Op 17 juli 2023 heeft de Commissie besloten zich niet te verzetten tegen bovenvermelde aangemelde concentratie en deze verenigbaar met de interne markt te verklaren. Dit besluit is gebaseerd op artikel 6, lid 1, punt b), van Verordening (EG) nr. 139/2004 van de Raad (1). De volledige tekst van het besluit is slechts beschikbaar in het Engels en zal openbaar worden gemaakt na verwijdering van eventuele bedrijfsgeheimen. De tekst is beschikbaar:

—	op de website Concurrentie van de Commissie, afdeling Fusies (https://competition-cases.ec.europa.eu/search). Deze website biedt verschillende hulpmiddelen om individuele concentratiebesluiten op te zoeken, onder meer op: naam van de onderneming, nummer van de zaak, datum en sector;

—	in elektronische vorm op de EUR-Lex-website (http://eur-lex.europa.eu/homepage.html?locale=nl) onder document nr. 32023M11106. EUR-Lex biedt onlinetoegang tot de communautaire wetgeving.

---

(1)   PB L 24 van 29.1.2004, blz. 1.

I.   INLEIDING

1.

Overeenkomstig artikel 4, lid 3, van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn) (1) bepaalt de Commissie uiterlijk op 17 juli 2023 richtsnoeren ter verduidelijking van de toepassing van artikel 4, leden 1 en 2, van die richtlijn.

2.

De onderhavige richtsnoeren verduidelijken de toepassing van die bepalingen, die betrekking hebben op het verband tussen Richtlijn (EU) 2022/2555 en de huidige en toekomstige sectorspecifieke rechtshandelingen van de Unie aangaande maatregelen voor het beheer van cyberbeveiligingsrisico’s of vereisten inzake incidentenrapportage. In het aanhangsel bij deze richtsnoeren worden de sectorspecifieke rechtshandelingen van de Unie opgesomd die volgens de Commissie binnen het toepassingsgebied van artikel 4 van Richtlijn (EU) 2022/2555 vallen. Het feit dat een handeling niet in dat aanhangsel is vermeld, betekent niet noodzakelijkerwijs dat zij niet binnen de toepassingsgebied van deze bepaling valt.

3.

Overeenkomstig artikel 4, lid 3, derde zin, van Richtlijn (EU) 2022/2555 heeft de Commissie rekening gehouden met de opmerkingen van de NIS-samenwerkingsgroep en het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) voorafgaand aan de vaststelling van deze richtsnoeren.

4.

Deze richtsnoeren laten de uitlegging van het recht van de Unie door het Hof van Justitie van de Europese Unie onverlet.

II.   GELIJKWAARDIGHEID VAN CYBERBEVEILIGINGSVEREISTEN VAN SECTORSPECIFIEKE RECHTSHANDELINGEN VAN DE UNIE

5.

Artikel 4, lid 1, van Richtlijn (EU) 2022/2555 bepaalt dat, indien sectorspecifieke rechtshandelingen van de Unie voorschrijven dat essentiële of belangrijke entiteiten risicobeheersmaatregelen op het gebied van cyberbeveiliging moeten nemen of significante incidenten moeten melden, en indien deze eisen ten minste gelijkwaardig zijn aan de in Richtlijn (EU) 2022/2555 vastgestelde verplichtingen, de relevante bepalingen van deze richtlijn, met inbegrip van de in hoofdstuk VII van die richtlijn bedoelde toezichts- en handhavingsbepalingen, niet van toepassing zijn op dergelijke entiteiten. Daarnaast bepaalt dit lid ook dat, indien sectorspecifieke rechtshandelingen van de Unie niet alle entiteiten bestrijken in een binnen het toepassingsgebied van Richtlijn (EU) 2022/2555 vallende specifieke sector, de desbetreffende bepalingen van die richtlijn van toepassing blijven op entiteiten die niet onder die sectorspecifieke rechtshandelingen van de Unie vallen.

II.1.   Eisen voor risicobeheer op het gebied van cyberbeveiliging

6.

Artikel 4, lid 2, punt a), van Richtlijn (EU) 2022/2555 bepaalt dat risicobeheersmaatregelen op het gebied van cyberbeveiliging die essentiële of belangrijke entiteiten moeten vaststellen krachtens sectorspecifieke rechtshandelingen van de Unie, worden geacht gelijkwaardig te zijn aan de in Richtlijn (EU) 2022/2555 vastgestelde verplichtingen als die maatregelen ten minste een vergelijkbare uitwerking hebben als die welke zijn vastgesteld in artikel 21, leden 1 en 2, van die richtlijn. Bij de beoordeling of de vereisten in een sectorspecifieke rechtshandeling van de Unie inzake risicobeheersmaatregelen op het gebied van cyberbeveiliging ten minste een gelijkwaardige uitwerking hebben als die van artikel 21, leden 1 en 2, van Richtlijn (EU) 2022/2555, moeten de vereisten in die sectorspecifieke rechtshandeling van de Unie ten minste overeenstemmen met of verder gaan dan de vereisten van die bepalingen, wat betekent dat de sectorspecifieke bepalingen inhoudelijk gedetailleerder kunnen zijn dan de overeenkomstige bepalingen van Richtlijn (EU) 2022/2555.

7.

