangezien cyberbeveiliging voldoende geregeld wordt in Richtlijn (EU) 2022/2555, moet alles wat daaronder valt buiten het toepassingsgebied van deze richtlijn blijven, onverminderd de bijzondere regeling voor entiteiten in de sector digitale infrastructuur. |
(10) |
Wanneer bepalingen van sectorspecifieke rechtshandelingen van de Unie kritieke entiteiten voorschrijven maatregelen te nemen om hun weerbaarheid te vergroten, en wanneer die voorschriften door de lidstaten worden erkend als ten minste gelijkwaardig aan de in deze richtlijn vastgestelde overeenkomende verplichtingen, mogen de desbetreffende bepalingen van deze richtlijn niet van toepassing zijn, teneinde dubbel werk en onnodige last te voorkomen. In dat geval moeten de relevante bepalingen van dergelijke rechtshandelingen van de Unie van toepassing zijn. Wanneer de relevante bepalingen van deze richtlijn niet van toepassing zijn, mogen de bepalingen inzake toezicht en handhaving vastgesteld in deze richtlijn evenmin van toepassing zijn. |
(11) |
Deze richtlijn doet geen afbreuk aan de bevoegdheden van de lidstaten en hun autoriteiten op het gebied van bestuurlijke autonomie en evenmin aan hun verantwoordelijkheid om de nationale veiligheid en defensie te waarborgen of hun bevoegdheid om andere essentiële staatsfuncties te beschermen, met name op het gebied van openbare veiligheid, territoriale integriteit en het handhaven van de openbare orde. Overheidsinstanties moeten worden uitgesloten van het toepassingsgebied van deze richtlijn indien de activiteiten van entiteiten hoofdzakelijk worden uitgevoerd op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten. Overheidsinstanties waarvan de activiteiten slechts zijdelings verband houden met die gebieden, moeten evenwel vallen onder het toepassingsgebied van deze richtlijn. Voor de toepassing van deze richtlijn worden entiteiten met regelgevende bevoegdheden niet geacht activiteiten op het gebied van rechtshandhaving uit te voeren en zij worden dan ook op die grond niet uitgesloten van het toepassingsgebied van deze richtlijn. Overheidsinstanties die samen met een derde land zijn opgericht overeenkomstig een internationale overeenkomst, zijn uitgesloten van het toepassingsgebied van deze richtlijn. Deze richtlijn is niet van toepassing op diplomatieke en consulaire missies van de lidstaten in derde landen. Bepaalde kritieke entiteiten verrichten hoofdzakelijk activiteiten op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten, of verlenen uitsluitend diensten aan overheidsinstanties die hoofdzakelijk activiteiten verrichten op die gebieden. Gezien de verantwoordelijkheid van de lidstaten om de nationale veiligheid en defensie te waarborgen, moeten de lidstaten kunnen besluiten dat de verplichtingen voor kritieke entiteiten die zijn vastgelegd in deze richtlijn geheel of gedeeltelijk niet van toepassing zijn op deze kritieke entiteiten indien de diensten die zij verlenen of de activiteiten die zij verrichten hoofdzakelijk verband houden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten. Kritieke entiteiten waarvan de diensten of activiteiten slechts marginaal verband houden met die gebieden, moeten onder het toepassingsgebied van deze richtlijn vallen. Geen enkele lidstaat mag worden verplicht inlichtingen te verstrekken waarvan de openbaarmaking in strijd zou zijn met de wezenlijke belangen van zijn nationale veiligheid. Unie- of nationale regels voor de bescherming van gerubriceerde informatie en geheimhoudingsovereenkomsten zijn relevant. |
(12) |
Om de nationale veiligheid of de veiligheids- en commerciële belangen van kritieke entiteiten niet in gevaar te brengen, moet bij de toegang tot en de uitwisseling en behandeling van gevoelige informatie voorzichtigheid worden betracht en moet er bijzonder worden gelet op de transmissiekanalen en opslagcapaciteit die worden gebruikt. |
(13) |
Om te zorgen voor een integrale aanpak betreffende de weerbaarheid van kritieke entiteiten moet elke lidstaat beschikken over een strategie om de weerbaarheid van kritieke entiteiten te versterken (de “strategie”). De strategie moet de uit te voeren strategische doelstellingen en beleidsmaatregelen bevatten. In het belang van samenhang en efficiëntie moet de strategie zo worden ontworpen dat het bestaande beleid er naadloos in wordt geïntegreerd, en dat waar mogelijk wordt voortgebouwd op bestaande nationale en sectorale strategieën, plannen of soortgelijke documenten. Om een brede aanpak te bewerkstelligen, moeten de lidstaten ervoor zorgen dat hun strategieën een beleidskader creëren voor versterkte coördinatie tussen de uit hoofde van deze richtlijn en uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten bij de uitwisseling van informatie over cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten, evenals niet-cybergerelateerde risico's, dreigingen en incidenten, en in het kader van de uitoefening van toezichthoudende taken. Bij de invoering van hun strategieën moeten de lidstaten terdege rekening houden met de hybride aard van dreigingen voor kritieke entiteiten. |
(14) |
De lidstaten moeten hun strategieën en belangrijke actualiseringen daarvan meedelen aan de Commissie, met name om de Commissie in staat te stellen de juiste toepassing van deze richtlijn te beoordelen wat betreft de beleidsaanpak van de weerbaarheid van kritieke entiteiten op nationaal niveau. Indien nodig kunnen strategieën als gerubriceerde informatie worden meegedeeld. De Commissie moet een samenvattend verslag van de door de lidstaten meegedeelde strategieën opstellen als basis voor uitwisselingen om beste praktijken en vraagstukken van gemeenschappelijk belang in kaart te brengen in het kader van een Groep voor de weerbaarheid van kritieke entiteiten. Gezien de gevoelige aard van de geaggregeerde informatie die in het samenvattend verslag, al dan niet gerubriceerd, is opgenomen, moet de Commissie zich het samenvattende verslag beheren met voldoende bewustzijn van de veiligheid van de kritieke entiteiten, de lidstaten en de Unie. Het samenvattend verslag en de strategieën moeten worden beschermd tegen onrechtmatige of kwaadwillige handelingen en mogen alleen toegankelijk zijn voor bevoegde personen met het doel de doelstellingen van deze richtlijn te verwezenlijken. De communicatie over de strategieën en belangrijke actualiseringen daarvan moet de Commissie ook helpen inzicht te krijgen in ontwikkelingen in de beleidsaanpak van de weerbaarheid van kritieke entiteiten en moeten een bijdrage leveren aan de monitoring van de impact en de toegevoegde waarde van deze richtlijn, die de Commissie periodiek moet evalueren. |
(15) |
Bij de acties van de lidstaten om kritieke entiteiten te identificeren en hun weerbaarheid te helpen waarborgen, moet een risicogebaseerde aanpak worden gevolgd die zich richt op de entiteiten die het meest relevant zijn voor de uitvoering van vitale maatschappelijke functies of economische activiteiten. Voor zo'n gerichte aanpak moet elke lidstaat binnen een geharmoniseerd kader een beoordeling verrichten van de relevante natuurlijke en door de mens veroorzaakte risico's, waaronder die van sector- en grensoverschrijdende aard, die negatieve gevolgen zouden kunnen hebben voor de verlening van essentiële diensten, waaronder ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid zoals pandemieën en hybride dreigingen of andere antagonistische dreigingen, waaronder terroristische misdrijven, criminele infiltratie en sabotage (“lidstaat-risicobeoordeling”). Bij het uitvoeren van lidstaat-risicobeoordelingen moeten de lidstaten tevens rekening houden met andere algemene of sectorspecifieke risicobeoordelingen die krachtens andere rechtshandelingen van de Unie zijn verricht, en moeten zij de onderlinge afhankelijkheid van sectoren in aanmerking nemen, ook waar het andere lidstaten en derde landen betreft. De resultaten van de lidstaat-risicobeoordelingen moeten worden benut voor het identificeren van kritieke entiteiten en om die entiteiten te helpen voldoen aan hun weerbaarheidseisen. Deze richtlijn is alleen van toepassing op lidstaten en kritieke entiteiten die binnen de Unie actief zijn. Niettemin kunnen de deskundigheid en kennis die door de bevoegde autoriteiten, met name aan de hand van risicobeoordelingen, en door de Commissie, met name door middel van diverse vormen van steun en samenwerking, worden gegenereerd, waar passend en in overeenstemming met de toepasselijke rechtsinstrumenten worden gebruikt ten behoeve van derde landen, met name landen in de directe nabijheid van de Unie, zodat zij kunnen bijdragen aan de bestaande samenwerking op het gebied van weerbaarheid. |
(16) |
Om te waarborgen dat de weerbaarheidseisen van deze richtlijn voor alle relevante entiteiten gelden en onderlinge verschillen in dat opzicht te beperken, is het van belang om geharmoniseerde regels vast te stellen op basis waarvan kritieke entiteiten in de hele Unie op consistente wijze kunnen worden geïdentificeerd, maar die de lidstaten ook vrij laten om op passende wijze rekening te houden met de rol en het belang van die entiteiten op nationaal niveau. Bij de toepassing van de in deze richtlijn vastgestelde criteria moet elke lidstaat entiteiten identificeren die een of meer essentiële diensten verlenen en die kritieke infrastructuur op zijn grondgebied hebben en exploiteren. Een entiteit moet worden geacht actief te zijn op het grondgebied van een lidstaat waar zij activiteiten verricht die noodzakelijk zijn voor de essentiële dienst of diensten in kwestie en waar de kritieke infrastructuur van die entiteit, die wordt gebruikt om die dienst of diensten te verlenen, zich bevindt. Indien er in een lidstaat geen entiteit is die aan die criteria voldoet, mag die lidstaat niet verplicht worden een kritieke entiteit in de overeenkomstige sector of deelsector te identificeren. Omwille van de doeltreffendheid, doelmatigheid, consistentie en rechtszekerheid moeten er ook passende regels worden vastgesteld ten aanzien van de kennisgeving aan entiteiten dat zij zijn geïdentificeerd als kritieke entiteiten. |
(17) |
De lidstaten moeten de Commissie het volgende verstrekken, op een manier die voldoet aan de doelstellingen van deze richtlijn: de lijst van essentiële diensten, het aantal kritieke entiteiten dat voor elke van de in de bijlage beschreven sectoren en deelsectoren en voor de essentiële dienst of diensten die elke entiteit verleent, is geïdentificeerd, en, indien van toepassing, de drempels. Het moet mogelijk zijn om drempels als zodanig of in geaggregeerde vorm te presenteren, wat betekent dat de informatie kan worden berekend als gemiddelde per geografisch gebied, per jaar, per sector, per deelsector, of anderszins, en informatie over het aantal verstrekte indicatoren kan omvatten. |
(18) |
Er moeten criteria worden vastgesteld aan de hand waarvan kan worden bepaald hoe ernstig het verstorend effect van een incident is. Die criteria moeten voortbouwen op de criteria van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (6) teneinde zowel de inspanningen van de lidstaten om exploitanten van essentiële diensten als gedefinieerd in die richtlijn en de daarmee opgedane ervaring te benutten. Grote crises, zoals de COVID-19-pandemie, hebben aangetoond hoe belangrijk het is de veiligheid van de toeleveringsketen te waarborgen en laten zien hoe de verstoring ervan negatieve economische en maatschappelijke gevolgen kan hebben in een groot aantal sectoren en over de grenzen heen. Daarom moeten de lidstaten bij het bepalen van de mate waarin andere sectoren en deelsectoren afhankelijk zijn van de essentiële dienst die wordt verleend door een kritieke entiteit, voor zover mogelijk ook rekening houden met de effecten op de toeleveringsketen. |
(19) |
In overeenstemming met het toepasselijke Unie- en nationale recht, met inbegrip van Verordening (EU) 2019/452 van het Europees Parlement en de Raad (7), waarmee een kader wordt opgericht voor de screening van buitenlandse directe investeringen in de Unie, moet de potentiële dreiging die uitgaat van buitenlands eigendom van kritieke infrastructuur binnen de Unie worden erkend aangezien diensten, de economie alsook het vrije verkeer en de veiligheid van de EU-burgers afhankelijk zijn van de goede werking van kritieke infrastructuur. |
(20) |
Richtlijn (EU) 2022/2555 verplicht entiteiten die behoren tot de sector digitale infrastructuur, die in het kader van deze richtlijn wellicht als kritieke entiteiten kunnen worden geïdentificeerd, passende en evenredige technische, operationele en organisatorische maatregelen te nemen ter beheersing van de risico's voor de beveiliging van netwerk- en informatiesystemen en om significante incidenten en cyberdreigingen te melden. Aangezien dreigingen voor de beveiliging van netwerk- en informatiesystemen uit verschillende hoeken kunnen komen, wordt in Richtlijn (EU) 2022/2555 een alle gevaren-benadering gevolgd die betrekking heeft op de weerbaarheid van netwerk- en informatiesystemen alsmede op de fysieke componenten en omgevingen van die systemen. Aangezien de voorschriften die in dat verband zijn vastgesteld in Richtlijn (EU) 2022/2555 ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde overeenkomstige verplichtingen, mogen de verplichtingen die zijn vastgesteld in artikel 11 en de hoofdstukken III, IV en VI van deze richtlijn niet van toepassing zijn op entiteiten die behoren tot de sector digitale infrastructuur, teneinde dubbel werk en onnodige administratieve lasten te voorkomen. Aangezien de diensten die door entiteiten die behoren tot de sector digitale infrastructuur worden verleend van belang zijn voor kritieke entiteiten in alle andere sectoren, moeten de lidstaten aan de hand van de criteria en procedure waarin deze richtlijn voorziet, entiteiten die behoren tot de sector digitale infrastructuur als kritieke entiteiten identificeren. Dientengevolge moeten de strategieën, de lidstaat-risicobeoordelingen en de ondersteunende maatregelen die zijn vastgesteld in hoofdstuk II van deze richtlijn van toepassing zijn. De lidstaten moeten ook bepalingen van nationaal recht kunnen vaststellen of handhaven teneinde het weerbaarheidsniveau van die kritieke entiteiten te verhogen, op voorwaarde dat die bepalingen stroken met het toepasselijke Unierecht. |
