Preambule

Overwegende hetgeen volgt:

(1) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (4) was gericht op het opbouwen van cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; capaciteiten in de hele Unie, het beperken van bedreigingen voor netwerk- en informatiesystemen die worden gebruikt om essentiële diensten in belangrijke sectoren te verlenen en het waarborgen van de continuïteit van dergelijke diensten bij incidenten, om zo bij te dragen aan de veiligheid van de Unie en het effectief functioneren van haar economie en samenleving.

(2) Sinds de inwerkingtreding van Richtlijn (EU) 2016/1148 is er aanzienlijke vooruitgang geboekt bij het verhogen van het niveau van cyberveerkracht van de Unie. Uit de evaluatie van die richtlijn is gebleken dat zij als katalysator heeft gediend voor de institutionele en regelgevende benadering van cyberbeveiliging in de Unie en de weg heeft vrijgemaakt voor een aanzienlijke mentaliteitsverandering.

Die richtlijn heeft gezorgd voor de voltooiing van nationale kaders over de beveiliging van netwerk- en informatiesystemenBeveiliging van netwerk- en informatiesystemen Het vermogen van netwerk- en informatiesystemen om met een gegeven mate van betrouwbaarheid bestand te zijn tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door deze netwerk- en informatiesystemen worden aangeboden of via deze toegankelijk zijn, in gevaar kunnen brengen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) door nationale strategieën voor de beveiliging van netwerk- en informatiesystemen op te stellen en nationale capaciteiten te creëren, en door regelgevende maatregelen uit te voeren die betrekking hebben op essentiële infrastructuren en entiteiten die door elke lidstaat worden aangewezen.

Richtlijn (EU) 2016/1148 heeft ook bijgedragen aan de samenwerking op het niveau van de Unie door de oprichting van de samenwerkingsgroep en het netwerk van nationale computerbeveiligingsorganisaties. incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) responsteams. Ondanks deze resultaten heeft de evaluatie van Richtlijn (EU) 2016/1148 inherente tekortkomingen aan het licht gebracht die verhinderen dat de richtlijn de huidige en opkomende uitdagingen op het gebied van cyberbeveiliging doeltreffend aanpakt.

(3) Netwerk- en informatiesystemen hebben zich door de snelle digitale transformatie en de onderlinge verbondenheid van de samenleving, ook bij grensoverschrijdende uitwisselingen, ontwikkeld tot een centraal element van het dagelijks leven. Die ontwikkeling heeft geleid tot een uitbreiding van de cyberdreigingCyberdreiging elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan beschadigen, verstoren of anderszins nadelig kan beïnvloeden - definitie overeenkomstig artikel 2, punt 8, van Verordening (EU) 2019/881 landschap en brengt nieuwe uitdagingen met zich mee, die aangepaste, gecoördineerde en innovatieve reacties in alle lidstaten vereisen.

Het aantal, de omvang, de complexiteit, de frequentie en de gevolgen van incidenten nemen toe en vormen een grote bedreiging voor het functioneren van netwerk- en informatiesystemen. Als gevolg daarvan kunnen incidenten de uitoefening van economische activiteiten op de interne markt belemmeren, financieel verlies veroorzaken, het vertrouwen van de gebruikers ondermijnen en grote schade toebrengen aan de economie en de samenleving van de Unie.

Daarom zijn de paraatheid en doeltreffendheid op het gebied van cyberbeveiliging nu belangrijker dan ooit voor de goede werking van de interne markt. Bovendien is cyberbeveiliging voor veel kritieke sectoren van cruciaal belang om de digitale transformatie met succes te kunnen omarmen en ten volle te kunnen profiteren van de economische, sociale en duurzame voordelen van digitalisering.

(4) De rechtsgrondslag van Richtlijn (EU) 2016/1148 was artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat tot doel heeft de interne markt tot stand te brengen en te doen functioneren door middel van maatregelen ter verbetering van de onderlinge aanpassing van de nationale voorschriften. De eisen op het gebied van cyberbeveiliging die worden gesteld aan entiteiten die diensten verlenen of activiteiten uitvoeren die van economisch belang zijn, verschillen aanzienlijk tussen de lidstaten wat betreft het soort eis, de mate van gedetailleerdheid en de methode van toezicht. Deze verschillen brengen extra kosten met zich mee en leveren problemen op voor entiteiten die goederen of diensten grensoverschrijdend aanbieden.

Eisen die door de ene lidstaat worden opgelegd en verschillen van, of zelfs in strijd zijn met, de eisen die door een andere lidstaat worden opgelegd, kunnen een aanzienlijke invloed hebben op dergelijke grensoverschrijdende activiteiten. Bovendien zal de mogelijkheid van een inadequaat ontwerp of een inadequate uitvoering van cyberbeveiligingseisen in één lidstaat waarschijnlijk gevolgen hebben voor het cyberbeveiligingsniveau van andere lidstaten, met name gezien de intensiteit van grensoverschrijdende uitwisselingen.

Uit de evaluatie van Richtlijn (EU) 2016/1148 is gebleken dat de lidstaten de richtlijn op zeer uiteenlopende wijze ten uitvoer hebben gelegd, onder meer wat betreft het toepassingsgebied, waarvan de afbakening grotendeels aan het oordeel van de lidstaten werd overgelaten. Richtlijn (EU) 2016/1148 bood de lidstaten ook een zeer ruime discretionaire bevoegdheid met betrekking tot de uitvoering van de daarin vastgestelde verplichtingen inzake beveiliging en rapportage van incidenten. Die verplichtingen werden op nationaal niveau dan ook op zeer uiteenlopende wijze ten uitvoer gelegd. Er bestaan vergelijkbare verschillen bij de tenuitvoerlegging van de bepalingen van Richtlijn (EU) 2016/1148 betreffende toezicht en handhaving.

(5) Al deze divergenties leiden tot een versnippering van de interne markt en kunnen nadelige gevolgen hebben voor de werking ervan, met name voor de grensoverschrijdende verrichting van diensten en het niveau van cyberveerkracht als gevolg van de toepassing van uiteenlopende maatregelen. Uiteindelijk zouden deze verschillen kunnen leiden tot een hoger kwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) van sommige lidstaten aan cyberdreigingen, met mogelijke overloopeffecten in de hele Unie.

Deze richtlijn heeft tot doel dergelijke grote verschillen tussen de lidstaten weg te nemen, met name door minimumregels vast te stellen voor de werking van een gecoördineerd regelgevingskader, door mechanismen vast te stellen voor doeltreffende samenwerking tussen de verantwoordelijke autoriteiten in elke lidstaat, door de lijst van sectoren en activiteiten die onder de cyberbeveiligingsverplichtingen vallen te actualiseren en door te voorzien in doeltreffende rechtsmiddelen en handhavingsmaatregelen die van essentieel belang zijn voor de effectieve handhaving van die verplichtingen. Daarom moet Richtlijn (EU) 2016/1148 worden ingetrokken en door deze richtlijn worden vervangen.

(6) Met de intrekking van Richtlijn (EU) 2016/1148 moet het toepassingsgebied per sector worden uitgebreid tot een groter deel van de economie, zodat sectoren en diensten die van vitaal belang zijn voor essentiële maatschappelijke en economische activiteiten op de interne markt, volledig worden bestreken. Deze richtlijn beoogt met name de tekortkomingen te verhelpen van het onderscheid tussen exploitanten van essentiële diensten en digitale dienstDigitale service iedere dienst van de informatiemaatschappij, dat wil zeggen iedere dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten verricht wordt. In deze definitie wordt verstaan onder: i) "op afstand": een dienst die wordt geleverd zonder dat de partijen gelijktijdig aanwezig zijn; ii) "langs elektronische weg": een dienst die verzonden en ontvangen wordt via elektronische apparatuur voor de verwerking (met inbegrip van digitale compressie) en de opslag van gegevens, en die geheel via draden, radio, optische middelen of andere elektromagnetische middelen wordt verzonden, doorgeleid en ontvangen; iii) "op individueel verzoek van een afnemer van diensten": een dienst die op individueel verzoek via de transmissie van gegevens wordt geleverd. - Definitie overeenkomstig artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad. aanbieders, die verouderd is gebleken, omdat het belang van de sectoren of diensten voor de maatschappelijke en economische activiteiten in de interne markt er niet in tot uitdrukking komt.

(7) Krachtens Richtlijn (EU) 2016/1148 waren de lidstaten verantwoordelijk voor het aanwijzen van de entiteiten die voldeden aan de criteria om te worden aangemerkt als exploitanten van essentiële diensten. Om de grote verschillen tussen de lidstaten op dat gebied weg te werken en rechtszekerheid te waarborgen met betrekking tot de cyberbeveiliging risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)-beheermaatregelen en rapportageverplichtingen voor alle relevante entiteiten, moet een uniform criterium worden vastgesteld dat bepaalt welke entiteiten binnen het toepassingsgebied van deze richtlijn vallen.

Dit criterium dient te bestaan in de toepassing van een "size-cap"-regel, waarbij alle entiteiten die overeenkomstig artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie als middelgrote ondernemingen kunnen worden aangemerkt, dan wel de in lid 1 van dat artikel vastgestelde maxima voor middelgrote ondernemingen overschrijden, en die actief zijn in de sectoren en het soort diensten of de activiteiten verrichten die onder deze richtlijn vallen, binnen de werkingssfeer van de richtlijn vallen. De lidstaten dienen er ook voor te zorgen dat bepaalde kleine ondernemingen en micro-ondernemingen, zoals gedefinieerd in artikel 2, leden 2 en 3, van die bijlage, die voldoen aan specifieke criteria waaruit blijkt dat zij een sleutelrol vervullen voor de samenleving, de economie of voor bepaalde sectoren of soorten diensten, binnen de werkingssfeer van deze richtlijn vallen.

(8) De uitsluiting van overheidsdiensten van het toepassingsgebied van deze richtlijn dient te gelden voor diensten waarvan de activiteiten overwegend worden verricht op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten. Overheidsentiteiten waarvan de activiteiten slechts zijdelings verband houden met deze gebieden, mogen echter niet van het toepassingsgebied van deze richtlijn worden uitgesloten.

Voor de toepassing van deze richtlijn worden entiteiten met regelgevende bevoegdheden niet geacht activiteiten uit te oefenen op het gebied van wetshandhaving en zijn zij derhalve op die grond niet uitgesloten van het toepassingsgebied van deze richtlijn. Openbaar bestuurlijke entiteiten die gezamenlijk met een derde land zijn opgericht in overeenstemming met een internationale overeenkomst, zijn uitgesloten van het toepassingsgebied van deze richtlijn. Deze richtlijn is niet van toepassing op diplomatieke en consulaire missies van lidstaten in derde landen of op hun netwerk- en informatiesystemen, voor zover die systemen zich in de gebouwen van de missie bevinden of voor gebruikers in een derde land worden geëxploiteerd.

(9) De lidstaten moeten de nodige maatregelen kunnen nemen om de bescherming van de wezenlijke belangen van nationale veiligheid te waarborgen, de openbare orde en veiligheid te vrijwaren en het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten mogelijk te maken.

Daartoe moeten de lidstaten specifieke entiteiten die activiteiten verrichten op het gebied van nationale veiligheid, openbare veiligheid, defensie of wetshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, kunnen vrijstellen van bepaalde verplichtingen die in deze richtlijn met betrekking tot die activiteiten zijn vastgesteld.

Waar een entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) verleent uitsluitend diensten aan een entiteit voor openbaar bestuurOverheidsinstantie Een entiteit die als zodanig is erkend in een lidstaat overeenkomstig het nationale recht, met uitzondering van de rechterlijke macht, parlementen of centrale banken, en die aan de volgende criteria voldoet: (a) zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter; (b) zij heeft rechtspersoonlijkheid of is bij wet gemachtigd om namens een andere entiteit met rechtspersoonlijkheid op te treden; (c) zij wordt, merendeels, door de staat, regionale autoriteiten of andere publiekrechtelijke instellingen gefinancierd, is voor haar beheer onderworpen aan toezicht door deze autoriteiten of organen of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke instellingen zijn aangewezen; (d) zij is bevoegd tot natuurlijke personen of rechtspersonen bestuurlijke of regelgevende besluiten te richten die hun rechten op het gebied van het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal aantasten. - Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) die van het toepassingsgebied van deze richtlijn is uitgesloten, moeten de lidstaten die entiteit kunnen vrijstellen van bepaalde verplichtingen die in deze richtlijn met betrekking tot die diensten zijn vastgesteld. Voorts mag geen enkele lidstaat worden verplicht informatie te verstrekken waarvan de openbaarmaking strijdig zou zijn met de wezenlijke belangen van zijn nationale veiligheid, openbare veiligheid of defensie.

In dat verband moet rekening worden gehouden met de uniale of nationale regels voor de bescherming van gerubriceerde informatie, geheimhoudingsovereenkomsten en informele geheimhoudingsovereenkomsten zoals het stoplichtprotocol. Het stoplichtprotocol moet worden gezien als een middel om informatie te verstrekken over eventuele beperkingen met betrekking tot de verdere verspreiding van informatie. Het wordt gebruikt in bijna alle computercalamiteitenteams (CSIRT's) en in sommige centra voor het analyseren en delen van informatie.

(10) Hoewel deze richtlijn van toepassing is op entiteiten die activiteiten uitvoeren op het gebied van de productie van elektriciteit uit kerncentrales, kunnen sommige van die activiteiten verband houden met de nationale veiligheid. Wanneer dat het geval is, moet een lidstaat zijn verantwoordelijkheid voor de bescherming van de nationale veiligheid met betrekking tot die activiteiten, inclusief activiteiten binnen de nucleaire waardeketen, overeenkomstig de Verdragen kunnen uitoefenen.

(11) Sommige entiteiten voeren activiteiten uit op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, terwijl ze ook vertrouwensdiensten verlenen. VertrouwensdienstVertrouwensdienst Een gewoonlijk tegen vergoeding verrichte elektronische dienst die bestaat uit: a) het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, elektronische diensten voor aangetekende bezorging en certificaten in verband met deze diensten, of b) het aanmaken, verifiëren en valideren van certificaten voor websiteauthenticatie, of c) het bewaren van elektronische handtekeningen, zegels of certificaten in verband met deze diensten. - Definitie overeenkomstig artikel 3, punt 16, van Verordening (EU) nr. 910/2014 verleners die onder het toepassingsgebied van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (6 ) vallen, onder het toepassingsgebied van deze richtlijn moeten vallen om hetzelfde niveau van veiligheidseisen en toezicht te waarborgen als het niveau dat voorheen in die verordening voor verleners van vertrouwensdiensten was vastgesteld. In overeenstemming met de uitsluiting van bepaalde specifieke diensten van Verordening (EU) nr. 910/2014 dient deze richtlijn niet van toepassing te zijn op de verlening van vertrouwensdiensten die uitsluitend worden gebruikt binnen gesloten systemen die voortvloeien uit nationale wetgeving of uit overeenkomsten tussen een welomschreven groep deelnemers.

