1. Deze richtlijn is van toepassing op openbare of particuliere entiteiten van een type als bedoeld in bijlage I of II, die overeenkomstig artikel 2 van de bijlage bij Aanbeveling 2003/361/EG als middelgrote ondernemingen kunnen worden aangemerkt, dan wel de in lid 1 van dat artikel vastgestelde maxima voor middelgrote ondernemingen overschrijden, en die hun diensten of activiteiten binnen de Unie verrichten.
Artikel 3, lid 4, van de bijlage bij die aanbeveling is niet van toepassing in het kader van deze richtlijn.
2. Ongeacht hun omvang is deze richtlijn ook van toepassing op entiteiten van een type als bedoeld in bijlage I of II, indien:
(a) diensten worden verleend door:
(i) aanbieders van openbare elektronische communicatienetwerken of van algemeen beschikbare elektronische communicatiediensten;
(ii) vertrouwensdienstVertrouwensdienst Een gewoonlijk tegen vergoeding verrichte elektronische dienst die bestaat uit: a) het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, elektronische diensten voor aangetekende bezorging en certificaten in verband met deze diensten, of b) het aanmaken, verifiëren en valideren van certificaten voor websiteauthenticatie, of c) het bewaren van elektronische handtekeningen, zegels of certificaten in verband met deze diensten. - Definitie overeenkomstig artikel 3, punt 16, van Verordening (EU) nr. 910/2014 aanbieders;
(iii) registers van topleveldomeinnamen en aanbieders van domeinnaamsysteemdiensten;
(b) de entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) in een lidstaat de enige aanbieder is van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten;
(c) een verstoring van de dienstverlening door de entiteit zou een aanzienlijke impact kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid;
(d) verstoring van de door de entiteit verleende dienst zou kunnen leiden tot een aanzienlijk systeemrisico. risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)met name voor sectoren waar een dergelijke verstoring een grensoverschrijdend effect kan hebben;
(e) de entiteit is kritiek vanwege haar specifieke belang op nationaal of regionaal niveau voor de specifieke sector of het type dienst, of voor andere onderling afhankelijke sectoren in de lidstaat;
(f) de entiteit is een entiteit voor openbaar bestuurOverheidsinstantie Een entiteit die als zodanig is erkend in een lidstaat overeenkomstig het nationale recht, met uitzondering van de rechterlijke macht, parlementen of centrale banken, en die aan de volgende criteria voldoet: (a) zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter; (b) zij heeft rechtspersoonlijkheid of is bij wet gemachtigd om namens een andere entiteit met rechtspersoonlijkheid op te treden; (c) zij wordt, merendeels, door de staat, regionale autoriteiten of andere publiekrechtelijke instellingen gefinancierd, is voor haar beheer onderworpen aan toezicht door deze autoriteiten of organen of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke instellingen zijn aangewezen; (d) zij is bevoegd tot natuurlijke personen of rechtspersonen bestuurlijke of regelgevende besluiten te richten die hun rechten op het gebied van het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal aantasten. - Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn):
(i) van de centrale overheid als omschreven door een lidstaat overeenkomstig de nationale wetgeving; of
(ii) op regionaal niveau als gedefinieerd door een lidstaat in overeenstemming met de nationale wetgeving die, na een risicobeoordeling, diensten verleent waarvan de verstoring aanzienlijke gevolgen zou kunnen hebben voor kritieke maatschappelijke of economische activiteiten.
3. Ongeacht hun omvang is deze richtlijn van toepassing op entiteiten die overeenkomstig Richtlijn (EU) 2022/2557 als kritieke entiteiten zijn aangemerkt.
4. Ongeacht hun grootte is deze richtlijn van toepassing op entiteiten die domeinnaamregistratiediensten aanbieden.
5. De lidstaten kunnen bepalen dat deze richtlijn van toepassing is op:
(a) overheidsinstanties op lokaal niveau;
(b) onderwijsinstellingen, met name wanneer zij kritisch onderzoek verrichten.