(21) |
Het Unierecht inzake financiële diensten legt financiële entiteiten vergaande voorschriften op om alle risico's waarmee zij te maken krijgen, waaronder operationele risico's, te beheersen en bedrijfscontinuïteit te waarborgen. Onder dit recht vallen onder andere Verordeningen (EU) nr. 648/2012 (8), (EU) nr. 575/2013 (9) en (EU) nr. 600/2014 (10) van het Europees Parlement en de Raad en Richtlijnen 2013/36/EU (11) en 2014/65/EU (12) van het Europees Parlement en de Raad. Dat juridisch kader wordt aangevuld met Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (13), waarbij financiële entiteiten worden voorgeschreven informatie- en communicatietechnologie (ICT) risico's te beheersen, waaronder betreffende de bescherming van fysieke ICT-infrastructuur te beschermen. Aangezien de weerbaarheid van die entiteiten derhalve volledig is gedekt, mogen artikel 11 en de hoofdstukken III, IV en VI van deze richtlijn niet op die entiteiten van toepassing zijn, teneinde dubbel werk en onnodige administratieve lasten te voorkomen. Aangezien de diensten die door entiteiten in de financiële sector worden verleend van belang zijn voor kritieke entiteiten in alle andere sectoren, moeten de lidstaten aan de hand van de criteria en procedure waarin deze richtlijn voorziet, entiteiten in de financiële sector als kritieke entiteiten identificeren. Dientengevolge moeten de strategieën de lidstaat-risicobeoordelingen en de ondersteunende maatregelen als vastgelegd in hoofdstuk II van deze richtlijn van toepassing zijn. De lidstaten moeten bepalingen van nationaal recht kunnen vaststellen of handhaven teneinde het weerbaarheidsniveau van die kritieke entiteiten te verhogen, op voorwaarde dat die bepalingen stroken met het toepasselijke Unierecht. |
(22) |
De lidstaten moeten autoriteiten aanwijzen of oprichten die bevoegd zijn om toezicht te houden op de toepassing van de regels van deze richtlijn en om die regels zo nodig te handhaven, alsmede ervoor zorgen dat die autoriteiten over adequate bevoegdheden en middelen beschikken. Gezien de uiteenlopende nationale bestuursstructuren en om bestaande sectorale regelingen of toezichthoudende en regelgevende instanties van de Unie in stand te laten en dubbel werk te voorkomen, moeten de lidstaten meer dan één nationale bevoegde autoriteit kunnen aanwijzen of oprichten. Wanneer lidstaten meer dan één bevoegde autoriteit aanwijzen of oprichten, moeten zij de desbetreffende taken van de betrokken autoriteiten duidelijk afbakenen en ervoor zorgen dat deze vlot en effectief samenwerken. Alle bevoegde autoriteiten moeten ook meer in het algemeen met andere bevoegde autoriteiten samenwerken, zowel op Unie- als op nationaal niveau. |
(23) |
Om grensoverschrijdende samenwerking en communicatie te vergemakkelijken en de effectieve uitvoering van deze richtlijn mogelijk te maken, moet elke lidstaat, onverminderd de voorschriften van sectorspecifieke rechtshandelingen van de Unie, in voorkomend geval binnen een bevoegde autoriteit, één centraal contactpunt aanwijzen dat verantwoordelijk is voor de coördinatie van kwesties in verband met de weerbaarheid van kritieke entiteiten en grensoverschrijdende samenwerking op Unieniveau (“centraal contactpunt”). Elk centraal contactpunt moet waar nodig contacten onderhouden en de communicatie coördineren met de bevoegde autoriteiten van zijn lidstaat, met de centrale contactpunten van andere lidstaten, en met de Groep voor de weerbaarheid van kritieke entiteiten. |
(24) |
De bevoegde autoriteiten uit hoofde van deze richtlijn en de bevoegde autoriteiten uit hoofde van Richtlijn (EU) 2022/2555 moeten samenwerken en informatie uitwisselen met betrekking tot cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten en niet-cybergerelateerde risico's, dreigingen en incidenten die negatieve gevolgen hebben voor de kritieke entiteiten, alsook met betrekking tot maatregelen die hieromtrent zijn genomen door uit hoofde van deze richtlijn bevoegde autoriteiten en uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten aangewezen bevoegde autoriteiten. Het is van belang dat de lidstaten ervoor zorgen dat de voorschriften waarin de onderhavige richtlijn en Richtlijn (EU) 2022/2555 voorzien, elkaar aanvullen en dat kritieke entiteiten niet met administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de onderhavige en de genoemde richtlijn te verwezenlijken. |
(25) |
De lidstaten moeten kritieke entiteiten, met inbegrip van als kleine of middelgrote aan te merken ondernemingen, ondersteunen bij het versterken van hun weerbaarheid, met naleving van verplichtingen van lidstaten die zijn vastgesteld in deze richtlijn, onverminderd de eigen wettelijke verantwoordelijkheid van de kritieke entiteiten om deze naleving te waarborgen, zodat buitensporige administratieve lasten worden voorkomen. De lidstaten zouden met name richtsnoeren en methoden kunnen ontwikkelen, ondersteuning kunnen verlenen bij de organisatie van oefeningen om de weerbaarheid van kritieke entiteiten te testen en advies en opleiding kunnen verstrekken aan het personeel van kritieke entiteiten. Indien nodig en gerechtvaardigd door doelstellingen van algemeen belang, kunnen de lidstaten financiële middelen ter beschikking stellen en moeten zij vrijwillige uitwisseling van informatie en goede praktijken tussen kritieke entiteiten faciliteren, onverminderd de toepassing van de mededingingsregels als vervat in het Verdrag betreffende de werking van de Europese Unie (VWEU). |
(26) |
Om de door de lidstaten geïdentificeerde kritieke entiteiten weerbaarder te maken en om de administratieve lasten voor deze kritieke entiteiten te verminderen, moeten de bevoegde autoriteiten waar nodig overleg plegen om te waarborgen dat deze richtlijn op een consistente manier wordt toegepast. Dit overleg moet worden gepleegd op verzoek van een belanghebbende bevoegde autoriteit en gericht zijn op een convergerende aanpak ten aanzien van onderling verbonden kritieke entiteiten die gebruikmaken van kritieke infrastructuur met fysieke verbindingen tussen twee of meer lidstaten, die tot dezelfde groepen of bedrijfsstructuren behoren, of die in een lidstaat zijn geïdentificeerd en die essentiële diensten verlenen aan of in andere lidstaten. |
(27) |
Wanneer bepalingen van het Unierecht of het nationale recht kritieke entiteiten voorschrijven de voor de toepassing van deze richtlijn relevante risico's te beoordelen en maatregelen te nemen om hun eigen weerbaarheid te waarborgen, moeten deze voorschriften afdoende in aanmerking worden genomen met het oog op het toezicht op de naleving van deze richtlijn door kritieke entiteiten. |
(28) |
Kritieke entiteiten moeten een breed inzicht hebben in de risico's waaraan zij zijn blootgesteld en zij moeten die risico's analyseren. Daartoe moeten zij, telkens wanneer hun specifieke omstandigheden en de evolutie van die risico's daartoe nopen, en in ieder geval om de vier jaar, risicobeoordelingen uitvoeren, teneinde alle relevante risico's te beoordelen die de verlening van hun essentiële diensten kunnen verstoren (“risicobeoordeling door een kritieke entiteit”). Indien kritieke entiteiten risicobeoordelingen hebben uitgevoerd of documenten hebben opgesteld op grond van verplichtingen opgenomen in andere rechtshandelingen die relevant zijn voor hun risicobeoordeling door een kritieke entiteit, moeten zij die beoordelingen en documenten kunnen gebruiken om aan de voorschriften betreffende risicobeoordelingen door een kritieke entiteit die zijn vastgesteld in deze richtlijn, te voldoen. Met hetzelfde doel moet een bevoegde autoriteit kunnen verklaren dat een bestaande risicobeoordeling uitgevoerd door een kritieke entiteit waarin de relevante risico's en de relevante mate van afhankelijkheid aan de orde komen, geheel of ten dele voldoet aan de in deze richtlijn opgenomen verplichtingen. |
(29) |
Kritieke entiteiten moeten technische, beveiligings- en organisatorische maatregelen nemen die passen bij en evenredig zijn met de risico's waarmee zij worden geconfronteerd, om incidenten te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of zich aan te passen aan een incident of daarvan te herstellen. Kritieke entiteiten moeten die maatregelen nemen overeenkomstig deze richtlijn, maar die maatregelen moeten wat betreft details en reikwijdte passen bij en evenredig zijn met de verschillende risico's die elke kritieke entiteit bij haar risicobeoordeling door een kritieke entiteit heeft vastgesteld en de specifieke kenmerken van de betrokken entiteit. Om een coherente Unieaanpak te bevorderen, moet de Commissie, na raadpleging van de Groep voor de weerbaarheid van kritieke entiteiten, niet-bindende richtsnoeren vaststellen om die technische, beveiligings- en organisatorische maatregelen nader te bepalen. De lidstaten moeten ervoor zorgen dat elke kritieke entiteit een verbindingsambtenaar of een gelijkwaardige ambtenaar aanwijst als contactpunt met de bevoegde autoriteiten. |
(30) |
Met het oog op effectiviteit en verantwoording moeten kritieke entiteiten, rekening houdend met de vastgestelde risico's, de maatregelen die zij nemen voldoende gedetailleerd beschrijven in een weerbaarheidsplan dan wel een of meer daarmee vergelijkbare documenten om de doelen van effectiviteit en verantwoording te kunnen verwezenlijken, en dat plan in de praktijk toepassen. Wanneer een kritieke entiteit reeds technische, beveiligings- en organisatorische maatregelen heeft genomen en documenten heeft opgesteld op grond van andere rechtshandelingen die relevant zijn voor weerbaarheidsbevorderende maatregelen uit hoofde van deze richtlijn, moet zij die maatregelen en documenten kunnen gebruiken om aan de voorschriften ten aanzien van weerbaarheidsmaatregelen uit hoofde van deze richtlijn te voldoen. Om dubbel werk te vermijden moet een bevoegde autoriteit kunnen verklaren dat bestaande weerbaarheidsmaatregelen genomen door een kritieke entiteit, op grond waarvan zij voldoen aan hun verplichting om technische, veiligheids- en organisatorische maatregelen te nemen op grond van deze richtlijn, geheel of ten dele voldoen aan de voorschriften van deze richtlijn. |
(31) |
Bij Verordeningen (EG) nr. 725/2004 (14) en (EG) nr. 300/2008 (15) van het Europees Parlement en de Raad en Richtlijn 2005/65/EG van het Europees Parlement en de Raad (16) zijn voorschriften voor entiteiten in de sectoren luchtvaart en zeevervoer vastgesteld om incidenten als gevolg van wederrechtelijke gedragingen te voorkomen en de gevolgen van dergelijke incidenten het hoofd te bieden en te beperken. Hoewel de uit hoofde van deze richtlijn vereiste maatregelen breder zijn wat de bestreken risico's en soorten te nemen maatregelen betreft, moeten de kritieke entiteiten in die sectoren de krachtens die andere rechtshandelingen van de Unie genomen maatregelen tot uitdrukking brengen in hun weerbaarheidsplan of daarmee vergelijkbare documenten. Kritieke entiteiten moeten ook rekening houden met Richtlijn 2008/96/EG van het Europees Parlement en de Raad (17), die voorziet in een wegennetbeoordeling voor het hele netwerk om het risico op ongevallen in kaart te brengen, en in een gerichte verkeersveiligheidsinspectie om gevaarlijke omstandigheden, gebreken en problemen die het risico op ongevallen en verwondingen verhogen, vast te stellen op basis van bezoeken ter plaatse aan bestaande wegen of weggedeelten. Het waarborgen van de bescherming en weerbaarheid van kritieke entiteiten is van het grootste belang voor de spoorwegsector, en kritieke entiteiten worden ertoe aangespoord om bij de uitvoering van weerbaarheidsmaatregelen uit hoofde van deze richtlijn terug te grijpen op niet-bindende richtsnoeren en documenten met goede praktijken die zijn ontwikkeld in het kader van sectorale werkstromen, zoals het EU-veiligheidsplatform voor treinreizigers dat is opgericht bij Besluit 2018/C 232/03 van de Commissie (18). |
(32) |
Het risico dat werknemers van kritieke entiteiten of hun contractanten bijvoorbeeld hun toegangsrechten misbruiken om binnen de organisatie van de kritieke entiteit schade te veroorzaken, wordt steeds zorgwekkender. De lidstaten moeten derhalve bepalen onder welke voorwaarden kritieke entiteiten, in goed gemotiveerde gevallen en rekening houdende met de lidstaat-risicobeoordelingen, om antecedentenonderzoeken kunnen verzoeken voor personen die tot specifieke categorieën van hun personeel behoren. Er moet voor worden gezorgd dat de relevante autoriteiten die verzoeken binnen een redelijke termijn beoordelen en afhandelen overeenkomstig het nationale recht en de nationale procedures, alsook het relevante en toepasselijke Unierecht, onder meer inzake de bescherming van persoonsgegevens. Om de identiteit van een persoon die aan een antecedentenonderzoek wordt onderworpen te bevestigen, is het wenselijk dat de lidstaten een identiteitsbewijs voorschrijven, zoals een paspoort, een nationale identiteitskaart of een digitale vorm van identificatie, overeenkomstig het toepasselijke recht. Bij antecedentenonderzoek moet worden gekeken naar het strafregister van de betrokken persoon. De lidstaten moeten gebruikmaken van het Europees Strafregisterinformatiesysteem volgens de procedures die zijn vastgesteld in Kaderbesluit 2009/315/JBZ van de Raad (19) en, waar nuttig en toepasselijk, Verordening (EU) 2019/816 van het Europees Parlement en de Raad (20), om gegevens uit de strafregisters van andere lidstaten te verkrijgen. De lidstaten kunnen ook, waar nuttig en toepasselijk, gebruikmaken van het bij Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (21) opgezette Schengeninformatiesysteem van de tweede generatie (SIS II), inlichtingen en andere beschikbare objectieve informatie die nodig kan zijn om te bepalen of de betrokken persoon geschikt is voor de functie waarvoor de kritieke entiteit een antecedentenonderzoek heeft aangevraagd. |
