Skyldigheter som ålägger medlemsstaterna att anta nationella strategier för cybersäkerhet och att utse eller inrätta behöriga myndigheter, myndigheter för hantering av cyberkriser, gemensamma kontaktpunkter för cybersäkerhet (gemensamma kontaktpunkter) och enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter).

Riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter för entiteter av den typ som avses i bilaga I eller II samt för entiteter som identifieras som kritiska entiteter enligt direktiv (EU) 2022/2557.

Regler och skyldigheter när det gäller informationsutbyte om cybersäkerhet.

Skyldigheter för medlemsstaterna när det gäller tillsyn och efterlevnadskontroll.

Om tjänster tillhandahålls av

Om entiteten är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.

Om en störning av den tjänst som entiteten tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa.

Om en störning av den tjänst som entiteten tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser.

Entiteten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna entitet.

Om entiteten är en offentlig förvaltningsentitet

offentliga förvaltningsentiteter på lokal nivå,

utbildningsinstitut, särskilt om de utför kritisk forskningsverksamhet.

Entiteter av en typ som avses i bilaga I som överstiger trösklarna för medelstora företag som fastställs i artikel 2.1 i bilagan till rekommendation 2003/361/EG.

Kvalificerade tillhandahållare av betrodda tjänster och registreringsenheter för toppdomäner samt leverantörer av DNS-tjänster, oavsett storlek.

Tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster som betraktas som medelstora företag enligt artikel 2 i bilagan till rekommendation 2003/361/EG.

Offentliga förvaltningsentiteter som avses i artikel 2.2 f i.

Alla andra entiteter av en typ som avses i bilaga I eller II som av en medlemsstat identifierats som väsentliga entiteter i enlighet med artikel 2.2 b–e.

Entiteter som identifierats som kritiska entiteter enligt direktiv (EU) 2022/2557, som avses i artikel 2.3 i det här direktivet.

Entiteter som medlemsstaterna före den 16 januari 2023 har identifierat som leverantörer av samhällsviktiga tjänster i enlighet med direktiv (EU) 2016/1148 eller nationell rätt, om så föreskrivs av medlemsstaten.

Entitetens namn.

Adress och aktuella kontaktuppgifter, inklusive e-postadresser, IP-adresser och telefonnummer.

I tillämpliga fall, den eller de relevanta sektorer och delsektorer som avses i bilaga I eller II.

I tillämpliga fall, en förteckning över de medlemsstater där de tillhandahåller tjänster som omfattas av detta direktiv.

underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga entiteter som förtecknats enligt punkt 3 för varje sektor och delsektor som avses i bilaga I eller II, och

lämna relevant information till kommissionen om antalet väsentliga och viktiga entiteter som identifierats i enlighet med artikel 2.2 b–e, den sektor och delsektor som avses i bilaga I eller II som de tillhör, den typ av tjänst som de tillhandahåller och de bestämmelser i artikel 2.2 b–e i enlighet med vilka de identifierades.

riskhanteringsåtgärderna för cybersäkerhet minst är likvärdiga som de åtgärder som föreskrivs i artikel 21.1 och 21.2, eller

respektive sektorsspecifik unionsrättsakt föreskriver omedelbar, och när det är lämpligt automatisk och direkt, tillgång till incidentunderrättelser från CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt detta direktiv och om kraven på underrättelse av betydande incidenter har minst samma verkan som de krav som fastställs i artikel 23.1–23.6 i detta direktiv.

mål och prioriteringar för medlemsstatens strategi för cybersäkerhet som särskilt omfattar de sektorer som avses i bilagorna I och II,

en styrningsram för att uppnå de mål och prioriteringar som avses i led a i denna punkt, inbegripet de politiska åtgärder som avses i punkt 2,

en styrningsram som klargör roller och ansvarsområden för relevanta intressenter på nationell nivå och som stöder samarbetet och samordningen på nationell nivå mellan de gemensamma myndigheterna, de gemensamma kontaktpunkterna och CSIRT-enheterna enligt detta direktiv, samt samordningen och samarbetet mellan dessa organ och behöriga myndigheter enligt sektorsspecifika unionsrättsakter,