Overeenkomstig artikel 21, lid 1, eerste alinea, van Richtlijn (EU) 2022/2555 zorgen de lidstaten ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren. Die maatregelen moeten risicogebaseerd zijn en de gevolgen van incidenten kunnen voorkomen of tot een minimum beperken. Artikel 21, lid 1, tweede alinea, van Richtlijn (EU) 2022/2555 bepaalt hoe de evenredigheid van dergelijke maatregelen moet worden beoordeeld (2). De in artikel 21, lid 1, van Richtlijn (EU) 2022/2555 vastgestelde verplichting voor essentiële en belangrijke entiteiten om passende en evenredige maatregelen voor het beheer van cyberbeveiligingsrisico’s te nemen, heeft betrekking op alle activiteiten en diensten van de betrokken entiteit, en niet alleen op specifieke IT-activa of kritieke diensten die de entiteit verleent.

8.

Bij de beoordeling van de gelijkwaardigheid van een sectorspecifieke rechtshandeling van de Unie met de relevante bepalingen inzake cyberrisicobeheer van Richtlijn (EU) 2022/2555 moet bijzonder belang worden gehecht aan de vraag of de beveiligingsverplichtingen in die rechtshandeling maatregelen omvatten die gericht zijn op het waarborgen van de beveiliging van netwerk- en informatiesystemen. De in artikel 6, punt 2), van Richtlijn (EU) 2022/2555 vastgestelde definitie van “beveiliging van netwerk- en informatiesystemen” verwijst naar het vermogen van informatiesystemen om op een bepaald niveau van betrouwbaarheid weerstand te bieden aan elke gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via deze netwerk- en informatiesystemen worden aangeboden, in gevaar kan brengen. Het gebruik van de termen “beschikbaarheid”, “authenticiteit”, “integriteit” en “vertrouwelijkheid” in die definitie verwijst naar alle vier de beschermingsdoelstellingen in verband met de beveiliging van netwerk- en informatiesystemen. De term “netwerk- en informatiesystemen”, zoals gedefinieerd in artikel 6, punt 1), van Richtlijn (EU) 2022/2555, omvat elektronischecommunicatienetwerken (3); elk apparaat of elke groep van onderling verbonden of verwante apparaten, waarvan er een of meer, op grond van een programma, een automatische verwerking van digitale gegevens uitvoeren; en digitale gegevens die worden opgeslagen, verwerkt, opgehaald of verzonden met behulp van dergelijke elektronischecommunicatienetwerken of apparaten met het oog op de werking, het gebruik, de bescherming of het onderhoud ervan. Bijgevolg moeten de bij een sectorspecifieke rechtshandeling van de Unie vereiste beveiligingsmaatregelen ook betrekking hebben op hardware, firmware en software die bij de activiteiten van een entiteit worden gebruikt.

9.

Een andere belangrijke overweging bij de beoordeling van de gelijkwaardigheid van een sectorspecifieke rechtshandeling van de Unie met de vereisten van artikel 21, leden 1 en 2, van Richtlijn (EU) 2022/2555 is dat de door die handeling vereiste maatregelen voor het beheer van cyberbeveiligingsrisico’s gebaseerd moeten zijn op een “benadering die alle gevaren omvat”. Aangezien bedreigingen voor de beveiliging van netwerk- en informatiesystemen verschillende oorzaken kunnen hebben, kan elke gebeurtenis negatieve gevolgen hebben voor de netwerkinformatiesystemen van de entiteit en tot een incident leiden. Daarom moeten de door de entiteit genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s niet alleen de netwerk- en informatiesystemen van de entiteit, maar ook de fysieke omgeving van die systemen beschermen tegen gebeurtenissen zoals sabotage, diefstal, brand, overstromingen, telecommunicatie- of stroomstoringen of ongeoorloofde fysieke toegang die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via netwerk- en informatiesystemen worden aangeboden, in gevaar kunnen brengen. Bijgevolg moeten de bij een sectorspecifieke rechtshandeling van de Unie vereiste maatregelen voor het beheer van cyberbeveiligingsrisico’s specifiek betrekking hebben op de fysieke en omgevingsbeveiliging van netwerk- en informatiesystemen tegen systeemstoringen, menselijke fouten, kwaadwillige handelingen of natuurverschijnselen (4).

10.

Artikel 21, lid 2, van Richtlijn (EU) 2022/2555 vereist voorts dat de maatregelen voor het beheer van cyberbeveiligingsrisico’s de in lid 2, punten a) tot en met j), van die bepaling genoemde specifieke beveiligingsvereisten omvatten. Deze vereisten hebben betrekking op maatregelen zoals beleid inzake risicoanalyse en beveiliging van informatiesystemen, incidentenbehandeling, bedrijfscontinuïteit, crisisbeheer, beveiliging van de toeleveringsketen, beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie. Overeenkomstig artikel 21, lid 5, tweede alinea, van Richtlijn (EU) 2022/2555 kan de Commissie uitvoeringshandelingen vaststellen met de technische en methodologische vereisten, en, zo nodig, de sectorale vereisten voor de in artikel 21, lid 2, van die richtlijn bedoelde beveiligingsmaatregelen. Met betrekking tot dienstverleners van domeinnaamsystemen (“DNS”), registers voor topniveaudomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten, stelt de Commissie uiterlijk op 17 oktober 2024 uitvoeringshandelingen vast met betrekking tot de technische en methodologische vereisten van de in artikel 21, lid 2, van Richtlijn (EU) 2022/2555 bedoelde beveiligingsmaatregelen. In uitvoeringshandelingen worden de belangrijkste voorwaarden en criteria voor de uitvoering, die zijn vastgelegd in de basishandeling, nader gespecificeerd, zonder de inhoud van die handeling aan te tasten (5).

II.2.   Rapportageverplichtingen

11.