(33) |
Er moet een mechanisme komen voor de melding van bepaalde incidenten zodat de bevoegde autoriteiten snel en adequaat kunnen reageren op incidenten en een volledig overzicht krijgen van de impact, aard, oorzaak en mogelijke gevolgen van incidenten waarmee de kritieke entiteiten te maken hebben. De kritieke entiteiten moeten de bevoegde autoriteiten zonder onnodige vertraging incidenten melden die de verlening van essentiële diensten aanzienlijk verstoren of zouden kunnen verstoren. De kritieke entiteiten moeten uiterlijk 24 uur nadat zij zich bewust zijn geworden van een incident een eerste melding indienen, tenzij zij hier operationeel gezien niet toe in staat zijn. De eerste melding hoeft enkel informatie te bevatten die strikt noodzakelijk is om de bevoegde autoriteit op de hoogte te brengen van het incident en de kritieke entiteit in staat te stellen om, indien nodig, bijstand te vragen. Een dergelijke melding moet, indien mogelijk, de vermoedelijke oorzaak van het incident vermelden. De lidstaten moeten ervoor zorgen dat het voorschrift om die eerste melding in te dienen de middelen van de kritieke entiteit niet afleidt van activiteiten in verband met incidentenbehandeling die prioriteit moeten krijgen. De eerste melding moet, in voorkomend geval, worden gevolgd door een gedetailleerd verslag dat uiterlijk één maand na het incident moet worden ingeleverd. Het gedetailleerde verslag moet de eerste melding aanvullen en een vollediger beeld geven van het incident. |
(34) |
Normalisatie moet in de eerste plaats een door de markt gestuurd proces blijven. Er kunnen zich echter situaties voordoen waarin het wenselijk is de naleving van specifieke normen voor te schrijven. De lidstaten moeten, waar nuttig, het gebruik aanmoedigen van Europese en internationale normen en technische specificaties die relevant zijn voor de beveiligings- en weerbaarheidsmaatregelen die van toepassing zijn op kritieke entiteiten. |
(35) |
Ofschoon kritieke entiteiten over het algemeen binnen een steeds hechter dienstverlenings- en infrastructureel netwerk opereren en dikwijls in meer dan een lidstaat essentiële diensten verlenen, zijn een aantal van die kritieke entiteiten van bijzonder belang voor de Unie en haar interne markt omdat zij essentiële diensten verlenen aan of in zes of meer lidstaten, en kunnen zij daarom specifieke ondersteuning op Unieniveau krijgen. Derhalve moeten er regels inzake adviesmissies naar dergelijke kritieke entiteiten van bijzonder Europees belang worden vastgesteld. Deze regels laten de in deze richtlijn vastgestelde regels inzake toezicht en handhaving onverlet. |
(36) |
Op gemotiveerd verzoek van de Commissie of van een of meer lidstaten waaraan of waar de essentiële dienst wordt verleend, moet de lidstaat die een kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als kritieke entiteit, wanneer aanvullende informatie noodzakelijk is om een kritieke entiteit te kunnen adviseren bij het nakomen van haar verplichtingen uit hoofde van deze richtlijn of om te kunnen beoordelen of een kritieke entiteit van bijzonder Europees belang die verplichtingen nakomt, de Commissie bepaalde informatie verstrekken als vastgesteld in deze richtlijn. In overleg met de lidstaat die de kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als een kritieke entiteit, moet de Commissie een adviesmissie kunnen organiseren om de door die entiteit genomen maatregelen te beoordelen. Om ervoor te zorgen dat dergelijke adviesmissies correct worden verricht, moeten aanvullende regels worden vastgesteld, met name inzake de organisatie en uitvoering van de adviesmissies, de te treffen follow-upmaatregelen en de verplichtingen van de betrokken kritieke entiteiten van bijzonder Europees belang. De adviesmissie moet worden uitgevoerd volgens de specifieke regels van het recht van de betrokken lidstaat, bijvoorbeeld inzake de precieze voorwaarden waaraan moet worden voldaan om toegang tot de betreffende gebouwen of documenten te krijgen en inzake rechtsverhaal, hetgeen onverlet laat dat de lidstaat waar de adviesmissie wordt uitgevoerd alsook de betrokken kritieke entiteit de regels van deze richtlijn moeten naleven. Om de specifieke deskundigheid die voor dergelijke adviesmissies voorgeschreven is, zou in voorkomend geval kunnen worden verzocht via het bij Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad (22) opgerichte Coördinatiecentrum voor respons in noodsituaties. |
(37) |
Ter ondersteuning van de Commissie en ter vereenvoudiging van de samenwerking tussen de lidstaten en de uitwisseling van informatie, waaronder beste praktijken, betreffende kwesties in verband met deze richtlijn, moet een groep voor de weerbaarheid van kritieke entiteiten worden opgericht als deskundigengroep van de Commissie. De lidstaten moeten trachten te waarborgen dat de aangewezen vertegenwoordigers van hun bevoegde autoriteiten binnen de Groep voor de weerbaarheid van kritieke entiteiten doeltreffend en doelmatig samenwerken, onder meer door waar nodig vertegenwoordigers aan te wijzen die over een veiligheidsmachtiging beschikken. De Groep voor de weerbaarheid van kritieke entiteiten moet haar taken zo snel mogelijk aanvatten, teneinde te voorzien in aanvullende middelen voor de nodige samenwerking tijdens de omzettingsperiode van deze richtlijn. De Groep voor de weerbaarheid van kritieke entiteiten moet samenwerken met andere relevante sectorspecifieke werkgroepen van deskundigen. |
(38) |
Ter bevordering van een alomvattend kader voor de cyber- en niet-cybergerelateerde weerbaarheid van kritieke entiteiten moet de Groep voor de weerbaarheid van kritieke entiteiten samenwerken met de bij Richtlijn (EU) 2022/2555 opgezette Samenwerkingsgroep. De Groep voor de weerbaarheid van kritieke entiteiten en de bij Richtlijn (EU) 2022/2555 opgezette Samenwerkingsgroep moeten regelmatig met elkaar in dialoog treden teneinde de samenwerking tussen de uit hoofde van deze richtlijn bevoegde autoriteiten en de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten te bevorderen en de uitwisseling van informatie, in het bijzonder over onderwerpen die voor beide partijen van belang zijn te vergemakkelijken. |
(39) |
Ter verwezenlijking van de doelstellingen van deze richtlijn en onverminderd de wettelijke verantwoordelijkheid van de lidstaten en kritieke entiteiten om te waarborgen dat zij hun in deze richtlijn vastgelegde respectieve verplichtingen naleven, moet de Commissie, voor zover zij zulks wenselijk acht, bevoegde autoriteiten en kritieke entiteiten ondersteunen om voor hen de naleving van hun respectieve verplichtingen te vergemakkelijken. Wanneer de Commissie de lidstaten en kritieke entiteiten bij de uitvoering van verplichtingen uit hoofde van deze richtlijn ondersteunt, moet zij voortbouwen op bestaande structuren en instrumenten, zoals die van het bij Besluit nr. 1313/2013/EU opgezette Uniemechanisme voor civiele bescherming en het Europees referentienetwerk voor de bescherming van kritieke infrastructuur. Daarnaast moet zij de lidstaten informeren over de beschikbare middelen op Unieniveau, zoals uit het bij Verordening (EU) 2021/1149 van het Europees Parlement en de Raad (23) opgezette Fonds voor interne veiligheid, het bij Verordening (EU) 2021/695 van het Europees Parlement en de Raad (24) opgezette programma Horizon Europa, en andere instrumenten die relevant zijn voor de weerbaarheid van kritieke entiteiten. |
(40) |
De lidstaten moeten ervoor zorgen dat hun bevoegde autoriteiten over bepaalde specifieke bevoegdheden beschikken voor de juiste toepassing en handhaving van deze richtlijn met betrekking tot kritieke entiteiten, voor zover die entiteiten volgens deze richtlijn onder hun jurisdictie vallen. Daarbij gaat het met name om de bevoegdheid inspecties en audits te verrichten, de bevoegdheid om toezicht te houden, de bevoegdheid om kritieke entiteiten voor te schrijven dat ze informatie en bewijs verstrekken in verband met de maatregelen die zij met het oog op het nakomen van hun verplichtingen hebben genomen, en zo nodig de bevoegdheid om vastgestelde inbreuken te beëindigen. Bij het geven van zulke opdrachten mogen de lidstaten geen maatregelen voorschrijven die verder gaan dan wat nodig en evenredig is om te waarborgen dat de betrokken kritieke entiteit aan haar verplichtingen voldoet, en moeten zij met name rekening houden met de ernst van de inbreuk en de economische capaciteit van de betrokken kritieke entiteit. Meer algemeen moeten die bevoegdheden vergezeld gaan van adequate en effectieve waarborgen die in nationaal recht moeten worden vastgelegd overeenkomstig het Handvest van de grondrechten van de Europese Unie. Bij de beoordeling of een kritieke entiteit haar verplichtingen die zijn vastgelegd zijn in deze richtlijn nakomt, moeten de uit hoofde van deze richtlijn bevoegde autoriteiten de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten kunnen verzoeken om hun toezichts- en handhavingsbevoegdheden uit te oefenen met betrekking tot een entiteit uit hoofde van die richtlijn die uit hoofde van de onderhavige richtlijn als een kritieke entiteit is geïdentificeerd. De uit hoofde van deze richtlijn bevoegde autoriteiten en de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten moeten daartoe hun medewerking verlenen en informatie uitwisselen. |
(41) |
Teneinde deze richtlijn op doeltreffende en consistente wijze toe te passen, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen, zodat zij deze richtlijn kan aanvullen met een lijst van essentiële diensten. Die lijst moet door de bevoegde autoriteiten worden gebruikt met het oog op de uitvoering van lidstaat-risicobeoordelingen en het identificeren van kritieke entiteiten op grond van deze richtlijn. In het licht van de minimale harmonisatie waarvoor is gekozen bij deze richtlijn is die lijst niet uitputtend en kunnen lidstaten de lijst aanvullen met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening van essentiële diensten. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (25). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen. |
(42) |
Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze richtlijn, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (26). |
(43) |
Aangezien de doelstellingen van deze richtlijn, namelijk te verzekeren dat diensten die essentieel zijn voor het behoud van vitale maatschappelijke functies of economische activiteiten, binnen de interne markt zonder belemmeringen worden verleend en de weerbaarheid van de kritieke entiteiten die dergelijke diensten verlenen, te vergroten, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de gevolgen van het optreden beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel 5 neergelegde evenredigheidsbeginsel, gaat deze richtlijn niet verder dan nodig is om die doelstellingen te verwezenlijken. |
(44) |
Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (27) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 11 augustus 2021 heeft hij een advies uitgebracht. |
(45) |
Richtlijn 2008/114/EG moet derhalve worden ingetrokken, |
HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:
HOOFDSTUK I
ALGEMENE BEPALINGEN
Artikel 1
Voorwerp en toepassingsgebied
1. Deze richtlijn:
a) |
legt verplichtingen voor de lidstaten vast tot het nemen van specifieke maatregelen om te waarborgen dat diensten die essentieel zijn voor de instandhouding van vitale maatschappelijke functies of economische activiteiten, binnen het toepassingsgebied van artikel 114 VWEU op de interne markt zonder belemmeringen worden verleend, met name de verplichtingen om kritieke entiteiten te identificeren en kritieke entiteiten te helpen aan hun opgelegde verplichtingen te voldoen; |
b) |
legt verplichtingen voor kritieke entiteiten vast ter vergroting van hun weerbaarheid en hun vermogen om diensten als bedoeld in punt a) op de interne markt te verlenen; |
c) |
stelt regels vast:
|
d) |
stelt gemeenschappelijke procedures voor samenwerking en rapportage vast voor de toepassing van deze richtlijn; |
e) |
legt maatregelen vast om de weerbaarheid van kritieke entiteiten op een hoog niveau te brengen teneinde de verlening van essentiële diensten in de Unie te waarborgen en de werking van de interne markt te verbeteren. |
2. Deze richtlijn is niet van toepassing op aangelegenheden die vallen onder Richtlijn (EU) 2022/2555, onverminderd artikel 8 van deze richtlijn. Aangezien de fysieke beveiliging en cyberbeveiliging van kritieke entiteiten met elkaar verband houden, zorgen de lidstaten ervoor dat deze richtlijn en Richtlijn (EU) 2022/2555 op gecoördineerde wijze worden uitgevoerd.
