1. Voor de toepassing van deze richtlijn worden de volgende entiteiten beschouwd als essentiële entiteiten:
(a) entiteiten van een type als bedoeld in bijlage I die de in artikel 2, lid 1, van de bijlage bij Aanbeveling 2003/361/EG vastgestelde maxima voor middelgrote ondernemingen overschrijden;
(b) gekwalificeerde vertrouwensdienstGekwalificeerde vertrouwensdienst Betekent een vertrouwensdienst die voldoet aan de toepasselijke vereisten van deze verordening. - Definitie overeenkomstig artikel 3, punt 17, van Verordening (EU) nr. 910/2014 providers en registers van topleveldomeinnamen en DNS-dienstverleners, ongeacht hun grootte;
(c) aanbieders van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten die overeenkomstig artikel 2 van de bijlage bij Aanbeveling 2003/361/EG als middelgrote onderneming kunnen worden aangemerkt;
(d) entiteiten uit de overheidsadministratie als bedoeld in artikel 2, lid 2, onder f), i);
(e) alle andere entiteiten van een type als bedoeld in bijlage I of II die door een lidstaat als essentiële entiteiten zijn aangemerkt overeenkomstig artikel 2, lid 2, onder b) tot en met e);
(f) entiteiten die overeenkomstig Richtlijn (EU) 2022/2557 als kritieke entiteiten zijn aangemerkt, als bedoeld in artikel 2, lid 3, van deze richtlijn;
(g) indien de lidstaat daarin voorziet, entiteiten die vóór 16 januari 2023 door die lidstaat zijn aangewezen als exploitanten van essentiële diensten overeenkomstig Richtlijn (EU) 2016/1148 of nationale wetgeving.
2. Voor de toepassing van deze richtlijn worden entiteiten van een type als bedoeld in bijlage I of II die niet overeenkomstig lid 1 van dit artikel als essentiële entiteiten kunnen worden aangemerkt, beschouwd als belangrijke entiteiten. Hieronder vallen ook entiteiten die door de lidstaten zijn aangemerkt als belangrijke entiteiten overeenkomstig artikel 2, lid 2, onder b) tot en met e).
3. Uiterlijk op 17 april 2025 stellen de lidstaten een lijst op van essentiële en belangrijke entiteiten alsmede entiteiten die domeinnaamregistratiediensten verlenen. De lidstaten evalueren die lijst regelmatig en vervolgens ten minste om de twee jaar en werken deze indien nodig bij.
4. Voor het opstellen van de in lid 3 bedoelde lijst verlangen de lidstaten van de in dat lid bedoelde entiteiten dat zij ten minste de volgende informatie aan de bevoegde autoriteiten verstrekken:
(a) de naam van de entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn);
(b) het adres en actuele contactgegevens, waaronder e-mailadressen, IP-bereiken en telefoonnummers;
(c) indien van toepassing, de relevante sector en subsector als bedoeld in bijlage I of II; en
(d) indien van toepassing, een lijst van de lidstaten waar zij diensten verlenen die onder het toepassingsgebied van deze richtlijn vallen.
De in lid 3 bedoelde entiteiten stellen de Commissie onverwijld, en in ieder geval binnen twee weken na de datum van de wijziging, in kennis van eventuele wijzigingen in de krachtens de eerste alinea van dit lid verstrekte gegevens.
De Commissie, bijgestaan door het Agentschap van de Europese Unie voor CyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; (ENISA) onverwijld richtsnoeren en modellen voor de in dit lid vastgestelde verplichtingen.
De lidstaten kunnen nationale mechanismen opzetten waarmee entiteiten zichzelf kunnen registreren.
5. Uiterlijk op 17 april 2025, en vervolgens om de twee jaar, geven de bevoegde autoriteiten kennis van:
(a) de Commissie en de samenwerkingsgroep van het aantal essentiële en belangrijke entiteiten die overeenkomstig lid 3 voor elke in bijlage I of II bedoelde sector en subsector zijn opgenomen, en
(b) relevante informatie over het aantal overeenkomstig artikel 2, lid 2, onder b) tot en met e), geïdentificeerde belangrijke en essentiële entiteiten, de in bijlage I of II bedoelde sector en subsector waartoe zij behoren, het soort dienst dat zij verlenen en de in artikel 2, lid 2, onder b) tot en met e), bedoelde bepaling op grond waarvan zij zijn geïdentificeerd.
6. Tot 17 april 2025 en op verzoek van de Commissie kunnen de lidstaten de Commissie de namen meedelen van de in lid 5, onder b), bedoelde belangrijke en essentiële entiteiten.