In artikel 4, lid 2, punt b), van Richtlijn (EU) 2022/2555 is bepaald dat rapportageverplichtingen met betrekking tot het melden van significante incidenten worden beschouwd als gelijkwaardig aan de in die richtlijn vastgestelde verplichtingen wanneer een sectorspecifieke rechtshandeling van de Unie voorziet in onmiddellijke toegang, in voorkomend geval automatisch en rechtstreeks, tot de meldingen van incidenten door de computer security incident response teams (CSIRT’s), de bevoegde autoriteiten of de centrale contactpunten (SPOC’s), en wanneer de eisen voor het melden van significante incidenten ten minste een vergelijkbare uitwerking hebben als die van artikel 23, leden 1 tot en met 6, van Richtlijn (EU) 2022/2555.

12.

Aangezien de vereisten van een sectorspecifieke rechtshandeling van de Unie om significante incidenten te melden een gelijkwaardige uitwerking moeten hebben als die van artikel 23, leden 1 tot en met 6, van Richtlijn (EU) 2022/2555 opdat die handeling van toepassing is in plaats van de rapportage-eisen van die richtlijn, zijn de eisen van artikel 23, leden 1 tot en met 6, van de richtlijn van bijzonder belang voor de beoordeling van de gelijkwaardigheid. In artikel 23, leden 1 tot met 6, van Richtlijn (EU) 2022/2555 wordt nader bepaald welk soort incidenten moeten worden gemeld aan wie en binnen welke termijn, en welke informatie daarbij moet worden verschaft. Dit wordt hieronder nader toegelicht.

II.2.1.   Melding van significante incidenten aan CSIRT’s, bevoegde autoriteiten en ontvangers

13.

Artikel 23, lid 1, eerste alinea, eerste zin, van Richtlijn (EU) 2022/2555 schrijft voor dat essentiële en belangrijke entiteiten elk incident onverwijld melden bij hun CSIRT of, indien van toepassing, hun bevoegde autoriteit. Artikel 23, lid 1, eerste alinea, tweede zin, van Richtlijn (EU) 2022/2555 schrijft voor dat essentiële en belangrijke entiteiten in voorkomend geval de ontvangers van hun diensten onverwijld in kennis stellen van significante incidenten die een nadelige invloed kunnen hebben op de verlening van die diensten.

14.

Terwijl artikel 6, punt 6), van Richtlijn (EU) 2022/2555 “incidenten” zeer ruim definieert, namelijk als een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt, schrijft artikel 23, lid 1, van die richtlijn voor dat alleen significante incidenten aan een meldingsplicht zijn onderworpen. Een incident is significant indien het een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken (artikel 23, lid 3, punt a)), of indien het andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken (artikel 23, lid 3, punt b)).

15.

In overweging 101 van de preambule van Richtlijn (EU) 2022/2555 wordt verduidelijkt dat de melding van incidenten gebaseerd moet zijn op een door de betrokken entiteit uitgevoerde initiële beoordeling. Bij een dergelijke initiële beoordeling moet rekening worden gehouden met onder meer de getroffen netwerk- en informatiesystemen, en met name het belang daarvan voor de door de entiteit verleende diensten, de ernst en technische kenmerken van een cyberdreiging en eventuele onderliggende kwetsbaarheden die worden uitgebuit, alsook de ervaring van de entiteit met soortgelijke incidenten. Indicatoren zoals de mate waarin de werking van de dienst wordt aangetast, de duur van een incident of het aantal getroffen afnemers van de diensten kunnen van belang zijn om vast te stellen of er sprake is van een ernstige operationele verstoring van de dienst.

16.

Overeenkomstig artikel 23, lid 11, tweede alinea, van Richtlijn (EU) 2022/2555 kan de Commissie uitvoeringshandelingen vaststellen waarin nader wordt gespecificeerd in welke gevallen een incident als significant wordt beschouwd. Wat betreft DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, stelt de Commissie dergelijke uitvoeringshandelingen uiterlijk op 17 oktober 2024 vast. In uitvoeringshandelingen worden de belangrijkste voorwaarden en criteria voor de uitvoering, die zijn vastgelegd in de basishandeling, nader gespecificeerd, zonder de inhoud van die handeling aan te tasten (6).

II.2.2.   Aanpak in meerdere fasen en tijdschema voor het melden van significante incidenten

17.

Richtlijn (EU) 2022/2555 voorziet in een meerfasenaanpak voor de melding van significante incidenten, die een vroegtijdige waarschuwing, een melding van incidenten en een eindverslag inhoudt. Deze drie elementen kunnen eventueel worden aangevuld met tussentijdse verslagen en een voortgangsverslag.

18.

Deze aanpak in meerdere fasen is bedoeld om het juiste evenwicht te vinden tussen enerzijds een snelle melding die de potentiële verspreiding van significante incidenten helpt te beperken en essentiële en belangrijke entiteiten in staat stelt om bijstand te vragen, en anderzijds een grondige melding die het mogelijk maakt waardevolle lessen te trekken uit afzonderlijke incidenten en mettertijd de digitale weerbaarheid van afzonderlijke entiteiten en hele sectoren verbetert (7).

19.

Volgens de aanpak in meerdere fasen moeten essentiële en belangrijke entiteiten eerst een vroegtijdige waarschuwing indienen bij het bevoegde CSIRT of de bevoegde autoriteit, onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident. Vervolgens moeten die entiteiten onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding indienen. Daarna kan een bevoegde CSIRT of autoriteit om een tussentijds verslag verzoeken. Ten slotte moet uiterlijk één maand na de indiening van de incidentmelding een eindverslag worden ingediend bij het bevoegde CSIRT of de bevoegde autoriteit, tenzij het incident op dat moment nog aan de gang is, in welk geval een voortgangsverslag en binnen een maand na de behandeling van het incident een eindverslag moeten worden ingediend.