3. Wanneer bepalingen van sectorspecifieke rechtshandelingen van de Unie voorschrijven dat kritieke entiteiten maatregelen nemen om hun weerbaarheid te vergroten, en wanneer die voorschriften door de lidstaten worden erkend als ten minste gelijkwaardig aan de in deze richtlijn overeenkomende verplichtingen, zijn de desbetreffende bepalingen van deze richtlijn, met inbegrip van de bepalingen inzake toezicht en handhaving van hoofdstuk VI, niet van toepassing.
4. Onverminderd artikel 346 VWEU wordt informatie die op grond van Unie- of nationale regelgeving vertrouwelijk is, zoals voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie, uitsluitend met de Commissie en andere betrokken autoriteiten, overeenkomstig deze richtlijn, uitgewisseld wanneer dat noodzakelijk is voor de toepassing van deze richtlijn. Er wordt uitsluitend informatie uitgewisseld die relevant is voor en evenredig is met het doel van die uitwisseling. Bij de uitwisseling van informatie worden de vertrouwelijkheid van die informatie en de veiligheids- en commerciële belangen van kritieke entiteiten gewaarborgd, en wordt de veiligheid van de lidstaten in acht genomen.
5. Deze richtlijn laat de verantwoordelijkheid van de lidstaten om de nationale veiligheid te beschermen en hun bevoegdheid om andere essentiële staatsfuncties te beschermen, waaronder het verdedigen van de territoriale integriteit van de staat en het handhaven van de openbare orde, onverlet.
6. Deze richtlijn is niet van toepassing op overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten.
7. De lidstaten kunnen besluiten dat de bepalingen van artikel 11 en hoofdstuk III, IV en VI geheel of gedeeltelijk niet van toepassing zijn op specifieke kritieke entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten, of die uitsluitend diensten verlenen aan de in lid 6 van dit artikel bedoelde overheidsinstanties.
8. De in deze richtlijn vastgelegde verplichtingen omvatten niet de verstrekking van informatie waarvan de bekendmaking strijdig zou zijn met de wezenlijke belangen van de lidstaten inzake nationale veiligheid, openbare veiligheid of defensie.
Artikel 2
Definities
Voor de toepassing van deze richtlijn wordt verstaan onder:
1) |
“kritieke entiteit”: een publieke of particuliere entiteit die overeenkomstig artikel 6 door een lidstaat is geïdentificeerd als behorende tot een van de categorieën die zijn vermeld in de derde kolom van de tabel in de bijlage; |
2) |
“weerbaarheid”: het vermogen van een kritieke entiteit om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident; |
3) |
“incident”: elke gebeurtenis die het verlenen van een essentiële dienst aanzienlijk kan verstoren of verstoort, ook wanneer de gebeurtenis gevolgen heeft voor de nationale systemen die de rechtsstaat waarborgen; |
4) |
“kritieke infrastructuur”: een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, of een onderdeel van een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, hetgeen noodzakelijk is voor de verlening van een essentiële dienst; |
5) |
“essentiële dienst”: een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu; |
6) |
“risico”: de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet; |
7) |
“risicobeoordeling”: het gehele proces ter bepaling van de aard en omvang van een risico door potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden, in kaart te brengen en te analyseren, en door het verlies of de verstoring van een essentiële dienst die dat incident zou kunnen veroorzaken in te schatten; |
8) |
“norm”: een norm zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (30); |
9) |
“technische specificatie”: een technische specificatie zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012; |
10) |
“overheidsinstantie”: een entiteit die overeenkomstig het nationale recht als zodanig in een lidstaat is erkend, met uitzondering van de rechterlijke macht, parlementen en centrale banken, en die aan de volgende criteria voldoet:
|
Artikel 3
Minimumharmonisatie
Deze richtlijn belet lidstaten niet bepalingen van nationaal recht vast te stellen of te handhaven teneinde het weerbaarheidsniveau van kritieke entiteiten te verhogen, mits dergelijke bepalingen stroken met de plichten van de lidstaten die zijn vastgelegd in het Unierecht
HOOFDSTUK II
NATIONALE KADERS INZAKE DE WEERBAARHEID VAN KRITIEKE ENTITEITEN
Artikel 4
Strategie inzake de weerbaarheid van kritieke entiteiten
1. Na een raadpleging die, voor zover praktisch mogelijk, openstaat voor belanghebbenden, stelt elke lidstaat uiterlijk op 17 januari 2026 een strategie vast om de weerbaarheid van kritieke entiteiten te verbeteren (de “strategie”). De strategie bevat, voortbouwend op bestaande nationale en sectorale strategieën, alsook op plannen of soortgelijke documenten, strategische doelstellingen en beleidsmaatregelen die ervoor moeten zorgen dat kritieke entiteiten een hoge weerbaarheid hebben en behouden, en die ten minste op de in de bijlage beschreven sectoren betrekking hebben.
2. Elke strategie bevat ten minste de volgende elementen:
a) |
strategische doelstellingen alsook prioriteiten ter vergroting van de algehele weerbaarheid van kritieke entiteiten met inachtneming van grensoverschrijdende en intersectorale afhankelijkheden en onderlinge afhankelijkheden; |
b) |
een governancekader ter verwezenlijking van de strategische doelstellingen alsook prioriteiten, met inbegrip van een beschrijving van de taken en verantwoordelijkheden van de verschillende autoriteiten, kritieke entiteiten en andere partijen die bij de uitvoering van de strategie betrokken zijn; |
c) |
een beschrijving van de maatregelen die nodig zijn om de algehele weerbaarheid van kritieke entiteiten te vergroten, inclusief een beschrijving van de in artikel 5 bedoelde risicobeoordeling; |
d) |
een beschrijving van het proces waarmee kritieke entiteiten worden geïdentificeerd; |
e) |
een beschrijving van het proces waarmee kritieke entiteiten overeenkomstig dit hoofdstuk worden ondersteund, met inbegrip van de maatregelen ter verdieping van de samenwerking tussen de publieke sector enerzijds en de particuliere sector en publieke en particuliere entiteiten anderzijds; |
f) |
een lijst van de belangrijkste autoriteiten en belanghebbenden, met uitzondering van kritieke entiteiten, die betrokken zijn bij de uitvoering van de strategie; |
g) |
een beleidskader voor coördinatie tussen de uit hoofde van deze richtlijn bevoegde autoriteiten (“bevoegde autoriteiten”) en de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten aangewezen bevoegde autoriteiten met het oog op het delen van informatie over cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten, en niet-cybergerelateerde risico's, dreigingen en incidenten en de uitoefening van toezichthoudende taken; |
h) |
een beschrijving van de maatregelen die reeds genomen zijn om het voor kleine en middelgrote ondernemingen in de zin van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (31) die door de lidstaat in kwestie zijn geïdentificeerd als kritieke entiteiten, gemakkelijker te maken de verplichtingen uit hoofde van hoofdstuk III van deze richtlijn uit te voeren. |
De lidstaten actualiseren ten minste om de vier jaar hun strategieën, na een raadpleging die, voor zover praktisch mogelijk, openstaat voor belanghebbenden.
3. De lidstaten delen hun strategieën en belangrijke actualiseringen daarvan binnen drie maanden na de vaststelling ervan aan de Commissie mee.
Artikel 5
Risicobeoordeling door de lidstaten
1. De Commissie is bevoegd uiterlijk op 17 november 2023 overeenkomstig artikel 23 een gedelegeerde handeling vast te stellen om deze richtlijn aan te vullen met een niet-uitputtende lijst van essentiële diensten in de in de bijlage genoemde sectoren en deelsectoren. De bevoegde autoriteiten voeren uiterlijk op 17 januari 2026 en vervolgens wanneer dat nodig is en ten minste om de vier jaar, een risicobeoordeling (“lidstaat-risicobeoordeling”) uit, waarbij ze gebruikmaken van die lijst van essentiële diensten. De bevoegde autoriteiten gebruiken lidstaat-risicobeoordelingen om kritieke entiteiten te identificeren overeenkomstig artikel 6 en die kritieke entiteiten te assisteren bij het nemen van maatregelen op grond van artikel 13.
In lidstaat-risicobeoordelingen wordt rekening gehouden met relevante natuurlijke en door de mens veroorzaakte risico's, met inbegrip van intersectorale of grensoverschrijdende risico's, ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid en hybride dreigingen of andere antagonistische dreigingen, waaronder terroristische misdrijven als voorzien in Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad (32).
2. Bij de uitvoering van lidstaat-risicobeoordelingen houden de lidstaten ten minste rekening met het volgende:
a) |
de algemene risicobeoordeling die wordt uitgevoerd op grond van artikel 6, lid 1, van Besluit nr. 1313/2013/EU; |
b) |
andere relevante risicobeoordelingen die worden uitgevoerd overeenkomstig de voorschriften van de relevante sectorspecifieke rechtshandelingen van de Unie, waaronder Verordeningen (EU) 2017/1938 (33) en (EU) 2019/941 (34) van het Europees Parlement en de Raad en Richtlijnen 2007/60/EG (35) en 2012/18/EU (36) van het Europees Parlement en de Raad; |
c) |
de relevante risico's die voortvloeien uit de mate van onderlinge afhankelijkheid tussen de in de bijlage genoemde sectoren, waaronder de mate van afhankelijkheid van deze sectoren ten aanzien van entiteiten met vestiging in andere lidstaten en derde landen, en de gevolgen die een aanzienlijke verstoring in één sector kan hebben voor andere sectoren, met inbegrip van eventuele significante risico's voor burgers en de interne markt; |
d) |
alle informatie over incidenten waarvan overeenkomstig artikel 15 is kennisgegeven. |
Voor de toepassing van de eerste alinea, punt c), werken de lidstaten samen met de bevoegde autoriteiten van andere lidstaten en de bevoegde autoriteiten van derde landen, naargelang het geval.
3. De lidstaten stellen, in voorkomend geval via hun centrale contactpunten, de relevante elementen van lidstaat-risicobeoordelingen ter beschikking aan de kritieke entiteiten die zij overeenkomstig artikel 6 hebben geïdentificeerd. De lidstaten zorgen ervoor dat de aan kritieke entiteiten verstrekte informatie hen zal helpen bij het verrichten van hun risicobeoordelingen op grond van artikel 12, en bij het nemen van maatregelen om hun weerbaarheid te waarborgen op grond van artikel 13.
4. Binnen drie maanden na de uitvoering van een lidstaat-risicobeoordeling verstrekt een lidstaat aan de Commissie relevante informatie over de soorten geïdentificeerde risico's en de resultaten van die lidstaat-risicobeoordeling, per sector en deelsector als beschreven in de bijlage.
5. De Commissie stelt, in samenwerking met de lidstaten, een vrijwillig gemeenschappelijk rapportagemodel op waarmee aan lid 4 kan worden voldaan.
Artikel 6
Identificatie van kritieke entiteiten
1. Uiterlijk op 17 juli 2026 identificeert elke lidstaat de kritieke entiteiten voor de in de bijlage beschreven sectoren en deelsectoren.
2. Bij de identificatie van kritieke entiteiten op grond van lid 1 houdt een lidstaat rekening met de resultaten van zijn lidstaat-risicobeoordeling en zijn strategie inzake de weerbaarheid van kritieke entiteiten en past hij alle onderstaande criteria toe:
a) |
de entiteit verleent een of meer essentiële diensten; |
b) |
de entiteit is actief en haar kritieke infrastructuur bevindt zich op het grondgebied van die lidstaat, en |
c) |
een incident zou aanzienlijke verstorende effecten hebben, zoals bepaald overeenkomstig artikel 7, lid 1, op de verlening door de entiteit van een of meer essentiële diensten of op de verlening van andere essentiële diensten in de in de bijlage beschreven sectoren die afhankelijk zijn van die diensten. |
3. Elke lidstaat stelt een lijst op van de op grond van lid 2 geïdentificeerde kritieke entiteiten en zorgt ervoor dat die kritieke entiteiten binnen een maand na die identificatie in kennis worden gesteld van hun identificatie als kritieke entiteit. De lidstaten informeren die kritieke entiteiten over hun verplichtingen uit hoofde van de hoofdstukken III en IV en over de datum vanaf wanneer die verplichtingen op hen van toepassing zijn, onverminderd artikel 8. De lidstaten delen de kritieke entiteiten in de in de punten 3, 4 en 8 van de tabel in de bijlage vermelde sectoren mee dat zij geen verplichtingen hebben uit hoofde van de hoofdstukken III en IV, tenzij in nationale maatregelen anders wordt bepaald.
