EUROPESE COMMISSIE

Brussel, 16.12.2020

COM(2020) 829 final

2020/0365(COD)

Voorstel voor een

RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de veerkracht van kritieke entiteiten

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

·Motivering en doel van het voorstel

·Verenigbaarheid met bestaande bepalingen op het beleidsterrein

Dit voorstel weerspiegelt de prioriteiten die de Commissie heeft geformuleerd in haar EU-strategie voor de veiligheidsunie 11 . Daarin wordt ervoor gepleit de veerkracht van kritieke infrastructuur anders te benaderen, nl. op een wijze die beter aansluit bij het huidige risicolandschap én dat van de toekomst, bij de steeds nauwere onderlinge afhankelijkheid van verschillende sectoren en bij de steeds hechtere wisselwerking tussen fysieke en digitale infrastructuren.

De voorgestelde richtlijn vervangt de ECI-richtlijn en daarbij wordt rekening gehouden met en voortgebouwd op andere bestaande en beoogde instrumenten. De voorgestelde richtlijn houdt een aanzienlijke verandering in ten opzichte van de ECI-richtlijn, die alleen voor de sectoren energie en vervoer geldt, uitsluitend op beschermende maatregelen gericht is en voorziet in een procedure voor het identificeren en als zodanig aanmerken van ECI’s door middel van grensoverschrijdende dialoog. Ten eerste heeft de voorgestelde richtlijn een veel ruimer sectoraal toepassingsgebied, dat tien sectoren omvat: energie, vervoer, bankwezen, financiële markt, volksgezondheid, drinkwater, afvalwater, digitale dienstverlening, openbaar bestuur en ruimtevaart. Ten tweede voorziet de richtlijn in een procedure die lidstaten kunnen gebruiken om kritieke entiteiten te identificeren op basis van gemeenschappelijke criteria en een nationale risicobeoordeling. Ten derde houdt het voorstel verplichtingen in voor de lidstaten en de door de lidstaten geïdentificeerde kritieke entiteiten, met inbegrip van de entiteiten die van bijzonder Europees belang zijn, d.w.z. kritieke entiteiten die essentiële diensten aan dan wel in meer dan een derde van de lidstaten verlenen en onder specifiek toezicht zullen staan.

Indien nodig zal de Commissie de bevoegde autoriteiten en kritieke entiteiten ondersteuning bieden bij de naleving van hun verplichtingen uit hoofde van de richtlijn. Voorts zal de Groep voor de veerkracht van kritieke entiteiten, die als deskundigengroep van de Commissie onderworpen is aan het horizontale kader voor zulke groepen, de Commissie adviseren en ijveren voor strategische samenwerking en de uitwisseling van informatie. Ten slotte is ook overleg met partnerlanden geboden, omdat onderlinge afhankelijkheid niet ophoudt aan de buitengrenzen van de EU. De voorgestelde richtlijn maakt dergelijke samenwerking mogelijk, bijvoorbeeld op het gebied van risicobeoordelingen.

Verenigbaarheid met andere beleidsterreinen van de Unie

De voorgestelde richtlijn sluit duidelijk aan bij, en is verenigbaar met, andere sectorale en intersectorale EU-initiatieven op het gebied van bijvoorbeeld klimaatbestendigheid, civiele bescherming, buitenlandse directe investeringen, cyberbeveiliging en het acquis op het gebied van financiële diensten. Het voorstel is met name zorgvuldig afgestemd op de voorgestelde NIS 2-richtlijn en brengt daarmee nauwe synergieën tot stand. Voornoemde richtlijn heeft ten doel in een groot aantal sectoren bij essentiële entiteiten en belangrijke entiteiten die boven bepaalde drempelwaarden komen, de informatie- en communicatietechnologie (ICT) inzake alle risico’s veerkrachtiger te maken. Dit voorstel voor een richtlijn betreffende de veerkracht van kritieke entiteiten beoogt te waarborgen dat bevoegde autoriteiten die uit hoofde van deze richtlijn respectievelijk de voorgestelde NIS 2-richtlijn zijn aangewezen, zo nodig aanvullende maatregelen nemen en informatie uitwisselen over cyber- en niet-cyberveerkracht, en dat in de op grond van de voorgestelde NIS 2-richtlijn als essentieel beschouwde sectoren bijzonder kritieke entiteiten ook worden onderworpen aan meer algemene veerkracht bevorderende verplichtingen om niet-cyberrisico’s aan te pakken. De fysieke beveiliging van netwerk- en informatiesystemen van entiteiten in de digitale-infrastructuursector wordt in de voorgestelde NIS 2-richtlijn breed benaderd in het kader van de verplichtingen die deze entiteiten hebben inzake risicobeheer en -rapportage met betrekking tot cyberbeveiliging. Verder bouwt het voorstel voort op het bestaande acquis inzake financiële diensten, dat financiële entiteiten brede verplichtingen oplegt om operationele risico’s te beheren en de bedrijfscontinuïteit te waarborgen. Entiteiten die deel uitmaken van de digitale, bancaire en financiële infrastructuren moeten wat betreft de verplichtingen en activiteiten van de lidstaten uit hoofde van deze richtlijn dan ook worden behandeld als entiteiten die gelijkwaardig zijn aan kritieke entiteiten, ofschoon deze richtlijn voor die entiteiten zelf geen aanvullende verplichtingen inhoudt.

Het voorstel houdt ook rekening met andere sectorale en intersectorale initiatieven op het gebied van bv. civiele bescherming, rampenrisicovermindering en aanpassing aan de klimaatverandering. Voorts wordt in het voorstel onderkend dat de bestaande EU-wetgeving entiteiten in sommige gevallen verplicht om beschermende maatregelen te nemen in verband met bepaalde risico’s. In dergelijke gevallen moeten de kritieke entiteiten die maatregelen, bv. op het gebied van maritieme of luchtvaartbeveiliging, in hun plannen inzake veerkracht beschrijven. Overigens doet de voorgestelde richtlijn geen afbreuk aan de toepassing van de mededingingsregels als vervat in het Verdrag betreffende de werking van de Europese Unie (VWEU).

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

·Rechtsgrondslag

·Subsidiariteit

·Evenredigheid

·Keuze van het instrument

3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

·Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

De richtlijn betreffende Europese kritieke infrastructuur (ECI) is in 2019 geëvalueerd om de uitvoering ervan te beoordelen uit het oogpunt van relevantie, coherentie, doeltreffendheid, doelmatigheid, EU-meerwaarde en duurzaamheid 12 .

De evaluatie wees uit dat de context sinds de inwerkingtreding van de richtlijn aanzienlijk is veranderd. Gezien deze veranderingen werd geconstateerd dat de richtlijn nog maar ten dele relevant is. Hoewel uit de evaluatie bleek dat de richtlijn over het algemeen in overeenstemming was met de relevante Europese sectorale wetgeving en het relevante beleid op internationaal niveau, werd hij wegens de algemeenheid van een aantal van de bepalingen ervan slechts ten dele doeltreffend geacht. Vastgesteld werd dat de richtlijn EU-meerwaarde had gegenereerd in de zin dat er resultaten mee waren bereikt (nl. een gemeenschappelijk kader voor de bescherming van ECI’s) die in het kader van nationale of andere Europese initiatieven alleen hadden kunnen worden verwezenlijkt via veel langere, duurdere en minder welomschreven processen. Niettemin bleek een aantal bepalingen voor veel lidstaten beperkte meerwaarde te hebben gehad.

Wat duurzaamheid betreft, zouden bepaalde resultaten van de richtlijn (bv. grensoverschrijdende besprekingen, rapportagevereisten) naar verwachting wegvallen, mocht de richtlijn worden ingetrokken en niet worden vervangen. Volgens de evaluatie zijn de lidstaten er nog steeds voorstander van dat de EU bijdraagt tot de inspanningen om de veerkracht van kritieke infrastructuur te versterken en bestaat er enige vrees dat als de richtlijn zonder meer wordt ingetrokken, zulks negatieve gevolgen zou kunnen hebben op dit gebied en met name voor de bescherming van als ECI aangemerkte infrastructuur. De lidstaten wilden graag waarborgen dat de Unie bij haar optreden ter zake het beginsel van subsidiariteit in acht blijft nemen, maatregelen op nationaal niveau ondersteunt en grensoverschrijdende samenwerking – ook met derde landen – bevordert.

·Raadpleging van belanghebbenden

·Bijeenbrengen en gebruik van expertise

·Effectbeoordeling

–optie 1: Behoud van de huidige ECI-richtlijn, vergezeld van vrijwillige maatregelen in het kader van het huidige EPCIP-programma;

–optie 2: Aanpassing van de huidige ECI-richtlijn, zodat deze geldt voor dezelfde sectoren als de huidige NIS-richtlijn en zich nadrukkelijker op veerkracht toespitst. De nieuwe ECI-richtlijn zou leiden tot veranderingen van de wijze waarop grensoverschrijdende ECI’s momenteel worden aangemerkt en onder meer voorzien in nieuwe criteria voor het aanwijzen van ECI’s en in nieuwe vereisten voor de lidstaten en exploitanten;

–optie 3: Vervanging van de bestaande ECI-richtlijn door een nieuw instrument, dat ten doel heeft de veerkracht te versterken van de kritieke entiteiten in de sectoren die uit hoofde van de voorgestelde NIS 2-richtlijn als essentieel zijn aangemerkt. Deze optie zou leiden tot minimumvereisten voor de lidstaten en de in het nieuwe kader geïdentificeerde kritieke entiteiten. Er zou een procedure worden vastgesteld voor de identificatie van kritieke entiteiten die diensten verlenen aan of in meerdere – zo niet alle – EU-lidstaten. De uitvoering van de wetgeving zou worden ondersteund door een speciaal kenniscentrum binnen de Commissie.

–optie 4: Vervanging van de bestaande ECI-richtlijn door een nieuw instrument dat ten doel heeft de veerkracht te versterken van kritieke entiteiten in de sectoren die uit hoofde van de voorgestelde NIS 2-richtlijn als essentieel zijn aangemerkt, en een substantiëlere rol voor de Commissie bij het identificeren van kritieke entiteiten en de totstandbrenging van een speciaal EU-agentschap voor de veerkracht van kritieke infrastructuur (dat de taken en verantwoordelijkheden zou krijgen die in de vorige optie zouden worden vervuld door het kenniscentrum).

·Resultaatgerichtheid en vereenvoudiging

·Grondrechten

4.GEVOLGEN VOOR DE BEGROTING

–ondersteunende activiteiten van de Commissie   met inbegrip van personeel, projecten, studies en ondersteunende activiteiten,

–adviesmissies georganiseerd door de Commissie,

–regelmatige vergaderingen van de Groep voor de veerkracht van kritieke entiteiten en het comitologiecomité, en andere vergaderingen.

5.OVERIGE ELEMENTEN

·Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

De uitvoering van de voorgestelde richtlijn zal vier en een half jaar na de inwerkingtreding ervan worden geëvalueerd, waarna de Commissie verslag zal uitbrengen aan het Europees Parlement en de Raad. In dit verslag zal worden nagegaan in hoeverre de lidstaten de nodige maatregelen hebben genomen om aan de richtlijn te voldoen. Zes jaar na de inwerkingtreding van de richtlijn zal de Commissie bij het Europees Parlement en de Raad een verslag indienen met een beoordeling van het effect en de meerwaarde van de richtlijn.

·Artikelsgewijze toelichting

Onderwerp, toepassingsgebied en definities (artikelen 1 en 2)

Artikel 1 beschrijft het onderwerp en het toepassingsgebied van de richtlijn, uit hoofde waarvan de lidstaten verplicht zijn een aantal maatregelen te nemen om te waarborgen dat diensten die essentieel zijn voor het behoud van vitale maatschappelijke functies of economische activiteiten, op de interne dienstenmarkt worden verleend. Daarbij gaat het er met name om kritieke entiteiten te identificeren en deze identiteiten in staat te stellen te voldoen aan specifieke verplichtingen die erop gericht zijn zowel hun veerkracht als hun vermogen om die diensten op de interne markt te verlenen, te bevorderen. De richtlijn stelt ook regels vast voor het toezicht op en de handhaving inzake kritieke entiteiten en het specifieke toezicht op kritieke entiteiten die van bijzonder Europees belang worden geacht. Verder worden in artikel 1 de verhouding tussen de richtlijn en andere relevante handelingen van Unierecht toegelicht en de voorwaarden uiteengezet waaronder informatie die krachtens EU- en nationale voorschriften als vertrouwelijk geldt, met de Commissie en andere relevante autoriteiten dient te worden uitgewisseld. Artikel 2 bevat een lijst van toepasselijke definities.

Nationale kaders inzake de veerkracht van kritieke entiteiten (artikelen 3-9)

Artikel 3 bepaalt dat de lidstaten een strategie moeten vaststellen om de veerkracht van kritieke entiteiten te versterken, beschrijft de elementen die een dergelijke strategie moet omvatten, licht toe dat de strategie regelmatig en wanneer nodig moet worden bijgewerkt en bepaalt dat de lidstaten hun strategieën en eventuele actualiseringen daarvan aan de Commissie moeten meedelen. Artikel 4 bepaalt dat de bevoegde autoriteiten een lijst van essentiële diensten moeten opstellen en regelmatig een beoordeling moeten uitvoeren van alle relevante risico’s die van invloed kunnen zijn op de verlening van die essentiële diensten, met het oog op de identificatie van kritieke entiteiten. Deze beoordeling houdt rekening met de overeenkomstig andere relevante handelingen van Unierecht uitgevoerde risicobeoordelingen, de risico’s die voortvloeien uit de afhankelijkheden tussen de specifieke sectoren en de beschikbare informatie over incidenten. De lidstaten dienen ervoor te zorgen dat de relevante elementen van de risicobeoordeling ter beschikking van de kritieke entiteiten worden gesteld en dat er regelmatig gegevens over de geïdentificeerde soorten risico’s en de resultaten van de risicobeoordelingen aan de Commissie worden verstrekt.