en mekanism för att identifiera relevanta tillgångar och en bedömning av riskerna i den medlemsstaten,

en identifiering av åtgärder som säkerställer beredskap inför, svar på och återställande efter incidenter, inklusive samarbete mellan offentlig och privat sektor,

en förteckning över de olika myndigheter och intressenter som är involverade i genomförandet av den nationella strategin för cybersäkerhet,

en politisk ram för förbättrad samordning mellan de behöriga myndigheterna enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2557, i syfte att utbyta information om risker, cyberhot och incidenter och icke-cyberrelaterade risker, hot och incidenter och utföra tillsynsuppgifter, beroende på vad som är lämpligt,

en plan, med nödvändiga åtgärder, för att höja medborgarnas allmänna medvetenhet om cybersäkerhetshot.

Riktlinjer för cybersäkerhet i leveranskedjan för IKT-produkter och IKT-tjänster som används av entiteter när de tillhandahåller sina tjänster.

Riktlinjer för att inkludera och specificera cybersäkerhetsrelaterade krav för IKT-produkter och IKT-tjänster vid offentlig upphandling, inbegripet vad gäller cybersäkerhetscertifiering, kryptering och användning av cybersäkerhetsprodukter med öppen källkod.

Riktlinjer för hantering av sårbarheter, inbegripet främjande och underlättande av samordnad delgivning av information om sårbarheter enligt artikel 12.1.

Riktlinjer för att upprätthålla den allmänna tillgängligheten, integriteten och konfidentialiteten hos den offentliga kärnan i det öppna internet, inbegripet, i tillämpliga fall, cybersäkerheten hos undervattenskablar.

Riktlinjer för att främja utveckling och integrering av relevant avancerad teknik som syftar till att genomföra moderna riskhanteringsåtgärder för cybersäkerhet.

Riktlinjer för att främja och utveckla cybersäkerhetsutbildning, cybersäkerhetskompetens, medvetandehöjande åtgärder och forsknings- och utvecklingsinitiativ, samt vägledning om god praxis och kontroll för cyberhygien som riktar sig till medborgare, intressenter och entiteter.

Riktlinjer för stöd till akademiska institutioner och forskningsinstitut för att utveckla, förbättra och främja användningen av cybersäkerhetsverktyg och säker nätinfrastruktur.

Riktlinjer, inbegripet relevanta förfaranden och lämpliga verktyg för informationsutbyte för att stödja ett frivilligt informationsutbyte om cybersäkerhet mellan entiteter i enlighet med unionsrätten.

Riktlinjer som stärker cyberresiliensen och cyberhygienen hos små och medelstora företag, särskilt de som inte omfattas av detta direktiv, genom att tillhandahålla lättillgänglig vägledning och stöd för deras specifika behov.

Riktlinjer för att främja ett aktivt cyberskydd.

Målen för nationella beredskapsåtgärder och beredskapsverksamheter.

Cyberkrishanteringsmyndigheternas uppgifter och ansvarsområden.

Cyberkrishanteringsförfaranden, inbegripet deras integrering i den allmänna nationella ramen för krishantering och kanaler för informationsutbyte.

Nationella beredskapsåtgärder, inbegripet övningar och utbildningsverksamhet.

Berörda offentliga och privata intressenter och berörd infrastruktur.

Nationella förfaranden och arrangemang mellan relevanta nationella myndigheter och organ för att säkerställa att medlemsstaten på ett ändamålsenligt sätt kan delta i och stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och kriser på unionsnivå.

CSIRT-enheterna ska säkerställa en hög nivå av tillgänglighet för sina kommunikationskanaler genom att undvika felkritiska systemdelar och ska kunna kontaktas och kontakta andra när som helst och på flera olika sätt. De ska tydligt ange kommunikationskanalerna och underrätta användargrupper och samarbetspartner om dessa.

CSIRT-enheternas lokaler och de informationssystem som de använder sig av ska vara belägna på säkra platser.

CSIRT-enheterna ska ha ett ändamålsenligt system för handläggning och dirigering av förfrågningar, särskilt för att underlätta ändamålsenliga och effektiva överlämnanden.

CSIRT-enheterna ska säkerställa verksamhetens konfidentialitet och trovärdighet.