20.

Voor de melding van incidenten als bedoeld in artikel 23, lid 4, tweede alinea, van Richtlijn (EU) 2022/2555 geldt een andere termijn voor verleners van vertrouwensdiensten. Die verleners moeten significante incidenten met betrekking tot de verlening van hun vertrouwensdiensten onverwijld en in elk geval binnen 24 uur nadat zij van het significante incident kennis hebben gekregen, melden.

II.2.3.   Inhoud van de meldingsplicht voor significante incidenten aan CSIRT’s of bevoegde autoriteiten

21.

Als algemene regel stelt artikel 23, lid 1, eerste alinea, derde zin, van Richtlijn (EU) 2022/2555 dat de lidstaten ervoor moeten zorgen dat essentiële en belangrijke entiteiten onder meer alle informatie rapporteren die het CSIRT of, indien van toepassing, de bevoegde autoriteit in staat stelt om eventuele grensoverschrijdende gevolgen van het incident te bepalen. Deze eis met betrekking tot de inhoud van de meldingsplicht wordt nader gespecificeerd in artikel 23, lid 4, van Richtlijn (EU) 2022/2555, waarin de aanpak in meerdere fasen is vastgelegd.

22.

Artikel 23, lid 4, punt a), stelt dat in voorkomend geval moet bij deze vroegtijdige waarschuwing worden aangegeven of het significante incident vermoedelijk door onrechtmatige of kwaadwillige handelingen is veroorzaakt en of het grensoverschrijdende gevolgen zou kunnen hebben. Volgens overweging 102 van de preambule van Richtlijn (EU) 2022/2555 mag de vroegtijdige waarschuwing enkel de informatie bevatten die nodig is om het CSIRT of de bevoegde autoriteit op de hoogte te brengen van het significante incident en de betrokken entiteit in staat te stellen om indien nodig bijstand te vragen.

23.

De melding van incidenten moet in voorkomend geval een update van de in het kader van de vroegtijdige waarschuwing ingediende informatie omvatten. Bovendien moet de melding een initiële beoordeling van het significante incident omvatten, met inbegrip van de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting.

24.

Indien een tussentijds verslag wordt gevraagd, moet het relevante updates van de situatie bevatten. Het eindverslag moet een gedetailleerde beschrijving bevatten van het incident, met inbegrip van de ernst en de gevolgen ervan, het soort bedreiging of de onderliggende oorzaak die waarschijnlijk tot het incident heeft geleid, toegepaste en lopende risicobeperkende maatregelen en, in voorkomend geval, de grensoverschrijdende gevolgen van het incident.

II.2.4.   Onmiddellijke toegang tot meldingen van incidenten

25.

In artikel 4, lid 2, punt b), van Richtlijn (EU) 2022/2555 is bepaald dat een sectorspecifieke rechtshandeling van de Unie, om in de plaats van die richtlijn van toepassing te zijn op de rapportagevereisten, voor de CSIRT’s, de bevoegde autoriteiten of de centrale contactpunten voorzien in onmiddellijke toegang tot de overeenkomstig de sectorspecifieke rechtshandeling van de Unie ingediende meldingen van incidenten. Overeenkomstig overweging 24 van de preambule van Richtlijn (EU) 2022/2555 kan deze onmiddellijke toegang met name worden gewaarborgd indien meldingen van incidenten onverwijld worden doorgestuurd naar de CSIRT, de bevoegde autoriteit of het centrale contactpunt.

26.

Onmiddellijke toegang kan worden verleend via automatische en directe middelen die de lidstaten waar nodig moeten invoeren. Mechanismen voor automatische en rechtstreekse rapportage moeten ervoor zorgen dat informatie met betrekking tot de behandeling van dergelijke meldingen van incidenten systematisch en onmiddellijk wordt uitgewisseld met de CSIRT’s, de bevoegde autoriteiten of de centrale contactpunten. De lidstaten kunnen ook gebruikmaken van één centraal contactpunt dat moet voldoen aan de sectorspecifieke rechtshandeling van de Unie, om de rapportage te vereenvoudigen en om het mechanisme voor automatische en rechtstreekse rapportage toe te passen.

27.

Bij de beoordeling of de eisen in een sectorspecifieke rechtshandeling van de Unie om significante incidenten te melden ten minste een vergelijkbare uitwerking hebben als die van artikel 23, leden 1 tot en met 6, van Richtlijn (EU) 2022/2555, moeten de eisen in die sectorspecifieke rechtshandeling van de Unie ten minste overeenstemmen met de vereisten van artikel 23, leden 1 tot en met 6, of gedetailleerder zijn dan die bepalingen. De eisen moeten betrekking hebben op het soort incidenten dat overeenkomstig Richtlijn (EU) 2022/2555 moet worden gemeld, waarbij met name rekening wordt gehouden met de ontvangers, de inhoud en de toepasselijke tijdsschema’s.

III.   GEVOLGEN VAN GELIJKWAARDIGHEID

III.1.   Toezicht en handhaving

28.

Wanneer sectorspecifieke rechtshandelingen van de Unie ten minste een vergelijkbare uitwerking hebben als de in Richtlijn (EU) 2022/2555 vastgestelde verplichtingen, zijn niet alleen de relevante bepalingen van die richtlijn betreffende de verplichting om risicobeheersmaatregelen op het gebied van cyberbeveiliging te nemen of significante incidenten te melden, maar ook de bepalingen inzake toezicht en handhaving van hoofdstuk VII van Richtlijn (EU) 2022/2555, niet van toepassing.