(12) Aanbieders van postdiensten in de zin van Richtlijn 97/67/EG van het Europees Parlement en de Raad, met inbegrip van aanbieders van koeriersdiensten, dienen onder deze richtlijn te vallen indien zij ten minste een van de schakels van de postbestellingsketen verzorgen, met name het ophalen, sorteren, vervoeren of distribueren van postzendingen, met inbegrip van ophaaldiensten, waarbij rekening wordt gehouden met de mate van afhankelijkheid van netwerk- en informatiesystemen. Vervoersdiensten die niet in samenhang met een van deze stappen worden verricht, dienen van de postdiensten te worden uitgesloten.

(13) Gezien de intensivering en toegenomen geavanceerdheid van cyberdreigingen dienen de lidstaten ernaar te streven dat entiteiten die van het toepassingsgebied van deze richtlijn zijn uitgesloten, een hoog niveau van cyberbeveiliging bereiken en de uitvoering van gelijkwaardige risicobeheersmaatregelen op het gebied van cyberbeveiliging die de gevoelige aard van die entiteiten weerspiegelen, te ondersteunen.

(14) De EU-wetgeving inzake gegevensbescherming en de EU-wetgeving inzake privacy is van toepassing op elke verwerking van persoonsgegevens in het kader van deze richtlijn. Deze richtlijn laat met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad en Richtlijn 2002/58/EG van het Europees Parlement en de Raad onverlet. Deze richtlijn mag derhalve onder meer geen afbreuk doen aan de taken en bevoegdheden van de autoriteiten die bevoegd zijn om toe te zien op de naleving van de toepasselijke wetgeving van de Unie inzake gegevensbescherming en de privacywetgeving van de Unie.

(15) Entiteiten die onder het toepassingsgebied van deze richtlijn vallen met het oog op de naleving van risicobeheersmaatregelen inzake cyberbeveiliging en rapportageverplichtingen dienen in twee categorieën te worden onderverdeeld, namelijk essentiële entiteiten en belangrijke entiteiten, naargelang van de mate waarin zij kritisch zijn voor hun sector of het soort dienst dat zij verlenen, en naargelang van hun omvang. In dat verband moet terdege rekening worden gehouden met eventuele relevante sectorale risicobeoordelingen of richtsnoeren van de bevoegde autoriteiten. De toezicht- en handhavingsregimes voor deze twee categorieën entiteiten moeten worden gedifferentieerd om te zorgen voor een billijk evenwicht tussen risicogebaseerde vereisten en verplichtingen enerzijds en de administratieve lasten die voortvloeien uit het toezicht op de naleving anderzijds.

(16) Om te vermijden dat entiteiten met partnerondernemingen of verbonden ondernemingen als essentiële of belangrijke entiteiten worden beschouwd wanneer dit onevenredig zou zijn, kunnen de lidstaten bij de toepassing van artikel 6, lid 2, van de bijlage bij Aanbeveling 2003/361/EG rekening houden met de mate van onafhankelijkheid van een entiteit ten opzichte van haar partnerondernemingen of verbonden ondernemingen. De lidstaten kunnen met name rekening houden met het feit dat een entiteit onafhankelijk is van haar partnerondernemingen of verbonden ondernemingen voor wat betreft het netwerk en de informatiesystemen die deze entiteit gebruikt voor het verlenen van haar diensten en voor wat betreft de diensten die de entiteit verleent.

Op grond daarvan kunnen de lidstaten, in voorkomend geval, oordelen dat een dergelijke entiteit niet als middelgrote onderneming in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG kan worden aangemerkt, of de in lid 1 van dat artikel vastgestelde maxima voor middelgrote ondernemingen niet overschrijdt, indien die entiteit, rekening houdend met de mate van zelfstandigheid van die entiteit, niet als middelgrote onderneming zou zijn aangemerkt, of die maxima niet zou hebben overschreden, indien alleen met haar eigen gegevens rekening was gehouden. Dit laat de verplichtingen die in deze richtlijn zijn vastgesteld voor partnerondernemingen en verbonden ondernemingen die binnen de werkingssfeer van deze richtlijn vallen, onverlet.

(17) De lidstaten moeten kunnen besluiten dat entiteiten die vóór de inwerkingtreding van deze richtlijn overeenkomstig Richtlijn (EU) 2016/1148 als exploitanten van essentiële diensten zijn aangemerkt, als essentiële entiteiten worden beschouwd.

(18) Om te zorgen voor een duidelijk overzicht van de entiteiten die onder het toepassingsgebied van deze richtlijn vallen, dienen de lidstaten een lijst op te stellen van essentiële en belangrijke entiteiten alsmede entiteiten die domeinnaamregistratiediensten verlenen. Daartoe dienen de lidstaten van de entiteiten te verlangen dat zij ten minste de volgende informatie aan de bevoegde autoriteiten verstrekken, namelijk naam, adres en actuele contactgegevens, met inbegrip van de e-mailadressen, IP-reeksen en telefoonnummers van de entiteit, en, indien van toepassing, de relevante sector en subsector als bedoeld in de bijlagen, alsmede, indien van toepassing, een lijst van de lidstaten waar zij diensten verlenen die binnen het toepassingsgebied van deze richtlijn vallen.

Daartoe moet de Commissie, met de hulp van het Agentschap voor cyberbeveiliging van de Europese Unie (ENISA), zonder onnodige vertraging richtsnoeren en modellen verstrekken met betrekking tot de verplichting om informatie in te dienen. Om het opstellen en bijwerken van de lijst van essentiële en belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten aanbieden te vergemakkelijken, moeten de lidstaten nationale mechanismen kunnen instellen waarmee entiteiten zichzelf kunnen registreren. Wanneer er registers op nationaal niveau bestaan, kunnen de lidstaten beslissen over de passende mechanismen waarmee entiteiten die onder het toepassingsgebied van deze richtlijn vallen, kunnen worden geïdentificeerd.

(19) De lidstaten moeten de Commissie ten minste het aantal belangrijke en essentiële entiteiten voor elke in de bijlagen bedoelde sector en subsector meedelen, alsook relevante informatie over het aantal geïdentificeerde entiteiten en de in deze richtlijn vastgestelde bepaling op basis waarvan zij zijn geïdentificeerd, en het soort dienst dat zij verlenen. De lidstaten worden aangemoedigd om met de Commissie informatie uit te wisselen over essentiële en belangrijke entiteiten en, in het geval van een grootschalig cyberbeveiligingsincidentGrootschalig cyberbeveiligingsincident Een incident dat een mate van ontwrichting veroorzaakt die de capaciteit van een lidstaat om erop te reageren te boven gaat of dat aanzienlijke gevolgen heeft voor ten minste twee lidstaten. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)relevante informatie zoals de naam van de betrokken entiteit.

(20) De Commissie dient, in samenwerking met de samenwerkingsgroep en na raadpleging van de relevante belanghebbenden, richtsnoeren op te stellen voor de toepassing van de criteria die gelden voor micro-ondernemingen en kleine ondernemingen om te beoordelen of zij binnen de werkingssfeer van deze richtlijn vallen. De Commissie dient er ook voor te zorgen dat passende richtsnoeren worden gegeven aan micro-ondernemingen en kleine ondernemingen die binnen de werkingssfeer van deze richtlijn vallen. De Commissie dient, met de hulp van de lidstaten, in dat verband informatie ter beschikking te stellen van micro-ondernemingen en kleine ondernemingen.

(21) De Commissie zou de lidstaten kunnen bijstaan bij de uitvoering van de bepalingen van deze richtlijn inzake het toepassingsgebied en de beoordeling van de evenredigheid van de krachtens deze richtlijn te nemen maatregelen, met name ten aanzien van entiteiten met complexe bedrijfsmodellen of exploitatieomgevingen, waarbij een entiteit tegelijkertijd kan voldoen aan de criteria die aan zowel essentiële als belangrijke entiteiten zijn toegekend, of tegelijkertijd activiteiten kan verrichten waarvan sommige binnen het toepassingsgebied van deze richtlijn vallen en andere ervan zijn uitgesloten.

(22) In deze richtlijn wordt de basislijn vastgesteld voor risicobeheersmaatregelen voor cyberbeveiliging en rapportageverplichtingen voor alle sectoren die binnen de werkingssfeer van de richtlijn vallen. Teneinde versnippering van de cyberbeveiligingsbepalingen van de rechtshandelingen van de Unie te voorkomen, dient de Commissie, indien verdere sectorspecifieke rechtshandelingen van de Unie met betrekking tot risicobeheersmaatregelen voor cyberbeveiliging en rapportageverplichtingen noodzakelijk worden geacht om een hoog niveau van cyberbeveiliging in de gehele Unie te waarborgen, te beoordelen of dergelijke verdere bepalingen kunnen worden opgenomen in een uitvoeringshandeling uit hoofde van deze richtlijn.

Mocht een dergelijke uitvoeringshandeling daarvoor niet geschikt zijn, dan kunnen sectorspecifieke rechtshandelingen van de Unie bijdragen tot het waarborgen van een hoog niveau van cyberbeveiliging in de hele Unie, waarbij ten volle rekening wordt gehouden met de specifieke kenmerken en complexiteit van de betrokken sectoren. Daartoe sluit deze richtlijn niet uit dat er verdere sectorspecifieke rechtshandelingen van de Unie worden vastgesteld met betrekking tot risicobeheersmaatregelen voor cyberbeveiliging en rapportageverplichtingen die terdege rekening houden met de noodzaak van een alomvattend en consistent kader voor cyberbeveiliging. Deze richtlijn doet geen afbreuk aan de bestaande uitvoeringsbevoegdheden die aan de Commissie zijn verleend in een aantal sectoren, waaronder vervoer en energie.

(23) Wanneer een sectorspecifieke rechtshandeling van de Unie bepalingen bevat op grond waarvan essentiële of belangrijke entiteiten verplicht zijn risicobeheersmaatregelen op het gebied van cyberbeveiliging te nemen of melding te maken van significante incidenten, en wanneer die bepalingen ten minste gelijkwaardig zijn aan de in deze richtlijn neergelegde verplichtingen, dienen die bepalingen, met inbegrip van bepalingen inzake toezicht en handhaving, op die entiteiten van toepassing te zijn. Indien een sectorspecifieke rechtshandeling van de Unie niet alle entiteiten in een specifieke sector bestrijkt die onder het toepassingsgebied van deze richtlijn vallen, dienen de desbetreffende bepalingen van deze richtlijn van toepassing te blijven op de entiteiten die niet onder die rechtshandeling vallen.

(24) Wanneer bepalingen van een sectorspecifieke rechtshandeling van de Unie essentiële of belangrijke entiteiten verplichten te voldoen aan meldingsverplichtingen die ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde meldingsverplichtingen, moeten de consistentie en doeltreffendheid van de afhandeling van kennisgevingen van incidenten worden gewaarborgd. Daartoe moeten de bepalingen betreffende kennisgevingen van incidenten van de sectorspecifieke rechtshandeling van de Unie de CSIRT's, de bevoegde autoriteiten of de centrale contactpunten op het gebied van cyberbeveiliging (centrale contactpunten) uit hoofde van deze richtlijn onmiddellijk toegang bieden tot de overeenkomstig de sectorspecifieke rechtshandeling van de Unie ingediende kennisgevingen van incidenten.

Een dergelijke onmiddellijke toegang kan met name worden gewaarborgd als kennisgevingen van incidenten zonder onnodige vertraging worden doorgestuurd naar het CSIRT, de bevoegde autoriteit of het centrale aanspreekpunt in het kader van deze richtlijn. In voorkomend geval moeten de lidstaten een automatisch en rechtstreeks rapportagemechanisme instellen dat zorgt voor systematische en onmiddellijke uitwisseling van informatie met de CSIRT's, de bevoegde autoriteiten of de één-loketten over de behandeling van dergelijke kennisgevingen van incidenten. Met het oog op de vereenvoudiging van de melding en de tenuitvoerlegging van het mechanisme voor automatische en rechtstreekse melding kunnen de lidstaten, overeenkomstig de sectorspecifieke rechtshandeling van de Unie, gebruikmaken van één meldpunt.

(25) Sectorspecifieke rechtshandelingen van de Unie die voorzien in risicobeheersmaatregelen of rapportageverplichtingen op het gebied van cyberbeveiliging die ten minste gelijkwaardig zijn aan die van deze richtlijn, kunnen bepalen dat de bevoegde autoriteiten uit hoofde van dergelijke handelingen hun toezichts- en handhavingsbevoegdheden met betrekking tot dergelijke maatregelen of verplichtingen uitoefenen met de hulp van de bevoegde autoriteiten uit hoofde van deze richtlijn.

De betrokken bevoegde autoriteiten kunnen daartoe samenwerkingsregelingen treffen. In dergelijke samenwerkingsregelingen kunnen onder meer de procedures worden gespecificeerd voor de coördinatie van toezichtactiviteiten, met inbegrip van de procedures voor onderzoeken en inspecties ter plaatse overeenkomstig het nationale recht, en een mechanisme voor de uitwisseling van relevante informatie over toezicht en handhaving tussen de bevoegde autoriteiten, met inbegrip van toegang tot cybergerelateerde informatie waarom de bevoegde autoriteiten krachtens deze richtlijn verzoeken.

(26) Wanneer sectorspecifieke rechtshandelingen van de Unie entiteiten verplichten of stimuleren om aanzienlijke cyberdreigingen te melden, dienen de lidstaten ook aan te moedigen dat aanzienlijke cyberdreigingen worden gedeeld met de CSIRT's, de bevoegde autoriteiten of de centrale aanspreekpunten in het kader van deze richtlijn, om ervoor te zorgen dat deze organen zich beter bewust zijn van het cyberdreigingslandschap en om hen in staat te stellen effectief en tijdig te reageren als de aanzienlijke cyberdreigingen zich voordoen.

(27) In toekomstige sectorspecifieke rechtshandelingen van de Unie moet naar behoren rekening worden gehouden met de definities en het toezicht- en handhavingskader die in deze richtlijn zijn vastgelegd.