Voor de betrokken kritieke entiteiten gelden de bepalingen van hoofdstuk III na verloop van 10 maanden na de datum van de in de eerste alinea van dit lid bedoelde kennisgeving.
4. De lidstaten zorgen ervoor dat hun aangewezen bevoegde autoriteiten de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten binnen een maand na de identificatie ervan in kennis stellen welke kritieke entiteiten zij op grond van dit artikel hebben geïdentificeerd. Daarbij wordt, indien van toepassing, vermeld dat het entiteiten betreft in de in de punten 3, 4 en 8 van de tabel in de bijlage bij deze richtlijn vermelde sectoren, die geen verplichtingen hebben uit hoofde van de hoofdstukken III en IV van deze richtlijn.
5. Wanneer dat nodig is en in ieder geval om de vier jaar, evalueren de lidstaten de in lid 3 bedoelde lijst van geïdentificeerde kritieke entiteiten, die zij indien nodig actualiseren. Indien deze actualiseringen leiden tot de identificatie van meer kritieke entiteiten, zijn de leden 3 en 4 van toepassing op die bijkomende kritieke entiteiten. Daarnaast zorgen de lidstaten ervoor dat entiteiten die na een dergelijke actualisering niet langer als kritiek worden beschouwd, tijdig in kennis worden gesteld daarvan en van het feit dat zij vanaf de datum van ontvangst van die kennisgeving niet langer onderworpen zijn aan de verplichtingen uit hoofde van hoofdstuk III.
6. De Commissie ontwikkelt, in samenwerking met de lidstaten, aanbevelingen en niet-bindende richtsnoeren om de lidstaten te helpen bij het identificeren van kritieke entiteiten.
Artikel 7
Aanzienlijk verstorend effect
1. Bij het bepalen of een verstorend effect aanzienlijk is, als bedoeld in artikel 6, lid 2, punt c), houden de lidstaten rekening met de volgende criteria:
a) |
het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende essentiële dienst; |
b) |
de mate waarin andere in de bijlage beschreven sectoren en deelsectoren afhankelijk zijn van de betrokken essentiële dienst; |
c) |
de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid; |
d) |
het marktaandeel van de entiteit op de markt voor de betrokken essentiële dienst(en); |
e) |
het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio's, afgelegen regio's of bergachtige gebieden; |
f) |
het belang van de entiteit om de essentiële dienst op een voldoende niveau te houden, rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële dienst. |
2. Na de identificatie van de kritieke entiteiten op grond van artikel 6, lid 1, verstrekt elke lidstaat de Commissie zonder onnodige vertraging de volgende informatie:
a) |
een lijst van essentiële diensten in die lidstaat indien er sprake is van aanvullende essentiële diensten in vergelijking met de lijst van essentiële diensten als bedoeld in artikel 5, lid 1 |
b) |
het aantal kritieke entiteiten dat is geïdentificeerd voor elke in de bijlage bedoelde sector en deelsector en voor elke essentiële dienst |
c) |
eventuele drempels die worden toegepast om een of meer van de in lid 1 genoemde criteria te specificeren. |
Drempels als bedoeld in de eerste alinea, punt c), kunnen als zodanig of in geaggregeerde vorm worden aangeboden.
Daarna verstrekken de lidstaten informatie bedoeld in de eerste alinea wanneer dat nodig is en ten minste om de vier jaar.
3. De Commissie stelt, na raadpleging van de Groep voor de weerbaarheid van kritieke entiteiten zoals bedoeld in artikel 19, niet-bindende richtsnoeren vast om de toepassing van de in lid 1 van dit artikel bedoelde criteria te vergemakkelijken, rekening houdend met de in lid 2 van dit artikel bedoelde informatie.
Artikel 8
Kritieke entiteiten in de sectoren bankwezen, financiëlemarktinfrastructuur en digitale infrastructuur
De lidstaten zorgen ervoor dat artikel 11 en de hoofdstukken III, IV en VI niet van toepassing zijn op kritieke entiteiten die zij hebben geïdentificeerd in de in de punten 3, 4 en 8 van de tabel in de bijlage vermelde sectoren. De lidstaten kunnen bepalingen van nationaal recht vaststellen of handhaven teneinde tot een hoger weerbaarheidsniveau van die kritieke entiteiten te komen op voorwaarde dat die bepalingen stroken met het toepasselijke Unierecht.
Artikel 9
Bevoegde autoriteiten en centraal contactpunt
1. Elke lidstaat wijst een of meer bevoegde autoriteiten aan, of richt een of meer bevoegde autoriteiten op, die verantwoordelijk zijn voor de correcte toepassing en, waar nodig, handhaving van de voorschriften van deze richtlijn op nationaal niveau.
Ten aanzien van de kritieke entiteiten in de in de punten 3 en 4 van de tabel in de bijlage bij deze richtlijn vermelde sectoren, zijn de bevoegde autoriteiten in principe de in artikel 46 van Verordening (EU) 2022/2554 bedoelde bevoegde autoriteiten. Ten aanzien van de kritieke entiteiten in de in punt 8 van de tabel in de bijlage bij deze richtlijn vermelde sector, zijn de bevoegde autoriteiten, in principe, de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten. De lidstaten kunnen een andere bevoegde autoriteit aanwijzen voor de sectoren die zijn vermeld in punten 3, 4 en 8 van de tabel in de bijlage van deze richtlijn, overeenkomstig bestaande nationale kaders.
Wanneer lidstaten meer dan één bevoegde autoriteit aanwijzen of oprichten, stellen zij de taken voor elk van de betrokken autoriteiten duidelijk vast en zorgen zij ervoor dat zij doeltreffend samenwerken bij de vervulling van hun taken uit hoofde van deze richtlijn, onder meer met betrekking tot de aanwijzing en de activiteiten van het in lid 2 bedoelde centraal contactpunt.
2. Elke lidstaat wijst een nationaal centraal contactpunt aan, of richt dit op, waarbij dit contactpunt een verbindingsfunctie vervult met het oog op grensoverschrijdende samenwerking met de centrale contactpunten van andere lidstaten en met de in artikel 19 bedoelde Groep voor de weerbaarheid van kritieke entiteiten (“centraal contactpunt”). In voorkomend geval wijst een lidstaat zijn eigen centraal contactpunt aan binnen een bevoegde autoriteit. In voorkomend geval kan een lidstaat bepalen dat zijn centraal contactpunt ook een verbindingsfunctie vervult in de samenwerking met de Commissie en zorgt hij voor de samenwerking met derde landen.
3. Uiterlijk op 17 juli 2028 en vervolgens om de twee jaar dienen de centrale contactpunten bij de Commissie en de Groep voor de weerbaarheid van kritieke entiteiten als bedoeld in artikel 9 een samenvattend verslag in over de ontvangen meldingen, met vermelding van het aantal daarvan, de aard van de gemelde incidenten en de overeenkomstig artikel 15, lid 3, genomen maatregelen.
De Commissie ontwikkelt, in samenwerking met de Groep voor de weerbaarheid van kritieke entiteiten, een gemeenschappelijk rapportagemodel. De bevoegde autoriteitenkunnen dat gemeenschappelijke rapportagemodel op vrijwillige basis gebruiken voor de indiening van de in de eerste alinea bedoelde samenvattende verslagen.
4. Elke lidstaat zorgt ervoor dat zijn bevoegde autoriteit en centraal contactpunt, over de nodige bevoegdheden en toereikende financiële, personele en technische middelen beschikken om de hun toegewezen taken op doeltreffende en efficiënte wijze uit te voeren.
5. Elke lidstaat zorgt ervoor dat zijn bevoegde autoriteit wanneer wenselijk, overeenkomstig het Unierecht en het nationale recht, overlegt en samenwerkt met andere betrokken nationale autoriteiten, waaronder autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en de bescherming van persoonsgegevens en met kritieke entiteiten en betrokken belanghebbende partijen.
6. Elke lidstaat zorgt ervoor dat zijn uit hoofde van deze richtlijn bevoegde autoriteit met de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten samenwerkt en informatie uitwisselt inzake cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten en niet-cybergerelateerde risico's, dreigingen en incidenten die negatieve gevolgen hebben voor kritieke entiteiten, alsook inzake relevante maatregelen die zijn bevoegde autoriteit en de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten hebben genomen.
7. Elke lidstaat stelt de Commissie binnen drie maanden na de aanwijzing of de oprichting van de bevoegde autoriteit en het centraal contactpunt in kennis van hun identiteit en van hun taken en verantwoordelijkheden uit hoofde van deze richtlijn, hun contactgegevens en eventuele latere wijzigingen daarvan. Indien lidstaten besluiten een andere autoriteit dan de in lid 1, tweede alinea, bedoelde autoriteiten aan te wijzen als de bevoegde autoriteiten ten aanzien van de kritieke entiteiten in de punten 3, 4 en 8 van de tabel in de bijlage genoemde sectoren, stellen zij de Commissie daarvan in kennis. Elke lidstaat maakt de identiteit van zijn bevoegde autoriteit en zijn centraal contactpunt openbaar beschikbaar.
8. De Commissie maakt een lijst van de centrale contactpunten voor het publiek beschikbaar.
Artikel 10
Ondersteuning van kritieke entiteiten door de lidstaten
1. De lidstaten ondersteunen kritieke entiteiten bij het vergroten van hun weerbaarheid. Die ondersteuning kan onder meer bestaan in het ontwikkelen van richtsnoeren en methodologieën, hulp bij de organisatie van oefeningen om de weerbaarheid van de kritieke entiteiten te testen en het verstrekken van advies en opleiding aan personeel van kritieke entiteiten. De lidstaten kunnen, indien nodig en gerechtvaardigd door doelstellingen van algemeen belang, financiële middelen verstrekken aan kritieke entiteiten, onverminderd de toepasselijke regels inzake staatssteun.
2. Elke lidstaat zorgt ervoor dat zijn bevoegde autoriteit samenwerkt met kritieke entiteiten uit de in de bijlage beschreven sectoren en met hen informatie en beste praktijken uitwisselen.
3. De lidstaten faciliteren het vrijwillig delen van informatie tussen kritieke entiteiten over aangelegenheden die onder deze richtlijn vallen, overeenkomstig het Unierecht en het nationale recht inzake, met name, gerubriceerde en gevoelige informatie, mededinging en bescherming van persoonsgegevens.
Artikel 11
Samenwerking tussen de lidstaten
1. De lidstaten raadplegen elkaar over kritieke entiteiten, wanneer dat passend is, om te zorgen voor een consistente toepassing van de richtlijn. Dergelijke raadplegingen zijn met name verplicht met betrekking tot kritieke entiteiten die:
a) |
gebruikmaken van kritieke infrastructuur met fysieke verbindingen tussen twee of meer lidstaten; |
b) |
behoren tot bedrijfsstructuren die verbonden zijn met of gekoppeld zijn aan kritieke entiteiten in andere lidstaten; |
c) |
zijn geïdentificeerd als kritieke entiteiten in één lidstaat en essentiële diensten verlenen aan of in andere lidstaten. |
2. De in lid 1 bedoelde raadplegingen moeten de weerbaarheid van kritieke entiteiten verhogen en, indien mogelijk, de administratieve lasten voor hen verminderen.
HOOFDSTUK III
WEERBAARHEID VAN KRITIEKE ENTITEITEN
Artikel 12
Risicobeoordeling door kritieke entiteiten
1. Niettegenstaande de termijn vastgesteld in artikel 6, lid 3, tweede alinea, zorgen de lidstaten ervoor dat kritieke entiteiten binnen negen maanden na ontvangst van de in artikel 6, lid 3, bedoelde kennisgeving en vervolgens telkens wanneer dat nodig is en ten minste om de vier jaar, op basis van de risicobeoordelingen door de lidstaten en andere relevante informatiebronnen, alle relevante risico's beoordelen die de verlening van hun essentiële diensten (“risicobeoordeling door een kritieke entiteit”) kunnen verstoren.
2. Bij risicobeoordelingen door kritieke entiteiten worden alle bedoelde relevante risico’s die door de natuur en door de mens veroorzaakt zijn, in aanmerking genomen die tot een incident zouden kunnen leiden, onder meer die van sectoroverschrijdende of van grensoverschrijdende aard, ongevallen, natuurrampen, noodsituaties op het gebied van volksgezondheid en hybride bedreigingen en andere antagonistische dreigingen, waaronder terroristische misdrijven als bepaald in Richtlijn (EU) 2017/541. Een risicobeoordeling door een kritieke entiteit houdt rekening met de mate waarin andere in de bijlage beschreven sectoren afhankelijk zijn van de door de kritieke entiteit verleende essentiële dienst, en de mate waarin die kritieke entiteit afhankelijk is van essentiële diensten van andere entiteiten in dergelijke andere sectoren, in voorkomend geval tevens in naburige lidstaten en derde landen.