29.

In overweging 25 van de preambule van Richtlijn (EU) 2022/2555 wordt uitgelegd dat in sectorspecifieke rechtshandelingen van de Unie die ten minste een vergelijkbare uitwerking hebben, kan worden vastgelegd dat de in uit hoofde van die handelingen bevoegde autoriteiten hun toezichts- en handhavingsbevoegdheden met betrekking tot maatregelen voor het beheer van cyberbeveiligingsrisico’s of rapportageverplichtingen uitoefenen met hulp van de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten. De betrokken bevoegde autoriteiten kunnen daartoe samenwerkingsregelingen treffen, waarin onder meer procedures voor de coördinatie van toezichtsactiviteiten worden omgeschreven, met inbegrip van de procedures voor onderzoeken en inspecties ter plaatse overeenkomstig het nationale recht, en een mechanisme voor de uitwisseling van relevante informatie over toezicht en handhaving tussen de bevoegde autoriteiten. Een dergelijk mechanisme voor de uitwisseling van relevante informatie zou toegang kunnen inhouden tot cybergerelateerde informatie waar de bevoegde autoriteiten uit hoofde van Richtlijn (EU) 2022/2555 om verzoeken.

III.2.   Nationale cyberbeveiligingsstrategie

30.

Elke lidstaat moet een nationale cyberbeveiligingsstrategie vaststellen overeenkomstig artikel 7, lid 1, van Richtlijn (EU) 2022/2555. Een nationale cyberbeveiligingsstrategie is een samenhangend kader van een lidstaat met strategische doelstellingen en prioriteiten op het vlak van cyberbeveiliging en de governance om die doelstellingen en prioriteiten in die lidstaat te verwezenlijken (zie artikel 6, punt 4), van Richtlijn (EU) 2022/2555). De cyberbeveiligingsstrategie moet onder meer doelstellingen en prioriteiten omvatten die met name betrekking hebben op de in de bijlagen I en II bij Richtlijn (EU) 2022/2555 bedoelde sectoren. Daarnaast moet die strategie een governancekader omvatten om deze doelstellingen en prioriteiten te verwezenlijken, met inbegrip van het in artikel 7, lid 2, van Richtlijn (EU) 2022/2555 bedoelde beleid.

31.

Verder bepaalt artikel 7, lid 1, punt c), van Richtlijn (EU) 2022/2555 dat de nationale cyberbeveiligingsstrategie een governancekader moet omvatten dat de taken en verantwoordelijkheden van relevante belanghebbenden op nationaal niveau verduidelijkt, ter onderbouwing van de samenwerking en coördinatie op nationaal niveau tussen de bevoegde autoriteiten, de centrale contactpunten en de CSIRT’s uit hoofde van Richtlijn (EU) 2022/2555, alsmede van de coördinatie en samenwerking tussen die organen en uit hoofde van sectorspecifieke rechtshandelingen van de Unie bevoegde autoriteiten.

32.

De vereiste om een cyberbeveiligingsstrategie vast te stellen overeenkomstig artikel 7 van Richtlijn (EU) 2022/2555 heeft dus geen betrekking op de cyberbeveiligingsvereisten die krachtens de artikelen 21 en 23 van die richtlijn aan essentiële en belangrijke entiteiten worden opgelegd, noch op de bepalingen met betrekking tot toezicht en handhaving van hoofdstuk VII, zoals vereist bij artikel 4, leden 1 en 2, van de richtlijn. De desbetreffende bepaling van artikel 7 moet van toepassing blijven op sectoren, subsectoren en soorten entiteiten waarvoor sectorspecifieke rechtshandelingen van de Unie in de zin van artikel 4 van Richtlijn (EU) 2022/2555 bestaan.

III.3.   Aanwijzing van CSIRT’s

33.

Overeenkomstig artikel 10, lid 1, van Richtlijn (EU) 2022/2555 moeten de lidstaten een of meer CSIRT’s aanwijzen of instellen die ten minste de in de bijlagen I en II bij de richtlijn bedoelde sectoren, subsectoren en soorten entiteiten bestrijken, dus inclusief de sectoren, subsectoren en soorten entiteiten waarvoor sectorspecifieke rechtshandelingen van de Unie bestaan. De CSIRT’s zullen normaal gesproken ook hun taken uitvoeren zoals bepaald in artikel 11, lid 3, van Richtlijn (EU) 2022/2555 in dat verband, tenzij specifieke taken zijn gespecificeerd in de sectorspecifieke rechtshandelingen van de Unie.

III.4.   Nationale kaders voor cybercrisisbeheer

34.

Overeenkomstig artikel 9, lid 1, van Richtlijn (EU) 2022/2555 moeten de lidstaten een of meer cybercrisisbeheerautoriteiten aanwijzen of instellen die verantwoordelijk zijn voor het beheer van grootschalige cyberbeveiligingsincidenten en crises. Volgens artikel 6, punt 7), van die richtlijn is een grootschalig cyberbeveiligingsincident een incident dat leidt tot een verstoringsniveau dat te groot is om door een getroffen lidstaat alleen te worden verholpen of dat significante gevolgen heeft voor ten minste twee lidstaten. Artikel 9, lid 4, van Richtlijn (EU) 2022/2555 bepaalt dat elke lidstaat ook een nationaal plan voor grootschalige cyberbeveiligingsincidenten en crisisrespons vaststelt, waarin de doelstellingen van en regelingen voor het beheer van grootschalige cyberbeveiligingsincidenten en crises zijn vastgelegd. In dit plan moeten onder meer de cybercrisisbeheerprocedures, met inbegrip van de integratie ervan in het algemene nationale crisisbeheerkader en in de informatie-uitwisselingskanalen, en de relevante publieke en particuliere belanghebbenden en betrokken infrastructuur worden vastgelegd. Dergelijke cybercrisisbeheerprocedures en relevante publieke en particuliere belanghebbenden en infrastructuur kunnen sectorspecifieke procedures en belanghebbenden inhouden.