(28) Verordening (EU) nr. 2022/2554 van het Europees Parlement en de Raad (10 ) moet worden beschouwd als een sectorspecifieke rechtshandeling van de Unie met betrekking tot deze richtlijn ten aanzien van financiële entiteiten. De bepalingen van Verordening (EU) nr. 2022/2554 betreffende risicobeheer in verband met informatie- en communicatietechnologie (ICT), het beheer van ICT-gerelateerde incidenten en met name de melding van ernstige ICT-gerelateerde incidenten, alsook betreffende het testen van de digitale operationele veerkracht, regelingen voor het delen van informatie en ICT-risico's van derden, dienen van toepassing te zijn in plaats van de bepalingen van deze richtlijn. De lidstaten dienen de bepalingen van deze richtlijn inzake risicobeheer en rapportageverplichtingen op het gebied van cyberbeveiliging, toezicht en handhaving derhalve niet toe te passen op financiële entiteiten die onder Verordening (EU) nr. 2022/2554 vallen. Tegelijkertijd is het belangrijk om in het kader van deze richtlijn een sterke relatie en informatie-uitwisseling met de financiële sector in stand te houden.

Daartoe kunnen de Europese toezichthoudende autoriteiten (ETA's) en de bevoegde autoriteiten krachtens Verordening (EU) 2022/2554 deelnemen aan de activiteiten van de samenwerkingsgroep en informatie uitwisselen en samenwerken met de centrale aanspreekpunten, alsook met de CSIRT's en de bevoegde autoriteiten krachtens deze richtlijn. De bevoegde autoriteiten in het kader van Verordening (EU) nr. 2022/2554 moeten de CSIRT's, de bevoegde autoriteiten of de één-loketten in het kader van deze richtlijn ook details verstrekken over ernstige ICT-gerelateerde incidenten en, voor zover relevant, significante cyberdreigingen. Dit kan worden bereikt door onmiddellijk toegang te verlenen tot meldingen van incidenten en deze rechtstreeks of via één toegangspunt door te sturen. Bovendien moeten de lidstaten de financiële sector in hun cyberbeveiligingsstrategieën blijven opnemen en kunnen de CSIRT's de financiële sector in hun activiteiten opnemen.

(29) Om lacunes tussen of overlappingen van aan entiteiten in de luchtvaartsector opgelegde cyberbeveiligingsverplichtingen te voorkomen, dienen de nationale autoriteiten uit hoofde van Verordening (EG) nr. 300/2008 en Verordening (EU) 2018/1139 van het Europees Parlement en de Raad en de bevoegde autoriteiten uit hoofde van deze richtlijn samen te werken met betrekking tot de tenuitvoerlegging van risicobeheersmaatregelen inzake cyberbeveiliging en het toezicht op de naleving van die maatregelen op nationaal niveau. De naleving door een entiteit van de beveiligingseisen die zijn neergelegd in Verordening (EG) nr. 300/2008 en Verordening (EU) 2018/1139 en in de relevante gedelegeerde en uitvoeringshandelingen die overeenkomstig die verordeningen zijn vastgesteld, kan door de bevoegde autoriteiten in het kader van deze richtlijn worden beschouwd als naleving van de overeenkomstige eisen die in deze richtlijn zijn neergelegd.

(30) Gezien de onderlinge verbanden tussen cyberbeveiliging en de fysieke beveiliging van entiteiten dient te worden gezorgd voor een coherente aanpak tussen Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad en deze richtlijn. Daartoe dienen entiteiten die in het kader van Richtlijn (EU) 2022/2557 als kritieke entiteiten zijn aangemerkt, in het kader van deze richtlijn als essentiële entiteiten te worden beschouwd.

Bovendien moet elke lidstaat ervoor zorgen dat zijn nationale strategie voor cyberbeveiligingNationale strategie voor cyberbeveiliging Een samenhangend kader van een lidstaat met strategische doelstellingen en prioriteiten op het gebied van cyberbeveiliging en de governance om deze in die lidstaat te verwezenlijken. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) voorziet in een beleidskader voor versterkte coördinatie binnen die lidstaat tussen zijn bevoegde autoriteiten uit hoofde van deze richtlijn en die uit hoofde van Richtlijn (EU) 2022/2557 in de context van informatie-uitwisseling over risico's, cyberdreigingen en incidenten alsook over niet-cyberrisico's, dreigingen en incidenten, en de uitoefening van toezichttaken. De bevoegde autoriteiten in het kader van deze richtlijn en die in het kader van Richtlijn (EU) 2022/2557 moeten zonder onnodige vertraging samenwerken en informatie uitwisselen, in het bijzonder met betrekking tot de identificatie van kritieke entiteiten, risico's, cyberdreigingen en incidenten, alsook met betrekking tot niet-cyberrisico's, dreigingen en incidenten die kritieke entiteiten treffen, met inbegrip van de door kritieke entiteiten genomen cyberbeveiligings- en fysieke maatregelen en de resultaten van toezichtactiviteiten die met betrekking tot dergelijke entiteiten zijn uitgevoerd.

Teneinde de toezichtactiviteiten tussen de bevoegde autoriteiten in het kader van deze richtlijn en die in het kader van Richtlijn (EU) 2022/2557 te stroomlijnen en de administratieve lasten voor de betrokken entiteiten tot een minimum te beperken, dienen deze bevoegde autoriteiten er voorts naar te streven de modellen voor incidentmeldingen en de toezichtprocessen te harmoniseren. In voorkomend geval moeten de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2557 de bevoegde autoriteiten in het kader van deze richtlijn kunnen verzoeken hun toezichts- en handhavingsbevoegdheden uit te oefenen met betrekking tot een entiteit die overeenkomstig Richtlijn (EU) 2022/2557 als kritieke entiteit is aangemerkt. De bevoegde autoriteiten in het kader van deze richtlijn en die in het kader van Richtlijn (EU) 2022/2557 moeten daartoe, waar mogelijk in realtime, samenwerken en informatie uitwisselen.

(31) Entiteiten die tot de digitale-infrastructuursector behoren, zijn in essentie gebaseerd op netwerk- en informatiesystemen en daarom moeten de verplichtingen die krachtens deze richtlijn aan deze entiteiten worden opgelegd, de fysieke beveiliging van dergelijke systemen op alomvattende wijze aanpakken als onderdeel van hun risicobeheersmaatregelen op het gebied van cyberbeveiliging en rapportageverplichtingen. Aangezien deze aangelegenheden onder deze richtlijn vallen, zijn de verplichtingen in de hoofdstukken III, IV en VI van Richtlijn (EU) 2022/2557 niet van toepassing op deze entiteiten.

(32) Het behoud en de instandhouding van een betrouwbaar, veerkrachtig en veilig domeinnaamsysteem (DNS) zijn sleutelfactoren voor het behoud van de integriteit van het internet en zijn essentieel voor de continue en stabiele werking ervan, waarvan de digitale economie en samenleving afhankelijk zijn. Derhalve dient deze richtlijn van toepassing te zijn op registers van topleveldomeinnamen (TLD's) en DNS-dienstverleners die moeten worden opgevat als entiteiten die openbare recursieve domeinnaamresolutiediensten voor interneteindgebruikers of gezaghebbende domeinnaamresolutiediensten voor gebruik door derden aanbieden. Deze richtlijn is niet van toepassing op root name servers.

(33) Cloudcomputingdiensten moeten betrekking hebben op digitale diensten die beheer op verzoek en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerhulpbronnen mogelijk maken, ook wanneer deze bronnen over verschillende locaties zijn verspreid. Onder computermiddelen vallen middelen zoals netwerken, servers of andere infrastructuur, besturingssystemen, software, opslag, toepassingen en diensten. De dienstenmodellen van cloud computing omvatten onder andere Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) en Network as a Service (NaaS).

De implementatiemodellen van cloud computing moeten private, community, publieke en hybride clouds omvatten. De cloudcomputingserviceCloud computing service Een digitale dienst die on-demand beheer en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook als deze bronnen over verschillende locaties zijn verspreid. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) en deployment-modellen hebben dezelfde betekenis als de terms of service en deployment-modellen gedefinieerd onder ISO/IEC 17788:2014 standaardStandaard Een technische specificatie die door een erkende normalisatie-instelling is aangenomen voor herhaalde of voortdurende toepassing, waarvan de inachtneming niet verplicht is en die tot een van de volgende categorieën behoort (a) "internationale norm": een norm die door een internationale normalisatie-instelling is vastgesteld; b) "Europese norm": een norm die door een Europese normalisatie-instelling is vastgesteld; c) "geharmoniseerde norm": een Europese norm die is vastgesteld op basis van een door de Commissie ingediend verzoek om toepassing van harmonisatiewetgeving van de Unie; d) "nationale norm": een norm die door een nationale normalisatie-instelling is vastgesteld - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad.. Het vermogen van de cloud computing-gebruiker om eenzijdig zelf computercapaciteiten beschikbaar te stellen, zoals servertijd of netwerkopslag, zonder enige menselijke interactie door de cloud computing-dienstverlener, kan worden omschreven als administratie op aanvraag.

De term 'brede toegang op afstand' wordt gebruikt om aan te geven dat de cloudcapaciteiten via het netwerk worden aangeboden en toegankelijk zijn via mechanismen die het gebruik van heterogene thin of thick client-platforms bevorderen, waaronder mobiele telefoons, tablets, laptops en werkstations. De term 'schaalbaar' verwijst naar computermiddelen die flexibel worden toegewezen door de aanbieder van clouddiensten, ongeacht de geografische locatie van de middelen, om schommelingen in de vraag aan te kunnen.

De term "elastische pool" wordt gebruikt om computermiddelen te beschrijven die worden verstrekt en vrijgegeven afhankelijk van de vraag om de beschikbare middelen snel te verhogen en verlagen, afhankelijk van de werkbelasting. De term "deelbaar" wordt gebruikt om computerhulpbronnen te beschrijven die worden geleverd aan meerdere gebruikers die een gemeenschappelijke toegang tot de dienst hebben, maar waarbij de verwerking voor elke gebruiker afzonderlijk wordt uitgevoerd, hoewel de dienst wordt geleverd vanaf dezelfde elektronische apparatuur. De term "gedistribueerd" wordt gebruikt om computerbronnen te beschrijven die zich op verschillende netwerkcomputers of -apparaten bevinden en die onderling communiceren en coördineren door berichten door te geven.

(34) Gezien de opkomst van innovatieve technologieën en nieuwe bedrijfsmodellen zullen er naar verwachting nieuwe modellen voor cloud computing-diensten en -implementatie verschijnen op de interne markt als antwoord op de veranderende behoeften van de klant. In die context kunnen cloud computing-diensten worden geleverd in een sterk gedistribueerde vorm, nog dichter bij de plaats waar gegevens worden gegenereerd of verzameld, waardoor het traditionele model overgaat in een sterk gedistribueerd model (edge computing).

(35) Diensten aangeboden door datacenterserviceDatacenterservice Een dienst die structuren of groepen van structuren omvat voor de gecentraliseerde accommodatie, interconnectie en werking van IT- en netwerkapparatuur die gegevensopslag, -verwerking en -transportdiensten levert, samen met alle faciliteiten en infrastructuren voor energiedistributie en omgevingscontrole. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders niet altijd worden geleverd in de vorm van een cloud computing-dienst. Bijgevolg maken datacentra niet altijd deel uit van de infrastructuur voor cloud computing. Om alle risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, moet deze richtlijn daarom aanbieders van datacenterdiensten bestrijken die geen cloud computing-diensten zijn.

Voor de toepassing van deze richtlijn dient de term "datacenterdienst" betrekking te hebben op de verrichting van een dienst die structuren of groepen van structuren omvat die specifiek bestemd zijn voor de gecentraliseerde huisvesting, onderlinge koppeling en werking van IT- en netwerkapparatuur voor de opslag, verwerking en het transport van gegevens, alsmede alle faciliteiten en infrastructuur voor energiedistributie en milieucontrole. De term "datacenterdienst" is niet van toepassing op datacenters die eigendom zijn van en geëxploiteerd worden door de betrokken entiteit voor haar eigen doeleinden.

(36) Onderzoeksactiviteiten spelen een sleutelrol bij de ontwikkeling van nieuwe producten en processen. Veel van die activiteiten worden uitgevoerd door entiteiten die de resultaten van hun onderzoek delen, verspreiden of exploiteren voor commerciële doeleinden. Deze entiteiten kunnen daarom belangrijke spelers zijn in waardeketens, waardoor de beveiliging van hun netwerk- en informatiesystemen een integraal onderdeel vormt van de algemene cyberbeveiliging van de interne markt.

Onder onderzoeksorganisaties moeten ook entiteiten worden verstaan die het grootste deel van hun activiteiten richten op toegepast onderzoek of experimentele ontwikkeling in de zin van het Frascati-handboek 2015 van de Organisatie voor Economische Samenwerking en Ontwikkeling: Guidelines for Collecting and Reporting Data on Research and Experimental Development, met het oog op de exploitatie van hun resultaten voor commerciële doeleinden, zoals de vervaardiging of ontwikkeling van een product of proces, de levering van een dienst of de commercialisering ervan.

(37) De toenemende onderlinge afhankelijkheid is het resultaat van een in toenemende mate grensoverschrijdend en onderling afhankelijk netwerk van dienstverlening dat gebruik maakt van belangrijke infrastructuur in de hele Unie in sectoren zoals energie, vervoer, digitale infrastructuur, drinkwater en afvalwater, gezondheid, bepaalde aspecten van het openbaar bestuur, alsmede de ruimtevaart voor zover het gaat om de verlening van bepaalde diensten die afhankelijk zijn van grondinfrastructuur die eigendom is van, beheerd en geëxploiteerd wordt door de lidstaten of door private partijen, en dus niet de infrastructuur omvat die eigendom is van, beheerd wordt door of geëxploiteerd wordt door of namens de Unie als onderdeel van haar ruimtevaartprogramma.

Deze onderlinge afhankelijkheid houdt in dat elke verstoring, zelfs als die aanvankelijk beperkt blijft tot één entiteit of één sector, op grotere schaal kan doorwerken, wat kan leiden tot verreikende en langdurige negatieve gevolgen voor de dienstverlening in de hele interne markt. De intensievere cyberaanvallen tijdens de COVID-19-pandemie hebben de kwetsbaarheid aangetoond van samenlevingen die in toenemende mate onderling afhankelijk zijn voor risico's met een lage waarschijnlijkheid.

(38) Gezien de verschillen in nationale bestuursstructuren en om reeds bestaande sectorale regelingen of toezichthoudende en regelgevende organen van de Unie te vrijwaren, moeten de lidstaten een of meer bevoegde autoriteiten kunnen aanwijzen of oprichten die verantwoordelijk zijn voor cyberbeveiliging en voor de toezichthoudende taken uit hoofde van deze richtlijn.

(39) Teneinde grensoverschrijdende samenwerking en communicatie tussen autoriteiten te vergemakkelijken en een doeltreffende tenuitvoerlegging van deze richtlijn mogelijk te maken, is het noodzakelijk dat elke lidstaat één contactpunt aanwijst dat verantwoordelijk is voor de coördinatie van kwesties die verband houden met de beveiliging van netwerk- en informatiesystemen en grensoverschrijdende samenwerking op het niveau van de Unie.