Artikel 5 bepaalt dat de lidstaten kritieke entiteiten in specifieke sectoren en deelsectoren dienen te identificeren. Bij het identificatieproces moet rekening worden gehouden met de resultaten van de risicobeoordeling en moeten specifieke criteria worden toegepast. De lidstaten dienen een lijst van kritieke entiteiten op te stellen en die wanneer dat nodig is en regelmatig bij te werken. De kritieke entiteiten dienen naar behoren in kennis te worden gesteld van hun identificatie en de daaruit voortvloeiende verplichtingen. De bevoegde autoriteiten die verantwoordelijk zijn voor de uitvoering van de richtlijn, delen de bevoegde autoriteiten die verantwoordelijk zijn voor de tenuitvoerlegging van de NIS 2-richtlijn mee welke entiteiten als kritiek zijn geïdentificeerd. Wanneer twee of meer lidstaten een entiteit als kritiek hebben geïdentificeerd, moeten de lidstaten overleg met elkaar plegen om de last voor de kritische entiteit te verminderen. Wanneer kritieke entiteiten diensten verlenen aan of in meer dan een derde van de lidstaten, moet de betrokken lidstaat de Commissie in kennis stellen van de identiteit van die kritieke entiteiten.

Artikel 6 definieert het begrip “aanzienlijk verstorend effect” als bedoeld in artikel 5, lid 2, en vereist dat de lidstaten de Commissie in kennis stellen van bepaalde gegevens over de kritieke entiteiten die zij identificeren en over de wijze waarop zij bij de identificatie te werk zijn gegaan. Artikel 6 geeft de Commissie ook de bevoegdheid om, na raadpleging van de Groep voor de veerkracht van kritieke entiteiten, relevante richtsnoeren vaststellen.

Artikel 7 bepaalt dat de lidstaten in de bancaire- en financiëlemarktinfrastructuren en de digitale infrastructuur de entiteiten moeten identificeren die uitsluitend voor de toepassing van hoofdstuk II als gelijkwaardig aan kritieke entiteiten moeten worden behandeld. Deze entiteiten moeten in kennis worden gesteld van hun identificatie.

Artikel 8 bepaalt dat elke lidstaat een of meer bevoegde autoriteiten moet aanwijzen die verantwoordelijk zijn voor de correcte toepassing van de richtlijn op nationaal niveau, ervoor moet zorgen dat deze autoriteiten voldoende middelen tot hun beschikking hebben, en een centraal contactpunt dient te belasten met het waarborgen van grensoverschrijdende samenwerking. Het centrale contactpunt dient regelmatig een samenvattend verslag over de meldingen van incidenten in te dienen bij de Commissie. Artikel 8 bepaalt dat de bevoegde autoriteiten die verantwoordelijk zijn voor de toepassing van de richtlijn dienen samen te werken met andere relevante nationale autoriteiten, waaronder uit hoofde van de NIS 2-richtlijn aangewezen bevoegde autoriteiten Artikel 9 bepaalt dat de lidstaten steun moeten verlenen aan kritieke entiteiten bij het waarborgen van hun veerkracht. Ook moeten zij de samenwerking en de vrijwillige uitwisseling van informatie en goede praktijken tussen bevoegde autoriteiten en kritieke entiteiten bevorderen.

Veerkracht van kritieke entiteiten (artikelen 10-13)

Artikel 10 bepaalt dat kritieke entiteiten alle relevante risico’s regelmatig op basis van nationale risicobeoordelingen en andere relevante informatiebronnen moeten beoordelen. Artikel 11 bepaalt dat de kritieke entiteiten passende en evenredige technische en organisatorische maatregelen moeten nemen om hun veerkracht te waarborgen en dat zij die maatregelen ook in het plan inzake veerkracht of een gelijkwaardig document of gelijkwaardige documenten moeten beschrijven. De lidstaten kunnen de Commissie verzoeken adviesmissies te organiseren om kritieke entiteiten te adviseren over de nakoming van hun verplichtingen. Artikel 11 verleent de Commissie ook de bevoegdheid om zo nodig gedelegeerde handelingen en uitvoeringshandelingen vast te stellen.

Artikel 12 bepaalt dat de lidstaten ervoor moeten zorgen dat kritieke entiteiten verzoeken om een antecedentenonderzoek kunnen indienen ten aanzien van personen die tot bepaalde specifieke categorieën van hun personeel behoren of zouden kunnen gaan behoren, en dat die verzoeken snel worden beoordeeld door de autoriteiten die voor de uitvoering van dergelijke antecedentenonderzoeken verantwoordelijk zijn. Het artikel beschrijft het doel, de reikwijdte en de inhoud van de antecedentenonderzoeken, die alle drie in overeenstemming moeten zijn met de algemene verordening gegevensbescherming.

Artikel 13 bepaalt dat de lidstaten moeten waarborgen dat de kritieke entiteiten bevoegde autoriteit in kennis stellen van incidenten die hun functioneren aanzienlijk verstoren of zouden kunnen verstoren. De bevoegde autoriteiten voorzien op hun beurt de kennisgevende kritieke entiteit van relevante follow-upinformatie. Via het centrale contactpunt dienen de bevoegde autoriteiten ook de centrale contactpunten in andere getroffen lidstaten te informeren, ingeval het incident in een of meer andere lidstaten grensoverschrijdende gevolgen heeft of zou kunnen hebben.

Specifiek toezicht op kritieke entiteiten van bijzonder Europees belang (artikelen 14-15)

Artikel 14 definieert kritieke entiteiten die van bijzonder Europees belang zijn als entiteiten die als kritiek zijn aangemerkt en die essentiële diensten verlenen aan of in meer dan een derde van de lidstaten. Bij ontvangst van de kennisgeving krachtens artikel 5, lid 6, moet de Commissie de betrokken entiteit meedelen dat zij wordt beschouwd als een kritieke entiteit van bijzonder Europees belang, welke verplichtingen daaruit voortvloeien en op welke datum deze verplichtingen van toepassing worden. Artikel 15 beschrijft de specifieke voorschriften inzake het toezicht op de kritieke entiteiten van bijzonder Europees belang, zoals de bepaling dat de gastlidstaten de Commissie en de Groep voor de veerkracht van kritieke entiteiten op verzoek in kennis moeten stellen van informatie over de overeenkomstig artikel 10 uitgevoerde risicobeoordeling en de overeenkomstig artikel 11 genomen maatregelen, alsook van toezichts- of handhavingsmaatregelen. Artikel 15 bepaalt ook dat de Commissie adviesmissies kan organiseren om de maatregelen te beoordelen die specifieke kritieke entiteiten van bijzonder Europees belang hebben genomen. Op basis van een analyse van de bevindingen van de adviesmissie door de Groep voor de veerkracht van kritieke entiteiten deelt de Commissie aan de lidstaat waar de infrastructuur van de entiteit zich bevindt, haar standpunt mee over de vraag of die entiteit haar verplichtingen nakomt en, in voorkomend geval, over de maatregelen die zouden kunnen worden genomen om de veerkracht van die entiteit te verbeteren. Dit artikel beschrijft de samenstelling, organisatie en financiering van de adviesmissies. Ook wordt erin bepaald dat de Commissie een uitvoeringshandeling moet vaststellen met voorschriften inzake de procedureregels voor het verloop van en de verslagen over adviesmissies.

Samenwerking en verslaglegging (artikelen 16-17)

Artikel 16 beschrijft de rol en taken van de Groep voor de veerkracht van kritieke entiteiten, die dient te bestaan uit vertegenwoordigers van de lidstaten en de Commissie. Deze groep dient de Commissie te ondersteunen en zowel strategische samenwerking als informatie-uitwisseling te vergemakkelijken. Het artikel legt uit dat de Commissie uitvoeringshandelingen kan vaststellen met procedureregels die nodig zijn voor de werking van de Groep voor de veerkracht van kritieke entiteiten. Artikel 17 bepaalt dat de Commissie in voorkomend geval de lidstaten en kritieke entiteiten bij het nakomen van hun verplichtingen uit hoofde van de richtlijn moet ondersteunen en de in artikel 9 bedoelde activiteiten van de lidstaten moet aanvullen.

Toezicht en handhaving (artikel 18-19)

Artikel 18 bepaalt dat de lidstaten een aantal bevoegdheden, middelen en verantwoordelijkheden hebben wat betreft de uitvoering en handhaving van de richtlijn. De lidstaten moeten ervoor zorgen dat een bevoegde autoriteit, bij het beoordelen van de naleving door een kritieke entiteit, de krachtens de NIS 2-richtlijn aangewezen bevoegde autoriteiten van de betrokken lidstaat daarvan in kennis stelt, deze autoriteiten kan verzoeken om de cyberbeveiliging van een dergelijke entiteit te beoordelen en daartoe moet samenwerken en informatie moet uitwisselen. Artikel 19 bepaalt dat de lidstaten, overeenkomstig de gevestigde praktijk, de regels betreffende de sancties op overtredingen moeten vaststellen en alle nodige maatregelen moeten nemen om ervoor te zorgen dat deze ten uitvoer worden gelegd.

Slotbepalingen (artikelen 20-26)

Artikel 20 bepaalt dat de Commissie moet worden bijgestaan door een comité in de zin van Verordening (EU) nr. 182/2011. Dit is een standaardartikel. Artikel 21 kent de Commissie de bevoegdheid toe om gedelegeerde handelingen vast te stellen onder de in dat artikel neergelegde voorwaarden. Dit is eveneens een standaardartikel. Artikel 22 bepaalt dat de Commissie een verslag moet indienen bij het Europees Parlement en de Raad waarin wordt beoordeeld in hoeverre de lidstaten de nodige maatregelen hebben genomen om aan de richtlijn te voldoen. Bij het Europees Parlement en de Raad moet regelmatig een verslag worden ingediend waarin het effect en de meerwaarde van de richtlijn worden beoordeeld en waarin wordt nagegaan of het toepassingsgebied van de richtlijn moet worden uitgebreid tot andere sectoren of deelsectoren, zoals voedselproductie, -verwerking en -distributie.

Artikel 23 bepaalt dat Richtlijn 2008/114/EG wordt ingetrokken op de datum waarop de richtlijn in werking treedt. Artikel 24 bepaalt dat de lidstaten binnen de gestelde termijn de nodige wettelijke en bestuursrechtelijke bepalingen moeten vaststellen en bekendmaken om aan de richtlijn te voldoen en de Commissie daarvan in kennis moeten stellen. De tekst van de belangrijkste bepalingen van intern recht die de lidstaten op het onder deze richtlijn vallende gebied vaststellen, moet worden meegedeeld aan de Commissie. Artikel 25 bepaalt dat deze richtlijn in werking dient te treden op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie. Artikel 26 bepaalt dat de richtlijn tot de lidstaten is gericht.

2020/0365 (COD)

Voorstel voor een

RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de veerkracht van kritieke entiteiten

DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité 14 ,

Gezien het advies van het Comité van de Regio's 15 ,

Handelend volgens de gewone wetgevingsprocedure 16 ,

Overwegende hetgeen volgt:

(1)Richtlijn 2008/114/EG van de Raad 17 voorziet in een procedure voor het aanwijzen van Europese kritieke infrastructuren in de sectoren energie en vervoer, waarvan de ontwrichting of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten. Die richtlijn was uitsluitend gericht op de bescherming van dergelijke infrastructuren. De in 2019 verrichte evaluatie van Richtlijn 2008/114/EG 18 wees echter uit dat door de steeds sterkere verwevenheid en grensoverschrijdende aard van activiteiten waarbij gebruik wordt gemaakt van de kritieke infrastructuur, beschermende maatregelen met betrekking tot louter individuele activa niet volstaan om alle verstoringen te voorkomen. Die aanpak moet dan ook worden verruild voor een die de veerkracht van kritieke entiteiten waarborgt, dat wil zeggen hun vermogen om incidenten die hun functioneren kunnen verstoren, te beperken of op te vangen dan wel zich aan die incidenten aan te passen of daarvan te herstellen.

(2)Ofschoon er op zowel het niveau van de Unie 19 als het nationaal niveau maatregelen van kracht zijn die ten doel hebben de bescherming van kritieke infrastructuren in de Unie te ondersteunen, zijn de entiteiten die deze infrastructuren exploiteren, niet voldoende toegerust om het hoofd te kunnen bieden aan bestaande en nieuwe operationele risico’s welke kunnen leiden tot de verstoring van diensten die van essentieel belang zijn voor het verrichten van vitale maatschappelijke functies of economische activiteiten. Dit is het gevolg van een dynamisch dreigingslandschap met een evoluerende terroristische dreiging en toenemende onderlinge afhankelijkheid tussen infrastructuren en sectoren, alsook van een toenemend fysiek risico wegens natuurrampen en klimaatverandering, waardoor zich vaker en op grotere schaal extreme weersomstandigheden zullen voordoen en het klimaatgemiddelde langetermijnveranderingen ondergaat die, als er geen maatregelen inzake veerkracht en klimaatverandering van kracht zijn, afbreuk kunnen doen aan de capaciteit en efficiëntie van bepaalde soorten infrastructuur. Bovendien worden relevante sectoren en soorten entiteiten niet altijd in alle lidstaten als kritiek erkend.

(3)Die toenemende onderlinge afhankelijkheid is het gevolg van een netwerk van in steeds sterkere mate grensoverschrijdende en onderling afhankelijke diensten waarvoor in de hele Unie wordt gebruikgemaakt van belangrijke infrastructuren in de sectoren energie, vervoer, bankwezen, financiële markt, digitale dienstverlening, drinkwater en afvalwater, volksgezondheid en bepaalde aspecten van openbaar bestuur, alsook ruimtevaart voor zover het gaat om de verlening van bepaalde diensten die afhankelijk zijn van grondinfrastructuren welke eigendom zijn van en beheerd en geëxploiteerd worden door lidstaten of particuliere partijen, en dus niet om diensten die afhankelijk zijn van infrastructuren welke eigendom zijn van en beheerd of geëxploiteerd worden door of namens de Unie in het kader van haar ruimtevaartprogramma’s. Deze onderlinge afhankelijkheden betekenen dat elke verstoring, ook als deze aanvankelijk beperkt is tot één entiteit of één sector, bredere cascade-effecten kan hebben, die in potentie verstrekkende en langdurige negatieve gevolgen kunnen hebben voor de verrichting van diensten op de interne markt. De COVID-19-pandemie heeft duidelijk gemaakt hoe kwetsbaar onze steeds meer onderling afhankelijke samenlevingen zijn voor onwaarschijnlijke risico’s.