Indien een kritieke entiteit reeds risicobeoordelingen heeft uitgevoerd of documenten heeft opgesteld op grond van verplichtingen die zijn opgenomen in andere rechtshandelingen die relevant zijn voor haar risicobeoordeling door kritieke entiteiten, mag zij die beoordelingen en documenten gebruiken om aan de voorschriften van dit artikel te voldoen. Bij de uitoefening van haar toezichthoudende taken kan bevoegde autoriteit verklaren dat een bestaande risicobeoordeling die is uitgevoerd door een kritieke entiteit waarin de in de eerste alinea van dit lid bedoelde risico's en de mate van afhankelijkheid aan de orde komen, geheel of ten dele voldoet aan de verplichtingen uit hoofde van dit artikel.
Artikel 13
Weerbaarheidsmaatregelen van kritieke entiteiten
1. De lidstaten zorgen ervoor dat kritieke entiteiten passende en evenredige technische, beveiligings-, en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen, op basis van de door de lidstaten verstrekte relevante informatie over de lidstaat-risicobeoordeling en van de resultaten van de risicobeoordeling door een kritieke entiteit, met inbegrip van maatregelen die nodig zijn om:
a) |
te voorkomen dat zich incidenten voordoen, naar behoren rekening houdend met maatregelen ter beperking van het risico op rampen en maatregelen voor aanpassing aan de klimaatverandering; |
b) |
te zorgen voor adequate fysieke bescherming van hun gebouwen en de kritieke infrastructuur, terdege rekening houdend met bijvoorbeeld het plaatsen van omheiningen, het oprichten van barrières, instrumenten en routines voor bewaking van de omgeving, detectieapparatuur en toegangscontroles; |
c) |
de gevolgen van incidenten te bestrijden, te beperken en ertegen bestand te zijn, naar behoren rekening houdend met de uitvoering van risico- en crisisbeheersingsprocedures en -protocollen en waarschuwingsroutines; |
d) |
te herstellen van incidenten, naar behoren rekening houdend met bedrijfscontinuïteitsmaatregelen en de identificatie van alternatieve toeleveringsketens, teneinde de verlening van de essentiële dienst te hervatten; |
e) |
te zorgen voor adequaat beheer van personeelsbeveiliging, naar behoren rekening houdend met maatregelen zoals het vaststellen van categorieën personeelsleden die kritieke functies vervullen, het vaststellen van het recht van toegang tot gebouwen, kritieke infrastructuur en gevoelige informatie, het instellen van procedures voor antecedentenonderzoek in overeenstemming met artikel 14 en het aanwijzen van categorieën van personen die aan een dergelijk antecedentenonderzoek moeten worden onderworpen, en het vaststellen van passende opleidingsvoorschriften en kwalificaties; |
f) |
het relevante personeel bewust te maken van de in de punten a) tot en met e) bedoelde maatregelen, naar behoren rekening houdend met opleidingen, informatiemateriaal en oefeningen. |
Voor de toepassing van punt e) van de eerste alinea zorgen lidstaten ervoor dat kritieke entiteiten rekening houden met het personeel van externe dienstverleners bij het bepalen van categorieën personeelsleden die kritieke functies vervullen.
2. De lidstaten zorgen ervoor dat kritieke entiteiten beschikken over een weerbaarheidsplan of een gelijkwaardig document of gelijkwaardige documenten, waarin de maatregelen uit hoofde van lid 1 worden beschreven, en dat toepassen. Indien kritieke entiteiten reeds documenten hebben opgesteld of maatregelen hebben genomen op grond van verplichtingen die zijn vastgelegd in andere rechtshandelingen die van toepassing zijn op de in lid 1 bedoelde maatregelen, mogen zij die documenten en maatregelen gebruiken om aan de voorschriften van dit artikel te voldoen. Bij de uitoefening van haar toezichthoudende taken kan de bevoegde autoriteit verklaren dat de bestaande weerbaarheidsbevorderende maatregelen genomen door een kritieke entiteit waarin de in lid 1 bedoelde technische, beveiligings- en organisatorische maatregelen op passende en evenredige wijze aan de orde komen, geheel of ten dele voldoen aan de verplichtingen uit hoofde van dit artikel.
3. De lidstaten zorgen ervoor dat elke kritieke entiteit een verbindingsfunctionaris of een gelijkwaardige functionaris aanwijst als het contactpunt met de bevoegde autoriteiten.
4. Op verzoek van de lidstaat die de kritieke entiteit heeft geïdentificeerd en met instemming van de betrokken kritieke entiteit organiseert de Commissie overeenkomstig de regelingen die zijn vermeld in artikel 18, leden 6, 8 en 9, adviesmissies die de betrokken kritieke entiteit adviseren over de nakoming van haar verplichtingen uit hoofde van hoofdstuk III. De adviesmissie brengt verslag uit over haar bevindingen aan de Commissie, die lidstaat en de betrokken kritieke entiteit.
5. De Commissie stelt, na raadpleging van de Groep voor de weerbaarheid van kritieke entiteiten als bedoeld in artikel 19 niet-bindende richtsnoeren vast om de technische, beveiligings- en organisatorische maatregelen die krachtens lid 1 van dit artikel mogen worden genomen nader te bepalen.
6. De Commissie stelt uitvoeringshandelingen vast om de nodige technische en methodologische specificaties vast te stellen met betrekking tot de toepassing van de in lid 1 van dit artikel bedoelde maatregelen. Die uitvoeringshandelingen worden volgens de in artikel 24, lid 2, bedoelde onderzoeksprocedure vastgesteld.
Artikel 14
Antecedentenonderzoek
1. De lidstaten bepalen de voorwaarden waaronder het aan een kritieke entiteit is toegestaan, in goed gemotiveerde gevallen en rekening houdend met de lidstaat-risicobeoordeling, om antecedentenonderzoeken te verzoeken voor personen die:
a) |
een gevoelige functie vervullen in of voor de kritieke entiteit, met name wat betreft de weerbaarheid ervan; |
b) |
de toelating hebben om rechtstreeks of op afstand toegang te hebben tot de gebouwen, de informatie of de controlesystemen van de kritieke entiteit, onder meer in verband met de beveiliging ervan; |
c) |
in aanmerking komen voor aanwerving voor functies die onder de in de punten a) en b) genoemde criteria vallen. |
2. Verzoeken als bedoeld in lid 1 van dit artikel worden binnen een redelijke termijn beoordeeld en verwerkt in overeenstemming met het nationale recht en de nationale procedures en met het relevante en toepasselijke Unierecht, waaronder Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (37). Antecedentenonderzoeken zijn evenredig en strikt beperkt tot wat noodzakelijk is. Zij worden uitsluitend uitgevoerd om een mogelijk veiligheidsrisico voor de betrokken kritieke entiteit te beoordelen.
3. Bij een in lid 1 bedoeld antecedentenonderzoek wordt ten minste:
a) |
de identiteit bevestigd van de persoon op wie de achtergrondcontrole betrekking heeft; |
b) |
het strafregister geraadpleegd van die persoon wat betreft strafbare feiten die relevant zijn voor een specifieke functie. |
Bij de uitvoering van antecedentenonderzoeken maken de lidstaten gebruik van het Europees Strafregisterinformatiesysteem volgens de procedures in Kaderbesluit 2009/315/JBZ en, waar relevant en toepasselijk, Verordening (EU) 2019/816, teneinde de gegevens uit de strafregisters van andere lidstaten te verkrijgen. De in artikel 3, lid 1, van Kaderbesluit 2009/315/JBZ en in artikel 3, punt 5, van Verordening (EU) 2019/816 bedoelde centrale autoriteiten beantwoorden verzoeken om dergelijke gegevens binnen tien werkdagen na de datum van ontvangst van het verzoek overeenkomstig artikel 8, lid 1, van Kaderbesluit 2009/315/JBZ.
Artikel 15
Melding van incidenten
1. De lidstaten zorgen ervoor dat kritieke entiteiten de bevoegde autoriteit zonder onnodige vertraging incidenten melden die de verlening van essentiële diensten aanzienlijk verstoren of kunnen verstoren. De lidstaten ervoor dat kritieke entiteiten, tenzij dit operationeel niet mogelijk is, een eerste melding indienen binnen 24 uur nadat zij kennis heeft genomen van een incident, in voorkomend geval gevolgd door een gedetailleerd verslag uiterlijk een maand later. Om uit te maken of de verstoring aanzienlijk is, wordt met name met de volgende parameters rekening gehouden:
a) |
het aantal door de verstoring getroffen gebruikers en hun aandeel daarin; |
b) |
de duur van de verstoring; |
c) |
het door de verstoring getroffen geografische gebied, rekening houdend met de vraag of het gebied geografisch geïsoleerd is. |
Indien een incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van de verlening van essentiële diensten aan of in zes of meer lidstaten, melden de bevoegde autoriteiten van de door het incident getroffen lidstaten dat incident aan de Commissie.
2. Meldingen als bedoeld in de eerste alinea van lid 1 bevatten alle beschikbare informatie die de bevoegde autoriteit nodig heeft om te bepalen wat de aard, oorzaak en mogelijke gevolgen van het incident zijn, waaronder alle beschikbare informatie die nodig is om te bepalen of er grensoverschrijdende gevolgen zijn. Dergelijke meldingen leiden niet tot een verhoogde aansprakelijkheid voor de kritieke entiteiten.
3. Op basis van de informatie die de kritieke entiteit verstrekt in een melding als bedoeld in lid 1, informeert de betrokken bevoegde autoriteit, via het centraal contactpunt, het centraal contactpunt van andere getroffen lidstaten indien het incident aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in een of meer andere lidstaten.
Bij het versturen of ontvangen van informatie krachtens de eerste alinea behandelen de centrale contactpunten, overeenkomstig het Unie- of het nationale recht, die informatie zodanig dat ze vertrouwelijk kan worden gehouden en de veiligheid en de commerciële belangen van de betrokken kritieke entiteit worden beschermd.
4. Zo snel mogelijk na een melding als bedoeld in lid 1, verstrekt de betrokken bevoegde autoriteit de betrokken kritieke entiteit zo spoedig mogelijk relevante vervolginformatie, waaronder informatie die die kritieke entiteit kan helpen om doeltreffend te reageren op het incident in kwestie. De lidstaten informeren het publiek wanneer zij van oordeel zijn dat dit in het algemeen belang zou zijn.
Artikel 16
Normen
Ter bevordering van de convergente uitvoering van deze richtlijn moedigen de lidstaten, waar nuttig zonder het gebruik van een bepaald soort technologie op te leggen of te bevoorrechten, het gebruik aan van Europese en internationale normen en technische specificaties die relevant zijn voor de beveiligings- en weerbaarheidsmaatregelen die van toepassing zijn op kritieke entiteiten.
HOOFDSTUK IV
KRITIEKE ENTITEITEN VAN BIJZONDER EUROPEES BELANG
Artikel 17
Identificatie van kritieke entiteiten van bijzonder Europees belang
1. Een entiteit wordt als een kritieke entiteit van bijzonder Europees belang beschouwd wanneer zij
a) |
op grond van artikel 6, lid 1, als een kritieke entiteit is geïdentificeerd; |
b) |
dezelfde of soortgelijke essentiële diensten verleent aan of in ten minste zes lidstaten, en |
c) |
op grond van lid 3 van dit artikel in kennis is gesteld. |
2. De lidstaten zorgen ervoor dat een kritieke entiteit na de in artikel 6, lid 3, bedoelde kennisgeving haar bevoegde autoriteit informeert wanneer zij essentiële diensten verleent aan of in zes of meer lidstaten. In een dergelijk geval zorgt de lidstaat ervoor dat de kritieke entiteit de bevoegde autoriteit meedeelt welke essentiële diensten zij levert aan of in die lidstaten en aan of in welke lidstaten zij die essentiële diensten verleent. De lidstaten stellen de Commissie zonder onnodige vertraging in kennis van de identiteit van dergelijke kritieke entiteiten en van de informatie die zij verstrekken uit hoofde van dit lid.
De Commissie raadpleegt de bevoegde autoriteit van de lidstaat die de kritieke entiteit als bedoeld in de eerste alinea heeft geïdentificeerd, de bevoegde autoriteit van andere betrokken lidstaten en de betrokken kritieke entiteit. Tijdens die raadplegingen deelt elke lidstaat de Commissie mee of de diensten die de kritieke entiteit aan die lidstaat verleent naar zijn oordeel essentiële diensten zijn.
3. Indien de Commissie op basis van de in lid 2 van dit artikel bedoelde raadplegingen oordeelt dat de betrokken kritieke entiteit essentiële diensten verleent aan of in ten minste zes lidstaten, stelt de Commissie die betrokken entiteit er via haar bevoegde autoriteit van in kennis dat zij als een kritieke entiteit van bijzonder Europees belang wordt beschouwd, waarbij zij die kritieke entiteit op de hoogte stelt van haar verplichtingen krachtens dit hoofdstuk en van de datum vanaf wanneer die verplichtingen voor haar gelden. Zodra de Commissie de bevoegde autoriteit in kennis heeft gesteld van haar besluit om een kritieke entiteit als kritieke entiteit van bijzonder Europees belang te beschouwen, zendt de bevoegde autoriteit die kennisgeving zonder onnodige vertraging toe aan die kritieke entiteit.