(40) Het ene loket moet zorgen voor een doeltreffende grensoverschrijdende samenwerking met de bevoegde instanties van andere lidstaten en, in voorkomend geval, met de Commissie en het ENISA. De centrale aanspreekpunten moeten daarom worden belast met het doorsturen van kennisgevingen van significante incidenten met grensoverschrijdende gevolgen naar de centrale aanspreekpunten van andere betrokken lidstaten, op verzoek van het CSIRT of de bevoegde autoriteit. Op nationaal niveau moeten de één-loketten een vlotte sectoroverschrijdende samenwerking met andere bevoegde instanties mogelijk maken. De één-loketten kunnen ook de geadresseerden zijn van relevante informatie over incidenten met financiële entiteiten van de bevoegde autoriteiten in het kader van Verordening (EU) nr. 2022/2554 , die zij in voorkomend geval moeten kunnen doorsturen naar de CSIRT's of de bevoegde autoriteiten in het kader van deze richtlijn.

(41) De lidstaten moeten over adequate technische en organisatorische middelen beschikken om incidenten en risico's te voorkomen, op te sporen, te bestrijden en te beperken. De lidstaten moeten daarom in het kader van deze richtlijn een of meer CSIRT's oprichten of aanwijzen en ervoor zorgen dat deze over passende middelen en technische capaciteiten beschikken. De CSIRT's moeten voldoen aan de in deze richtlijn vastgestelde eisen om doeltreffende en compatibele capaciteiten voor de aanpak van incidenten en risico's te garanderen en een efficiënte samenwerking op het niveau van de Unie te waarborgen.

De lidstaten moeten bestaande computercalamiteitenteams (CERT's) als CSIRT's kunnen aanwijzen. Om de vertrouwensrelatie tussen de entiteiten en de CSIRT's te versterken, moeten de lidstaten, wanneer een CSIRT deel uitmaakt van een bevoegde autoriteit, een functionele scheiding kunnen overwegen tussen de operationele taken van de CSIRT's, met name wat betreft het delen van informatie en het verlenen van bijstand aan de entiteiten, en de toezichtactiviteiten van de bevoegde autoriteiten.

(42) De CSIRT's hebben de volgende taken incidentafhandelingIncidentafhandeling Alle acties en procedures om een incident te voorkomen, op te sporen, te analyseren en in te dammen of om te reageren op en te herstellen van een incident. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn). Dit omvat de verwerking van grote hoeveelheden soms gevoelige gegevens. De lidstaten moeten ervoor zorgen dat de CSIRT's beschikken over een infrastructuur voor het delen en verwerken van informatie, en over goed uitgerust personeel, dat de vertrouwelijkheid en betrouwbaarheid van hun operaties waarborgt. De CSIRT's zouden in dat verband ook gedragscodes kunnen aannemen.

(43) Wat persoonsgegevens betreft, moeten de CSIRT's overeenkomstig Verordening (EU) 2016/679 op verzoek van een essentiële of belangrijke entiteit een proactieve scan kunnen uitvoeren van het netwerk en de informatiesystemen die worden gebruikt voor het verlenen van de diensten van de entiteit. In voorkomend geval moeten de lidstaten ernaar streven een gelijk niveau van technische capaciteiten voor alle sectorale CSIRT's te waarborgen. De lidstaten moeten ENISA om bijstand kunnen verzoeken bij de ontwikkeling van hun CSIRT's.

(44) De CSIRT's moeten de mogelijkheid hebben om op verzoek van een essentiële of belangrijke entiteit toezicht te houden op de op het internet gerichte middelen van de entiteit, zowel binnen als buiten de gebouwen, om de algemene organisatorische risico's van de entiteit met betrekking tot recent vastgestelde compromitteringen van de toeleveringsketen of kritieke kwetsbaarheden te identificeren, te begrijpen en te beheren. De entiteit moet worden aangemoedigd om aan het CSIRT mee te delen of zij een interface voor geprivilegieerd beheer gebruikt, aangezien dit van invloed kan zijn op de snelheid waarmee risicobeperkende maatregelen worden genomen.

(45) Gezien het belang van internationale samenwerking op het gebied van cyberbeveiliging moeten de CSIRT's kunnen deelnemen aan internationale samenwerkingsnetwerken naast het bij deze richtlijn opgerichte CSIRT-netwerk. Daarom moeten de CSIRT's en de bevoegde autoriteiten voor het uitvoeren van hun taken informatie, waaronder persoonsgegevens, kunnen uitwisselen met de nationale computercalamiteitenteams of de bevoegde autoriteiten van derde landen, mits wordt voldaan aan de voorwaarden uit hoofde van de wetgeving van de Unie inzake gegevensbescherming voor de doorgifte van persoonsgegevens aan derde landen, onder meer die van artikel 49 van Verordening (EU) 2016/679.

(46) Het is van essentieel belang te zorgen voor voldoende middelen om de doelstellingen van deze richtlijn te verwezenlijken en de bevoegde autoriteiten en de CSIRT's in staat te stellen de hierin vastgestelde taken uit te voeren. De lidstaten kunnen op nationaal niveau een financieringsmechanisme invoeren ter dekking van de noodzakelijke uitgaven in verband met de uitvoering van de taken van de overheidsinstanties die krachtens deze richtlijn verantwoordelijk zijn voor cyberbeveiliging in de lidstaat. Een dergelijk mechanisme dient in overeenstemming te zijn met het Unierecht, evenredig en niet-discriminerend te zijn en rekening te houden met verschillende benaderingen van het aanbieden van beveiligde diensten.

(47) Het CSIRTs-netwerk moet blijven bijdragen tot de versterking van het vertrouwen en de bevordering van snelle en doeltreffende operationele samenwerking tussen de lidstaten. Om de operationele samenwerking op het niveau van de Unie te verbeteren, moet het CSIRTs-netwerk overwegen organen en agentschappen van de Unie die betrokken zijn bij het cyberbeveiligingsbeleid, zoals Europol, uit te nodigen om deel te nemen aan zijn werkzaamheden.

(48) Met het oog op het bereiken en handhaven van een hoog niveau van cyberbeveiliging dienen de nationale strategieën inzake cyberbeveiliging die krachtens deze richtlijn vereist zijn, te bestaan uit samenhangende kaders die strategische doelstellingen en prioriteiten op het gebied van cyberbeveiliging en de governance om deze te verwezenlijken, omvatten. Deze strategieën kunnen bestaan uit een of meer wetgevende of niet-wetgevende instrumenten.

(49) Beleid voor cyberhygiëne vormt de basis voor de bescherming van netwerk- en informatiesysteemNetwerk en informatiesysteem (a) een elektronische-communicatienetwerk als omschreven in artikel 2, punt 1, van Richtlijn (EU) 2018/1972; b) een apparaat of groep van onderling verbonden of verwante apparaten, waarvan een of meer, overeenkomstig een programma, digitale gegevens automatisch verwerkt of c) digitale gegevens die zijn opgeslagen, verwerkt, opgehaald of verzonden door elementen die onder a) en b) vallen, met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan; - een elektronische-communicatienetwerk als omschreven in artikel 2, punt 1, van Richtlijn (EU) 2018/1972. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) infrastructuren, hardware, software en online applicatiebeveiliging, en bedrijfs- of eindgebruikersgegevens waarop entiteiten vertrouwen. Beleid op het gebied van cyberhygiëne dat bestaat uit een gemeenschappelijk basispakket van praktijken, waaronder software- en hardware-updates, het wijzigen van wachtwoorden, het beheer van nieuwe installaties, het beperken van toegangsaccounts op beheerderniveau en het maken van back-ups van gegevens, maakt een proactief kader van paraatheid en algehele veiligheid en beveiliging mogelijk in het geval van incidenten of cyberdreigingen. ENISA moet het cyberhygiënebeleid van de lidstaten monitoren en analyseren.

(50) Cyberbewustzijn en cyberhygiëne zijn essentieel om het niveau van cyberbeveiliging in de Unie te verhogen, met name in het licht van het groeiende aantal aangesloten apparaten die steeds vaker worden gebruikt bij cyberaanvallen. Er moeten inspanningen worden geleverd om het algemene bewustzijn van risico's in verband met dergelijke apparaten te vergroten, terwijl beoordelingen op het niveau van de Unie kunnen bijdragen tot een gemeenschappelijk begrip van dergelijke risico's binnen de interne markt.

(51) De lidstaten dienen het gebruik aan te moedigen van alle innovatieve technologieën, met inbegrip van kunstmatige intelligentie, waarvan het gebruik de opsporing en preventie van cyberaanvallen zou kunnen verbeteren, zodat middelen doeltreffender kunnen worden ingezet voor cyberaanvallen. De lidstaten dienen daarom in hun nationale cyberbeveiligingsstrategie activiteiten op het gebied van onderzoek en ontwikkeling aan te moedigen om het gebruik van dergelijke technologieën te vergemakkelijken, met name die welke betrekking hebben op geautomatiseerde of semi-geautomatiseerde instrumenten op het gebied van cyberbeveiliging, en, indien van toepassing, het delen van gegevens die nodig zijn voor het opleiden van gebruikers van dergelijke technologie en voor het verbeteren ervan.

Het gebruik van innovatieve technologie, waaronder kunstmatige intelligentie, moet voldoen aan de EU-wetgeving inzake gegevensbescherming, met inbegrip van de beginselen van gegevensbescherming (nauwkeurigheid, minimalisering, billijkheid en transparantie) en gegevensbeveiliging (zoals de allernieuwste versleuteling). De vereisten voor gegevensbescherming by design en by default van Verordening (EU) 2016/679 moeten ten volle worden benut.

(52) Open source cyberbeveiligingsinstrumenten en -toepassingen kunnen bijdragen tot een grotere mate van openheid en kunnen een positief effect hebben op de efficiëntie van industriële innovatie. Open normen vergemakkelijken de interoperabiliteit tussen beveiligingsinstrumenten, wat de veiligheid van industriële belanghebbenden ten goede komt. Open-source cyberbeveiligingsinstrumenten en -toepassingen kunnen een hefboomwerking hebben op de bredere gemeenschap van ontwikkelaars, waardoor diversificatie van leveranciers mogelijk wordt. Open source kan leiden tot een transparanter verificatieproces van tools voor cyberbeveiliging en een gemeenschapsgestuurd proces voor het ontdekken van kwetsbaarheden.

De lidstaten zouden daarom het gebruik van openbronsoftware en open normen moeten kunnen bevorderen door beleid te voeren met betrekking tot het gebruik van open gegevens en openbronsoftware als onderdeel van veiligheid door transparantie. Beleidsmaatregelen ter bevordering van de invoering en het duurzame gebruik van open source-instrumenten voor cyberbeveiliging zijn met name van belang voor kleine en middelgrote ondernemingen die te maken hebben met aanzienlijke implementatiekosten, die tot een minimum kunnen worden beperkt door de behoefte aan specifieke toepassingen of instrumenten te verminderen.

(53) Nutsbedrijven worden steeds vaker aangesloten op digitale netwerken in steden om de stedelijke vervoersnetwerken te verbeteren, de watervoorziening en afvalverwijdering te verbeteren en de efficiëntie van de verlichting en verwarming van gebouwen te verhogen. Deze gedigitaliseerde nutsvoorzieningen zijn kwetsbaar voor cyberaanvallen en lopen het risico, in het geval van een succesvolle cyberaanval, dat burgers op grote schaal schade ondervinden van hun onderlinge verbondenheid. De lidstaten moeten een beleid ontwikkelen dat gericht is op de ontwikkeling van dergelijke verbonden of slimme steden en de mogelijke effecten daarvan op de samenleving, als onderdeel van hun nationale strategie voor cyberbeveiliging.

(54) De afgelopen jaren heeft de Unie te maken gehad met een exponentiële toename van het aantal aanvallen met ransomware, waarbij malware gegevens en systemen versleutelt en losgeld eist voor vrijgave. De toenemende frequentie en ernst van ransomware-aanvallen kan door verschillende factoren worden veroorzaakt, zoals verschillende aanvalspatronen, criminele bedrijfsmodellen rond "ransomware as a service" en cryptocurrencies, losgeldeisen en de opkomst van aanvallen in de toeleveringsketen. De lidstaten moeten een beleid ontwikkelen om de toename van ransomware-aanvallen aan te pakken als onderdeel van hun nationale cyberbeveiligingsstrategie.

(55) Publiek-private partnerschappen (PPP's) op het gebied van cyberbeveiliging kunnen een passend kader bieden voor de uitwisseling van kennis, het delen van beste praktijken en de totstandbrenging van een gemeenschappelijk begripsniveau onder belanghebbenden. De lidstaten dienen beleid te bevorderen dat de oprichting van cyberbeveiligingsspecifieke PPP's ondersteunt.

Dit beleid moet onder meer duidelijkheid verschaffen over het toepassingsgebied en de betrokken belanghebbenden, het governancemodel, de beschikbare financieringsopties en de interactie tussen de deelnemende belanghebbenden met betrekking tot PPP's. PPP's kunnen gebruikmaken van de expertise van entiteiten uit de particuliere sector om de bevoegde autoriteiten bij te staan bij de ontwikkeling van geavanceerde diensten en processen, waaronder informatie-uitwisseling, vroegtijdige waarschuwingen, oefeningen in cyberdreigingen en incidenten, crisisbeheer en veerkrachtplanning.

(56) De lidstaten dienen in hun nationale strategieën inzake cyberbeveiliging aandacht te besteden aan de specifieke behoeften van kleine en middelgrote ondernemingen op het gebied van cyberbeveiliging. Kleine en middelgrote ondernemingen vertegenwoordigen in de hele Unie een groot percentage van de industriële en zakelijke markt en hebben vaak moeite om zich aan te passen aan nieuwe bedrijfspraktijken in een wereld met meer verbindingen en aan de digitale omgeving, waarin werknemers thuiswerken en zaken steeds vaker online worden gedaan.

Sommige kleine en middelgrote ondernemingen hebben te maken met specifieke uitdagingen op het gebied van cyberbeveiliging, zoals een laag cyberbewustzijn, een gebrek aan IT-beveiliging op afstand, de hoge kosten van cyberbeveiligingsoplossingen en een verhoogd dreigingsniveau, zoals ransomware, waarvoor ze begeleiding en hulp zouden moeten krijgen. Kleine en middelgrote ondernemingen worden steeds vaker het doelwit van aanvallen op de toeleveringsketen vanwege hun minder rigoureuze maatregelen voor risicobeheer en aanvalsbeheer op het gebied van cyberbeveiliging en het feit dat ze over beperkte beveiligingsmiddelen beschikken.