6. Deze richtlijn doet geen afbreuk aan de verantwoordelijkheid van de lidstaten voor de bescherming van de nationale veiligheid en hun bevoegdheid om andere essentiële staatsfuncties te beschermen, met inbegrip van het waarborgen van de territoriale integriteit van de staat en de handhaving van de openbare orde.
7. Deze richtlijn is niet van toepassing op overheidsinstanties die hun activiteiten uitoefenen op het gebied van nationale veiligheid, openbare veiligheid, defensie of wetshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten.
8. De lidstaten kunnen specifieke entiteiten die activiteiten verrichten op het gebied van nationale veiligheid, openbare veiligheid, defensie of wetshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, of die uitsluitend diensten verlenen aan de in lid 7 van dit artikel bedoelde overheidsinstanties, vrijstellen van de verplichtingen van artikel 21 of 23 met betrekking tot die activiteiten of diensten. In dergelijke gevallen zijn de in hoofdstuk VII bedoelde toezichts- en handhavingsmaatregelen niet van toepassing met betrekking tot die specifieke activiteiten of diensten. Wanneer de entiteiten uitsluitend activiteiten uitoefenen of diensten verrichten van het type als bedoeld in dit lid, kunnen de lidstaten ook besluiten deze entiteiten vrij te stellen van de in de artikelen 3 en 27 neergelegde verplichtingen.
9. De alinea's 7 en 8 zijn niet van toepassing indien een entiteit optreedt als een verlener van vertrouwensdienstenDienstverlener vertrouwen Een natuurlijke of rechtspersoon die een of meer trustdiensten verleent als gekwalificeerde of als niet-gekwalificeerde verlener van trustdiensten - Definitie overeenkomstig artikel 3, punt 19, van Verordening (EU) nr. 910/2014.
10. Deze richtlijn is niet van toepassing op entiteiten die de lidstaten overeenkomstig artikel 2, lid 4, van Verordening (EU) nr. 2022/2554 hebben vrijgesteld van de werkingssfeer van die verordening.
11. De in deze richtlijn neergelegde verplichtingen houden niet in dat gegevens moeten worden verstrekt waarvan de openbaarmaking strijdig zou zijn met de wezenlijke belangen van de nationale veiligheid, de openbare veiligheid of defensie van de lidstaten.
12. Deze richtlijn is van toepassing onverminderd Verordening (EU) 2016/679, Richtlijn 2002/58/EG, Richtlijnen 2011/93/EU en 2013/40/EU van het Europees Parlement en de Raad en Richtlijn (EU) 2022/2557.
13. Onverminderd artikel 346 VWEU worden inlichtingen die op grond van uniale of nationale voorschriften, zoals voorschriften betreffende het zakengeheim, vertrouwelijk zijn, overeenkomstig deze richtlijn slechts met de Commissie en andere betrokken autoriteiten uitgewisseld indien zulks voor de toepassing van deze richtlijn noodzakelijk is. De uitgewisselde informatie blijft beperkt tot de informatie die relevant is voor en in verhouding staat tot het doel van die uitwisseling. Bij de uitwisseling van informatie wordt de vertrouwelijkheid van die informatie gewaarborgd en worden de veiligheid en de commerciële belangen van de betrokken entiteiten beschermd.
14. De entiteiten, de bevoegde autoriteiten, de centrale aanspreekpunten en de CSIRT's verwerken persoonsgegevens voor zover dat noodzakelijk is voor de toepassing van deze richtlijn en in overeenstemming met Verordening (EU) 2016/679, met name met een beroep op artikel 6 van die verordening.
De verwerking van persoonsgegevens in het kader van deze richtlijn door aanbieders van openbare elektronischecommunicatienetwerken of aanbieders van openbare elektronischecommunicatiediensten gebeurt overeenkomstig de EU-wetgeving inzake gegevensbescherming en de EU-wetgeving inzake privacy, in het bijzonder Richtlijn 2002/58/EG.