35.

Bij artikel 16 van Richtlijn (EU) 2022/2555 is het Europese netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) opgericht, dat tot doel heeft het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en crises op operationeel niveau te ondersteunen en te zorgen voor een regelmatige uitwisseling van relevante informatie tussen de lidstaten en de instellingen, organen en agentschappen van de Unie.

36.

Aangezien artikel 9 inzake kaders voor cybercrisisbeheer en artikel 16 inzake EU-CyCLONe geen betrekking hebben op de cyberbeveiligingsvereisten die krachtens artikel 21 en 23 van Richtlijn (EU) 2022/2555 aan entiteiten worden opgelegd of op het toezicht en de handhaving zoals vastgesteld in hoofdstuk VII, zoals vereist bij artikel 4, leden 1 en 2, van die richtlijn, moeten artikel 9 en 16 in hun geheel van toepassing zijn op sectoren, ondanks het bestaan van sectorspecifieke rechtshandelingen van de Unie in de zin van artikel 4. Bijgevolg moeten de lidstaten een of meer cybercrisisbeheerautoriteiten aanwijzen of instellen die verantwoordelijk zijn voor het beheer van grootschalige cyberbeveiligingsincidenten en crises die zich voordoen in de sectoren die onder sectorspecifieke rechtshandelingen van de Unie vallen. Voorts mogen sectoren die onder sectorspecifieke rechtshandelingen van de Unie vallen, niet worden vergeten bij de vaststelling van het nationale plan voor grootschalige cyberincidenten en -crises. Tot slot moet EU-CyCLONe zijn in artikel 16 van Richtlijn (EU) 2022/2555 verankerde taken uitvoeren met betrekking tot sectoren waarin entiteiten onderworpen zijn aan sectorspecifieke rechtshandelingen van de Unie.

III.5.   Uitsluiting van de toepassing van artikel 3, leden 3 en 4, artikel 20 en artikel 27, leden 2 en 3

37.

Overeenkomstig artikel 3, lid 3, van Richtlijn (EU) 2022/2555 moeten de lidstaten een lijst opstellen van essentiële en belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen die binnen het toepassingsgebied van de richtlijn vallen. Overeenkomstig artikel 27, lid 2, vereisen de lidstaten van de in artikel 27, lid 1, van die richtlijn bedoelde entiteiten dat zij bepaalde informatie bij de bevoegde autoriteiten indienen. Aangezien het doel van deze bepalingen is te zorgen voor een duidelijk overzicht van de entiteiten die binnen het toepassingsgebied van Richtlijn (EU) 2022/2555 vallen, ter ondersteuning van het toezicht op essentiële en belangrijke entiteiten die onder het toepassingsgebied ervan vallen, volgt daaruit dat deze bepalingen niet van toepassing mogen zijn op entiteiten waarvoor een sectorspecifieke rechtshandeling van de Unie van toepassing is met betrekking tot vereisten inzake het beheer van cyberbeveiligingsrisico’s en rapportagevereisten. Dit belet de lidstaten niet dergelijke entiteiten in de lijst op te nemen. Overeenkomstig artikel 20, lid 1, van Richtlijn (EU) 2022/2555, moeten de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel. Overeenkomstig artikel 20, lid 2, van die richtlijn moeten de lidstaten ervoor zorgen dat de leden van de bestuursorganen van essentiële en belangrijke entiteiten een opleiding moeten volgen, en essentiële en belangrijke entiteiten aanmoedigen om regelmatig een soortgelijke opleiding aan hun werknemers aan te bieden, zodat zij voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen. Aangezien de verplichtingen die voortvloeien uit artikel 20 van Richtlijn (EU) 2022/2555 intrinsiek verbonden zijn met de vereisten van artikel 21 van die richtlijn, moet artikel 20 niet van toepassing zijn in het geval van sectorspecifieke rechtshandelingen van de Unie in de zin van artikel 4 van die richtlijn die van toepassing zijn op vereisten inzake risicobeheer op het gebied van cyberbeveiliging.

---

(1)   PB L 333 van 27.12.2022, blz. 80.

(2)  Zie ook overwegingen 78, 81 en 82 van de preambule van Richtlijn (EU) 2022/2555.

(3)  Artikel 2, lid 1, van Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (PB L 321 van 17.12.2018, blz. 36).

(4)  Zie ook overweging 79 van de preambule van Richtlijn (EU) 2022/2555.

(5)  Zie hoofdstuk D. Aanvullende regels ter uitvoering van de basishandeling, Niet-bindende criteria voor de toepassing van de artikelen 290 en 291 van het Verdrag betreffende de werking van de Europese Unie — 18 juni 2019 (PB C 223 van 3.7.2019, blz. 1).

(6)  Zie hoofdstuk D. Aanvullende regels ter uitvoering van de basishandeling, Niet-bindende criteria voor de toepassing van de artikelen 290 en 291 van het Verdrag betreffende de werking van de Europese Unie — 18 juni 2019 (PB C 223 van 3.7.2019, blz. 1).

(7)  Zie ook overweging 101 van de preambule van Richtlijn (EU) 2022/2555.