Dergelijke aanvallen op de toeleveringsketen hebben niet alleen gevolgen voor kleine en middelgrote ondernemingen en hun activiteiten afzonderlijk, maar kunnen ook een cascade-effect hebben op grotere aanvallen op entiteiten waaraan zij leveringen hebben gedaan. De lidstaten moeten door middel van hun nationale cyberbeveiligingsstrategieën kleine en middelgrote ondernemingen helpen om de uitdagingen in hun toeleveringsketens aan te pakken.

De lidstaten dienen te beschikken over een contactpunt voor kleine en middelgrote ondernemingen op nationaal of regionaal niveau, dat begeleiding en bijstand biedt aan kleine en middelgrote ondernemingen of hen doorverwijst naar de juiste instanties voor begeleiding en bijstand met betrekking tot kwesties die verband houden met cyberbeveiliging. De lidstaten worden ook aangemoedigd om diensten zoals websiteconfiguratie en logging aan te bieden aan micro-ondernemingen en kleine bedrijven die niet over deze capaciteiten beschikken.

(57) Als onderdeel van hun nationale cyberbeveiligingsstrategieën dienen de lidstaten beleid vast te stellen ter bevordering van actieve cyberbescherming als onderdeel van een bredere defensieve strategie. In plaats van reactief te reageren, is actieve cyberbescherming het actief voorkomen, detecteren, monitoren, analyseren en beperken van inbreuken op de netwerkbeveiliging, in combinatie met het gebruik van capaciteiten binnen en buiten het slachtoffernetwerk.

Dit zou kunnen inhouden dat lidstaten gratis diensten of instrumenten aanbieden aan bepaalde entiteiten, waaronder zelfbedieningscontroles, detectie-instrumenten en takedown-diensten. Het vermogen om snel en automatisch bedreigingsinformatie en -analyses, waarschuwingen voor cyberactiviteiten en responsmaatregelen te delen en te begrijpen, is van cruciaal belang om een eenheid van inspanning mogelijk te maken bij het succesvol voorkomen, detecteren, aanpakken en blokkeren van aanvallen op netwerk- en informatiesystemen. Actieve cyberbescherming is gebaseerd op een defensieve strategie die offensieve maatregelen uitsluit.

(58) Aangezien de uitbuiting van kwetsbare plekken in netwerk- en informatiesystemen tot aanzienlijke verstoring en schade kan leiden, is het snel opsporen en verhelpen van dergelijke kwetsbaarheden een belangrijke factor om risico's te beperken. Entiteiten die netwerk- en informatiesystemen ontwikkelen of beheren, dienen daarom passende procedures op te stellen om kwetsbaarheden te behandelen wanneer deze worden ontdekt. Aangezien kwetsbaarheden vaak door derden worden ontdekt en bekendgemaakt, dient de fabrikant of leverancier van ICT-producten of ICT-diensten ook de nodige procedures in te stellen om informatie over kwetsbaarheden van derden te ontvangen.

In dit verband bieden de internationale normen ISO/IEC 30111 en ISO/IEC 29147 richtsnoeren voor de behandeling en bekendmaking van kwetsbaarheden. Versterking van de coördinatie tussen rapporterende natuurlijke en rechtspersonen en fabrikanten of leveranciers van ICT-producten of ICT-diensten is bijzonder belangrijk om het vrijwillige kader voor openbaarmaking van kwetsbaarheden te vergemakkelijken.

Gecoördineerde bekendmaking van kwetsbaarheden houdt een gestructureerd proces in waarbij kwetsbaarheden zodanig aan de fabrikant of leverancier van de mogelijk kwetsbare ICT-producten of ICT-diensten worden gemeld dat deze een diagnose kan stellen en de kwetsbaarheid kan verhelpen voordat gedetailleerde informatie over de kwetsbaarheid aan derden of het publiek wordt bekendgemaakt. Gecoördineerde bekendmaking van kwetsbaarheden moet ook coördinatie inhouden tussen de rapporterende natuurlijke of rechtspersoon en de fabrikant of leverancier van de mogelijk kwetsbare ICT-producten of ICT-diensten met betrekking tot het tijdstip waarop de kwetsbaarheden worden verholpen en bekendgemaakt.

(59) De Commissie, het ENISA en de lidstaten moeten de afstemming op internationale normen en bestaande beste praktijken in de sector op het gebied van risicobeheer van cyberbeveiliging blijven bevorderen, bijvoorbeeld op het gebied van veiligheidsbeoordelingen van de toeleveringsketen, informatiedeling en openbaarmaking van kwetsbaarheden.

(60) De lidstaten moeten, in samenwerking met ENISA, maatregelen nemen om de gecoördineerde openbaarmaking van kwetsbaarheden te vergemakkelijken door een relevant nationaal beleid vast te stellen. Als onderdeel van hun nationale beleid dienen de lidstaten ernaar te streven de uitdagingen waarmee onderzoekers van kwetsbaarheden worden geconfronteerd, met inbegrip van hun mogelijke blootstelling aan strafrechtelijke aansprakelijkheid, in overeenstemming met het nationale recht zoveel mogelijk aan te pakken. Aangezien natuurlijke en rechtspersonen die onderzoek naar kwetsbaarheden doen, in sommige lidstaten aan strafrechtelijke en burgerrechtelijke aansprakelijkheid kunnen worden blootgesteld, worden de lidstaten aangemoedigd richtsnoeren vast te stellen met betrekking tot de niet-vervolging van onderzoekers op het gebied van informatiebeveiliging en de vrijstelling van burgerrechtelijke aansprakelijkheid voor hun activiteiten.

(61) De lidstaten moeten een van hun CSIRT's als coördinator aanwijzen, die waar nodig optreedt als vertrouwde tussenpersoon tussen de rapporterende natuurlijke of rechtspersonen en de fabrikanten of leveranciers van ICT-producten of ICT-diensten die waarschijnlijk door de kwetsbaarheid worden getroffen.

De taken van het als coördinator aangewezen CSIRT moeten het identificeren en contacteren van de betrokken entiteiten, het bijstaan van de natuurlijke of rechtspersonen die een kwetsbaarheid melden, het onderhandelen over tijdschema's voor openbaarmaking en het beheren van kwetsbaarheden die gevolgen hebben voor meerdere entiteiten (gecoördineerde bekendmaking van kwetsbaarheden door meerdere partijen) omvatten. Wanneer de gemelde kwetsbaarheid aanzienlijke gevolgen kan hebben voor entiteiten in meer dan één lidstaat, moeten de als coördinator aangewezen CSIRT's in voorkomend geval binnen het CSIRT-netwerk samenwerken.

(62) Toegang tot correcte en tijdige informatie over zwakke plekken in ICT-producten en ICT-diensten draagt bij tot een beter risicobeheer inzake cyberbeveiliging. Bronnen van openbaar beschikbare informatie over kwetsbaarheden zijn een belangrijk instrument voor de entiteiten en voor de gebruikers van hun diensten, maar ook voor de bevoegde autoriteiten en de CSIRT's. Daarom dient ENISA een Europese database met kwetsbaarheden op te zetten waarin entiteiten, ongeacht of zij onder het toepassingsgebied van deze richtlijn vallen, en hun leveranciers van netwerk- en informatiesystemen, alsmede de bevoegde autoriteiten en de CSIRT's, op vrijwillige basis algemeen bekende kwetsbaarheden kunnen melden en registreren, zodat gebruikers passende risicobeperkende maatregelen kunnen nemen.

Het doel van die database is om de unieke uitdagingen aan te gaan die risico's voor entiteiten in de Unie met zich meebrengen. Bovendien moet ENISA een passende procedure vaststellen voor het publicatieproces, zodat entiteiten de tijd krijgen om risicobeperkende maatregelen te nemen met betrekking tot hun kwetsbaarheden en gebruik te maken van geavanceerde risicobeheersmaatregelen op het gebied van cyberbeveiliging en machineleesbare datasets en bijbehorende interfaces. Om een cultuur van openbaarmaking van kwetsbaarheden aan te moedigen, mag de openbaarmaking geen nadelige gevolgen hebben voor de rapporterende natuurlijke of rechtspersoon.

(63) Hoewel er soortgelijke registers of databanken met kwetsbaarheden bestaan, worden deze gehost en onderhouden door entiteiten die niet in de Unie zijn gevestigd. Een door het ENISA beheerde Europese database met kwetsbaarheden zou zorgen voor meer transparantie met betrekking tot het publicatieproces voordat de kwetsbaarheid openbaar wordt gemaakt, en voor veerkracht in het geval van een verstoring of onderbreking van de verlening van soortgelijke diensten.

Om dubbel werk zoveel mogelijk te vermijden en complementariteit na te streven, moet ENISA de mogelijkheid onderzoeken om gestructureerde samenwerkingsovereenkomsten aan te gaan met soortgelijke registers of databanken die onder de jurisdictie van derde landen vallen. ENISA moet met name nagaan of nauwe samenwerking mogelijk is met de beheerders van het systeem voor gemeenschappelijke kwetsbaarheden en blootstellingen (Common Vulnerabilities and Exposures - CVE).

(64) De samenwerkingsgroep moet de strategische samenwerking en de uitwisseling van informatie ondersteunen en vergemakkelijken en het vertrouwen tussen de lidstaten versterken. De samenwerkingsgroep moet om de twee jaar een werkprogramma opstellen. Het werkprogramma moet de maatregelen omvatten die de samenwerkingsgroep moet nemen om zijn doelstellingen en taken uit te voeren. Het tijdschema voor de vaststelling van het eerste werkprogramma in het kader van deze richtlijn moet worden afgestemd op het tijdschema van het laatste werkprogramma dat is vastgesteld in het kader van Richtlijn (EU) 2016/1148 om mogelijke verstoringen van de werkzaamheden van de samenwerkingsgroep te voorkomen.

(65) Bij het opstellen van richtsnoeren dient de samenwerkingsgroep consequent de nationale oplossingen en ervaringen in kaart te brengen, het effect van de resultaten van de samenwerkingsgroep op de nationale benaderingen te beoordelen, de uitdagingen bij de tenuitvoerlegging te bespreken en specifieke aanbevelingen te formuleren, met name wat betreft het vergemakkelijken van de onderlinge afstemming van de omzetting van deze richtlijn in de lidstaten, die moet worden aangepakt door een betere tenuitvoerlegging van de bestaande regels. De samenwerkingsgroep zou ook de nationale oplossingen in kaart kunnen brengen om de compatibiliteit van cyberbeveiligingsoplossingen voor elke specifieke sector in de hele Unie te bevorderen. Dit is met name relevant voor sectoren met een internationaal of grensoverschrijdend karakter.

(66) De samenwerkingsgroep moet een flexibel forum blijven dat kan reageren op veranderende en nieuwe beleidsprioriteiten en -uitdagingen, rekening houdend met de beschikbaarheid van middelen. De samenwerkingsgroep zou regelmatig gezamenlijke vergaderingen kunnen organiseren met relevante particuliere belanghebbenden uit de hele Unie om de activiteiten van de samenwerkingsgroep te bespreken en gegevens en input te verzamelen over nieuwe beleidsuitdagingen. Daarnaast zou de samenwerkingsgroep regelmatig een beoordeling moeten uitvoeren van de stand van zaken met betrekking tot cyberdreigingen of -incidenten, zoals ransomware.

Om de samenwerking op het niveau van de Unie te verbeteren, dient de samenwerkingsgroep te overwegen de relevante instellingen, organen, bureaus en agentschappen van de Unie die betrokken zijn bij het cyberbeveiligingsbeleid, zoals het Europees Parlement, Europol, de Europese Raad voor gegevensbescherming, het Europees Agentschap voor de veiligheid van de luchtvaart, opgericht bij Verordening (EU) 2018/1139, en het Europees Agentschap voor ruimtevaartprogramma's, opgericht bij Verordening (EU) 2021/696 van het Europees Parlement en de Raad (14 ), uit te nodigen om deel te nemen aan de werkzaamheden van de groep.

(67) De bevoegde autoriteiten en de CSIRT's moeten kunnen deelnemen aan uitwisselingsprogramma's voor ambtenaren uit andere lidstaten, binnen een specifiek kader en, indien van toepassing, afhankelijk van de vereiste veiligheidsmachtiging van de ambtenaren die aan dergelijke uitwisselingsprogramma's deelnemen, teneinde de samenwerking te verbeteren en het vertrouwen tussen de lidstaten te versterken. De bevoegde autoriteiten moeten de nodige maatregelen nemen om ambtenaren van andere lidstaten in staat te stellen een effectieve rol te spelen in de activiteiten van de bevoegde autoriteit van de ontvangende lidstaat of het ontvangende CSIRT.

(68) De lidstaten dienen bij te dragen tot de vaststelling van het EU-kader voor crisisrespons op het gebied van cyberbeveiliging, zoals uiteengezet in Aanbeveling (EU) 2017/1584 van de Commissie (15 ), via de bestaande samenwerkingsnetwerken, met name het Europees netwerk van verbindingsorganen voor cybercrises (EU-CyCLONe), het CSIRTs-netwerk en de samenwerkingsgroep. EU-CyCLONe en het CSIRTs-netwerk moeten samenwerken op basis van procedurele regelingen waarin de details van die samenwerking worden gespecificeerd en overlapping van taken wordt vermeden.

In het reglement van orde van EU-CyCLONe moeten de regelingen voor het functioneren van dat netwerk nader worden gespecificeerd, met inbegrip van de taken van het netwerk, de wijze van samenwerking, interacties met andere relevante actoren en modellen voor informatie-uitwisseling, alsmede communicatiemiddelen. Voor crisisbeheersing op het niveau van de Unie dienen de betrokken partijen zich te baseren op de EU-regelingen voor geïntegreerde politieke crisisrespons in het kader van Uitvoeringsbesluit (EU) 2018/1993 van de Raad (16 ) (IPCR-regelingen). De Commissie dient daartoe gebruik te maken van het sectoroverschrijdende crisiscoördinatieproces ARGUS op hoog niveau. Als de crisis een belangrijke externe dimensie of een dimensie van het gemeenschappelijk veiligheids- en defensiebeleid heeft, moet het crisisresponsmechanisme van de Europese Dienst voor extern optreden in werking worden gesteld.

(69) Overeenkomstig de bijlage bij Aanbeveling (EU) 2017/1584 dient onder een grootschalig cyberbeveiligingsincident te worden verstaan een incident dat een mate van verstoring veroorzaakt die de capaciteit van een lidstaat om erop te reageren overstijgt of dat een aanzienlijke impact heeft op ten minste twee lidstaten. Afhankelijk van de oorzaak en de impact kunnen grootschalige cyberbeveiligingsincidenten escaleren en uitgroeien tot volwaardige crises die de goede werking van de interne markt niet mogelijk maken of ernstige risico's voor de openbare veiligheid en beveiliging opleveren voor entiteiten of burgers in meerdere lidstaten of de Unie als geheel.