CSIRT-enheterna ska ha tillräckligt med personal för att säkerställa att deras tjänster är ständigt tillgängliga och de ska säkerställa att personalen har fått lämplig utbildning.

CSIRT-enheterna ska utrustas med redundanta system och reservlokaler för att säkerställa kontinuiteten i deras tjänster.

Övervakning och analys av cyberhot, sårbarheter och incidenter på nationell nivå och, på begäran, tillhandahållande av stöd till berörda väsentliga och viktiga entiteter avseende realtidsövervakning eller nära realtidsövervakning av deras nätverks- och informationssystem.

Tillhandahållande av tidiga varningar, larm, meddelanden och spridning av information till väsentliga och viktiga entiteter samt till behöriga myndigheter och andra relevanta intressenter om cyberhot, sårbarheter och incidenter, om möjligt i nära realtid.

Vidtagande av åtgärder till följd av incidenter och, i tillämpliga fall, tillhandahållande av stöd till de berörda väsentliga och viktiga entiteterna.

Insamling och analys av forensiska uppgifter och tillhandahållande av dynamisk risk- och incidentanalys och situationsmedvetenhet när det gäller cybersäkerhet.

Tillhandahållande, på begäran av den väsentliga eller viktiga entiteten, av en proaktiv skanning av den berörda entitetens nätverks- och informationssystem i syfte att upptäcka sårbarheter med en potentiellt betydande påverkan.

Deltagande i CSIRT-nätverket och ömsesidigt bistånd i enlighet med deras kapacitet och befogenheter till andra medlemmar i CSIRT-nätverket på deras begäran.

I tillämpliga fall, fungera som processamordnare för den samordnade delgivningen av information om sårbarheter enligt artikel 12.1.

Bidrag till införandet av säkra verktyg för informationsutbyte enligt artikel 10.3.

förfaranden för incidenthantering,

krishantering, och

samordnad delgivning av information om sårbarheter enligt artikel 12.1.

identifiera och kontakta de berörda entiteterna,

stödja de fysiska eller juridiska personer som rapporterar en sårbarhet, och

förhandla om tidsramar för delgivning av information och hantera sårbarheter som påverkar flera entiteter.

information som beskriver sårbarheten,

den berörda IKT-produkten eller IKT-tjänsten och hur allvarlig sårbarheten är med tanke på de omständigheter under vilka den kan utnyttjas,

tillgången till relaterade programfixar och, i avsaknad av tillgängliga programfixar, vägledning som tillhandahållits av behöriga myndigheter eller CSIRT-enheter riktad till användare av sårbara IKT-produkter och IKT-tjänster om hur riskerna med meddelade sårbarheter kan begränsas.

Tillhandahålla vägledning till behöriga myndigheter angående införlivande och genomförande av detta direktiv.

Tillhandahålla vägledning till behöriga myndigheter angående utarbetande och genomförande av strategier för den samordnade delgivningen av information om sårbarheter som avses i artikel 7.2 c.

Utbyte av bästa praxis och information i fråga om genomförandet av detta direktiv, bland annat när det gäller cyberhot, incidenter, sårbarheter, tillbud, initiativ för att öka medvetenheten, utbildning, övningar och kompetens, kapacitetsuppbyggnad, standarder och tekniska specifikationer, samt identifiering av väsentliga och viktiga entiteter i enlighet med artikel 2.2 b–e.

Utbyta råd och samarbeta med kommissionen om framväxande politiska initiativ för cybersäkerhet samt om den övergripande förenligheten mellan sektorsspecifika cybersäkerhetskrav.

Utbyta råd och samarbeta med kommissionen om utkast till delegerade akter eller genomförandeakter som antas i enlighet med detta direktiv.

Utbyta bästa praxis och information med relevanta institutioner, organ och byråer på unionsnivå.

Diskutera genomförandet av sektorsspecifika unionsrättsakter som innehåller bestämmelser om cybersäkerhet.

När så är lämpligt, diskutera de rapporter från sakkunnigbedömningar som avses i artikel 19.9 samt utarbeta slutsatser och rekommendationer.

Genomföra samordnade säkerhetsriskbedömningar av kritiska leveranskedjor i enlighet med artikel 22.1.