(4)De entiteiten die betrokken zijn bij de verlening van essentiële diensten, moeten uit hoofde van de wetgeving van de lidstaten steeds vaker voldoen aan uiteenlopende eisen. Het feit dat de veiligheidsvoorschriften voor deze entiteiten in sommige lidstaten minder streng zijn, kan niet alleen negatieve gevolgen hebben voor de instandhouding van vitale maatschappelijke functies of economische activiteiten in de hele Unie, maar veroorzaakt ook belemmeringen voor de goede werking van de interne markt. Vergelijkbare soorten entiteiten worden door sommige lidstaten wel en door andere niet als kritiek beschouwd, terwijl voor de entiteiten die wel als kritiek worden aangemerkt, in verschillende lidstaten uiteenlopende voorschriften gelden. Dit leidt tot extra en onnodige administratieve lasten voor bedrijven die grensoverschrijdend opereren, met name als zij actief zijn in lidstaten met strengere voorschriften.

(5)Het is dan ook nodig geharmoniseerde minimumvoorschriften vast te stellen om de verlening van essentiële diensten op de interne markt te waarborgen en de veerkracht van kritieke entiteiten te versterken.

(6)Daartoe moeten de lidstaten vaststellen welke kritieke entiteiten aan specifieke voorschriften en toezicht moeten worden onderworpen, maar ook moeten voorzien in bijzondere ondersteuning en begeleiding om te zorgen voor een hoog niveau van veerkracht ten aanzien van alle relevante risico’s.

(7)Bepaalde economische sectoren zoals energie en vervoer zijn reeds gereguleerd of zouden in de toekomst kunnen worden gereguleerd door middel van sectorspecifieke handelingen van Unierecht met regels inzake een aantal aspecten van de veerkracht van entiteiten die in die sectoren actief zijn. Om op een brede manier de veerkracht te bevorderen van de entiteiten die van kritiek belang zijn voor de goede werking van de interne markt, moeten die sectorspecifieke maatregelen worden aangevuld door de maatregelen waarin is voorzien bij deze richtlijn, die een overkoepelend kader creëert betreffende de veerkracht van kritieke entiteiten ten aanzien van alle gevaren, d.w.z. zowel natuurrampen als rampen die – accidenteel of opzettelijk – door de mens worden veroorzaakt.

(8)Gezien het belang van cyberbeveiliging voor de veerkracht van kritieke entiteiten, is, ook met het oog op consistentie, waar mogelijk een aanpak geboden die coherent is met deze richtlijn en met Richtlijn (EU) XX/YY van het Europees Parlement en de Raad 20 [voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (hierna “NIS 2-richtlijn” genoemd)]. Gezien de hogere frequentie en bijzondere kenmerken van cyberrisico’s legt de NIS 2-richtlijn een grote groep entiteiten brede verplichtingen op om hun cyberbeveiliging te waarborgen. Aangezien cyberbeveiliging voldoende aan bod komt in de NIS 2-richtlijn, moeten de zaken die daarin worden behandeld, worden uitgesloten van het toepassingsgebied van deze richtlijn, onverminderd de bijzondere regeling voor entiteiten in de digitale-infrastructuursector.

(9)Wanneer bepalingen van andere handelingen van Unierecht kritieke entiteiten verplichten relevante risico’s te beoordelen, maatregelen te nemen om hun veerkracht te waarborgen of incidenten te melden, en wanneer die vereisten ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde overeenkomende verplichtingen, mogen de desbetreffende bepalingen van deze richtlijn niet van toepassing zijn, teneinde onnodig werk en dubbele lasten te voorkomen. In dat geval moeten de relevante bepalingen van die andere handelingen van toepassing zijn. Wanneer de relevante bepalingen van deze richtlijn niet van toepassing zijn, mogen de bepalingen daarvan inzake toezicht en handhaving evenmin van toepassing zijn. De lidstaten moeten echter alle in de bijlage vermelde sectoren bestrijken in hun strategie ter versterking van de veerkracht van kritieke entiteiten, de risicobeoordeling en de ondersteunende maatregelen krachtens hoofdstuk II alsook in staat zijn vast te stellen welke kritieke entiteiten in die sectoren aan de toepasselijke voorwaarden voldoen, met inachtneming van de bijzondere regeling voor entiteiten in de sectoren bankwezen, financiëlemarktinfrastructuur en digitale infrastructuur.

(10)Om te zorgen voor een alomvattende aanpak van de veerkracht van kritieke entiteiten moet elke lidstaat over een strategie met doelstellingen en beleidsmaatregelen beschikken en deze uitvoeren Daartoe moeten de lidstaten ervoor zorgen dat hun cyberbeveiligingsstrategieën voorzien in een beleidskader voor versterkte coördinatie tussen de uit hoofde van deze richtlijn respectievelijk de NIS 2-richtlijn bevoegde autoriteiten in het kader van de uitwisseling van informatie over incidenten en cyberdreigingen en de uitoefening van toezichthoudende taken.

(11)De acties van de lidstaten om kritieke entiteiten te identificeren en hun veerkracht te helpen waarborgen, moet een risicogebaseerde aanpak volgen waarbij de inspanningen worden gericht op de entiteiten die het meest relevant zijn voor de uitvoering van vitale maatschappelijke functies of economische activiteiten. Voor zo’n gerichte aanpak moet elke lidstaat binnen een geharmoniseerd kader een beoordeling verrichten van alle relevante natuurlijke en door de mens veroorzaakte risico’s die negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten, waaronder ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid (zoals pandemieën) en antagonistische dreigingen, waaronder terroristische misdrijven. Bij het uitvoeren van die risicobeoordelingen moeten de lidstaten tevens rekening houden met andere algemene of sectorspecifieke risicobeoordelingen die krachtens andere handelingen van Unierecht zijn verricht, en moeten zij de onderlinge afhankelijkheid tussen sectoren in aanmerking nemen, ook waar het andere lidstaten en derde landen betreft.  De resultaten van de risicobeoordeling moeten zowel worden benut bij het identificeren van kritieke entiteiten als dergelijke entiteiten helpen te voldoen aan de eisen inzake veerkracht van deze richtlijn.

(12)Om te waarborgen dat die vereisten voor alle relevante entiteiten gelden en onderlinge verschillen in dat opzicht te beperken, is het van belang om geharmoniseerde regels vast te stellen op basis waarvan kritieke entiteiten in de hele Unie op consistente wijze kunnen worden geïdentificeerd, maar die de lidstaten ook vrij laten om met nationale bijzonderheden rekening te houden. Derhalve moeten er criteria worden vastgesteld voor het identificeren van kritieke entiteiten. Omwille van de doeltreffendheid, doelmatigheid, consistentie en rechtszekerheid moeten er ook passende regels worden vastgesteld inzake kennisgeving en samenwerking in verband met een dergelijke identificatie en inzake de rechtsgevolgen daarvan. Om de Commissie in staat te stellen te beoordelen of deze richtlijn correct wordt toegepast, moeten de lidstaten de Commissie relevante informatie verstrekken; deze moet zo gedetailleerd en specifiek mogelijk zijn en in elk geval de lijst van essentiële diensten, het aantal kritieke entiteiten dat voor elke in de bijlage vermelde sector en deelsector is geïdentificeerd, de essentiële dienst of diensten die elke entiteit verleent en de toegepaste drempels omvatten.

(13)Ook moeten er criteria worden vastgesteld aan de hand waarvan kan worden bepaald hoe ernstig het verstorend effect van dergelijke incidenten is. Die criteria moeten voortbouwen op de criteria van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad 21 teneinde zowel de inspanningen van de lidstaten om die exploitanten te identificeren alsook de daarbij opgedane ervaring te benutten.

(14)Entiteiten die deel uitmaken van de sector digitale infrastructuur zijn in wezen gebaseerd op netwerk- en informatiesystemen en vallen onder de NIS 2-richtlijn, die de fysieke beveiliging van dergelijke systemen regelt in het kader van de verplichtingen die deze hebben inzake risicobeheer en -rapportage met betrekking tot cyberbeveiliging. Daar deze aangelegenheden onder de NIS 2-richtlijn vallen, zijn de verplichtingen van deze richtlijn op dergelijke entiteiten niet van toepassing. Aangezien de diensten die door entiteiten in de sector digitale infrastructuur worden verleend, van belang zijn voor de verlening van andere essentiële diensten, moeten de lidstaten aan de hand van de criteria en procedure van deze richtlijn, mutatis mutandis, entiteiten in de sector digitale infrastructuur identificeren die enkel voor de toepassing van hoofdstuk II, met inbegrip van de bepaling inzake de ondersteuning van de lidstaten bij het versterken van de veerkracht van deze entiteiten, als gelijkwaardig aan kritieke entiteiten moeten worden behandeld. De verplichtingen van de hoofdstukken III tot en met VI mogen dan ook niet voor dergelijke entiteiten gelden. Aangezien de in hoofdstuk II vervatte verplichtingen voor kritieke entiteiten om bepaalde informatie aan de bevoegde autoriteiten te verstrekken, betrekking hebben op de toepassing van de hoofdstukken III en IV, mogen die verplichtingen voor dergelijke entiteiten evenmin gelden.

(15)Het EU-acquis op het gebied van financiële diensten legt financiële entiteiten vergaande verplichtingen op om alle risico’s waarmee zij te maken krijgen, waaronder operationele risico’s, te beheren en de bedrijfscontinuïteit te waarborgen. Het gaat onder meer om Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad 22 , Richtlijn 2014/65/EU van het Europees Parlement en de Raad 23 , Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad 24 , Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad 25 en Richtlijn 2013/36/EU van het Europees Parlement en de Raad 26 . De Commissie heeft onlangs voorgesteld dit kader aan te vullen met Verordening XX/YYYY van het Europees Parlement en de Raad [voorstel voor een verordening betreffende digitale operationele veerkracht van de financiële sector (hierna “de DORA-verordening” genoemd) 27 ], waarbij financiële ondernemingen worden verplicht ICT-risico’s te beheren en onder meer fysieke ICT-infrastructuren te beschermen. Aangezien de veerkracht van de in de punten 3 en 4 van de bijlage vermelde entiteiten volledig onder het EU-acquis inzake financiële diensten valt, moeten ook die entiteiten uitsluitend voor de toepassing van hoofdstuk II van deze richtlijn als gelijkwaardig aan kritieke entiteiten worden behandeld. Om te waarborgen dat de regels inzake operationele risico’s en digitale veerkracht in de financiële sector consistent worden toegepast, moet de ondersteuning door de lidstaten bij de versterking van de algehele veerkracht van financiële entiteiten die gelijkwaardig zijn aan kritieke entiteiten, worden gewaarborgd door de krachtens artikel 41 van [DORA-verordening] aangewezen autoriteiten, zulks met inachtneming van de in die wetgeving vervatte procedures en op volledig geharmoniseerde wijze.

(16)De lidstaten moeten autoriteiten aanwijzen die gemachtigd zijn om toezicht te houden op de toepassing van de regels van deze richtlijn en om die regels zo nodig te handhaven, alsmede ervoor zorgen dat die autoriteiten over passende bevoegdheden en middelen beschikken. Om met de uiteenlopende nationale bestuursstructuren rekening te houden, reeds bestaande sectorale regelingen of toezichthoudende en regelgevende instanties van de Unie ongemoeid te laten en dubbel werk te voorkomen, moeten de lidstaten meer dan één nationale bevoegde autoriteit kunnen aanwijzen. Wanneer zij dat doen, moeten zij de respectieve taken van de betrokken autoriteiten wel duidelijk afbakenen en ervoor zorgen dat deze vlot en doeltreffend samenwerken. Alle bevoegde autoriteiten moeten ook meer in het algemeen met andere relevante autoriteiten samenwerken, zowel op nationaal als op Unieniveau.

(17)Om grensoverschrijdende samenwerking en communicatie te vergemakkelijken en de doeltreffende uitvoering van deze richtlijn mogelijk te maken, moet elke lidstaat, onverminderd sectorspecifieke wettelijke vereisten van de Unie, binnen een van de autoriteiten die hij uit hoofde van deze richtlijn als bevoegde autoriteit heeft aangewezen, een centraal contactpunt aanwijzen dat verantwoordelijk is voor de coördinatie van kwesties in verband met de veerkracht van kritieke entiteiten en grensoverschrijdende samenwerking op Unieniveau in dit opzicht.

(18)Aangezien krachtens de NIS 2-richtlijn als kritiek geïdentificeerde entiteiten evenals geïdentificeerde entiteiten in de sector digitale infrastructuur die uit hoofde van de onderhavige richtlijn als daarmee gelijkwaardig moeten worden behandeld, moeten voldoen aan de voorschriften inzake cyberbeveiliging van de NIS 2-richtlijn, moeten de bevoegde autoriteiten die uit hoofde van de twee richtlijnen zijn aangewezen, samenwerken, met name met betrekking tot cyberbeveiligingsrisico’s en -incidenten die voor die entiteiten negatieve gevolgen hebben.

(19)De lidstaten moeten kritieke entiteiten ondersteunen bij het versterken van hun veerkracht, overeenkomstig hun verplichtingen uit hoofde van deze richtlijn, onverminderd de eigen wettelijke verantwoordelijkheid van de entiteiten om deze naleving te waarborgen. De lidstaten zouden met name richtsnoeren en methoden kunnen ontwikkelen, ondersteuning kunnen verlenen bij de organisatie van oefeningen om de veerkracht van de kritieke entiteiten te testen en kunnen voorzien in opleiding van personeel van kritieke entiteiten. Gezien de afhankelijkheidsrelaties tussen entiteiten en sectoren, moeten de lidstaten bovendien instrumenten voor informatie-uitwisseling opzetten voor de ondersteuning van de vrijwillige uitwisseling van informatie tussen kritieke entiteiten, onverminderd de toepassing van de mededingingsregels als vervat in het Verdrag betreffende de werking van de Europese Unie.