Gezien de brede reikwijdte en, in de meeste gevallen, de grensoverschrijdende aard van dergelijke incidenten, moeten de lidstaten en de betrokken instellingen, organen, bureaus en agentschappen van de Unie op technisch, operationeel en politiek niveau samenwerken om de respons in de hele Unie naar behoren te coördineren.

(70) Grootschalige incidenten en crises op het gebied van cyberbeveiliging op het niveau van de Unie vereisen gecoördineerde actie om een snelle en effectieve respons te waarborgen vanwege de hoge mate van onderlinge afhankelijkheid tussen sectoren en lidstaten. De beschikbaarheid van cyberbestendige netwerk- en informatiesystemen en de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens zijn van vitaal belang voor de veiligheid van de Unie en voor de bescherming van haar burgers, bedrijven en instellingen tegen incidenten en cyberdreigingen, alsook voor het vergroten van het vertrouwen van personen en organisaties in het vermogen van de Unie om een mondiale, open, vrije, stabiele en veilige cyberspace te bevorderen en te beschermen die is gebaseerd op mensenrechten, fundamentele vrijheden, democratie en de rechtsstaat.

(71) EU-CyCLONe dient tijdens grootschalige incidenten en crises op het gebied van cyberbeveiliging te fungeren als intermediair tussen het technische en politieke niveau, de samenwerking op operationeel niveau te versterken en de besluitvorming op politiek niveau te ondersteunen. In samenwerking met de Commissie moet EU-CyCLONe, gelet op de bevoegdheid van de Commissie op het gebied van crisisbeheer, voortbouwen op de bevindingen van het CSIRT-netwerk en gebruikmaken van zijn eigen capaciteiten om impactanalyses van grootschalige incidenten en crises op het gebied van cyberbeveiliging te maken.

(72) Cyberaanvallen hebben een grensoverschrijdend karakter en een ernstig incident kan kritieke informatie-infrastructuren, waarvan de soepele werking van de interne markt afhankelijk is, verstoren en beschadigen. Aanbeveling (EU) 2017/1584 gaat in op de rol van alle relevante actoren. Voorts is de Commissie in het kader van het EU-mechanisme voor civiele bescherming, dat is ingesteld bij Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad, verantwoordelijk voor algemene paraatheidsacties, waaronder het beheer van het coördinatiecentrum voor respons in noodsituaties en het gemeenschappelijk noodcommunicatie- en informatiesysteem, de instandhouding en verdere ontwikkeling van het situationeel bewustzijn en de analysecapaciteit, en de instelling en het beheer van de capaciteit om deskundigenteams in te zetten en uit te zenden in geval van een verzoek om bijstand van een lidstaat of een derde land.

De Commissie is ook verantwoordelijk voor het verstrekken van analytische verslagen voor de IPCR-regelingen krachtens Uitvoeringsbesluit (EU) 2018/1993, onder meer met betrekking tot omgevingsbewustzijn en paraatheid op het gebied van cyberbeveiliging, alsook voor omgevingsbewustzijn en crisisrespons op het gebied van landbouw, slechte weersomstandigheden, conflictkartering en -voorspellingen, systemen voor vroegtijdige waarschuwing voor natuurrampen, noodsituaties op gezondheidsgebied, toezicht op infectieziekten, gezondheid van planten, chemische incidenten, voedsel- en voederveiligheid, diergezondheid, migratie, douane, nucleaire en radiologische noodsituaties en energie.

(73) De Unie kan in voorkomend geval overeenkomstig artikel 218 VWEU internationale overeenkomsten sluiten met derde landen of internationale organisaties om hun deelname aan bepaalde activiteiten van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe mogelijk te maken en te organiseren. Dergelijke overeenkomsten moeten de belangen van de Unie en een adequate gegevensbescherming waarborgen. Dit mag geen belemmering vormen voor het recht van de lidstaten om met derde landen samen te werken op het gebied van kwetsbaarhedenbeheer en risicobeheer inzake cyberbeveiliging, het faciliteren van rapportage en het delen van algemene informatie overeenkomstig de wetgeving van de Unie.

(74) Teneinde de doeltreffende tenuitvoerlegging van deze richtlijn te vergemakkelijken met betrekking tot onder meer het beheer van zwakke plekken, risicobeheersmaatregelen inzake cyberbeveiliging, rapportageverplichtingen en regelingen voor het delen van informatie over cyberbeveiliging, kunnen de lidstaten samenwerken met derde landen en activiteiten ondernemen die daartoe geschikt worden geacht, met inbegrip van informatie-uitwisseling over cyberdreigingen, incidenten, zwakke plekken, instrumenten en methoden, tactieken, technieken en procedures, paraatheid voor en oefeningen in crisisbeheer inzake cyberbeveiliging, opleiding, het opbouwen van vertrouwen en gestructureerde regelingen voor informatie-uitwisseling.

(75) Collegiale toetsingen moeten worden ingevoerd om te leren van gedeelde ervaringen, het wederzijds vertrouwen te versterken en een hoog gemeenschappelijk niveau van cyberbeveiliging te bereiken. Collegiale toetsingen kunnen leiden tot waardevolle inzichten en aanbevelingen die de algemene cyberbeveiligingscapaciteiten versterken, een ander functioneel pad creëren voor de uitwisseling van beste praktijken tussen de lidstaten en bijdragen tot het verhogen van het niveau van volwassenheid van de lidstaten op het gebied van cyberbeveiliging. Voorts moet bij collegiale toetsingen rekening worden gehouden met de resultaten van soortgelijke mechanismen, zoals het systeem van collegiale toetsing van het CSIRT-netwerk, en moet dit systeem toegevoegde waarde bieden en overlapping voorkomen. De uitvoering van collegiale toetsingen mag geen afbreuk doen aan de wetgeving van de Unie of de lidstaten inzake de bescherming van vertrouwelijke of gerubriceerde informatie.

(76) De samenwerkingsgroep dient een methode voor zelfbeoordeling van de lidstaten vast te stellen, die betrekking heeft op factoren als het niveau van uitvoering van de risicobeheersmaatregelen voor cyberbeveiliging en de rapportageverplichtingen, het niveau van de capaciteiten en de doeltreffendheid van de uitoefening van de taken van de bevoegde autoriteiten, de operationele capaciteiten van de CSIRT's, het niveau van uitvoering van wederzijdse bijstand, het niveau van uitvoering van de regelingen voor informatie-uitwisseling op het gebied van cyberbeveiliging, of specifieke kwesties van grensoverschrijdende of sectoroverschrijdende aard. De lidstaten moeten worden aangemoedigd regelmatig zelfevaluaties uit te voeren en de resultaten daarvan in de samenwerkingsgroep te presenteren en te bespreken.

(77) De verantwoordelijkheid voor het waarborgen van de beveiliging van netwerk- en informatiesystemen ligt voor een groot deel bij essentiële en belangrijke entiteiten. Er moet een cultuur van risicobeheer worden bevorderd en ontwikkeld, die risicobeoordelingen en de uitvoering van risicobeheersmaatregelen op het gebied van cyberbeveiliging omvat die zijn afgestemd op de risico's waarmee zij worden geconfronteerd.

(78) Bij risicobeheermaatregelen op het gebied van cyberbeveiliging moet rekening worden gehouden met de mate waarin de essentiële of belangrijke entiteit afhankelijk is van netwerk- en informatiesystemen en moeten maatregelen worden genomen om het risico op incidenten vast te stellen, incidenten te voorkomen, op te sporen, erop te reageren en ervan te herstellen, en de gevolgen ervan te beperken. De beveiliging van netwerk- en informatiesystemen moet ook de beveiliging van opgeslagen, verzonden en verwerkte gegevens omvatten. Maatregelen voor risicobeheer op het gebied van cyberbeveiliging moeten voorzien in een systemische analyse, waarbij rekening wordt gehouden met de menselijke factor, zodat een volledig beeld ontstaat van de beveiliging van het netwerk en het informatiesysteem.

(79) Aangezien bedreigingen voor de veiligheid van netwerk- en informatiesystemen verschillende oorzaken kunnen hebben, moeten risicobeheersmaatregelen op het gebied van cyberbeveiliging worden gebaseerd op een alle risico's omvattende aanpak, die erop is gericht netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen gebeurtenissen als diefstal, brand, overstroming, telecommunicatiestoringen of stroomuitval, of ongeoorloofde fysieke toegang tot en schade aan, of verstoring van, de informatie en informatieverwerkingsfaciliteiten van een essentiële of belangrijke entiteit, waardoor de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen in gevaar kunnen worden gebracht.

De risicobeheermaatregelen op het gebied van cyberbeveiliging moeten daarom ook betrekking hebben op de fysieke en omgevingsbeveiliging van netwerk- en informatiesystemen, met inbegrip van maatregelen om dergelijke systemen te beschermen tegen systeemstoringen, menselijke fouten, kwaadwillige handelingen of natuurverschijnselen, in overeenstemming met Europese en internationale normen, zoals die van de ISO/IEC 27000-reeks. In dat verband moeten essentiële en belangrijke entiteiten, als onderdeel van hun risicobeheermaatregelen op het gebied van cyberbeveiliging, ook aandacht besteden aan de beveiliging van personeel en een passend toegangscontrolebeleid voeren. Deze maatregelen moeten in overeenstemming zijn met Richtlijn (EU) 2022/2557.

(80) Om aan te tonen dat de risicobeheersmaatregelen op het gebied van cyberbeveiliging worden nageleefd en bij gebrek aan passende Europese certificeringsregelingen op het gebied van cyberbeveiliging die zijn vastgesteld overeenkomstig Verordening (EU) 2019/881 van het Europees Parlement en de Raad (18 ), dienen de lidstaten, in overleg met de samenwerkingsgroep en de Europese Groep voor certificering van cyberbeveiliging, het gebruik van relevante Europese en internationale normen door essentiële en belangrijke entiteiten te bevorderen of kunnen zij entiteiten verplichten gecertificeerde ICT-producten, ICT-diensten en ICT-processen te gebruiken.

---

(81) Om te voorkomen dat essentiële en belangrijke entiteiten een onevenredige financiële en administratieve last wordt opgelegd, moeten de risicobeheersmaatregelen op het gebied van cyberbeveiliging evenredig zijn aan de risico's voor het netwerk en het informatiesysteem in kwestie, rekening houdend met de stand van de techniek van dergelijke maatregelen en, indien van toepassing, de relevante Europese en internationale normen, alsook met de kosten voor de uitvoering ervan.

(82) De maatregelen voor risicobeheer op het gebied van cyberbeveiliging moeten in verhouding staan tot de mate waarin de essentiële of belangrijke entiteit is blootgesteld aan risico's en tot de maatschappelijke en economische gevolgen die een incident zou hebben. Bij het vaststellen van risicobeheersmaatregelen op het gebied van cyberbeveiliging die aangepast zijn aan essentiële en belangrijke entiteiten, moet terdege rekening worden gehouden met de uiteenlopende risicoblootstelling van essentiële en belangrijke entiteiten, zoals het kritieke karakter van de entiteit, de risico's, waaronder maatschappelijke risico's, waaraan zij is blootgesteld, de omvang van de entiteit en de waarschijnlijkheid dat incidenten zich voordoen en de ernst ervan, waaronder de maatschappelijke en economische gevolgen.

(83) Essentiële en belangrijke entiteiten moeten zorgen voor de beveiliging van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken. Die systemen zijn in de eerste plaats particuliere netwerk- en informatiesystemen die door het interne IT-personeel van de essentiële en belangrijke entiteiten worden beheerd of waarvan de beveiliging is uitbesteed. De in deze richtlijn vastgestelde risicobeheersmaatregelen en rapportageverplichtingen op het gebied van cyberbeveiliging moeten van toepassing zijn op de relevante essentiële en belangrijke entiteiten, ongeacht of deze hun netwerk- en informatiesystemen intern onderhouden of het onderhoud ervan uitbesteden.

(84) Rekening houdend met hun grensoverschrijdende aard, DNS-dienstverleners, TLD-naamregisters, aanbieders van cloud computing-diensten, aanbieders van datacenterdiensten, content delivery netwerkNetwerk voor inhoudsoverdracht Een netwerk van geografisch gedistribueerde servers om namens aanbieders van inhoud en diensten te zorgen voor een hoge beschikbaarheid, toegankelijkheid of snelle levering van digitale inhoud en diensten aan internetgebruikers. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders, verleners van beheerde diensten, verleners van beheerde beveiligingsdiensten, aanbieders van online marktplaatsen, online zoekmachines en platforms voor sociale netwerkdiensten, en verleners van vertrouwensdiensten moeten in hoge mate op Unieniveau worden geharmoniseerd. De uitvoering van risicobeheersmaatregelen op het gebied van cyberbeveiliging met betrekking tot die entiteiten moet daarom worden vergemakkelijkt door een uitvoeringshandeling.

(85) Het aanpakken van risico's die voortvloeien uit de toeleveringsketen van een entiteit en haar relatie met haar leveranciers, zoals leveranciers van gegevensopslag- en verwerkingsdiensten of leveranciers van beheerde beveiligingsdiensten en software-editors, is met name belangrijk gezien de prevalentie van incidenten waarbij entiteiten het slachtoffer zijn geworden van cyberaanvallen en waarbij kwaadwillende daders de beveiliging van het netwerk en de informatiesystemen van een entiteit in gevaar konden brengen door misbruik te maken van kwetsbaarheden die van invloed waren op producten en diensten van derden.

Essentiële en belangrijke entiteiten moeten daarom de algehele kwaliteit en veerkracht van producten en diensten, de maatregelen voor risicobeheer op het gebied van cyberbeveiliging die daarin zijn opgenomen en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, met inbegrip van hun veilige ontwikkelingsprocedures, beoordelen en er rekening mee houden. Essentiële en belangrijke entiteiten moeten in het bijzonder worden aangemoedigd om risicobeheersmaatregelen voor cyberbeveiliging op te nemen in contractuele regelingen met hun directe leveranciers en dienstverleners. Deze entiteiten zouden rekening kunnen houden met risico's die voortvloeien uit andere niveaus van leveranciers en dienstverleners.