4. Dit hoofdstuk is vanaf de datum van ontvangst van de in lid 3 van dit artikel bedoelde kennisgeving op de betrokken kritieke entiteit van bijzonder Europees belang van toepassing.
Artikel 18
Adviesmissies
1. Op verzoek van de lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit, organiseert de Commissie een adviesmissie ter beoordeling van de maatregelen die die entiteit heeft genomen om aan haar verplichtingen uit hoofde van hoofdstuk III te voldoen.
2. Op eigen initiatief of op verzoek van een of meer lidstaten waaraan of waarin de essentiële dienst wordt verleend, organiseert de Commissie een adviesmissie als bedoeld in lid 1 van dit artikel, mits de lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit, hiermee instemt.
3. Op gemotiveerd verzoek van de Commissie of van een of meer lidstaten waaraan of waarin de essentiële dienst wordt verleend, verstrekt de lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit, aan de Commissie het volgende:
a) |
de relevante delen van de risicobeoordeling door een kritieke entiteit; |
b) |
een lijst van de relevante overeenkomstig artikel 13 genomen maatregelen; |
c) |
de toezichts- of handhavingsmaatregelen, zoals beoordelingen van naleving of gegeven opdrachten, die zijn bevoegde autoriteit op grond van de artikelen 21 en 22 met betrekking tot die kritieke entiteit heeft genomen. |
4. De adviesmissie rapporteert haar bevindingen binnen drie maanden na afloop van haar werkzaamheden aan de Commissie, aan de lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit, aan de lidstaten waaraan of waarin de essentiële dienst wordt verleend, en aan de betrokken kritieke entiteit.
De lidstaten waaraan of waarin de essentiële dienst wordt verleend, analyseren het verslag als bedoeld in de eerste alinea en adviseren de Commissie indien nodig over de vraag of de betrokken kritieke entiteit van bijzonder Europees belang haar verplichtingen uit hoofde van hoofdstuk III nakomt en, in voorkomend geval, over de maatregelen die kunnen worden genomen om de weerbaarheid van die kritieke entiteit te verbeteren.
Op basis van het advies als bedoeld in de tweede alinea van dit lid, deelt de Commissie aan de lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit, aan de lidstaten waaraan of waarin de essentiële dienst wordt verleend, en aan die kritieke entiteit mee of die kritieke entiteit naar haar oordeel haar verplichtingen uit hoofde van hoofdstuk III nakomt en, in voorkomend geval, welke maatregelen kunnen worden genomen om de weerbaarheid van die kritieke entiteit te verbeteren.
De lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit, zorgt ervoor dat de bevoegde autoriteit en de betrokken kritieke entiteit terdege rekening houden met het in de derde alinea van dit lid bedoelde oordeel en verstrekt aan de Commissie en aan de lidstaten waaraan of waarin de essentiële dienst wordt verleend informatie over de maatregelen die hij naar aanleiding van dat oordeel heeft genomen.
5. Elke adviesmissie bestaat uit deskundigen uit de lidstaat waar de kritieke entiteit van bijzonder Europees belang is gevestigd, deskundigen uit de lidstaten waaraan of waarin de essentiële dienst wordt verleend, en vertegenwoordigers van de Commissie. Die lidstaten kunnen kandidaten voorstellen voor deelname aan een adviesmissie. Na overleg met de lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit, selecteert en benoemt de Commissie de leden van elke adviesmissie op basis van hun beroepsbekwaamheid, en zorgt daarbij indien mogelijk voor een geografisch evenwichtige vertegenwoordiging uit al die lidstaten. De leden van de adviesmissie beschikken zo nodig over een geldige en passende veiligheidsmachtiging. De Commissie draagt de kosten voor deelname aan adviesmissies.
De Commissie stelt het programma van elke adviesmissie op, in overleg met de leden van de betrokken adviesmissie en in samenspraak met de lidstaat die een kritieke entiteit van bijzonder Europees belang op grond van artikel 6, lid 1, heeft geïdentificeerd als een kritieke entiteit.
6. De Commissie stelt een uitvoeringshandeling vast met daarin de procedurele regelingen voor verzoeken om adviesmissies te organiseren, voor de behandeling van dergelijke verzoeken, voor de uitvoering van en rapportage over adviesmissies, en voor de behandeling van de mededeling van het oordeel van de Commissie als bedoeld in lid 4, derde alinea, van dit artikel en van de genomen maatregelen, terdege rekening houdend met de vertrouwelijkheid en de commerciële gevoeligheid van de betreffende informatie. Die uitvoeringshandeling wordt vastgesteld volgens de in artikel 24, lid 2, bedoelde onderzoeksprocedure.
7. De lidstaten zorgen ervoor dat de kritieke entiteiten van bijzonder Europees belang de adviesmissie toegang verlenen tot informatie, systemen en faciliteiten die betrekking hebben op de verlening van hun essentiële diensten en die de betrokken adviesmissie nodig heeft om haar taken uit te voeren.
8. Adviesmissies worden uitgevoerd met naleving van het toepasselijke nationale recht van de lidstaat waar deze plaatsvinden, met eerbiediging van de verantwoordelijkheid van die lidstaat voor de nationale veiligheid en de bescherming van zijn veiligheidsbelangen.
9. Bij het organiseren van adviesmissies houdt de Commissie rekening met de verslagen van eventuele inspecties die de Commissie uit hoofde van Verordening (EG) nr. 725/2004 en Verordening (EG) nr. 300/2008 heeft uitgevoerd en met de verslagen van de controles die de Commissie uit hoofde van Richtlijn 2005/65/EG heeft uitgevoerd ten aanzien van de betrokken kritieke entiteit.
10. De Commissie stelt de Groep voor de weerbaarheid van kritieke entiteiten bedoeld in artikel 19 ervan in kennis wanneer een adviesmissie wordt georganiseerd. Ter bevordering van wederzijds leren, stellen de lidstaat waar de adviesmissie heeft plaatsgevonden en de Commissie de Groep voor de weerbaarheid van kritieke entiteiten ook in kennis van de belangrijkste bevindingen van de adviesmissie en van de geleerde lessen.
HOOFDSTUK V
SAMENWERKING EN RAPPORTAGE
Artikel 19
Groep voor de weerbaarheid van kritieke entiteiten
1. Deze richtlijn richt een Groep voor de weerbaarheid van kritieke entiteiten op. De Groep voor de weerbaarheid van kritieke entiteiten ondersteunt de Commissie en faciliteert de samenwerking tussen de lidstaten en de uitwisseling van informatie over aangelegenheden in verband met deze richtlijn.
2. De Groep voor de weerbaarheid van kritieke entiteiten bestaat uit vertegenwoordigers van de lidstaten en de Commissie, die waar passend over een veiligheidsmachtiging beschikken. Indien dit voor de uitvoering van haar taken relevant is, kan de Groep voor de weerbaarheid van kritieke entiteiten belanghebbenden uitnodigen om aan haar werkzaamheden deel te nemen. Op verzoek van het Europees Parlement kan de Commissie deskundigen van het Europees Parlement uitnodigen om de vergaderingen van de Groep voor de weerbaarheid van kritieke entiteiten bij te wonen.
De vertegenwoordiger van de Commissie zit de Groep voor de weerbaarheid van kritieke entiteiten voor.
3. De Groep voor de weerbaarheid van kritieke entiteiten heeft de volgende taken:
a) |
het ondersteunen van de Commissie wanneer die de lidstaten assisteert bij het versterken van hun capaciteit om te zorgen voor de weerbaarheid van kritieke entiteiten overeenkomstig deze richtlijn; |
b) |
het analyseren van de strategieën teneinde beste praktijken met betrekking tot de strategieën vast te stellen; |
c) |
het faciliteren van de uitwisseling van beste praktijken met betrekking tot de identificatie van kritieke entiteiten door de lidstaten op grond van artikel 6, lid 1, onder meer met betrekking tot grensoverschrijdende en intersectorale afhankelijkheden en wat betreft risico's en incidenten; |
d) |
waar passend, het leveren van bijdragen met betrekking tot deze richtlijn aan documenten betreffende weerbaarheid op Unieniveau; |
e) |
het bijdragen aan de opstelling van de in artikel 7, lid 3, en artikel 13, lid 5, bedoelde richtsnoeren en, op verzoek, de gedelegeerde handelingen of uitvoeringshandelingen die worden vastgesteld uit hoofde van deze richtlijn; |
f) |
het analyseren van de in artikel 9, lid 3, bedoelde samenvattende verslagen ter bevordering van het delen van beste praktijken met betrekking tot de overeenkomstig artikel 15, lid 3, genomen maatregelen; |
g) |
het delen van beste praktijken met betrekking tot de melding van incidenten als bedoeld in artikel 15; |
h) |
het bespreken van de samenvattende verslagen van adviesmissies en van de geleerde lessen overeenkomstig artikel 18, lid 10; |
i) |
het uitwisselen van informatie en het delen van beste praktijken op het gebied van innovatie, onderzoek en ontwikkeling met betrekking tot de weerbaarheid van kritieke entiteiten overeenkomstig deze richtlijn; |
j) |
waar nodig, het uitwisselen van informatie op gebied van de weerbaarheid van kritieke entiteiten met de betrokken instellingen, organen en instanties van de Unie. |
4. Uiterlijk op 17 januari 2025 en vervolgens om de twee jaar, stelt de Groep voor de weerbaarheid van kritieke entiteiten een werkprogramma op inzake te nemen maatregelen ter uitvoering van haar doelstellingen en taken. Dat werkprogramma moet in overeenstemming zijn met de voorschriften en doelstellingen van deze richtlijn.
5. De Groep voor de weerbaarheid van kritieke entiteiten komt regelmatig en ten minste eenmaal per jaar met de bij Richtlijn (EU) 2022/2555 ingestelde samenwerkingsgroep bijeen teneinde de samenwerking en de uitwisseling van informatie te bevorderen en te faciliteren.
6. De Commissie kan uitvoeringshandelingen vaststellen met daarin de procedurele regelingen die nodig zijn voor het functioneren van de Groep voor de weerbaarheid van kritieke entiteiten, met inachtneming van artikel 1, lid 4. Die uitvoeringshandelingen worden volgens de in artikel 24, lid 2, bedoelde onderzoeksprocedure vastgesteld.
7. De Commissie verstrekt de Groep voor de weerbaarheid van kritieke entiteiten uiterlijk op 17 januari 2027 en vervolgens wanneer dat nodig is en ten minste om de vier jaar, een samenvattend verslag van de informatie die de lidstaten op grond van artikel 4, lid 3, en artikel 5, lid 4, hebben verstrekt.
Artikel 20
Ondersteuning door de Commissie van bevoegde autoriteiten en kritieke entiteiten
1. Waar nodig ondersteunt de Commissie de lidstaten en de kritieke entiteiten bij het nakomen van hun verplichtingen uit hoofde van deze Richtlijn. De Commissie stelt een overzicht op Unieniveau op van de grensoverschrijdende en intersectorale risico's voor de verlening van essentiële diensten, organiseert de in artikel 13, lid 4, en artikel 18 bedoelde adviesmissies, en faciliteert de informatie-uitwisseling tussen de lidstaten en deskundigen in de hele Unie.
2. De Commissie vult de in artikel 10 bedoelde activiteiten van de lidstaten aan door beste praktijken, richtsnoeren en methoden, en grensoverschrijdende opleidingsactiviteiten en oefeningen te ontwikkelen om de weerbaarheid van kritieke entiteiten te testen.
3. De Commissie informeert de lidstaten over de op Unieniveau beschikbare financiële middelen ter bevordering van de weerbaarheid van kritieke entiteiten.
HOOFDSTUK VI
TOEZICHT EN HANDHAVING
Artikel 21
Toezicht en handhaving
1. Om te beoordelen of de entiteiten die de lidstaten op grond van artikel 6, lid 1, als kritieke entiteiten hebben geïdentificeerd, de in deze richtlijn opgenomen verplichtingen naleven, zorgen de lidstaten ervoor dat de bevoegde autoriteiten over de bevoegdheden en middelen beschikken om:
a) |
inspecties ter plaatse te verrichten van de kritieke infrastructuur en de bedrijfsruimten die de kritieke entiteit gebruikt voor de verlening van haar essentiële diensten, en op afstand toezicht uit te oefenen op de maatregelen genomen door kritieke entiteiten overeenkomstig artikel 13; |
b) |
audits uit te voeren of te gelasten met betrekking tot kritieke entiteiten. |
2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over de bevoegdheden en middelen beschikken om, indien nodig voor de uitvoering van hun taken uit hoofde van deze richtlijn, voor te schrijven dat de entiteiten uit hoofde van Richtlijn (EU) 2022/2555 die lidstaten op grond van deze richtlijn ook als kritieke entiteiten hebben geïdentificeerd, hen binnen een door die autoriteiten vastgestelde redelijke termijn:
a) |
de informatie verstrekken die nodig is om te beoordelen of de maatregelen die deze entiteiten hebben genomen om hun weerbaarheid te waarborgen, voldoen aan de voorschriften opgenomen in artikel 13; |
b) |
bewijs verstrekken van de effectieve uitvoering van die maatregelen, met inbegrip van de resultaten van een audit die op kosten van de desbetreffende entiteit is uitgevoerd door een onafhankelijke en gekwalificeerde auditor die door de entiteit is geselecteerd. |
Wanneer zij die informatie voorschrijven, vermelden de bevoegde autoriteiten het doel van het voorschrift en specificeren zij welke informatie wordt voorgeschreven.