(20)Om hun veerkracht te kunnen waarborgen, moeten kritieke autoriteiten een breed inzicht hebben in alle relevante risico’s waaraan zij zijn blootgesteld, en die risico’s analyseren. Daartoe moeten zij, telkens wanneer hun specifieke omstandigheden en de evolutie van die risico’s daartoe nopen, maar in ieder geval om de vier jaar, risicobeoordelingen uitvoeren. De risicobeoordelingen door de kritieke entiteiten moeten zijn gebaseerd op de door de lidstaten uitgevoerde risicobeoordeling.

(21)Kritieke entiteiten moeten organisatorische en technische maatregelen nemen die passen bij en evenredig zijn met de risico’s waarmee zij worden geconfronteerd, om incidenten te voorkomen, te weerstaan, te beperken of op te vangen, of zich aan een incident aan te passen of daarvan te herstellen. Hoewel kritieke entiteiten maatregelen moeten nemen ten aanzien van alle punten die in deze richtlijn worden genoemd, moeten de maatregelen wat betreft details en reikwijdte passend en evenredig zijn, naargelang de verschillende risico’s die elke entiteit in het kader van haar risicobeoordeling heeft geïdentificeerd en de specifieke kenmerken van de betrokken entiteit.

(22)Met het oog op doeltreffendheid en verantwoording moeten kritieke entiteiten, rekening houdend met de geïdentificeerde risico’s, dergelijke maatregelen in een plan inzake veerkracht dan wel een of meer daarmee vergelijkbare documenten voldoende gedetailleerd beschrijven om die doelen te kunnen verwezenlijken, en dat plan in de praktijk toepassen. Dergelijke gelijkwaardige documenten kunnen worden opgesteld overeenkomstig de voorschriften en normen die zijn ontwikkeld in het kader van internationale overeenkomsten inzake fysieke bescherming waarbij lidstaten eventueel partij zijn, zoals het Verdrag inzake de fysieke beveiliging van kernmateriaal en kerninstallaties.

(23)Bij Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad 28 , Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad 29 en Richtlijn 2005/65/EG van het Europees Parlement en de Raad 30 zijn verplichtingen voor entiteiten in de sectoren luchtvaart en zeevervoer vastgesteld om incidenten als gevolg van wederrechtelijke gedragingen te voorkomen en de gevolgen van dergelijke incidenten het hoofd te bieden en te beperken. Hoewel de uit hoofde van deze richtlijn vereiste maatregelen breder zijn wat de bestreken risico’s en soorten te nemen maatregelen betreft, moeten de kritieke entiteiten in die sectoren de krachtens die andere handelingen van de Unie genomen maatregelen tot uitdrukking brengen in hun plan inzake veerkracht of daarmee vergelijkbare documenten. Bovendien kunnen kritieke autoriteiten bij de uitvoering van veerkrachtmaatregelen uit hoofde van deze richtlijn overwegen te verwijzen naar niet-bindende richtsnoeren en documenten met goede praktijken die zijn ontwikkeld in het kader van sectorale werkstromen, zoals het EU-platform voor de beveiliging van treinreizigers 31 . 

(24)Het risico dat werknemers van kritieke entiteiten bijvoorbeeld hun toegangsrechten misbruiken om binnen de organisatie van de entiteit schade te veroorzaken, wordt steeds zorgwekkender geacht. Dit risico wordt versterkt door het toenemende verschijnsel van radicalisering die uitmondt in gewelddadig extremisme en terrorisme. Het is dan ook noodzakelijk dat kritieke entiteiten om antecedentenonderzoeken kunnen verzoeken in verband met personen die tot specifieke categorieën van hun personeel behoren en te waarborgen dat die verzoeken door de relevante autoriteiten snel worden beoordeeld overeenkomstig de toepasselijke regels van het Unierecht en het nationale recht, onder meer inzake de bescherming van persoonsgegevens.

(25)De kritieke entiteiten moeten de bevoegde autoriteiten van de lidstaten, zo snel als in de gegeven omstandigheden redelijkerwijs mogelijk is, in kennis stellen van incidenten die hun activiteiten aanzienlijk verstoren of zouden kunnen verstoren. De kennisgeving moet de bevoegde autoriteiten in staat stellen snel en adequaat te reageren en een volledig overzicht te verkrijgen van de algehele risico’s waarmee de kritieke entiteiten te maken hebben. Daartoe moet een procedure voor de kennisgeving van bepaalde incidenten worden vastgesteld en worden voorzien in criteria aan de hand waarvan kan worden bepaald of de feitelijke of potentiële verstoring aanzienlijk is en de incidenten aldus moeten worden gemeld. Gezien de mogelijke grensoverschrijdende gevolgen van dergelijke verstoringen, moet een procedure worden vastgesteld die lidstaten dienen te volgen om andere getroffen lidstaten via centrale contactpunten te informeren.

(26)Ofschoon kritieke entiteiten over het algemeen binnen een steeds hechter dienstverlenings- en infrastructureel netwerk opereren en dikwijls in meer dan een lidstaat essentiële diensten verlenen in meer dan een lidstaat, vereist een aantal van die entiteiten specifiek toezicht op Unieniveau, omdat zij van bijzonder belang voor de Unie zijn, gezien het grote aantal lidstaten waaraan zij essentiële diensten verlenen. Derhalve moeten er regels inzake het specifieke toezicht op dergelijke kritieke entiteiten van bijzonder Europees belang worden vastgesteld. Deze regels laten de in deze richtlijn vervatte regels inzake toezicht en handhaving onverlet.

(27)Wanneer een lidstaat van oordeel is dat aanvullende informatie noodzakelijk is om een kritieke entiteit te kunnen adviseren bij het nakomen van haar verplichtingen krachtens hoofdstuk III of om te kunnen beoordelen of een kritieke entiteit van bijzonder Europees belang die verplichtingen nakomt, moet de Commissie, in overleg met de lidstaat waar de infrastructuur van die entiteit zich bevindt, een adviesmissie organiseren om de door die entiteit genomen maatregelen te beoordelen. Om ervoor te zorgen dat dergelijke adviesmissies naar behoren worden verricht, moeten aanvullende regels worden vastgesteld, met name inzake de organisatie en uitvoering daarvan, de te verlenen follow-up en de verplichtingen van de betrokken kritieke entiteiten van bijzonder Europees belang. De adviesmissies moeten worden uitgevoerd volgens de specifieke regels van het recht van de betrokken lidstaat, bijvoorbeeld inzake de precieze voorwaarden waaraan moet worden voldaan om toegang tot relevante gebouwen of documenten te krijgen en inzake hoger beroep, hetgeen onverlet laat dat de lidstaat waar de adviesmissie wordt uitgevoerd alsook de betrokken entiteit de regels van deze richtlijn moeten naleven. Om de specifieke deskundigheid die voor dergelijke missies vereist is, zou in voorkomend geval kunnen worden verzocht via het Coördinatiecentrum voor respons in noodsituaties.

(28)Ter ondersteuning van de Commissie en ter vereenvoudiging van strategische samenwerking en uitwisseling van informatie, waaronder beste praktijken, betreffende kwesties in verband met deze richtlijn, moet een groep voor de veerkracht van kritieke entiteiten, welke een deskundigengroep van de Commissie is, worden opgericht. De lidstaten moeten trachten te waarborgen dat de aangewezen vertegenwoordigers van hun bevoegde autoriteiten binnen de Groep voor de veerkracht van kritieke entiteiten doeltreffend en doelmatig samenwerken. De Groep moet haar taken zes maanden na de inwerkingtreding van deze richtlijn aanvatten, teneinde te voorzien in aanvullende middelen voor passende samenwerking tijdens de omzettingsperiode van deze richtlijn.

(29)Ter verwezenlijking van de doelstellingen van deze richtlijn en onverminderd de wettelijke verantwoordelijkheid van de lidstaten en kritieke entiteiten om te waarborgen dat zij hun respectieve verplichtingen uit hoofde van deze richtlijn naleven, moet de Commissie, voor zover zij zulks passend acht, bepaalde ondersteunende activiteiten ondernemen om die naleving te vergemakkelijken. Wanneer de Commissie de lidstaten en kritieke entiteiten bij de uitvoering van verplichtingen uit hoofde van deze richtlijn ondersteunt, moet zij voortbouwen op bestaande structuren en instrumenten, zoals die in het kader van het Uniemechanisme voor civiele bescherming en het Europees referentienetwerk voor de bescherming van kritieke infrastructuur.

(30)De lidstaten moeten ervoor zorgen dat hun bevoegde autoriteiten over bepaalde specifieke bevoegdheden beschikken voor de juiste toepassingen en handhaving van deze richtlijn met betrekking tot de kritieke entiteiten, voor zover die entiteiten overeenkomstig deze richtlijn onder hun jurisdictie vallen. Daarbij gaat het met name om de bevoegdheid inspecties, toezicht en audits te verrichten, van kritieke entiteiten te verlangen dat deze informatie en bewijs verstrekken in verband met de maatregelen die zij hebben genomen met het oog op het nakomen van hun verplichtingen, en zo nodig opdracht te geven om vastgestelde inbreuken te verhelpen. Bij het geven van zulke opdrachten mogen de lidstaten geen maatregelen verlangen die verder gaan dan nodig en evenredig is om te waarborgen dat de betrokken kritieke entiteit aan haar verplichtingen voldoet, en moeten zij met name rekening houden met de ernst van de inbreuk en de economische capaciteit van de kritieke entiteit. Meer algemeen moeten die bevoegdheden vergezeld gaan van passende en doeltreffende waarborgen die in nationaal recht moeten worden vastgelegd, overeenkomstig de vereisten die voortvloeien uit het Handvest van de grondrechten van de Europese Unie. Bij de beoordeling of een kritieke entiteit haar verplichtingen uit hoofde van deze richtlijn nakomt, moeten de uit hoofde van deze richtlijn aangewezen bevoegde autoriteiten de uit hoofde van de NIS 2-richtlijn aangewezen bevoegde autoriteiten kunnen verzoeken om de cyberbeveiliging van die entiteiten te beoordelen. Die bevoegde autoriteiten moeten daartoe hun medewerking verlenen en informatie uitwisselen.

(31)Teneinde rekening te houden met nieuwe risico’s, technologische ontwikkelingen of specifieke kenmerken van een of meer sectoren, moet de bevoegdheid om handelingen vast te stellen overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie aan de Commissie worden overgedragen, zodat zij de door die kritieke entiteiten te nemen veerkrachtmaatregelen kan aanvullen door sommige daarvan of al die maatregelen nader te specificeren. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden passende raadplegingen houdt, onder meer op deskundigenniveau, en dat die raadplegingen plaatsvinden in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 32 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(32)Om eenvormige voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad 33 .

(33)Daar de doelstellingen van deze richtlijn, namelijk te verzekeren dat diensten die essentieel zijn voor het behoud van vitale maatschappelijke functies of economische activiteiten, binnen de interne dienstenmarkt worden verleend alsmede de veerkracht van de kritieke entiteiten die dergelijke diensten verlenen, te vergroten, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de effecten van het optreden beter op het niveau van de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel 5 neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstellingen te verwezenlijken.

(34)Richtlijn 2008/114/EG moet derhalve worden ingetrokken,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

HOOFDSTUK I
Onderwerp, toepassingsgebied en definities

Artikel 1
Onderwerp en toepassingsgebied

1.In deze richtlijn:

(a)worden de verplichtingen voor de lidstaten vastgesteld tot het nemen van bepaalde maatregelen om te waarborgen dat op de interne markt diensten worden verleend die essentieel zijn voor de instandhouding van vitale maatschappelijke functies of economische activiteiten, met name de verplichting om kritieke entiteiten en entiteiten die in bepaalde opzichten als daaraan gelijkwaardig moeten worden behandeld, te identificeren en deze in staat te stellen aan hun verplichtingen te voldoen;

(b)worden verplichtingen voor kritieke entiteiten vastgesteld die de veerkracht ervan moeten vergroten en hen beter in staat moeten stellen om deze diensten op de interne markt te verlenen;

(c)worden regels vastgesteld voor het toezicht op en handhavingsmaatregelen ten aanzien van kritieke entiteiten en voor specifiek toezicht op kritieke entiteiten die van bijzonder Europees belang worden geacht.

2.Deze richtlijn is niet van toepassing op aangelegenheden die vallen onder Richtlijn (EU) XX/YY [voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (“NIS 2-richtlijn”)], onverminderd artikel 7.

3.Wanneer bepalingen van sectorspecifieke handelingen van Unierecht vereisen dat kritieke entiteiten maatregelen nemen als bedoeld in hoofdstuk III, en wanneer die vereisten ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde verplichtingen, zijn de desbetreffende bepalingen van deze richtlijn, met inbegrip van de bepalingen inzake toezicht en handhaving van hoofdstuk VI, niet van toepassing.

4.Onverminderd artikel 346 VWEU wordt informatie die op grond van EU- en nationale regelgeving vertrouwelijk is, zoals voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie, uitsluitend met de Commissie en andere betrokken autoriteiten uitgewisseld wanneer dat noodzakelijk is voor de toepassing van deze richtlijn. Er wordt uitsluitend informatie uitgewisseld die relevant is voor en evenredig is met het doel van die uitwisseling. Bij de uitwisseling van informatie wordt de vertrouwelijkheid van die informatie gewaarborgd en worden de veiligheids- en commerciële belangen van kritieke entiteiten beschermd.