Diskutera fall av ömsesidigt bistånd, inbegripet erfarenheter och resultat av sådan gränsöverskridande gemensam tillsynsverksamhet som avses i artikel 37.

På begäran av en eller flera berörda medlemsstater, diskutera särskilda begäranden om ömsesidigt bistånd som avses i artikel 37.

Tillhandahålla strategisk vägledning till CSIRT-nätverket och EU-CyCLONe om specifika framväxande frågor.

Utbyta åsikter om politiken för uppföljningsåtgärder efter storskaliga cybersäkerhetsincidenter och kriser på grundval av lärdomarna från CSIRT-nätverket och EU-CyCLONe.

Bidra till cybersäkerhetskapaciteten i hela unionen genom att underlätta utbytet av nationella tjänstemän i form av ett kapacitetsuppbyggnadsprogram som inbegriper personal från behöriga myndigheter eller CSIRT-enheter.

Anordna regelbundna gemensamma möten med relevanta privata intressenter från hela unionen för att diskutera samarbetsgruppens verksamhet och inhämta synpunkter på framväxande politiska frågor.

Diskutera det arbete som utförts i samband med cybersäkerhetsövningar, inbegripet det arbete som utförs av Enisa.

Fastställa metoder och organisatoriska aspekter för de sakkunnigbedömningar som avses i artikel 19.1 samt fastställa en självbedömningsmetod för medlemsstaterna i enlighet med artikel 19.5, med bistånd av kommissionen och Enisa, och, i samarbete med kommissionen och Enisa, utarbeta uppförandekoder som ligger till grund för de utsedda cyberssäkerhetsexperternas arbetsmetoder i enlighet med artikel 19.6.

Utarbeta rapporter för den översyn som avses i artikel 40 om de erfarenheter som förvärvats på strategisk nivå och från sakkunnigbedömningar.

Regelbundet diskutera och genomföra en bedömning av läget när det gäller cyberhot eller cyberincidenter, såsom utpressningsprogram.

Utbyta information om CSIRT-enheternas kapacitet.

Underlätta delning, överföring och utbyte av teknik och relevanta åtgärder, strategier, verktyg, processer, bästa praxis och ramar mellan CSIRT-enheterna.

Utbyta relevant information om incidenter, tillbud, cyberhot, risker och sårbarheter.

Utbyta information med avseende på publikationer och rekommendationer om cybersäkerhet.

Säkerställa interoperabilitet när det gäller specifikationer och protokoll för informationsutbyte.

På begäran av en medlem av CSIRT-nätverket som potentiellt berörs av en incident, utbyta och diskutera information om den incidenten och relaterade cyberhot, risker och sårbarheter.

På begäran av en medlem av CSIRT-nätverket, diskutera och om möjligt genomföra en samordnad åtgärd till följd av en incident som har identifierats inom den medlemsstatens jurisdiktion.

Ge medlemsstaterna stöd när det gäller att hantera gränsöverskridande incidenter i enlighet med detta direktiv.

Samarbeta och utbyta bästa praxis med och ge stöd till CSIRT-enheter som utsetts till samordnare i enlighet med artikel 12.1 när det gäller hanteringen av samordnad information om sårbarheter som kan ha en betydande påverkan på entiteter i mer än en medlemsstat.

Diskutera och identifiera ytterligare former av operativt samarbete, inbegripet när det gäller

Informera samarbetsgruppen om sin verksamhet och om ytterligare former av operativt samarbete som diskuteras enligt led j och vid behov begära vägledning i detta avseende.

Utvärdera cybersäkerhetsövningar, bland annat sådana som anordnas av Enisa.

På begäran av en enskild CSIRT-enhet diskutera den enhetens kapacitet och beredskap.

Samarbeta och utbyta information med säkerhetscentrum (SOC) på regional nivå och unionsnivå, för att förbättra den gemensamma situationsmedvetenheten om incidenter och cyberhot i hela unionen.

När så är lämpligt, diskutera de rapporter från sakkunnigbedömningar som avses i artikel 19.9.

Tillhandahålla riktlinjer för att underlätta en mer enhetlig operativ praxis när det gäller tillämpningen av bestämmelserna i denna artikel om operativt samarbete.

Öka beredskapen för hantering av storskaliga cybersäkerhetsincidenter och kriser.