3. Onverminderd de mogelijkheid om sancties op te leggen overeenkomstig artikel 22, kunnen de bevoegde autoriteiten, in aansluiting op de in lid 1 van dit artikel bedoelde toezichtmaatregelen of de beoordeling van de in lid 2 van dit artikel bedoelde informatie, de betrokken kritieke entiteiten opdragen de nodige en evenredige maatregelen te nemen om een eventueel vastgestelde inbreuk op deze richtlijn binnen een door die autoriteiten vastgestelde redelijke termijn te verhelpen en die autoriteiten informatie over de genomen maatregelen te verstrekken. Bij een dergelijke opdracht wordt met name rekening gehouden met de ernst van de inbreuk.
4. De lidstaten zorgen ervoor dat de in de leden 1, 2 en 3 bedoelde bevoegdheden alleen met de nodige waarborgen kunnen worden uitgeoefend. Met die waarborgen wordt met name verzekerd dat een dergelijke uitoefening op objectieve, transparante en evenredige wijze plaatsvindt en dat de rechten en rechtmatige belangen van de betrokken kritieke entiteiten, zoals de bescherming van handels- en bedrijfsgeheimen, afdoende worden gegarandeerd, met inbegrip van hun recht om te worden gehoord, hun recht van verdediging en hun recht op een doeltreffende voorziening in rechte voor een onafhankelijke rechtbank.
5. De lidstaten zorgen ervoor dat een krachtens deze richtlijn bevoegde autoriteit bij het beoordelen van de naleving door een kritieke entiteit op grond van dit artikel, de bevoegde autoriteiten van de betrokken lidstaten daarvan in kennis stelt krachtens Richtlijn (EU) 2022/2555. Daartoe zorgen de lidstaten ervoor dat krachtens de onderhavige richtlijn bevoegde autoriteiten de op grond van Richtlijn (EU) 2022/2555 bevoegde autoriteiten kunnen verzoeken om hun toezichts- en handhavingsbevoegdheden uit te oefenen in verband met een entiteit uit hoofde van die richtlijn en die als een kritieke entiteit uit hoofde van onderhavige richtlijn is geïdentificeerd. Daartoe zorgen lidstaten ervoor dat krachtens de onderhavige richtlijn bevoegde autoriteiten met krachtens Richtlijn (EU) 2022/2555 bevoegde autoriteiten samenwerken en informatie uitwisselen.
Artikel 22
Sancties
De lidstaten stellen de voorschriften vast ten aanzien van de sancties die van toepassing zijn op overtredingen van de nationale maatregelen die zijn genomen op grond van deze richtlijn en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie, uiterlijk op 17 oktober 2024, van die voorschriften en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee.
HOOFDSTUK VII
GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN
Artikel 23
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De in artikel 5, lid 1, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 16 januari 2023.
3. Het Europees Parlement of de Raad kan de in artikel 5, lid 1, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.
5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
6. Een op grond van artikel 5, lid 1, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.
Artikel 24
Comitéprocedure
1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
HOOFDSTUK VIII
SLOTBEPALINGEN
Artikel 25
Rapportering en toetsing
De Commissie dient uiterlijk op 17 juli 2027 een verslag in bij het Europees Parlement en de Raad waarin wordt beoordeeld in welke mate elke lidstaat de nodige maatregelen heeft genomen om aan deze richtlijn te voldoen.
De Commissie evalueert op gezette tijden de werking van deze richtlijn en brengt daarover verslag uit aan het Europees Parlement en de Raad. In dat verslag worden met name de toegevoegde waarde van deze richtlijn, de impact ervan op het waarborgen van de weerbaarheid van kritieke entiteiten beoordeeld en wordt nagegaan of de bijlage bij de richtlijn moet worden gewijzigd. De Commissie dient uiterlijk op 17 juni 2029 het eerste dergelijke verslag in. Bij de rapportering uit hoofde van dit artikel houdt de Commissie rekening met relevante documenten van de Groep voor de weerbaarheid van kritieke entiteiten.
Artikel 26
Omzetting
1. De lidstaten dienen uiterlijk op 17 oktober 2024 de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij stellen de Commissie daarvan onmiddellijk in kennis.
Zij passen die bepalingen toe met ingang van 18 oktober 2024.
2. Wanneer de lidstaten de in lid 1 bedoelde bepalingen aannemen, wordt in die bepalingen zelf of bij de officiële bekendmaking ervan naar deze richtlijn verwezen. De regels voor die verwijzing worden vastgesteld door de lidstaten.
Artikel 27
Intrekking van Richtlijn 2008/114/EG
Richtlijn 2008/114/EG wordt met ingang van 18 oktober 2024 ingetrokken.
Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar de onderhavige richtlijn.
Artikel 28
Inwerkingtreding
Deze richtlijn treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Artikel 29
Adressaten
Deze richtlijn is gericht tot de lidstaten.
Gedaan te Straatsburg, 14 december 2022.
Voor het Europees Parlement
De voorzitter
R. METSOLA
Voor de Raad
De voorzitter
M. BEK
(1) PB C 286 van 16.7.2021, blz. 170.
(2) PB C 440 van 29.10.2021, blz. 99.
(3) Standpunt van het Europees Parlement van 22 november 2022 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 8 december 2022.
(4) Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (PB L 345 van 23.12.2008, blz. 75).
(5) Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972, en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (zie bladzijde 80 van dit Publicatieblad).
(6) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).
(7) Verordening (EU) 2019/452 van het Europees Parlement en de Raad van 19 maart 2019 tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (PB L 79I van 21.3.2019, blz. 1).
(8) Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PB L 201 van 27.7.2012, blz. 1).
(9) Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 176 van 27.6.2013, blz. 1).
(10) Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 173 van 12.6.2014, blz. 84).
(11) Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PB L 176 van 27.6.2013, blz. 338).
(12) Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PB L 173 van 12.6.2014, blz. 349).
(13) Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele veerkracht voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (zie bladzijde 1 van dit Publicatieblad).
(14) Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten (PB L 129 van 29.4.2004, blz. 6).
(15) Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PB L 97 van 9.4.2008, blz. 72).
(16) Richtlijn 2005/65/EG van het Europees Parlement en de Raad van 26 oktober 2005 betreffende het verhogen van de veiligheid van havens (PB L 310 van 25.11.2005, blz. 28).
(17) Richtlijn 2008/96/EG van het Europees Parlement en de Raad van 19 november 2008 betreffende het beheer van de verkeersveiligheid van weginfrastructuur (PB L 319 van 29.11.2008, blz. 59).
(18) Besluit van de Commissie van 29 juni 2018 tot oprichting van het EU-veiligheidsplatform voor treinreizigers 2018/C 232/03 (PB C 232 van 3.7.2018, blz. 10).
(19) Kaderbesluit 2009/315/JBZ van de Raad van 26 februari 2009 betreffende de organisatie en de inhoud van uitwisseling van gegevens uit het strafregister tussen de lidstaten (PB L 93 van 7.4.2009, blz. 23).
(20) Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (Ecris-TCN) ter aanvulling van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) 2018/1726 (PB L 135 van 22.5.2019, blz. 1).
(21) Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56).
(22) Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming (PB L 347 van 20.12.2013, blz. 924).
(23) Verordening (EU) 2021/1149 van het Europees Parlement en de Raad van 7 juli 2021 tot oprichting van het Fonds voor interne veiligheid (PB L 251 van 15.7.2021, blz. 94).
(24) Verordening (EU) 2021/695 van het Europees Parlement en de Raad van 28 april 2021 tot vaststelling van Horizon Europa — het kaderprogramma voor onderzoek en innovatie, tot vaststelling van de regels voor deelname en verspreiding en tot intrekking van Verordeningen (EU) nr. 1290/2013 en (EU) nr. 1291/2013 (PB L 170 van 12.5.2021, blz. 1).
(25) PB L 123 van 12.5.2016, blz. 1.
(26) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(27) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(28) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(29) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).
(30) Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).
(31) Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36).
(32) Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).
(33) Verordening (EU) 2017/1938 van het Europees Parlement en de Raad van 25 oktober 2017 betreffende maatregelen tot veiligstelling van de gasleveringszekerheid en houdende intrekking van Verordening (EU) nr. 994/2010 (PB L 280 van 28.10.2017, blz. 1).
(34) Verordening (EU) 2019/941 van het Europees Parlement en de Raad van 5 juni 2019 betreffende risicoparaatheid in de elektriciteitssector en tot intrekking van Richtlijn 2005/89/EG (PB L 158 van 14.6.2019, blz. 1).
(35) Richtlijn 2007/60/EG van het Europees Parlement en de Raad van 23 oktober 2007 over beoordeling en beheer van overstromingsrisico’s (PB L 288 van 6.11.2007, blz. 27).
(36) Richtlijn 2012/18/EU van het Europees Parlement en de Raad van 4 juli 2012 betreffende de beheersing van de gevaren van zware ongevallen waarbij gevaarlijke stoffen zijn betrokken, houdende wijziging en vervolgens intrekking van Richtlijn 96/82/EG van de Raad (PB L 197 van 24.7.2012, blz. 1).
(37) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).
BIJLAGE
SECTOREN, DEELSECTOREN EN CATEGORIEËN VAN ENTITEITEN
Sectoren |
Deelsectoren |
Categorieën van entiteiten |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
(1) Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (PB L 158 van 14.6.2019, blz. 125).
(2) Verordening (EU) 2019/943 van het Europees Parlement en de Raad van 5 juni 2019 betreffende de interne markt voor elektriciteit (PB L 158 van 14.6.2019, blz. 54).
(3) Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen (PB L 328 van 21.12.2018, blz. 82).
(4) Richtlijn 2009/119/EG van de Raad van 14 september 2009 houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden (PB L 265 van 9.10.2009, blz. 9).
(5) Richtlijn 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG (PB L 211 van 14.8.2009, blz. 94).
(6) Richtlijn 2009/12/EG van het Europees Parlement en de Raad van 11 maart 2009 inzake luchthavengelden (PB L 70 van 14.3.2009, blz. 11).
(7) Verordening (EU) nr. 1315/2013 van het Europees Parlement en de Raad van 11 december 2013 betreffende richtsnoeren van de Unie voor de ontwikkeling van het trans-Europees vervoersnetwerk en tot intrekking van Besluit nr. 661/2010/EU (PB L 348 van 20.12.2013, blz. 1).
(8) Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot vaststelling van het kader voor de totstandbrenging van het gemeenschappelijke Europese luchtruim (“de kaderverordening”) (PB L 96 van 31.3.2004, blz. 1).
(9) Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte (PB L 343 van 14.12.2012, blz. 32).
(10) Richtlijn 2002/59/EG van het Europees Parlement en de Raad van 27 juni 2002 betreffende de invoering van een communautair monitoring- en informatiesysteem voor de zeescheepvaart en tot intrekking van Richtlijn 93/75/EEG van de Raad (PB L 208 van 5.8.2002, blz. 10).
(11) Gedelegeerde Verordening (EU) 2015/962 van de Commissie van 18 december 2014 ter aanvulling van Richtlijn 2010/40/EU van het Europees Parlement en de Raad wat de verlening van EU-wijde realtimeverkeersinformatiediensten betreft (PB L 157 van 23.6.2015, blz. 21).
(12) Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen (PB L 207 van 6.8.2010, blz. 1).
(13) Verordening (EG) nr. 1370/2007 van het Europees Parlement en de Raad van 23 oktober 2007 betreffende het openbaar personenvervoer per spoor en over de weg en tot intrekking van Verordening (EEG) nr. 1191/69 van de Raad en Verordening (EEG) nr. 1107/70 van de Raad (PB L 315 van 3.12.2007, blz. 1).
(14) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).
(15) Verordening (EU) 2022/2371 van het Europees Parlement en de Raad van 23 november 2022 inzake ernstige grensoverschrijdende gezondheidsbedreigingen en tot intrekking van Besluit nr. 1082/2013/EU (PB L 314 van 6.12.2022, blz. 26).
(16) Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik (PB L 311 van 28.11.2001, blz. 67).
(17) Verordening (EU) 2022/123 van het Europees Parlement en de Raad van 25 januari 2022 betreffende een grotere rol van het Europees Geneesmiddelenbureau inzake crisisparaatheid en -beheersing op het gebied van geneesmiddelen en medische hulpmiddelen (PB L 20 van 31.1.2022, blz. 1).
(18) Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (PB L 435 van 23.12.2020, blz. 1).
(19) Richtlijn 91/271/EEG van de Raad van 21 mei 1991 inzake de behandeling van stedelijk afvalwater (PB L 135 van 30.5.1991, blz. 40).
(20) Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73).
(21) Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (PB L 321 van 17.12.2018, blz. 36).
(22) Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden (PB L 31 van 1.2.2002, blz. 1).