Artikel 2
Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

(1)“kritieke entiteit”: een publieke of particuliere entiteit van een type als bedoeld in de bijlage, die overeenkomstig artikel 5 als zodanig door een lidstaat is geïdentificeerd;

(2)“veerkracht”: het vermogen om een incident dat het functioneren van een kritieke entiteit verstoort of kan verstoren, te voorkomen, weerstaan, beperken of op te vangen of zich aan een dergelijk incident aan te passen of daarvan te herstellen;

(3)“incident”: elke gebeurtenis die het functioneren van de kritieke entiteit kan verstoren of verstoort;

(4) “infrastructuur”: een voorziening of een systeem of onderdeel daarvan die/dat noodzakelijk is voor de verlening van een essentiële dienst;

(5) “essentiële dienst”: een dienst die van essentieel belang is voor de instandhouding van vitale maatschappelijke en/of economische activiteiten;

(6)“risico”: elke omstandigheid of gebeurtenis die een negatief effect kan hebben op de veerkracht van kritieke entiteiten;

(7)“risicobeoordeling”: een methode om de aard en omvang van een risico te bepalen door potentiële dreigingen en gevaren te analyseren en bestaande kwetsbare punten te evalueren die het functioneren van de kritieke entiteit zouden kunnen verstoren.

HOOFDSTUK II
Nationale kaders inzake de veerkracht van kritieke entiteiten

Artikel 3
Strategie inzake de veerkracht van kritieke entiteiten

1.Elke lidstaat stelt uiterlijk [drie jaar na de inwerkingtreding van deze richtlijn] een strategie vast om de veerkracht van kritieke entiteiten te versterken. Deze strategie bevat strategische doelstellingen en beleidsmaatregelen ter verwezenlijking en handhaving van een hoog niveau van veerkracht van die kritieke entiteiten, welke ten minste de in de bijlage genoemde sectoren bestrijken.

2.De strategie bevat ten minste de volgende elementen:

(a)strategische doelstellingen en prioriteiten ter versterking van de algehele veerkracht van kritieke entiteiten met inachtneming van grensoverschrijdende en intersectorale onderlinge afhankelijkheden;

(b)een governancekader ter verwezenlijking van de strategische doelstellingen en prioriteiten, met inbegrip van een beschrijving van de taken en verantwoordelijkheden van de verschillende autoriteiten, kritieke entiteiten en andere partijen die bij de uitvoering van de strategie betrokken zijn;

(c)een beschrijving van de maatregelen die nodig zijn om de algehele veerkracht van kritieke entiteiten te vergroten, met inbegrip van een nationale risicobeoordeling, de identificatie van kritieke entiteiten en entiteiten die daaraan gelijkwaardig zijn, en de overeenkomstig dit hoofdstuk genomen maatregelen ter ondersteuning van kritieke entiteiten;

(d)een beleidskader voor een betere coördinatie tussen de overeenkomstig artikel 8 van deze richtlijn en de overeenkomstig [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten met het oog op de uitwisseling van informatie over incidenten en cyberdreigingen en de uitoefening van toezichthoudende taken.

De strategie wordt wanneer dat nodig is en ten minste om de vier jaar geactualiseerd.

3.De lidstaten delen hun strategieën en eventuele actualiseringen daarvan binnen drie maanden na de vaststelling ervan aan de Commissie mee.

Artikel 4
Risicobeoordeling door de lidstaten

1.De overeenkomstig artikel 8 aangewezen bevoegde autoriteiten stellen een lijst op van essentiële diensten in de in de bijlage genoemde sectoren. Zij voeren uiterlijk [drie jaar na de inwerkingtreding van deze richtlijn] en vervolgens wanneer dat nodig is en ten minste om de vier jaar, een beoordeling uit van alle relevante risico’s die van invloed kunnen zijn op de verlening van die essentiële diensten, met het oog op de identificatie van kritieke entiteiten overeenkomstig artikel 5, lid 1, en het bijstaan van die kritieke entiteiten bij het nemen van maatregelen uit hoofde van artikel 11.

In de risicobeoordeling wordt rekening gehouden met alle relevante natuurlijke en door de mens veroorzaakte risico’s, met inbegrip van ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid en antagonistische dreigingen, waaronder terroristische misdrijven als bedoeld in Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad 34 .

2.Bij de uitvoering van de risicobeoordeling houden de lidstaten ten minste rekening met:

(a)de algemene risicobeoordeling die is uitgevoerd overeenkomstig artikel 6, lid 1, van Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad 35 ;

(b)andere relevante risicobeoordelingen die zijn uitgevoerd overeenkomstig de voorschriften van de relevante sectorspecifieke handelingen van Unierecht, waaronder Verordening (EU) 2019/941 van het Europees Parlement 36 en de Raad en Verordening (EU) 2017/1938 van het Europees Parlement en de Raad 37 ;

(c)alle risico’s die voortvloeien uit de afhankelijkheid tussen de in de bijlage genoemde sectoren, ook waar het andere lidstaten en derde landen betreft, en de gevolgen die een verstoring in één sector kan hebben voor andere sectoren;

(d)alle informatie over incidenten waarvan overeenkomstig artikel 13 is kennisgegeven.

Voor de toepassing van de eerste alinea, punt c), werken de lidstaten samen met de bevoegde autoriteiten van andere lidstaten en derde landen, naargelang het geval.

3.De lidstaten stellen de relevante elementen van de in lid 1 bedoelde risicobeoordeling ter beschikking aan de kritieke entiteiten die zij overeenkomstig artikel 5 hebben geïdentificeerd, teneinde die kritieke entiteiten bij te staan bij het verrichten van hun risicobeoordeling overeenkomstig artikel 10 en bij het nemen van maatregelen om hun veerkracht te waarborgen overeenkomstig artikel 11.

4.Elke lidstaat verstrekt de Commissie uiterlijk op [drie jaar na de inwerkingtreding van deze richtlijn] en vervolgens wanneer dat nodig is en ten minste om de vier jaar, gegevens over de soorten geïdentificeerde risico’s en de resultaten van de risicobeoordelingen, per sector en deelsector als vermeld in de bijlage.

5.De Commissie kan, in samenwerking met de lidstaten, een vrijwillig gemeenschappelijk rapportagemodel ontwikkelen waarmee aan lid 4 kan worden voldaan.

Artikel 5
Identificatie van kritieke entiteiten

1.Uiterlijk op [drie jaar en drie maanden na de inwerkingtreding van deze richtlijn] identificeren de lidstaten de kritieke entiteiten voor elke sector en deelsector die wordt genoemd in de bijlage, met uitzondering van de punten 3, 4 en 8 daarvan.

2.Bij de identificatie van kritieke entiteiten overeenkomstig lid 1 houden de lidstaten rekening met de resultaten van de risicobeoordeling uit hoofde van artikel 4 en passen zij de volgende criteria toe:

(a)de entiteit verleent een of meer essentiële diensten;

(b)(de verlening van die diensten is afhankelijk van infrastructuur die zich in de lidstaat bevindt; en

(c)een incident zou aanzienlijke verstorende effecten hebben op de verlening van de dienst of andere, van de dienst afhankelijke essentiële diensten in de in de bijlage genoemde sectoren.

3.Elke lidstaat stelt een lijst op van de geïdentificeerde kritieke entiteiten en zorgt ervoor dat die kritieke entiteiten binnen een maand na die identificatie in kennis worden gesteld van hun identificatie als kritieke entiteit, waarbij zij worden geïnformeerd over hun verplichtingen uit hoofde van de hoofdstukken II en III en over de datum met ingang waarvan de bepalingen van die hoofdstukken op hen van toepassing zijn.

Voor de betrokken kritieke entiteiten gelden de bepalingen van dit hoofdstuk met ingang van de datum van kennisgeving en de bepalingen van hoofdstuk III na verloop van zes maanden na die datum.

4.De lidstaten zorgen ervoor dat hun overeenkomstig artikel 8 van deze richtlijn aangewezen bevoegde autoriteiten de bevoegde autoriteiten die de lidstaten overeenkomstig artikel 8 van [de NIS 2-richtlijn] hebben aangewezen, binnen een maand na de identificatie meedelen welke kritieke entiteiten zij op grond van dit artikel hebben geïdentificeerd.

5.De lidstaten zorgen ervoor dat kritieke entiteiten na de in lid 3 bedoelde kennisgeving hun overeenkomstig artikel 8 van deze richtlijn aangewezen bevoegde autoriteiten erover informeren dat zij in een of meer andere lidstaten als kritieke entiteit zijn geïdentificeerd. Wanneer twee of meer lidstaten een entiteit als kritiek hebben geïdentificeerd, plegen deze lidstaten overleg met elkaar om de last voor de kritieke entiteit met betrekking tot de verplichtingen uit hoofde van hoofdstuk III te verminderen.

6.Voor de toepassing van hoofdstuk IV zorgen de lidstaten ervoor dat kritieke entiteiten na de in lid 3 bedoelde kennisgeving aan hun overeenkomstig artikel 8 van deze richtlijn aangewezen bevoegde autoriteiten informatie verstrekken over de vraag of zij essentiële diensten verlenen aan of in meer dan een derde van de lidstaten. Wanneer dat het geval is, stelt de betrokken lidstaat de Commissie onverwijld in kennis van de identiteit van die kritieke entiteiten.

7.Wanneer dat nodig is en in ieder geval om de vier jaar, evalueren de lidstaten de lijst van geïdentificeerde kritieke entiteiten en actualiseren zij deze in voorkomend geval.

Indien deze actualiseringen leiden tot de identificatie van meer kritieke entiteiten, zijn de leden 3, 4, 5 en 6 van toepassing. Daarnaast zorgen de lidstaten ervoor dat entiteiten die op grond van een dergelijke actualisering niet langer als kritiek worden geïdentificeerd, daarvan in kennis worden gesteld evenals van het feit dat zij na de ontvangst van die informatie niet langer onderworpen zijn aan de verplichtingen uit hoofde van hoofdstuk III.

Artikel 6
Aanzienlijk verstorend effect

1.Bij het bepalen of een verstorend effect aanzienlijk is, als bedoeld in artikel 5, lid 2, punt c), houden de lidstaten rekening met de volgende criteria:

(a)het aantal gebruikers dat afhankelijk is van de door de entiteit verleende dienst;

(b)de mate waarin andere in de bijlage genoemde sectoren afhankelijk zijn van die dienst;

(c)de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu en de openbare veiligheid;

(d)het marktaandeel van de entiteit op de markt voor dergelijke diensten;

(e)het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen;

(f)het belang van de entiteit voor de instandhouding van een toereikend dienstverleningsniveau, rekening houdend met de beschikbare alternatieven voor het verlenen van die dienst.

2.De lidstaten verstrekken de Commissie uiterlijk [drie jaar en drie maanden na de inwerkingtreding van deze richtlijn] de volgende informatie:

(a)de in artikel 4, lid 1, bedoelde lijst van diensten;

(b)het aantal kritieke entiteiten dat is geïdentificeerd voor elke in de bijlage bedoelde sector en deelsector en de in artikel 4, lid 1, bedoelde dienst of diensten die elke entiteit verleent;

(c)eventuele drempels die worden toegepast om een of meer van de in lid 1 genoemde criteria te specificeren.

Zij verstrekken die informatie wanneer dat nodig is en ten minste om de vier jaar.

3.De Commissie kan, na raadpleging van de Groep voor de veerkracht van kritieke entiteiten, richtsnoeren vaststellen om de toepassing van de in lid 1 bedoelde criteria te vergemakkelijken, rekening houdend met de in lid 2 bedoelde informatie.

Artikel 7
Entiteiten die voor de toepassing van dit hoofdstuk gelijkwaardig zijn aan kritieke entiteiten

1. Met betrekking tot de in de punten 3, 4 en 8 van de bijlage genoemde sectoren identificeren de lidstaten uiterlijk op [drie jaar en drie maanden na de inwerkingtreding van deze richtlijn] de entiteiten die voor de toepassing van dit hoofdstuk als gelijkwaardig aan kritieke entiteiten worden behandeld. Zij passen ten aanzien van deze entiteiten de bepalingen van de artikelen 3 en 4, artikel 5, leden 1 tot en met 4 en lid 7, en artikel 9 toe.

2. Met betrekking tot de overeenkomstig lid 1 geïdentificeerde entiteiten in de in de punten 3 en 4 van de bijlage genoemde sectoren zorgen de lidstaten ervoor dat voor de toepassing van artikel 8, lid 1, de als bevoegde autoriteiten aangewezen autoriteiten de overeenkomstig artikel 41 van [DORA-verordening] aangewezen bevoegde autoriteiten zijn.

3. De lidstaten zorgen ervoor dat de in lid 1 bedoelde entiteiten onverwijld in kennis worden gesteld van hun identificatie als in dit artikel bedoelde entiteit.

Artikel 8
Bevoegde autoriteiten en centraal contactpunt

1.Elke lidstaat wijst een of meer bevoegde autoriteiten aan die verantwoordelijk zijn voor de correcte toepassing en, waar nodig, handhaving van de voorschriften van deze richtlijn op nationaal niveau (“bevoegde autoriteit”). De lidstaten kunnen een of meer bestaande autoriteiten aanwijzen.

Wanneer zij meer dan één autoriteit aanwijzen, stellen zij de respectieve taken van de betrokken autoriteiten duidelijk vast en zorgen zij ervoor dat zij doeltreffend samenwerken bij de vervulling van hun taken uit hoofde van deze richtlijn, onder meer met betrekking tot de aanwijzing en de activiteiten van het in lid 2 bedoelde centraal contactpunt.

2.Elke lidstaat wijst binnen de bevoegde autoriteit een centraal contactpunt aan dat een verbindingsfunctie vervult bij grensoverschrijdende samenwerking met de bevoegde autoriteiten van andere lidstaten en met de in artikel 16 bedoelde Groep voor de veerkracht van kritieke entiteiten (“centraal contactpunt”).

3.Uiterlijk op [drie jaar en zes maanden na de inwerkingtreding van deze richtlijn] en vervolgens elk jaar dienen de centrale contactpunten bij de Commissie en de Groep voor de veerkracht van kritieke entiteiten een samenvattend verslag in over de ontvangen kennisgevingen, met vermelding van het aantal daarvan, de aard van de gemelde incidenten en de overeenkomstig artikel 13, lid 3, genomen maatregelen.