Utveckla en gemensam situationsmedvetenhet om storskaliga cybersäkerhetsincidenter och kriser.

Bedöma konsekvenserna och effekterna av relevanta storskaliga cybersäkerhetsincidenter och kriser och föreslå möjliga begränsningsåtgärder.

Samordna hanteringen av storskaliga cybersäkerhetsincidenter och kriser och ge stöd till beslutsfattande på politisk nivå i samband med sådana incidenter och kriser.

På begäran av en berörd medlemsstat, diskutera de nationella planer för hantering av storskaliga nationella cybersäkerhetsincidenter och kriser som avses i artikel 9.4.

En riskbedömning av cybersäkerheten på unionsnivå, med beaktande av cyberhotbilden.

En bedömning av utvecklingen av cybersäkerhetskapaciteten i den offentliga och privata sektorn i hela unionen.

En bedömning av den allmänna nivån av cybersäkerhetsmedvetenhet och cyberhygien bland medborgare och entiteter, inbegripet små och medelstora företag.

En aggregerad bedömning av resultaten av de sakkunnigbedömningar som avses i artikel 19.

En aggregerad bedömning av nivån på cybersäkerhetskapaciteten och cybersäkerhetsresurserna i hela unionen, inbegripet på sektorsnivå, samt av i vilken utsträckning medlemsstaternas nationella cybersäkerhetsstrategier är anpassade till varandra.

strategier för riskanalys och informationssystemens säkerhet,

incidenthantering,

driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering,

säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer,

säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation,

strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet,

grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,

strategier och förfaranden för användning av kryptografi och, när så är lämpligt, kryptering,

personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning,

användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem.

den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten,

den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om den betydande incidenten, en tidig varning som i tillämpliga fall ska ange om den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande verkningar.

Utan onödigt dröjsmål och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten, en incidentanmälan som, i tillämpliga fall, ska uppdatera den information som avses i led a och ange en inledande bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer.

På begäran av en CSIRT-enhet eller, i tillämpliga fall, den behöriga myndigheten, en delrapport om relevanta statusuppdateringar.

Senast en månad efter inlämningen av den incidentanmälan som avses i led b, en slutrapport som ska innehålla följande:

I händelse av en pågående incident vid tidpunkten för inlämnandet av den slutrapport som avses i led d ska medlemsstaterna säkerställa att de berörda entiteterna tillhandahåller en lägesrapport vid den tidpunkten och en slutrapport inom en månad efter det att de hanterat incidenten.

Tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, som ska anses omfattas av jurisdiktionen i den medlemsstat där de tillhandahåller sina tjänster.

Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, ►C1  leverantörer av utlokaliserade driftstjänster ◄ och ►C1  leverantörer av utlokaliserade säkerhetstjänster ◄ samt leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster, vilka ska anses omfattas av jurisdiktionen i den medlemsstat där de har sitt huvudsakliga etableringsställe i unionen i enlighet med punkt 2.

Offentliga förvaltningsentiteter, som ska anses omfattas av jurisdiktionen i den medlemsstat som inrättade dem.

Entitetens namn.

Den relevanta sektorn och delsektorn samt typen av entitet enligt bilaga I eller II i tillämpliga fall.

Adressen till entitetens huvudsakliga etableringsställe och andra rättsligt giltiga etableringsställen i unionen eller, om entiteten inte är etablerad i unionen, till dess företrädare som utsetts i enlighet med artikel 26.3.

Aktuella kontaktuppgifter, inklusive e-postadresser och telefonnummer till entiteten och, i tillämpliga fall, till dess företrädare som utsetts i enlighet med artikel 26.3.

De medlemsstater där entiteten tillhandahåller tjänster.

Entitetens IP-adressintervall.

Domännamn.

Registreringsdatum.

Registrantens namn, e-postadress och telefonnummer.