(86) Van de dienstverleners spelen aanbieders van beheerde beveiligingsdiensten op gebieden als reactie op incidenten, penetratietests, beveiligingsaudits en consultancy een bijzonder belangrijke rol bij het ondersteunen van entiteiten bij hun inspanningen om incidenten te voorkomen, op te sporen, erop te reageren of ervan te herstellen. Aanbieders van beheerde beveiligingsdiensten zijn echter ook zelf het doelwit geweest van cyberaanvallen en vormen, vanwege hun nauwe integratie in de activiteiten van entiteiten, een bijzonder risico. Essentiële en belangrijke entiteiten moeten daarom verhoogde zorgvuldigheid betrachten bij het selecteren van een leverancier van beheerde beveiligingsdienstenBeheerde aanbieder van beveiligingsdiensten Een beheerde dienstverlener die activiteiten met betrekking tot risicobeheer op het gebied van cyberbeveiliging uitvoert of daarvoor bijstand verleent. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn).

(87) De bevoegde autoriteiten kunnen in het kader van hun toezichthoudende taken ook gebruikmaken van diensten op het gebied van cyberbeveiliging, zoals beveiligingsaudits, penetratietests of reacties op incidenten.

(88) Essentiële en belangrijke entiteiten moeten ook aandacht besteden aan risico's die voortvloeien uit hun interacties en relaties met andere belanghebbenden binnen een breder ecosysteem, onder meer met betrekking tot het tegengaan van industriële spionage en het beschermen van handelsgeheimen.

Deze entiteiten moeten met name passende maatregelen nemen om ervoor te zorgen dat hun samenwerking met academische en onderzoeksinstellingen plaatsvindt in overeenstemming met hun cyberbeveiligingsbeleid en goede praktijken volgt met betrekking tot veilige toegang tot en verspreiding van informatie in het algemeen en de bescherming van intellectuele eigendom in het bijzonder. Gezien het belang en de waarde van gegevens voor de activiteiten van essentiële en belangrijke entiteiten, moeten deze entiteiten, wanneer zij vertrouwen op gegevenstransformatie en gegevensanalysediensten van derden, alle passende risicobeheersmaatregelen op het gebied van cyberbeveiliging nemen.

(89) Essentiële en belangrijke entiteiten moeten een breed scala aan basale cyberhygiënepraktijken invoeren, zoals zero-trustprincipes, software-updates, apparaatconfiguratie, netwerksegmentatie, identiteits- en toegangsbeheer of gebruikersbewustzijn, opleidingen organiseren voor hun personeel en hun bewustzijn vergroten met betrekking tot cyberdreigingen, phishing of social engineeringtechnieken. Bovendien moeten deze entiteiten hun eigen cyberbeveiligingscapaciteiten evalueren en, waar nodig, streven naar de integratie van technologieën die de cyberbeveiliging verbeteren, zoals kunstmatige intelligentie of systemen voor machinaal leren om hun capaciteiten en de beveiliging van netwerk- en informatiesystemen te verbeteren.

(90) Om de belangrijkste risico's voor de toeleveringsketen verder aan te pakken en essentiële en belangrijke entiteiten die actief zijn in sectoren die onder deze richtlijn vallen, te helpen de risico's in verband met de toeleveringsketen en leveranciers op passende wijze te beheren, moet de samenwerkingsgroep, in samenwerking met de Commissie en het ENISA, en waar nodig na raadpleging van relevante belanghebbenden, waaronder belanghebbenden uit de sector, gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens uitvoeren, zoals uitgevoerd voor 5G-netwerken overeenkomstig Aanbeveling (EU) 2019/534 van de Commissie, met als doel per sector de kritieke ICT-diensten, ICT-systemen of ICT-producten, relevante bedreigingen en kwetsbaarheden vast te stellen.

Dergelijke gecoördineerde beoordelingen van veiligheidsrisico's moeten maatregelen, risicobeperkingsplannen en beste praktijken vaststellen om kritieke afhankelijkheden, potentiële zwakke punten, bedreigingen, kwetsbaarheden en andere risico's in verband met de bevoorradingsketen tegen te gaan en moeten nagaan hoe een bredere toepassing ervan door essentiële en belangrijke entiteiten kan worden aangemoedigd. Potentiële niet-technische risicofactoren, zoals ongepaste invloed door een derde land op leveranciers en dienstverleners, met name in het geval van alternatieve governancemodellen, omvatten verborgen kwetsbaarheden of achterdeurtjes en potentiële systemische verstoringen van de voorziening, met name in het geval van technologische lock-in of afhankelijkheid van leveranciers.

(91) Bij de gecoördineerde veiligheidsrisicobeoordelingen van kritieke toeleveringsketens moet, in het licht van de kenmerken van de betrokken sector, rekening worden gehouden met zowel technische als, voor zover relevant, niet-technische factoren, waaronder de factoren die zijn omschreven in Aanbeveling (EU) 2019/534, in de gecoördineerde risicobeoordeling van de EU inzake de cyberbeveiliging van 5G-netwerken en in de EU-toolbox inzake 5G-cyberbeveiliging waarover de samenwerkingsgroep overeenstemming heeft bereikt.

Om te bepalen welke bevoorradingsketens aan een gecoördineerde veiligheidsrisicobeoordeling moeten worden onderworpen, moet rekening worden gehouden met de volgende criteria:

(i) de mate waarin essentiële en belangrijke entiteiten gebruikmaken van en vertrouwen op specifieke kritieke ICT-diensten, ICT-systemen of ICT-producten;

(ii) de relevantie van specifieke kritieke ICT-diensten, ICT-systemen of ICT-producten voor het uitvoeren van kritieke of gevoelige functies, waaronder de verwerking van persoonsgegevens;

(iii) de beschikbaarheid van alternatieve ICT-diensten, ICT-systemen of ICT-producten;

(iv) de veerkracht van de gehele toeleveringsketen van ICT-diensten, ICT-systemen of ICT-producten gedurende hun gehele levenscyclus bij verstorende gebeurtenissen; en

(v) voor opkomende ICT-diensten, ICT-systemen of ICT-producten, hun potentiële toekomstige betekenis voor de activiteiten van de entiteiten.

Bovendien moet bijzondere nadruk worden gelegd op ICT-diensten, ICT-systemen of ICT-producten die onderworpen zijn aan specifieke eisen van derde landen.

(92) Om de verplichtingen te stroomlijnen die worden opgelegd aan aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten, en aanbieders van vertrouwensdiensten, met betrekking tot de beveiliging van hun netwerk- en informatiesystemen, en om deze entiteiten en de bevoegde autoriteiten in het kader van respectievelijk Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad en Verordening (EU) nr. 910/2014 in staat te stellen te profiteren van het bij deze richtlijn ingestelde rechtskader, met inbegrip van de aanwijzing van een CSIRT dat verantwoordelijk is voor incidentenafhandeling, de deelname van de betrokken bevoegde autoriteiten aan de activiteiten van de samenwerkingsgroep en het CSIRT-netwerk, moeten deze entiteiten onder het toepassingsgebied van deze richtlijn vallen.

De overeenkomstige bepalingen in Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 met betrekking tot het opleggen van beveiligings- en meldingsverplichtingen aan deze soorten entiteiten moeten daarom worden geschrapt. De in deze richtlijn vastgestelde regels inzake meldingsverplichtingen mogen geen afbreuk doen aan Verordening (EU) 2016/679 en Richtlijn 2002/58/EG.

(93) De in deze richtlijn vastgestelde cyberbeveiligingsverplichtingen moeten worden beschouwd als een aanvulling op de vereisten die krachtens Verordening (EU) nr. 910/2014 aan aanbieders van vertrouwensdiensten worden opgelegd. Van aanbieders van vertrouwensdiensten moet worden verlangd dat zij alle passende en evenredige maatregelen nemen om de aan hun diensten verbonden risico's te beheren, ook ten aanzien van cliënten en derden die een beroep op hen doen, en dat zij incidenten in het kader van deze richtlijn melden. Dergelijke cyberbeveiligings- en meldingsverplichtingen moeten ook betrekking hebben op de fysieke bescherming van de verleende diensten. De vereisten voor gekwalificeerde vertrouwensdienstGekwalificeerde vertrouwensdienst Betekent een vertrouwensdienst die voldoet aan de toepasselijke vereisten van deze verordening. - Definitie overeenkomstig artikel 3, punt 17, van Verordening (EU) nr. 910/2014 aanbieders die zijn vastgelegd in artikel 24 van Verordening (EU) nr. 910/2014 blijven van toepassing.

(94) De lidstaten kunnen de rol van de bevoegde autoriteiten voor vertrouwensdiensten toewijzen aan de toezichthoudende instanties in het kader van Verordening (EU) nr. 910/2014 teneinde de voortzetting van de huidige praktijken te garanderen en voort te bouwen op de kennis en ervaring die is opgedaan bij de toepassing van die verordening. In dat geval dienen de in het kader van deze richtlijn bevoegde autoriteiten nauw en tijdig samen te werken met die toezichthoudende instanties door relevante informatie uit te wisselen, teneinde te zorgen voor een doeltreffend toezicht op en de naleving door verleners van vertrouwensdiensten van de in deze richtlijn en in Verordening (EU) nr. 910/2014 gestelde eisen.

Indien van toepassing moet het CSIRT of de bevoegde autoriteit in het kader van deze richtlijn het toezichthoudend orgaan in het kader van Verordening (EU) nr. 910/2014 onmiddellijk op de hoogte brengen van alle gemelde belangrijke cyberdreigingAanzienlijke cyberdreiging Een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat ze een ernstige impact kan hebben op het netwerk en de informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door aanzienlijke materiële of immateriële schade te veroorzaken. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) of incident dat van invloed is op vertrouwensdiensten en over eventuele inbreuken door een verlener van vertrouwensdienstenDienstverlener vertrouwen Een natuurlijke of rechtspersoon die een of meer trustdiensten verleent als gekwalificeerde of als niet-gekwalificeerde verlener van trustdiensten - Definitie overeenkomstig artikel 3, punt 19, van Verordening (EU) nr. 910/2014 van deze richtlijn. Met het oog op de melding kunnen de lidstaten, indien van toepassing, gebruikmaken van het centrale toegangspunt dat is ingesteld om een gemeenschappelijke en automatische melding van incidenten aan zowel de toezichthoudende instantie uit hoofde van Verordening (EU) nr. 910/2014 als het CSIRT of de bevoegde autoriteit uit hoofde van deze richtlijn tot stand te brengen.

(95) In voorkomend geval en om onnodige verstoring te voorkomen, moet bij de omzetting van deze richtlijn rekening worden gehouden met bestaande nationale richtsnoeren die zijn vastgesteld voor de omzetting van de in de artikelen 40 en 41 van Richtlijn (EU) 2018/1972 neergelegde voorschriften met betrekking tot veiligheidsmaatregelen, waarbij wordt voortgebouwd op de kennis en vaardigheden die reeds zijn verworven in het kader van Richtlijn (EU) 2018/1972 betreffende veiligheidsmaatregelen en kennisgevingen van incidenten.

ENISA kan ook richtsnoeren ontwikkelen over beveiligingseisen en rapportageverplichtingen voor aanbieders van openbare elektronischecommunicatienetwerken of -diensten om de harmonisatie en overgang te vergemakkelijken en verstoringen tot een minimum te beperken. De lidstaten kunnen de rol van de bevoegde instanties voor elektronische communicatie toewijzen aan de nationale regelgevende instanties in het kader van Richtlijn (EU) 2018/1972 om de voortzetting van de huidige praktijken te waarborgen en voort te bouwen op de kennis en ervaring die is opgedaan bij de tenuitvoerlegging van die richtlijn.

(96) Gezien het toenemende belang van nummeronafhankelijke interpersoonlijke communicatiediensten, zoals gedefinieerd in Richtlijn (EU) 2018/1972, moet ervoor worden gezorgd dat dergelijke diensten ook worden onderworpen aan passende beveiligingseisen met het oog op hun specifieke aard en economisch belang. Aangezien het aanvalsoppervlak zich blijft uitbreiden, worden nummeronafhankelijke interpersoonlijke communicatiediensten, zoals berichtendiensten, wijdverspreide aanvalsvectoren.

Kwaadwillende daders maken gebruik van platforms om te communiceren en slachtoffers aan te trekken om gecompromitteerde webpagina's te openen, waardoor de kans op incidenten met misbruik van persoonsgegevens toeneemt en daarmee ook de beveiliging van netwerk- en informatiesystemen. Aanbieders van nummeronafhankelijke interpersoonlijke communicatiediensten moeten zorgen voor een beveiligingsniveau van netwerk- en informatiesystemen dat past bij de risico's die ze lopen.

Aangezien aanbieders van nummeronafhankelijke interpersoonlijke communicatiediensten doorgaans geen feitelijke controle uitoefenen over de transmissie van signalen via netwerken, kan de omvang van de risico's voor dergelijke diensten in sommige opzichten als lager worden beschouwd dan voor traditionele elektronische communicatiediensten. Hetzelfde geldt voor interpersoonlijke communicatiediensten zoals gedefinieerd in Richtlijn (EU) 2018/1972 waarbij gebruik wordt gemaakt van nummers en geen feitelijke controle over de signaaloverdracht wordt uitgeoefend.

(97) De interne markt is meer dan ooit afhankelijk van de werking van het internet. De diensten van bijna alle essentiële en belangrijke entiteiten zijn afhankelijk van diensten die via het internet worden geleverd. Om de vlotte verlening van diensten door belangrijke en essentiële entiteiten te garanderen, is het belangrijk dat alle aanbieders van openbare elektronischecommunicatienetwerken passende risicobeheersmaatregelen op het gebied van cyberbeveiliging nemen en belangrijke incidenten in verband daarmee melden.

De lidstaten moeten ervoor zorgen dat de veiligheid van de openbare elektronische-communicatienetwerken wordt gehandhaafd en dat hun vitale veiligheidsbelangen worden beschermd tegen sabotage en spionage. Aangezien internationale connectiviteit de concurrerende digitalisering van de Unie en haar economie versterkt en versnelt, moeten incidenten met onderzeese communicatiekabels worden gemeld aan het CSIRT of, indien van toepassing, de bevoegde autoriteit. De nationale cyberbeveiligingsstrategie moet, voor zover relevant, rekening houden met de cyberbeveiliging van onderzeese communicatiekabels en een overzicht bevatten van potentiële cyberbeveiligingsrisico's en risicobeperkende maatregelen om het hoogste niveau van bescherming van die kabels te waarborgen.

(98) Om de veiligheid van openbare elektronische communicatienetwerken en algemeen beschikbare elektronische communicatiediensten te waarborgen, moet het gebruik van encryptietechnologieën, met name end-to-endencryptie, alsmede datacentrische beveiligingsconcepten, zoals cartografie, segmentering, tagging, toegangsbeleid en toegangsbeheer en geautomatiseerde toegangsbeslissingen, worden bevorderd. Waar nodig moet het gebruik van encryptie, in het bijzonder end-to-endencryptie, verplicht worden gesteld voor aanbieders van openbare elektronischecommunicatienetwerken of van algemeen beschikbare elektronischecommunicatiediensten overeenkomstig de beginselen van veiligheid en privacy by default en by design voor de toepassing van deze richtlijn.