4.Elke lidstaat zorgt ervoor dat de bevoegde autoriteit, met inbegrip van het daarbinnen aangewezen centraal contactpunt, over de bevoegdheden en toereikende financiële, personele en technische middelen beschikt om de haar toegewezen taken op doeltreffende en efficiënte wijze uit te voeren.

5.De lidstaten zorgen ervoor dat hun bevoegde autoriteiten, waar passend en in overeenstemming met het Unierecht en het nationale recht, overleggen en samenwerken met andere relevante nationale autoriteiten, en met name met de autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en de bescherming van persoonsgegevens, alsook met relevante belanghebbende partijen, waaronder kritieke entiteiten.

6.De lidstaten zorgen ervoor dat hun overeenkomstig dit artikel aangewezen bevoegde autoriteiten met de krachtens [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten samenwerken op het gebied van cyberbeveiligingsrisico’s en cyberincidenten die negatieve gevolgen hebben voor kritieke entiteiten, alsook op het gebied van de voor kritieke entiteiten relevante maatregelen die de krachtens [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten hebben genomen.

7.Elke lidstaat stelt de Commissie binnen drie maanden na de aanwijzing van de bevoegde autoriteit en het centraal contactpunt in kennis van die aanwijzing alsook van hun precieze taken en verantwoordelijkheden uit hoofde van deze richtlijn, hun contactgegevens en eventuele latere wijzigingen daarvan. Elke lidstaat maakt zijn aanwijzing van de bevoegde autoriteit en het centraal contactpunt openbaar.

8.De Commissie maakt een lijst van de centrale contactpunten van de lidstaten bekend.

Artikel 9
Ondersteuning van kritieke entiteiten door de lidstaten

1.De lidstaten ondersteunen kritieke entiteiten bij het vergroten van hun veerkracht. Die ondersteuning kan onder meer bestaan in het ontwikkelen van richtsnoeren en methodologieën, hulp bij de organisatie van oefeningen om de veerkracht van de kritieke entiteiten te testen en het verstrekken van opleiding aan personeel van kritieke entiteiten.

2.De lidstaten zorgen ervoor dat de bevoegde autoriteiten met kritieke entiteiten uit de in de bijlage genoemde sectoren samenwerken en informatie en goede praktijken uitwisselen.

3.De lidstaten stellen instrumenten voor de uitwisseling van informatie vast ter ondersteuning van de vrijwillige uitwisseling van informatie tussen kritieke entiteiten over aangelegenheden die onder deze richtlijn vallen, overeenkomstig het Unierecht en het nationale recht inzake, met name, mededinging en bescherming van persoonsgegevens.

Hoofdstuk III
Veerkracht van kritieke entiteiten

Artikel 10
Risicobeoordeling door kritieke entiteiten

De lidstaten zorgen ervoor dat kritieke entiteiten binnen zes maanden na ontvangst van de in artikel 5, lid 3, bedoelde kennisgeving en vervolgens wanneer dat nodig is en ten minste om de vier jaar, op basis van de risicobeoordelingen van de lidstaten en andere relevante informatiebronnen, alle relevante risico’s beoordelen die hun activiteiten kunnen verstoren.

Bij de risicobeoordeling worden alle in artikel 4, lid 1, bedoelde relevante risico’s in aanmerking genomen die de verlening van essentiële diensten zouden kunnen verstoren. Daarbij wordt in aanmerking genomen of andere in de bijlage genoemde sectoren afhankelijk zijn van de door de kritieke entiteit verleende essentiële dienst, in voorkomend geval ook in naburige lidstaten en derde landen, en rekening gehouden met de gevolgen die een verstoring van de verlening van essentiële diensten in een of meer van die sectoren kan hebben voor de door de kritieke entiteit verleende essentiële dienst.

Artikel 11
Veerkrachtmaatregelen van kritieke entiteiten

1.De lidstaten zorgen ervoor dat kritieke entiteiten passende en evenredige technische en organisatorische maatregelen nemen om hun veerkracht te waarborgen, met inbegrip van maatregelen die nodig zijn om:

(a)te voorkomen dat zich incidenten voordoen, onder meer door maatregelen ter beperking van het risico op rampen en maatregelen voor aanpassing aan de klimaatverandering;

(b)te zorgen voor adequate fysieke bescherming van kwetsbare gebieden, faciliteiten en andere infrastructuur, onder meer door middel van omheiningen, barrières, instrumenten en routines voor bewaking van de omgeving, alsmede detectieapparatuur en toegangscontroles;

(c)de gevolgen van incidenten te weerstaan en te beperken, onder meer door de uitvoering van risico- en crisisbeheersingsprocedures en -protocollen en waarschuwingsroutines;

(d)te herstellen van incidenten, onder meer door bedrijfscontinuïteitsmaatregelen en de identificatie van alternatieve toeleveringsketens;

(e)te zorgen voor adequaat beheer van personeelsbeveiliging, onder meer door het vaststellen van categorieën personeel dat kritieke functies uitoefent, het vaststellen van het recht van toegang tot gevoelige plaatsen, faciliteiten en andere infrastructuur, alsook tot gevoelige informatie, en het vaststellen van specifieke personeelscategorieën voor de toepassing van artikel 12;

(f)het relevante personeel bewust te maken van de in punt a) tot en met e) bedoelde maatregelen.

2.De lidstaten zorgen ervoor dat kritieke entiteiten beschikken over een plan inzake veerkracht of een gelijkwaardig document of gelijkwaardige documenten, waarin de maatregelen uit hoofde van lid 1 in detail worden beschreven, en tot de toepassing daarvan overgaan. Wanneer kritieke entiteiten maatregelen hebben genomen ingevolge verplichtingen uit hoofde van andere handelingen van Unierecht die ook relevant zijn voor de in lid 1 bedoelde maatregelen, beschrijven zij die maatregelen eveneens in het plan inzake veerkracht of een gelijkwaardig document of gelijkwaardige documenten.

3.Op verzoek van de lidstaat die de kritieke entiteit heeft geïdentificeerd en met instemming van de betrokken kritieke entiteit organiseert de Commissie overeenkomstig de regelingen die zijn vermeld in artikel 15, leden 4, 5, 7 en 8, adviesmissies die de betrokken kritieke entiteit adviseren over de nakoming van haar verplichtingen krachtens hoofdstuk III. De adviesmissie brengt verslag uit over haar bevindingen aan de Commissie, die lidstaat en de betrokken kritieke entiteit.

4.De Commissie is bevoegd overeenkomstig artikel 21 gedelegeerde handelingen vast te stellen ter aanvulling van lid 1, door gedetailleerde voorschriften vast te stellen waarin sommige of alle op grond van dat lid te nemen maatregelen worden gespecificeerd. Zij stelt die gedelegeerde handelingen vast voor zover dat nodig is voor de doeltreffende en consistente toepassing van dat lid overeenkomstig de doelstellingen van deze richtlijn, rekening houdend met eventuele relevante ontwikkelingen op het gebied van risico’s, technologie of de verlening van de betrokken diensten, alsook met eventuele specifieke kenmerken in verband met bepaalde sectoren en soorten entiteiten.

5.De Commissie stelt uitvoeringshandelingen vast om de nodige technische en methodologische specificaties vast te stellen met betrekking tot de toepassing van de in lid 1 bedoelde maatregelen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 20, lid 2, bedoelde onderzoeksprocedure.

Artikel 12
Antecedentenonderzoeken

1.De lidstaten zorgen ervoor dat kritieke entiteiten verzoeken kunnen indienen om een onderzoek van de antecedenten van personen die tot bepaalde specifieke categorieën van hun personeel behoren, met inbegrip van personen die in aanmerking komen voor aanwerving voor functies die binnen die categorieën vallen, en dat die verzoeken snel worden beoordeeld door de autoriteiten die bevoegd zijn om dergelijke antecedentenonderzoeken uit te voeren.

2.Overeenkomstig het toepasselijke Unierecht en nationale recht, waaronder Verordening (EU) 2016/679 van het Europees Parlement en de Raad  38 , moet een antecedentenonderzoek als bedoeld in lid 1:

(a)de identiteit van de persoon vaststellen op basis van schriftelijke bewijsstukken;

(b)zich uitstrekken tot alle gegevens uit de strafregisters van ten minste de laatste vijf en maximaal de laatste tien jaar, inzake strafbare feiten die relevant zijn voor de aanwerving in een bepaalde functie, in de lidstaat of lidstaten waarvan de betrokkene de nationaliteit heeft, en in de lidstaten of derde landen van verblijf gedurende die periode;

(c)zich uitstrekken tot het arbeidsverleden, het onderwijstraject en eventuele lacunes in het onderwijstraject of het arbeidsverleden in het curriculum vitae van de betrokkene van ten minste de laatste vijf en maximaal de laatste tien jaar.

Wat betreft punt b) van de eerste alinea zorgen de lidstaten ervoor dat hun autoriteiten die bevoegd zijn om antecedentenonderzoek uit te voeren, via Ecris de gegevens uit de strafregisters van andere lidstaten verkrijgen overeenkomstig de procedures van Kaderbesluit 2009/315/JBZ van de Raad en, in voorkomend geval, Verordening (EU) 2019/816 van het Europees Parlement en de Raad 39 . De in artikel 3 van dat kaderbesluit en in artikel 3, lid 5, van die verordening bedoelde centrale autoriteiten beantwoorden verzoeken om dergelijke gegevens binnen 10 werkdagen na de datum van ontvangst van het verzoek.

3.Overeenkomstig het toepasselijke Unierecht, met inbegrip van Verordening (EU) 2016/679, en het toepasselijke nationale recht zorgt elke lidstaat ervoor dat een antecedentenonderzoek als bedoeld in lid 1 ook kan worden uitgebreid, op basis van een naar behoren gemotiveerd verzoek van de kritieke entiteit, teneinde gebruik te maken van inlichtingen en andere beschikbare objectieve gegevens die nodig kunnen zijn om te bepalen of de betrokken persoon geschikt is om te werken in de functie in verband waarmee de kritieke entiteit om een uitgebreider antecedentenonderzoek heeft verzocht.

Artikel 13
Kennisgeving van incidenten

1.De lidstaten zorgen ervoor dat kritieke entiteiten de bevoegde autoriteit onverwijld in kennis stellen van incidenten die hun activiteiten aanzienlijk verstoren of kunnen verstoren. Die kennisgevingen bevatten alle beschikbare informatie die nodig is om de bevoegde autoriteit in staat te stellen de aard, de oorzaak en de mogelijke gevolgen van het incident te begrijpen, onder meer teneinde eventuele grensoverschrijdende gevolgen van het incident vast te kunnen stellen. Een dergelijke kennisgeving leidt voor de kritieke entiteiten niet tot een verhoogde aansprakelijkheid.

2.Om de aanzienlijkheid van de verstoring of mogelijke verstoring van de activiteiten van de kritieke entiteit als gevolg van een incident te bepalen, wordt met name rekening gehouden met de volgende criteria:

(a)het aantal gebruikers dat door de verstoring of mogelijke verstoring wordt getroffen;

(b)de duur van de verstoring of de verwachte duur van een mogelijke verstoring;

(c)het geografische gebied dat door de verstoring of mogelijke verstoring wordt getroffen.

3.Op basis van de informatie die in de kennisgeving door de kritieke entiteit wordt verstrekt, informeert de bevoegde autoriteit, via haar centraal contactpunt, het centraal contactpunt van andere getroffen lidstaten indien het incident aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten in een of meer andere lidstaten.

Daarbij behandelen de centrale contactpunten, overeenkomstig het Unierecht of nationale wetgeving die in overeenstemming is met het Unierecht, de informatie op een wijze die de vertrouwelijkheid ervan eerbiedigt en de veiligheid en commerciële belangen van de betrokken kritieke entiteit beschermt.  

4.Zodra zij overeenkomstig lid 1 in kennis is gesteld, verstrekt de bevoegde autoriteit de kritieke entiteit die haar in kennis heeft gesteld zo spoedig mogelijk relevante informatie over de follow-up van haar kennisgeving, met inbegrip van informatie die de doeltreffende reactie van de kritieke entiteit op het incident zou kunnen ondersteunen.

Hoofdstuk IV
Specifiek toezicht op kritieke entiteiten van bijzonder Europees belang

Artikel 14
Kritieke entiteiten van bijzonder Europees belang

1.Kritieke entiteiten van bijzonder Europees belang worden onderworpen aan specifiek toezicht, overeenkomstig dit hoofdstuk.

2.Een entiteit wordt als een kritieke entiteit van bijzonder Europees belang beschouwd wanneer zij als een kritieke entiteit is geïdentificeerd en essentiële diensten verleent aan of in meer dan een derde van de lidstaten en daarvan aan de Commissie kennis is gegeven overeenkomstig artikel 5, lid 1, respectievelijk lid 6.

3.Na ontvangst van de kennisgeving uit hoofde van artikel 5, lid 6, stelt de Commissie de betrokken entiteit er onverwijld van in kennis dat zij als een kritieke entiteit van bijzonder Europees belang wordt beschouwd, waarbij zij die entiteit op de hoogte stelt van haar verplichtingen uit hoofde van dit hoofdstuk en van de datum met ingang waarvan die verplichtingen voor haar gelden.

De bepalingen van dit hoofdstuk zijn vanaf de datum van ontvangst van die kennisgeving op de betrokken kritieke entiteit van bijzonder Europees belang van toepassing.

Artikel 15
Specifiek toezicht

1.Op verzoek van een of meer lidstaten of van de Commissie stelt de lidstaat waar de infrastructuur van de kritieke entiteit van bijzonder Europees belang zich bevindt, samen met die entiteit, de Commissie en de Groep voor de veerkracht van kritieke entiteiten in kennis van het resultaat van de krachtens artikel 10 uitgevoerde risicobeoordeling en van de overeenkomstig artikel 11 genomen maatregelen.

Die lidstaat stelt de Commissie en de Groep voor de veerkracht van kritieke entiteiten ook onverwijld in kennis van eventuele toezichts- of handhavingsmaatregelen, zoals beoordelingen van naleving of gegeven opdrachten, die zijn bevoegde autoriteit overeenkomstig de artikelen 18 en 19 met betrekking tot die entiteit heeft genomen.