E-postadress och telefonnummer till den kontaktpunkt som administrerar domännamnet om dessa inte är desamma som för registranten.

syftar till att förebygga, upptäcka, reagera på eller återhämta sig från incidenter eller begränsa deras inverkan,

höjer cybersäkerhetsnivån, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra sådana hots förmåga att sprida sig, stödja en rad defensiva förmågor, avhjälpande av sårbarheter och delgivning av information om sårbarheter, metoder för att upptäcka och förebygga hot, strategier för begränsning av hot eller reaktions- och återhämtningsfaser, eller genom att främja forskningssamverkan om cyberhot bland offentliga och privata entiteter.

väsentliga och viktiga entiteter med avseende på incidenter, cyberhot och tillbud,

andra entiteter än de som avses i led a, oberoende av om de omfattas av detta direktiv, vad gäller om betydande incidenter, cyberhot och tillbud.

inspektioner på plats och distansbaserad tillsyn, inklusive slumpvisa kontroller som utförs av utbildad personal,

regelbundna och riktade säkerhetsrevisioner som utförs av ett oberoende organ eller en behörig myndighet,

ad hoc-revisioner, inbegripet när detta är motiverat på grund av en betydande incident eller av en väsentlig entitets överträdelse av detta direktiv,

säkerhetsskanningar på grundval av objektiva, icke-diskriminerande, rättvisa och transparenta riskbedömningskriterier, vid behov i samarbete med den berörda entiteten,

begäranden om sådan information som behövs för att bedöma de riskhanteringsåtgärder för cybersäkerhet som antagits av den berörda entiteten, inbegripet dokumenterade cybersäkerhetsstrategier, samt fullgörandet av skyldigheten att lämna information till de behöriga myndigheterna i enlighet med artikel 27,

begäranden om tillgång till uppgifter, handlingar och information som behövs för att de ska kunna utföra sina tillsynsuppgifter,

begäranden om bevis på genomförandet av cybersäkerhetsstrategier, t.ex. resultaten av säkerhetsrevisioner som utförts av en kvalificerad revisor och respektive underliggande bevis.

utfärda varningar om berörda entiteters överträdelser av detta direktiv,

anta bindande instruktioner, också om vilka åtgärder som krävs för att förebygga eller avhjälpa en incident, samt tidsgränser för genomförandet av sådana åtgärder och för rapporteringen om deras genomförande, eller ett föreläggande om att de berörda entiteterna ska avhjälpa konstaterade brister eller överträdelser av detta direktiv,

ålägga de berörda entiteterna att upphöra med beteenden som utgör en överträdelse av detta direktiv och att avstå från att upprepa sådana beteenden,

ålägga de berörda entiteterna att säkerställa att deras riskhanteringsåtgärder för cybersäkerhet överensstämmer med artikel 21 eller att fullgöra de rapporteringsskyldigheter som fastställs i artikel 23, på ett specificerat sätt och inom en angiven tidsperiod,

ålägga de berörda entiteterna att informera de fysiska eller juridiska personer till vilka de tillhandahåller tjänster eller utför verksamheter som potentiellt kan beröras av ett betydande cyberhot om hotets karaktär och om eventuella skyddsåtgärder eller avhjälpande åtgärder som dessa fysiska eller juridiska personer kan vidta som svar på hotet,

ålägga de berörda entiteterna att inom en rimlig tidsfrist genomföra de rekommendationer som lämnats till följd av en säkerhetsrevision,

utse en övervakningsansvarig med väldefinierade uppgifter för en fastställd tidsperiod för att övervaka att de berörda entiteterna efterlever artiklarna 21 och 23,

ålägga de berörda entiteterna att offentliggöra aspekter av överträdelser av detta direktiv på ett specificerat sätt,

påföra eller begära att relevanta organ eller domstolar i enlighet med nationell rätt påför administrativa sanktionsavgifter enligt artikel 34 utöver någon av de åtgärder som avses i leden a–h i denna punkt.

tillfälligt upphäva eller begära att ett certifierings- eller auktorisationsorgan, eller en domstol, i enlighet med nationell rätt, tillfälligt upphäver en certifiering eller auktorisation för en del av eller alla relevanta tjänster som tillhandahålls eller verksamheter som utövas av den väsentliga entiteten,

begära att relevanta organ eller domstolar, i enlighet med nationell rätt, inför ett tillfälligt förbud för varje fysisk person som på nivån för verkställande direktör eller juridiskt ombud har ledningsansvar i den väsentliga entiteten att utöva ledningsfunktioner i den entiteten.