De volgende informatie wordt ter kennis gebracht van de personen en entiteiten die staan vermeld in de bijlage bij Besluit 2011/235/GBVB van de Raad (1), als uitgevoerd bij Uitvoeringsbesluit (GBVB) 2023/1780 van de Raad (2), en in bijlage I bij Verordening (EU) nr. 359/2011 van de Raad (3), als uitgevoerd bij Uitvoeringsverordening (EU) 2023/1779 van de Raad (4), betreffende beperkende maatregelen tegen bepaalde personen, entiteiten en lichamen in verband met de situatie in Iran.

De Raad van de Europese Unie heeft besloten dat deze personen en entiteiten moeten worden opgenomen in de lijst van personen en entiteiten die onderworpen zijn aan de beperkende maatregelen van Besluit 2011/235/GBVB en van Verordening (EU) nr. 359/2011.

De betrokken personen en entiteiten worden erop geattendeerd dat zij bij de bevoegde autoriteiten van de lidstaat/lidstaten in kwestie, vermeld op de websites in bijlage II bij Verordening (EU) nr. 359/2011, een verzoek kunnen indienen tot verstrekking van een machtiging voor het gebruik van bevroren tegoeden voor basisbehoeften of specifieke betalingen (zie artikel 4 van de verordening).

De betrokken personen en entiteiten kunnen vóór 1 januari 2024, onder overlegging van bewijsstukken, op onderstaand adres een verzoek bij de Raad indienen tot heroverweging van het besluit hen op bovengenoemde lijst te plaatsen:

Raad van de Europese Unie

Secretariaat-generaal

RELEX 1

Wetstraat 175

1048 Brussel

BELGIË

E-mail: sanctions@consilium.europa.eu

Tevens worden de betrokken personen en entiteiten erop geattendeerd dat zij bij het Gerecht van de Europese Unie beroep tegen het besluit van de Raad kunnen aantekenen, overeenkomstig de voorwaarden van artikel 275, tweede alinea, en artikel 263, vierde en zesde alinea, van het Verdrag betreffende de werking van de Europese Unie.

---

(1)   PB L 100 van 14.4.2011, blz. 51.

(2)   PB L 228 I van 15.9.2023, blz. 6.

(3)   PB L 100 van 14.4.2011, blz. 1.

(4)   PB L 228 I van 15.9.2023, blz. 1.

De aandacht van de betrokkenen wordt gevestigd op onderstaande informatie, verstrekt overeenkomstig artikel 16 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (1).

De rechtsgronden voor deze verwerking worden gevormd door Besluit 2011/235/GBVB van de Raad (2), als uitgevoerd bij Uitvoeringsbesluit (GBVB) 2023/1780 van de Raad (3), en Verordening (EU) nr. 359/2011 van de Raad (4), als uitgevoerd bij Uitvoeringsverordening (EU) 2023/1779 van de Raad (5).

De verwerkingsverantwoordelijke is de Raad van de Europese Unie, die wordt vertegenwoordigd door de directeur-generaal van directoraat-generaal Buitenlandse Betrekkingen (RELEX) van het secretariaat-generaal van de Raad, en de dienst die met de verwerking is belast, is RELEX.1, die bereikbaar is op het volgende adres:

Raad van de Europese Unie

Secretariaat-generaal

RELEX 1

Wetstraat 175

1048 Brussel

BELGIË

E-mail: sanctions@consilium.europa.eu

De functionaris voor gegevensbescherming van de Raad is bereikbaar op het volgende adres:

Functionaris voor gegevensbescherming

data.protection@consilium.europa.eu

Doel van de verwerking is het opstellen en actualiseren van de lijst van personen op wie beperkende maatregelen van toepassing zijn overeenkomstig Besluit 2011/235/GBVB, als uitgevoerd bij Uitvoeringsbesluit (GBVB) 2023/1780, en Verordening (EU) nr. 359/2011, als uitgevoerd bij Uitvoeringsverordening (EU) 2023/1779.

De betrokkenen zijn de natuurlijke personen die voldoen aan de criteria voor plaatsing op de lijst als vastgelegd in Besluit 2011/235/GBVB en Verordening (EU) nr. 359/2011.

De verzamelde persoonsgegevens omvatten gegevens die nodig zijn voor de correcte identificatie van de betrokken persoon, de motivering en eventuele andere gegevens die verband houden met de redenen voor plaatsing op de lijst.

De rechtsgronden voor de verwerking van persoonsgegevens zijn de besluiten van de Raad die zijn vastgesteld op grond van artikel 29 VEU en de op grond van artikel 215 VWEU vastgestelde verordeningen van de Raad waarbij natuurlijke personen (betrokkenen) op een lijst worden geplaatst, tegoeden worden bevroren en reisbeperkingen worden opgelegd.

De verwerking is, overeenkomstig artikel 5, lid 1, punt a), van Verordening (EU) 2018/1725, noodzakelijk voor de vervulling van een taak in het algemeen belang en, overeenkomstig artikel 5, lid 1, punt b), noodzakelijk om te voldoen aan in de bovengenoemde rechtshandelingen vastgelegde wettelijke verplichtingen die op de verwerkingsverantwoordelijke rusten.

De verwerking is, overeenkomstig artikel 10, lid 2, punt g), van Verordening (EU) 2018/1725 noodzakelijk om redenen van zwaarwegend algemeen belang.

De Raad kan persoonsgegevens van betrokkenen verkrijgen van de lidstaten en/of de Europese Dienst voor extern optreden. De ontvangers van de persoonsgegevens zijn de lidstaten, de Europese Commissie en de Europese Dienst voor extern optreden.