2.Op verzoek van een of meer lidstaten of op eigen initiatief, en in samenspraak met de lidstaat waar de infrastructuur van de kritieke entiteit van bijzonder Europees belang zich bevindt, organiseert de Commissie een adviesmissie om de maatregelen te beoordelen die die entiteit heeft genomen teneinde aan haar verplichtingen uit hoofde van hoofdstuk III te voldoen. Indien nodig kan de adviesmissie een beroep doen op specifieke deskundigheid op het gebied van rampenrisicobeheer via het Coördinatiecentrum voor respons in noodsituaties.

3.De adviesmissie brengt binnen drie maanden na afloop van haar werkzaamheden verslag uit aan de Commissie, de Groep voor de veerkracht van kritieke entiteiten en de betrokken kritieke entiteit van bijzonder Europees belang.

De Groep voor de veerkracht van kritieke entiteiten analyseert het verslag en adviseert de Commissie indien nodig over de vraag of de betrokken kritieke entiteit van bijzonder Europees belang haar verplichtingen uit hoofde van hoofdstuk III nakomt en, in voorkomend geval, over de maatregelen die zouden kunnen worden genomen om de veerkracht van die entiteit te verbeteren.

Op basis van dat advies deelt de Commissie aan de lidstaat waar de infrastructuur van die entiteit zich bevindt, aan de Groep voor de veerkracht van kritieke entiteiten en aan die entiteit mee of die entiteit naar haar mening haar verplichtingen uit hoofde van hoofdstuk III nakomt en, in voorkomend geval, welke maatregelen zouden kunnen worden genomen om de veerkracht van die entiteit te verbeteren.

Die lidstaat houdt terdege rekening met dit standpunt en verstrekt de Commissie en de Groep voor de veerkracht van kritieke entiteiten informatie over de eventuele maatregelen die hij naar aanleiding van de mededeling heeft genomen.

4.Elke adviesmissie bestaat uit deskundigen uit de lidstaten en vertegenwoordigers van de Commissie. De lidstaten kunnen kandidaten voorstellen voor deelname aan een adviesmissie. De Commissie selecteert en benoemt de leden van elke adviesmissie op basis van hun beroepsbekwaamheid en zorgt voor een geografisch evenwichtige vertegenwoordiging van de lidstaten. De Commissie draagt de kosten in verband met de deelname aan de adviesmissie.

De Commissie stelt het programma van een adviesmissie op, in overleg met de leden van de specifieke adviesmissie en in samenspraak met de lidstaat waar de infrastructuur van de betrokken kritieke entiteit of de betrokken kritieke entiteit van Europees belang zich bevindt.

5.De Commissie stelt een uitvoeringshandeling vast waarin de procedureregels voor de uitvoering van en verslagen over adviesmissies worden vastgelegd. Die uitvoeringshandeling wordt vastgesteld volgens de in artikel 20, lid 2, bedoelde onderzoeksprocedure.

6.De lidstaten zorgen ervoor dat de betrokken kritieke entiteit van bijzonder Europees belang de adviesmissie toegang verleent tot alle informatie, systemen en faciliteiten die betrekking hebben op de verlening van haar essentiële diensten en die de adviesmissie nodig heeft voor de uitvoering van haar taken.

7.De adviesmissie wordt uitgevoerd overeenkomstig het toepasselijke nationale recht van de lidstaat waar de desbetreffende infrastructuur zich bevindt.

8.Bij het organiseren van de adviesmissies houdt de Commissie rekening met de verslagen van eventuele inspecties die de Commissie uit hoofde van Verordening (EG) nr. 300/2008 en Verordening (EG) nr. 725/2004 heeft uitgevoerd en met de verslagen van de controles die de Commissie uit hoofde van Richtlijn 2005/65/EG heeft uitgevoerd ten aanzien van de kritieke entiteit of de kritieke entiteit van bijzonder Europees belang, naargelang het geval.

Hoofdstuk V
Samenwerking en verslaglegging

Artikel 16
Groep voor de veerkracht van kritieke entiteiten

1.Er wordt een Groep voor de veerkracht van kritieke entiteiten opgericht die met ingang van [zes maanden na de inwerkingtreding van deze richtlijn] operationeel is. Zij ondersteunt de Commissie en vergemakkelijkt de strategische samenwerking en de uitwisseling van informatie over aangelegenheden in verband met deze richtlijn.

2.De Groep voor de veerkracht van kritieke entiteiten bestaat uit vertegenwoordigers van de lidstaten en de Commissie. Indien dit voor de uitvoering van haar taken relevant is, kan de Groep voor de veerkracht van kritieke entiteiten vertegenwoordigers van belanghebbende partijen uitnodigen om aan haar werkzaamheden deel te nemen.

De vertegenwoordiger van de Commissie zit de Groep voor de veerkracht van kritieke entiteiten voor.

3.De Groep voor de veerkracht van kritieke entiteiten heeft de volgende taken:

(a)het ondersteunen van de Commissie bij de bijstand die deze de lidstaten biedt bij het versterken van hun capaciteit om de veerkracht van kritieke entiteiten te helpen waarborgen overeenkomstig deze richtlijn;

(b)het evalueren van de in artikel 3 bedoelde strategieën inzake de veerkracht van kritieke entiteiten en het vaststellen van beste praktijken met betrekking tot die strategieën;

(c)het faciliteren van de uitwisseling van beste praktijken met betrekking tot de identificatie van kritieke entiteiten door de lidstaten overeenkomstig artikel 5, onder meer met betrekking tot grensoverschrijdende afhankelijkheden en wat betreft risico’s en incidenten;

(d)het op verzoek bijdragen aan de opstelling van de in artikel 6, lid 3, bedoelde richtsnoeren en eventuele gedelegeerde handelingen en uitvoeringshandelingen uit hoofde van deze richtlijn;

(e)het jaarlijks bestuderen van de in artikel 8, lid 3, bedoelde samenvattende verslagen;

(f)het delen van praktijken inzake de uitwisseling van informatie met betrekking tot de kennisgeving inzake incidenten als bedoeld in artikel 13;

(g)het analyseren van en adviseren over de verslagen van adviesmissies overeenkomstig artikel 15, lid 3;

(h)het uitwisselen van informatie en delen van beste praktijken op het gebied van onderzoek en ontwikkeling met betrekking tot de veerkracht van kritieke entiteiten overeenkomstig deze richtlijn;

(i)het waar nodig uitwisselen van informatie op gebied van de veerkracht van kritieke entiteiten met de betrokken instellingen, organen en instanties van de Unie.

4.Uiterlijk op [24 maanden na de inwerkingtreding van deze richtlijn] en vervolgens om de twee jaar, stelt de Groep voor de veerkracht van kritieke entiteiten een werkprogramma op inzake te nemen maatregelen ter uitvoering van haar doelstellingen en taken, dat in overeenstemming moet zijn met de eisen en doelstellingen van deze richtlijn.

5.De Groep voor de veerkracht van kritieke entiteiten komt regelmatig en ten minste eenmaal per jaar met de bij [de NIS 2-richtlijn] ingestelde samenwerkingsgroep bijeen teneinde strategische samenwerking en de uitwisseling van informatie te bevorderen.

6.De Commissie kan uitvoeringshandelingen vaststellen waarin de procedurele regelingen worden vastgesteld die nodig zijn voor het functioneren van de Groep voor de veerkracht van kritieke entiteiten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 20, lid 2, bedoelde onderzoeksprocedure.

7.De Commissie verstrekt de Groep voor de veerkracht van kritieke entiteiten uiterlijk op [drie jaar en zes maanden na de inwerkingtreding van deze richtlijn] en vervolgens wanneer dat nodig is en ten minste om de vier jaar, een samenvattend verslag van de informatie die de lidstaten overeenkomstig artikel 3, lid 3, en artikel 4, lid 4, hebben verstrekt.

Artikel 17
Ondersteuning door de Commissie van bevoegde autoriteiten en kritieke entiteiten

1.De Commissie ondersteunt, waar passend, de lidstaten en kritieke entiteiten bij het nakomen van hun verplichtingen uit hoofde van deze richtlijn, met name door een overzicht op Unieniveau op te stellen van de grensoverschrijdende en intersectorale risico’s voor de verlening van essentiële diensten, de in artikel 11, lid 3, en artikel 15, lid 3, bedoelde adviesmissies te organiseren en de uitwisseling van informatie tussen deskundigen in de hele Unie te faciliteren.

2.De Commissie vult de in artikel 9 bedoelde activiteiten van de lidstaten aan door beste praktijken en methoden te ontwikkelen en door grensoverschrijdende opleidingsactiviteiten en oefeningen te ontwikkelen om de veerkracht van kritieke entiteiten te testen.

Hoofdstuk VI
TOEZICHT EN HANDHAVING

Artikel 18
Uitvoering en handhaving

1.Om te beoordelen of de entiteiten die de lidstaten overeenkomstig artikel 5 als kritieke entiteiten hebben geïdentificeerd, voldoen aan de verplichtingen uit hoofde van deze richtlijn, zorgen de lidstaten ervoor dat de bevoegde autoriteiten over de bevoegdheden en middelen beschikken om:

(a)inspecties ter plaatse te verrichten van de bedrijfsruimten die de kritieke entiteit gebruikt voor de verlening van haar essentiële diensten en op afstand toezicht uit te oefenen op de maatregelen van kritieke entiteiten uit hoofde van artikel 11;

(b)audits uit te voeren of te gelasten met betrekking tot die entiteiten.

2.De lidstaten zorgen ervoor dat de bevoegde autoriteiten over de bevoegdheden en middelen beschikken om, indien nodig voor de uitvoering van hun taken uit hoofde van deze richtlijn, te eisen dat de entiteiten die zij overeenkomstig artikel 5 als kritieke entiteiten hebben geïdentificeerd, hun binnen een door die autoriteiten vastgestelde redelijke termijn:

(a)de informatie verstrekken die nodig is om te beoordelen of de maatregelen die deze hebben genomen om hun veerkracht te waarborgen, voldoen aan de vereisten van artikel 11;

(b)bewijs verstrekken van de effectieve uitvoering van die maatregelen, met inbegrip van de resultaten van een audit die op kosten van de desbetreffende entiteit is uitgevoerd door een onafhankelijke en gekwalificeerde auditor die door de entiteit is geselecteerd.

Wanneer zij die informatie eisen, vermelden de bevoegde autoriteiten het doel van de eis en specificeren zij welke informatie wordt verlangd.

3.Onverminderd de mogelijkheid om sancties op te leggen overeenkomstig artikel 19, kunnen de bevoegde autoriteiten, in aansluiting op de in lid 1 bedoelde toezichtmaatregelen of de beoordeling van de in lid 2 bedoelde informatie, de betrokken kritieke entiteiten opdragen de nodige en evenredige maatregelen te nemen om een eventueel vastgestelde inbreuk op deze richtlijn binnen een door die autoriteiten vastgestelde redelijke termijn te verhelpen en die autoriteiten informatie over de genomen maatregelen te verstrekken. Bij een dergelijke opdracht wordt met name rekening gehouden met de ernst van de inbreuk.

4.De lidstaten zorgen ervoor dat de in de leden 1, 2 en 3 bedoelde bevoegdheden alleen met passende waarborgen kunnen worden uitgeoefend. Met die waarborgen wordt met name verzekerd dat een dergelijke uitoefening op objectieve, transparante en evenredige wijze plaatsvindt en dat de rechten en rechtmatige belangen van de betrokken kritieke entiteiten naar behoren worden gegarandeerd, met inbegrip van hun recht om te worden gehoord, van verdediging en van een doeltreffende voorziening in rechte bij een onafhankelijke rechtbank.

5.De lidstaten zorgen ervoor dat een bevoegde autoriteit, bij het beoordelen van de naleving door een kritieke entiteit overeenkomstig dit artikel, de krachtens [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten van de betrokken lidstaat daarvan in kennis stelt, en deze autoriteiten kan verzoeken om de cyberbeveiliging van een dergelijke entiteit te beoordelen en daartoe samen te werken en informatie uit te wisselen.

Artikel 19
Sancties

De lidstaten stellen de voorschriften vast ten aanzien van de sancties die van toepassing zijn op overtredingen van de nationale bepalingen die zijn vastgesteld op grond van deze richtlijn en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie uiterlijk op [twee jaar na de datum van inwerkingtreding van deze richtlijn] in kennis van die bepalingen en delen haar onverwijld alle latere wijzigingen van die bepalingen mee.

HOOFDSTUK VII
SLOTBEPALINGEN

Artikel 20
Comitéprocedure

1.De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 21
Uitoefening van de bevoegdheidsdelegatie

1.De bevoegdheid om gedelegeerde handelingen vast te stellen wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.De in artikel 11, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van de datum van inwerkingtreding van deze richtlijn of een andere door de medewetgevers vastgestelde datum.

3.Het Europees Parlement of de Raad kan de in artikel 11, lid 4 bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.Een overeenkomstig artikel 11, lid 4, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 22
Verslaglegging en evaluatie

De Commissie dient uiterlijk op [54 maanden na de inwerkingtreding van deze richtlijn] een verslag in bij het Europees Parlement en de Raad waarin wordt beoordeeld in welke mate de lidstaten de nodige maatregelen hebben genomen om aan deze richtlijn te voldoen.

De Commissie evalueert op gezette tijden de werking van deze richtlijn en brengt daarover verslag uit aan het Europees Parlement en de Raad. In het verslag worden met name de impact en de toegevoegde waarde van deze richtlijn met betrekking tot het waarborgen van de veerkracht van kritieke entiteiten beoordeeld en wordt nagegaan of het toepassingsgebied van de richtlijn moet worden uitgebreid tot andere sectoren of deelsectoren. Het eerste verslag wordt uiterlijk [zes jaar na de inwerkingtreding van deze richtlijn] ingediend en beoordeelt met name of het toepassingsgebied van de richtlijn moet worden uitgebreid tot de sector productie, verwerking en distributie van levensmiddelen.