Överträdelsens allvar och betydelsen av de bestämmelser som har överträtts, med beaktande av att bland annat följande alltid ska anses vara en allvarlig överträdelse:

Överträdelsens varaktighet.

Eventuella tidigare relevanta överträdelser från den berörda entitetens sida.

Den materiella eller immateriella skada som uppstått, inbegripet finansiella eller ekonomiska förluster, effekter på andra tjänster och det antal användare som berörs.

Uppsåt eller oaktsamhet från den som har gjort sig skyldig till överträdelsen.

De åtgärder som entiteten har vidtagit för att förhindra eller begränsa den materiella eller immateriella skadan.

Efterlevnad av godkända uppförandekoder eller godkända certifieringsmekanismer.

I vilken utsträckning de fysiska eller juridiska personer som hålls ansvariga samarbetar med de behöriga myndigheterna.

inspektioner på plats och distansbaserad tillsyn i efterhand, som utförs av utbildad personal,

riktade säkerhetsrevisioner utförda av ett oberoende organ eller en behörig myndighet,

säkerhetsskanningar på grundval av objektiva, icke-diskriminerande, rättvisa och transparenta riskbedömningskriterier, vid behov i samarbete med den berörda entiteten,

begäranden om information som behövs för att i efterhand bedöma de riskhanteringsåtgärder för cybersäkerhet som antagits av den berörda entiteten, inbegripet dokumenterade cybersäkerhetsstrategier, samt fullgörandet av skyldigheten att lämna information till de behöriga myndigheterna i enlighet med artikel 27,

begäranden om tillgång till uppgifter, handlingar och information som behövs för att utföra sina tillsynsuppgifter,

begäranden om bevis på genomförandet av cybersäkerhetsstrategier, t.ex. resultaten av säkerhetsrevisioner som utförts av en kvalificerad revisor och respektive underliggande bevis.

utfärda varningar om de berörda entiteternas överträdelser av detta direktiv,

anta bindande instruktioner eller ett föreläggande om att de berörda entiteterna ska avhjälpa konstaterade brister eller överträdelser av detta direktiv,

ålägga de berörda entiteterna att upphöra med beteenden som utgör en överträdelse av detta direktiv och att avstå från att upprepa sådana beteenden,

ålägga de berörda entiteterna att säkerställa att deras riskhanteringsåtgärder för cybersäkerhet överensstämmer med artikel 21 eller att fullgöra de rapporteringsskyldigheter som fastställs i artikel 23, på ett specificerat sätt och inom en angiven tidsperiod,

ålägga de berörda entiteterna att informera de fysiska eller juridiska personer till vilka de tillhandahåller tjänster eller utför verksamheter som potentiellt kan beröras av ett betydande cyberhot om hotets karaktär och om eventuella skyddsåtgärder eller avhjälpande åtgärder som dessa fysiska eller juridiska personer kan vidta som svar på hotet,

ålägga de berörda entiteterna att inom en rimlig tidsfrist genomföra de rekommendationer som lämnats till följd av en säkerhetsrevision,

ålägga de berörda entiteterna att offentliggöra aspekter av överträdelser av detta direktiv på ett specificerat sätt,

påföra eller begära att relevanta organ eller domstolar i enlighet med nationell rätt påför administrativa sanktionsavgifter enligt artikel 34 utöver någon av de åtgärder som avses i leden a–g i denna punkt.

Att de behöriga myndigheter som tillämpar tillsyns- eller efterlevnadskontrollåtgärder i en medlemsstat via den gemensamma kontaktpunkten informerar och samråder med de behöriga myndigheterna i övriga berörda medlemsstater om de tillsyns- och efterlevnadskontrollåtgärder som vidtagits.

Att en behörig myndighet får begära att en annan behörig myndighet vidtar tillsyns- eller efterlevnadskontrollåtgärder.

Att en behörig myndighet, efter att ha mottagit en motiverad begäran från en annan behörig myndighet, ska tillhandahålla ömsesidigt bistånd till den andra behöriga myndigheten i proportion till sina egna resurser så att tillsyns- eller efterlevnadskontrollåtgärderna kan genomföras på ett ändamålsenligt, effektivt och konsekvent sätt.