Alle persoonsgegevens die de Raad in het kader van autonome beperkende maatregelen van de EU verwerkt, worden bewaard gedurende vijf jaar vanaf het moment waarop de betrokkene is geschrapt van de lijst van personen op wie de bevriezing van tegoeden van toepassing is of de geldigheid van de maatregel is verstreken of, indien een gerechtelijke procedure wordt ingesteld bij het Hof van Justitie, totdat een eindarrest is uitgesproken. Persoonsgegevens in door de Raad geregistreerde documenten worden door de Raad bewaard met het oog op archivering in het algemeen belang, zoals bedoeld in artikel 4, lid 1, punt e), van Verordening (EU) 2018/1725.

Het kan nodig zijn dat de Raad persoonsgegevens met betrekking tot een betrokkene moet uitwisselen met een derde land of internationale organisatie in het kader van de omzetting door de Raad van VN-aanwijzingen of in het kader van internationale samenwerking met betrekking tot het beleid voor beperkende maatregelen van de EU.

Bij ontstentenis van een adequaatheidsbesluit of van passende waarborgen voldoet de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie aan de volgende voorwaarde(n), overeenkomstig artikel 50 van Verordening (EU) 2018/1725: de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang; de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Aan de verwerking van de persoonsgegevens van de betrokkene komt geen geautomatiseerde besluitvorming te pas.

Betrokkenen hebben het recht op informatie over en inzage in hun persoonsgegevens. Zij hebben ook het recht op rectificatie en aanvulling van hun gegevens. Onder bepaalde omstandigheden hebben zij het recht hun persoonsgegevens te laten wissen, het recht bezwaar te maken tegen de verwerking van hun persoonsgegevens, of het recht te verzoeken om een beperkte verwerking.

Betrokkenen kunnen deze rechten uitoefenen door de verwerkingsverantwoordelijke een e-mail toe te sturen met een kopie aan de functionaris voor gegevensbescherming, zoals hierboven vermeld.

De betrokkenen moeten bij hun verzoek een kopie van een identificatiedocument voegen ter bevestiging van hun identiteit (identiteitskaart of paspoort). Op dit identiteitsbewijs moeten een identificatienummer, het land van uitgifte, de geldigheidsduur, en naam, adres en geboortedatum vermeld zijn. Andere gegevens op de kopie van het identiteitsbewijs, zoals een foto of andere persoonlijke kenmerken, kunnen worden zwart gemaakt.

Betrokkenen hebben het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, overeenkomstig Verordening (EU) 2018/1725 (edps@edps.europa.eu).

Het verdient echter aanbeveling dat betrokkenen eerst verhaal zoeken bij de verwerkingsverantwoordelijke en/of de functionaris voor gegevensbescherming van de Raad.

---

(1)   PB L 295 van 21.11.2018, blz. 39.

(2)   PB L 100 van 14.4.2011, blz. 51.

(3)   PB L 228 I van 15.9.2023, blz. 6.

(4)   PB L 100 van 14.4.2011, blz. 1.

(5)   PB L 228 I van 15.9.2023, blz. 1.

Besluit tot intrekking van een autorisatie

Referentie van het besluit (2)	Datum van het besluit	Naam van de stof	Onderneming tot welke het besluit gericht is	Ingetrokken gebruik	Ingetrokken besluit	Gronden voor het besluit
C(2023) 6014	11 september 2023	Natriumdichromaat EG-nr. 234-190-3; CAS-nr. 10588-01-9 (anhydraat); CAS-nr. 7789-12-0 (dihydraat)	Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Prato, Italië	Als bijtmiddel bij het verven van wol in donkere kleuren	C(2017) 8331	In evaluatieverslag heeft de aanvrager niet aangetoond dat hij geen geschikte alternatieven heeft, zoals in artikel 60, lid 4, van Verordening (EG) nr. 1907/2006 vereist.

---

(1)   PB L 396 van 30.12.2006, blz. 1.

(2)  Het besluit is te vinden op de website van de Europese Commissie: Authorisation (europa.eu).

1 euro =

	Munteenheid	Koers
USD	US-dollar	1,0658
JPY	Japanse yen	157,50
DKK	Deense kroon	7,4573
GBP	Pond sterling	0,85878
SEK	Zweedse kroon	11,8730
CHF	Zwitserse frank	0,9554
ISK	IJslandse kroon	145,30
NOK	Noorse kroon	11,4220
BGN	Bulgaarse lev	1,9558
CZK	Tsjechische koruna	24,496
HUF	Hongaarse forint	383,75
PLN	Poolse zloty	4,6308
RON	Roemeense leu	4,9698
TRY	Turkse lira	28,7513
AUD	Australische dollar	1,6498
CAD	Canadese dollar	1,4409
HKD	Hongkongse dollar	8,3416
NZD	Nieuw-Zeelandse dollar	1,8008
SGD	Singaporese dollar	1,4524
KRW	Zuid-Koreaanse won	1 415,78
ZAR	Zuid-Afrikaanse rand	20,2968
CNY	Chinese yuan renminbi	7,7561
IDR	Indonesische roepia	16 379,21
MYR	Maleisische ringgit	4,9922
PHP	Filipijnse peso	60,612
RUB	Russische roebel
THB	Thaise baht	38,145
BRL	Braziliaanse real	5,1860
MXN	Mexicaanse peso	18,2275
INR	Indiase roepie	88,6150

---

(1)   Bron: door de Europese Centrale Bank gepubliceerde referentiekoers.

---

(1)   PB L 24 van 29.1.2004, blz. 1 (“de concentratieverordening”).

(2)   PB C 366 van 14.12.2013, blz. 5.