Artikel 23
Intrekking van Richtlijn 2008/114/EG

Richtlijn 2008/114/EG wordt ingetrokken met ingang van [datum van inwerkingtreding van deze richtlijn].

Artikel 24
Omzetting

1.De lidstaten dienen uiterlijk op [18 maanden na de inwerkingtreding van deze richtlijn] de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij delen de Commissie de tekst van die bepalingen onverwijld mede.

Zij passen die bepalingen toe vanaf [twee jaar na de inwerkingtreding van deze richtlijn + een dag].

Wanneer de lidstaten die bepalingen vaststellen, wordt in die bepalingen zelf of bij de officiële bekendmaking ervan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2.De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mede die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 25
Inwerkingtreding

Deze richtlijn treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 26
Adressaten

Deze richtlijn is gericht tot de lidstaten.

Gedaan te Brussel,

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF 

1.1.Benaming van het voorstel/initiatief

1.2.Betrokken beleidsterrein(en) 

Veiligheid

1.3.Het voorstel/initiatief betreft: 

◻ een nieuwe actie 

◻ een nieuwe actie na een proefproject / voorbereidende actie 40  

☑ de verlenging van een bestaande actie 

◻ de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie 

1.4.Doelstelling(en)

1.4.1.Algemene doelstelling(en)

1.4.2.Specifieke doelstelling(en)

1.4.3.Verwachte resulta(a)t(en) en gevolg(en)

Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen.

1.4.4.Prestatie-indicatoren

Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten

1.5.Motivering van het voorstel/initiatief 

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief

1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

1.5.4.Verenigbaarheid met het meerjarig financiële kader en eventuele synergie met andere passende instrumenten

1.6.Duur en financiële gevolgen van het voorstel/initiatief

◻ beperkte geldigheidsduur

◻    van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ

◻    financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.

☑ onbeperkte geldigheidsduur

·Uitvoering met een opstartperiode vanaf 2021 tot en met 2027,

·gevolgd door een volledige uitvoering.

1.7.Beheersvorm(en) 41  

☑ Direct beheer door de Commissie

☑    door haar diensten, waaronder het personeel in de delegaties van de Unie;

◻    door de uitvoerende agentschappen;

☑ Gedeeld beheer met lidstaten

◻ Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:

◻    derde landen of de door hen aangewezen organen;

◻    internationale organisaties en hun agentschappen (geef aan welke);

◻    de EIB en het Europees Investeringsfonds;

◻    de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;

◻    publiekrechtelijke organen;

◻    privaatrechtelijke organen met een openbare dienstverleningstaak, voor zover zij voldoende financiële garanties bieden;

◻    privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;

◻    personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.

Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.

Opmerkingen

2.BEHEERSMAATREGELEN 

2.1.Regels inzake het toezicht en de verslagen 

Vermeld frequentie en voorwaarden.

2.2.Beheers- en controlesyste(e)m(en) 

2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie

2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken

2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting) 

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden 

Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 

3.1.Rubriek(en) van het meerjarig financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven 

(8) Nieuwe begrotingsonderdelenl:

In volgorde van de rubrieken van het meerjarig financiële kader en de begrotingsonderdelen.

Opmerkingen:

Er zij op gewezen dat de in het kader van het voorstel gevraagde beleidskredieten worden gedekt door kredieten waarin reeds is voorzien in het financieel memorandum dat ten grondslag ligt aan de ISF-verordening.

In het kader van dit wetgevingsvoorstel worden geen extra personele middelen gevraagd.

3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten 

3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten 

◻    Voor het voorstel/initiatief zijn geen beleidskredieten nodig

☑    Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

in miljoenen euro’s (tot op drie decimalen)

Wanneer het voorstel/initiatief gevolgen heeft voor meerdere beleidsrubrieken, herhaal bovenstaand deel:

Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de bijlage bij het financieel memorandum (Bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.

in miljoenen euro’s (tot op drie decimalen)

in miljoenen euro’s (tot op drie decimalen)

3.2.2.Geraamde output gefinancierd met beleidskredieten Vastleggingskredieten in miljoenen euro's (tot op drie decimalen)

3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten 

◻    Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

☑    Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

in miljoenen euro’s (tot op drie decimalen)

De benodigde kredieten voor personeel en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

3.2.3.1.Geraamde personeelsbehoeften

◻    Voor het voorstel/initiatief zijn geen personele middelen nodig

☑    Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

Raming in voltijdequivalenten

XX is het beleidsterrein of de begrotingstitel.

Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

Beschrijving van de uit te voeren taken:

3.2.4.Verenigbaarheid met het huidige meerjarig financiële kader 

Het voorstel/initiatief:

☑    kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).

◻    hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.

◻    hiervoor is een herziening van het MFK nodig.

3.2.5.Bijdragen van derden 

Het voorstel/initiatief:

☑    voorziet niet in medefinanciering door derden

◻    voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:

Kredieten in miljoenen euro’s (tot op drie decimalen)

3.3.Geraamde gevolgen voor de ontvangsten 

☑    Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten

◻    Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:

◻    voor de eigen middelen

◻    voor overige ontvangsten

Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven ◻    

in miljoenen euro’s (tot op drie decimalen)

Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.

Andere opmerkingen (bijv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).

(1)    Conclusies van de Raad van 10 december 2019 over extra inspanningen ter versterking van de weerbaarheid en bestrijding van hybride dreigingen (14972/19).

(2)    Report on findings and recommendations of the European Parliament’s Special Committee on Terrorism (2018/2044(INI)).

(3)    Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.

(4)    COM(2020) 605 final.

(5)    COM(2020) 795 final.

(6)    Mededeling van de Commissie betreffende een Europees programma voor de bescherming van kritieke infrastructuur, COM(2006) 786 final.

(7)    Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren.

(8)    Mededeling van de Commissie over “Een EU-strategie voor aanpassing aan de klimaatverandering” (COM(2013) 216 final), Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming, Verordening (EU) 2019/452 tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie, Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.

(9)    “Overview of natural and man-made disaster risks the European Union may face”, SWD(2020) 330.

(10)    SWD(2019) 308 final.

(11)    Mededeling van de Commissie betreffende de EU-strategie voor de veiligheidsunie. COM(2020) 605 final.

(12)    SWD(2019) 310 final.

(13)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

(14)    PB C van , blz. .

(15)    PB C […] van […], blz. […].

(16)    Standpunt van het Europees Parlement […] en de Raad […].

(17)    Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (PB L 345 van 23.12.2008, blz. 75).

(18)    SWD(2019) 308 final.

(19)    Europees programma voor de bescherming van kritieke infrastructuur (EPCIP).

(20)    [Verwijzing naar NIS 2-richtlijn, eenmaal vastgesteld.]

(21)    Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

(22)    Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PB L 201 van 27.7.2012, blz. 1).

(23)    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PB L 173 van 12.6.2014, blz. 349).

(24)    Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 173 van 12.6.2014, blz. 84).

(25)    Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 176 van 27.6.2013, blz. 1).

(26)    Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PB L 176 van 27.6.2013, blz. 338).

(27)    Voorstel voor een verordening van het Europees Parlement en de Raad betreffende digitale operationele veerkracht voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 en (EU) nr. 909/2014, COM(2020) 595.

(28)    Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PB L 97/72 van 9.4.2008, blz. 72).

(29)    Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten (PB L 129 van 29.4.2004, blz. 6).

(30)    Richtlijn 2005/65/EG van het Europees Parlement en de Raad van 26 oktober 2005 betreffende het verhogen van de veiligheid van havens (PB L 310 van 25.11.2005, blz. 28).

(31)    Besluit van de Commissie van 29 juni 2018 tot oprichting van het EU-veiligheidsplatform voor treinreizigers C/2018/4014.

(32)    PB L 123 van 12.5.2016, blz. 1.

(33)    Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(34)    Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).

(35)    Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming (PB L 347 van 20.12.2013, blz. 924).

(36)    Verordening 2019/941 van het Europees Parlement en de Raad van 5 juni 2019 betreffende risicoparaatheid in de elektriciteitssector en tot intrekking van Richtlijn 2005/89/EG (PB L 158 van 14.6.2019, blz. 1).

(37)    Verordening (EU) 2017/1938 van het Europees Parlement en de Raad van 25 oktober 2017 betreffende maatregelen tot veiligstelling van de gasleveringszekerheid en houdende intrekking van Verordening (EU) nr. 994/2010 (PB L 280 van 28.10.2017, blz. 1).

(38)    PB L 119 van 4.5.2016, blz. 1.

(39)    PB L 135 van 22.5.2019, blz. 1.

(40)    In de zin van artikel 58, lid 2, punt a) of b), van het Financieel Reglement.

(41)    Nadere gegevens over de beheersvormen en verwijzingen naar het Financieel Reglement zijn beschikbaar op BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  

(42)    GK = gesplitste kredieten/NGK = niet-gesplitste kredieten.

(43)    EVA: Europese Vrijhandelsassociatie.

(44)    Kandidaat-lidstaten en, in voorkomend geval, aspirant-kandidaten van de Westelijke Balkan.

(45)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.

(46)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.

(47)    AC = Agent Contractuel (arbeidscontractant); AL = Agent Local (plaatselijk functionaris); END= Expert National Détaché (gedetacheerd nationaal deskundige); INT = Intérimaire (uitzendkracht); JPD = Junior Professionals in Delegations (jonge deskundige in delegaties).

(48)    Subplafond voor extern personeel uit beleidskredieten (vroegere “BA”-onderdelen).

(49)    Het jaar N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen. Vervang “N” door het verwachte eerste jaar van uitvoering (bijvoorbeeld: 2021). Hetzelfde voor de volgende jaren.

(50)    Voor traditionele eigen middelen (douanerechten en suikerheffingen) moeten nettobedragen worden vermeld, d.w.z. na aftrek van 20 % aan inningskosten.

EUROPESE COMMISSIE

Brussel, 16.12.2020

COM(2020) 829 final

BIJLAGE

bij het voorstel voor een

RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de veerkracht van kritieke entiteiten

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

BIJLAGE

Sectoren, deelsectoren en soorten entiteiten

(1)    Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (PB L 158 van 14.6.2019, blz. 125).

(2)    Verordening (EU) 2019/943 van het Europees Parlement en de Raad betreffende de interne markt voor elektriciteit (PB L 158 van 14.6.2019, blz. 54).

(3)    Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen (PB L 328 van 21.12.2018, blz. 82).

(4)    Richtlijn 2009/119/EG van de Raad van 14 september 2009 houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden (PB L 265 van 9.10.2009, blz. 9).

(5)    Richtlijn 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG (PB L 211 van 14.8.2009, blz. 94).

(6)    Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PB L 97 van 9.4.2008, blz. 72).

(7)    Richtlijn 2009/12/EG van het Europees Parlement en de Raad van 11 maart 2009 inzake luchthavengelden (PB L 70 van 14.3.2009, blz. 11).

(8)    Verordening (EG) nr. 1315/2013 van het Europees Parlement en de Raad van 11 december 2013 betreffende richtsnoeren van de Unie voor de ontwikkeling van het trans-Europees vervoersnetwerk en tot intrekking van Besluit nr. 661/2010/EU (PB L 348 van 20.12.2013, blz. 1).

(9)    Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot vaststelling van het kader voor de totstandbrenging van het gemeenschappelijke Europese luchtruim (“de kaderverordening”) (PB L 96 van 31.3.2004, blz. 1).

(10)    Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte (PB L 343 van 14.12.2012, blz. 32).

(11)    Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten (PB L 129 van 29.4.2004, blz. 6).

(12)    Richtlijn 2005/65/EG van het Europees Parlement en de Raad van 26 oktober 2005 betreffende het verhogen van de veiligheid van havens (PB L 310 van 25.11.2005, blz. 28).

(13)    Richtlijn 2002/59/EG van het Europees Parlement en de Raad van 27 juni 2002 betreffende de invoering van een communautair monitoring- en informatiesysteem voor de zeescheepvaart en tot intrekking van Richtlijn 93/75/EEG van de Raad (PB L 208 van 5.8.2002, blz. 10).

(14)    Gedelegeerde Verordening (EU) 2015/962 van de Commissie van 18 december 2014 ter aanvulling van Richtlijn 2010/40/EU van het Europees Parlement en de Raad wat de verlening van EU-wijde realtimeverkeersinformatiediensten betreft (PB L 157 van 23.6.2015, blz. 21).

(15)    Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen (PB L 207 van 6.8.2010, blz. 1).

(16)    Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 176 van 27.6.2013, blz. 1).

(17)    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PB L 173 van 12.6.2014, blz. 349).

(18)    Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PB L 201 van 27.7.2012, blz. 1).

(19)    Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(20)    [Verordening van het Europees Parlement en de Raad inzake ernstige grensoverschrijdende bedreigingen van de gezondheid en houdende intrekking van Besluit nr. 1082/2013/EU, verwijzing bij te werken wanneer voorstel COM(2020)727 final is aangenomen].

(21)    Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik (PB L 311 van 28 november 2001, blz. 67).

(22)    [Verordening van het Europees Parlement en de Raad betreffende een grotere rol van het Europees Geneesmiddelenbureau inzake crisisparaatheid en -beheersing op het gebied van geneesmiddelen en medische hulpmiddelen, COM(2020) 725 final, verwijzing bij te werken wanneer voorstel is aangenomen]

(23)    Richtlijn 98/83/EG van de Raad van 3 november 1998 betreffende de kwaliteit van voor menselijke consumptie bestemd water (PB L 330 van 5.12.1998, blz. 32).

(24)    Richtlijn 91/271/EEG van de Raad van 21 mei 1991 inzake de behandeling van stedelijk afvalwater (PB L 135 van 30.5.1991, blz. 40).

(25)    Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73).

(26)    Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (PB L 321 van 17.12.2018, blz. 36).

(27)    Verordening (EG) nr. 1059/2003 van het Europees Parlement en de Raad van 26 mei 2003 betreffende de opstelling van een gemeenschappelijke nomenclatuur van territoriale eenheden voor de statistiek (NUTS) (PB L 154 van 21.6.2003, blz. 1).