Het gebruik van end-to-endencryptie moet in overeenstemming worden gebracht met de bevoegdheden van de lidstaten om te zorgen voor de bescherming van hun wezenlijke veiligheidsbelangen en openbare veiligheid, en om het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten mogelijk te maken overeenkomstig het recht van de Unie. Dit mag echter niet leiden tot een verzwakking van end-to-endencryptie, een cruciale technologie voor de effectieve bescherming van gegevens en privacy en de beveiliging van communicatie.

(99) Om de veiligheid te waarborgen en misbruik en manipulatie van openbare elektronische-communicatienetwerken en van algemeen beschikbare elektronische-communicatiediensten te voorkomen, moet het gebruik van veilige routeringsnormen worden bevorderd om te zorgen voor de integriteit en robuustheid van routeringsfuncties in het hele ecosysteem van aanbieders van internettoegangsdiensten.

(100) Teneinde de functionaliteit en integriteit van het internet te vrijwaren en de veiligheid en veerkracht van het DNS te bevorderen, moeten relevante belanghebbenden, met inbegrip van privaatrechtelijke entiteiten van de Unie, aanbieders van openbare elektronischecommunicatiediensten, met name aanbieders van internettoegangsdiensten, en aanbieders van onlinezoekmachines, worden aangemoedigd om een DNS-oplossingsdiversificatiestrategie vast te stellen. Bovendien moeten de lidstaten de ontwikkeling en het gebruik van een openbare en veilige Europese DNS-oplossingsdienst aanmoedigen.

(101) Deze richtlijn voorziet in een meerfasenaanpak voor het melden van significante incidenten om het juiste evenwicht te vinden tussen enerzijds een snelle melding die de mogelijke verspreiding van significante incidenten helpt beperken en essentiële en belangrijke entiteiten in staat stelt om bijstand te vragen, en anderzijds een diepgaande melding die waardevolle lessen trekt uit individuele incidenten en de cyberveerkracht van individuele entiteiten en volledige sectoren mettertijd verbetert.

In dat verband moet deze richtlijn ook betrekking hebben op de melding van incidenten die, op basis van een eerste beoordeling door de betrokken entiteit, een ernstige verstoring van de dienstverlening of financieel verlies voor die entiteit zouden kunnen veroorzaken, dan wel andere natuurlijke of rechtspersonen zouden kunnen treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Bij een dergelijke eerste beoordeling moet onder andere rekening worden gehouden met het getroffen netwerk en de getroffen informatiesystemen, in het bijzonder het belang ervan voor de verlening van de diensten van de entiteit, de ernst en de technische kenmerken van een cyberdreiging en eventuele onderliggende kwetsbaarheden die worden uitgebuit, evenals de ervaring van de entiteit met soortgelijke incidenten. Indicatoren zoals de mate waarin de werking van de dienst wordt beïnvloed, de duur van een incident of het aantal getroffen afnemers van diensten kunnen een belangrijke rol spelen bij het bepalen of de operationele verstoring van de dienst ernstig is.

(102) Wanneer essentiële of belangrijke entiteiten kennis krijgen van een belangrijk incident, moeten zij worden verplicht onverwijld en in elk geval binnen 24 uur een vroegtijdige waarschuwing te geven. Deze vroegtijdige waarschuwing moet worden gevolgd door een kennisgeving van incidenten. De betrokken entiteiten moeten zonder onnodige vertraging en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een melding van incidenten indienen, met als doel met name de via de vroegtijdige waarschuwing verstrekte informatie te actualiseren en een eerste beoordeling van het significante incident te geven, met inbegrip van de ernst en de gevolgen ervan, alsmede indicatoren van compromittering, indien beschikbaar.

Uiterlijk een maand na de melding van het incident moet een eindverslag worden ingediend. De vroegtijdige waarschuwing moet alleen de informatie bevatten die nodig is om het CSIRT, of in voorkomend geval de bevoegde autoriteit, op de hoogte te brengen van het ernstige incident en de betrokken entiteit in staat te stellen zo nodig bijstand te vragen. Een dergelijke vroegtijdige waarschuwing moet, indien van toepassing, aangeven of het significante incident vermoedelijk is veroorzaakt door onwettige of kwaadwillige handelingen en of het waarschijnlijk een grensoverschrijdend effect zal hebben.

De lidstaten moeten ervoor zorgen dat de verplichting om die vroegtijdige waarschuwing of de daaropvolgende melding van het incident in te dienen, de middelen van de meldende entiteit niet afleidt van activiteiten in verband met de afhandeling van incidenten die prioriteit moeten krijgen, om te voorkomen dat de meldingsplicht voor incidenten middelen afleidt van de afhandeling van significante incidenten of de inspanningen van de entiteit in dat opzicht op een andere manier in gevaar brengt. In het geval van een lopend incident op het moment dat het eindverslag wordt ingediend, moeten de lidstaten ervoor zorgen dat de betrokken entiteiten op dat moment een voortgangsverslag en binnen een maand na hun afhandeling van het significante incident een eindverslag indienen.

(103) Indien van toepassing moeten essentiële en belangrijke entiteiten hun dienstontvangers onverwijld op de hoogte brengen van maatregelen of oplossingen die zij kunnen nemen om de risico's die voortvloeien uit een aanzienlijke cyberdreiging te beperken. Die entiteiten moeten, indien van toepassing en in het bijzonder wanneer de aanzienlijke cyberdreiging zich waarschijnlijk zal voordoen, hun afnemers van diensten ook informeren over de dreiging zelf.

Aan de eis om deze afnemers van aanzienlijke cyberdreigingen op de hoogte te brengen, moet naar beste vermogen worden voldaan, maar mag deze entiteiten niet ontslaan van de verplichting om op eigen kosten onmiddellijk passende maatregelen te nemen om dergelijke dreigingen te voorkomen of weg te nemen en het normale beveiligingsniveau van de dienst te herstellen. De verstrekking van dergelijke informatie over aanzienlijke cyberdreigingen aan de afnemers van de dienst moet gratis zijn en in gemakkelijk te begrijpen taal zijn gesteld.

(104) Aanbieders van openbare elektronische-communicatienetwerken of van algemeen beschikbare elektronische-communicatiediensten moeten beveiliging by design en by default implementeren en de ontvangers van hun diensten informeren over belangrijke cyberdreigingen en over maatregelen die zij kunnen nemen om de beveiliging van hun apparaten en communicatie te beschermen, bijvoorbeeld door specifieke soorten software of encryptietechnologieën te gebruiken.

(105) Een proactieve benadering van cyberdreigingen is een essentieel onderdeel van het risicobeheer inzake cyberbeveiliging, dat de bevoegde autoriteiten in staat moet stellen doeltreffend te voorkomen dat cyberdreigingen uitmonden in incidenten die aanzienlijke materiële of immateriële schade kunnen veroorzaken. Daartoe is de melding van cyberdreigingen van cruciaal belang. Daartoe worden entiteiten aangemoedigd om op vrijwillige basis cyberdreigingen te melden.

(106) Teneinde de rapportage van de krachtens deze richtlijn vereiste informatie te vereenvoudigen en de administratieve lasten voor de entiteiten te verlichten, dienen de lidstaten te voorzien in technische middelen zoals één centraal punt, geautomatiseerde systemen, onlineformulieren, gebruikersvriendelijke interfaces, sjablonen en specifieke platforms ten behoeve van de entiteiten, ongeacht of zij al dan niet onder het toepassingsgebied van deze richtlijn vallen, voor de indiening van de te rapporteren relevante informatie.

De EU-financiering ter ondersteuning van de tenuitvoerlegging van deze richtlijn, met name in het kader van het programma Digitaal Europa, dat is vastgesteld bij Verordening (EU) nr. 2021/694 van het Europees Parlement en de Raad (21 ), kan steun voor centrale toegangspunten omvatten. Bovendien bevinden entiteiten zich vaak in een situatie waarin een bepaald incident, vanwege de kenmerken ervan, aan verschillende instanties moet worden gemeld als gevolg van meldingsverplichtingen die in verschillende rechtsinstrumenten zijn opgenomen. Dergelijke gevallen brengen extra administratieve lasten met zich mee en kunnen ook leiden tot onzekerheid over het formaat en de procedures van dergelijke meldingen.

Wanneer een centraal punt wordt vastgesteld, worden de lidstaten aangemoedigd dit centrale punt ook te gebruiken voor meldingen van beveiligingsincidenten die vereist zijn uit hoofde van andere EU-wetgeving, zoals Verordening (EU) 2016/679 en Richtlijn 2002/58/EG. Het gebruik van een dergelijk centraal toegangspunt voor de melding van beveiligingsincidenten uit hoofde van Verordening (EU) 2016/679 en Richtlijn 2002/58/EG mag geen invloed hebben op de toepassing van de bepalingen van Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, in het bijzonder de bepalingen met betrekking tot de onafhankelijkheid van de daarin vermelde autoriteiten. ENISA moet, in samenwerking met de samenwerkingsgroep, door middel van richtsnoeren gemeenschappelijke meldingsmodellen ontwikkelen om de krachtens het recht van de Unie te melden informatie te vereenvoudigen en te stroomlijnen en de administratieve lasten voor de meldende entiteiten te verminderen.

(107) Wanneer het vermoeden bestaat dat een incident verband houdt met ernstige criminele activiteiten in de zin van het recht van de Unie of het nationale recht, dienen de lidstaten essentiële en belangrijke entiteiten aan te moedigen om, op basis van de toepasselijke regels inzake strafrechtelijke procedures overeenkomstig het recht van de Unie, incidenten met een vermoedelijk ernstig crimineel karakter te melden bij de relevante rechtshandhavingsinstanties. In voorkomend geval, en onverminderd de op Europol toepasselijke voorschriften inzake de bescherming van persoonsgegevens, is het wenselijk dat de coördinatie tussen de bevoegde autoriteiten en de rechtshandhavingsinstanties van de verschillende lidstaten wordt vergemakkelijkt door het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) en ENISA.

(108) Persoonsgegevens worden in veel gevallen gecompromitteerd als gevolg van incidenten. In dat verband moeten de bevoegde autoriteiten samenwerken en informatie uitwisselen over alle relevante aangelegenheden met de in Verordening (EU) 2016/679 en Richtlijn 2002/58/EG bedoelde autoriteiten.

(109) Het bijhouden van nauwkeurige en volledige databanken met domeinnaamregistratiegegevens (WHOIS-gegevens) en het bieden van legale toegang tot deze gegevens is essentieel om de veiligheid, stabiliteit en veerkracht van het DNS te waarborgen, hetgeen op zijn beurt bijdraagt aan een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie. Voor dat specifieke doel moeten TLD-naamregisters en entiteiten die domeinnaamregistratiediensten verlenen, worden verplicht bepaalde gegevens te verwerken die nodig zijn om dat doel te bereiken.

Een dergelijke verwerking moet een wettelijke verplichting vormen in de zin van artikel 6, lid 1, onder c), van Verordening (EU) 2016/679. Deze verplichting doet geen afbreuk aan de mogelijkheid om gegevens over domeinnaamregistratie voor andere doeleinden te verzamelen, bijvoorbeeld op grond van contractuele afspraken of wettelijke vereisten die zijn vastgelegd in andere wetgeving van de Unie of nationale wetgeving. Deze verplichting heeft tot doel een volledige en nauwkeurige reeks registratiegegevens te verkrijgen en mag er niet toe leiden dat dezelfde gegevens meermaals worden verzameld. De TLD-naamregisters en de entiteiten die domeinnaamregistratiediensten verlenen, dienen met elkaar samen te werken om te voorkomen dat deze taak dubbel wordt uitgevoerd.

(110) De beschikbaarheid en tijdige toegankelijkheid van domeinnaamregistratiegegevens voor rechtmatige toegangszoekers is van essentieel belang voor de preventie en bestrijding van DNS-misbruik en voor de preventie en opsporing van en reactie op incidenten. Onder rechtmatige toegangszoekers moet worden verstaan iedere natuurlijke of rechtspersoon die een verzoek indient op grond van het recht van de Unie of het nationale recht.

Het kan hierbij gaan om autoriteiten die krachtens deze richtlijn bevoegd zijn en autoriteiten die krachtens de wetgeving van de Unie of de nationale wetgeving bevoegd zijn voor het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten, en CERT's of CSIRT's. TLD-naamregisters en entiteiten die domeinnaamregistratiediensten verlenen, moeten ertoe worden verplicht rechtmatige toegangszoekers overeenkomstig de wetgeving van de Unie en de nationale wetgeving rechtmatige toegang te verlenen tot specifieke domeinnaamregistratiegegevens die noodzakelijk zijn voor het doel van het verzoek om toegang. Het verzoek van rechtmatige toegangszoekers moet vergezeld gaan van een motivering aan de hand waarvan de noodzaak van toegang tot de gegevens kan worden beoordeeld.

(111) Teneinde de beschikbaarheid van accurate en volledige domeinnaamregistratiegegevens te waarborgen, dienen TLD-naamregisters en entiteiten die domeinnaamregistratiediensten verlenen de integriteit en beschikbaarheid van domeinnaamregistratiegegevens te verzamelen en te garanderen. TLD-naamregisters en entiteiten die domeinnaamregistratiediensten verlenen, dienen met name beleid en procedures vast te stellen om nauwkeurige en volledige domeinnaamregistratiegegevens te verzamelen en bij te houden en om onjuiste registratiegegevens te voorkomen en te corrigeren, overeenkomstig de EU-wetgeving inzake gegevensbescherming.

Bij deze beleidslijnen en procedures moet zoveel mogelijk rekening worden gehouden met de normen die zijn ontwikkeld door de multistakeholder-governancestructuren op internationaal niveau. De TLD-naamregisters en de entiteiten die domeinnaamregistratiediensten verlenen, dienen proportionele procedures vast te stellen en toe te passen om de registratiegegevens van domeinnamen te verifiëren.

Deze procedures moeten de beste praktijken weerspiegelen die binnen de sector worden gebruikt en, voor zover mogelijk, de vooruitgang op het gebied van elektronische identificatie. Voorbeelden van verificatieprocedures zijn onder meer controles vooraf die bij de registratie worden uitgevoerd en controles achteraf die na de registratie worden uitgevoerd. De TLD-naamregisters en de entiteiten die domeinnaamregistratiediensten verlenen, moeten met name ten minste één contactmiddel van de registrant verifiëren.

(112) TLD-naamregisters en entiteiten die domeinnaamregistratiediensten verlenen, moeten overeenkomstig de preambule van Verordening (EU) 2016/679 worden verplicht om gegevens over domeinnaamregistratie die buiten de werkingssfeer van de Uniewetgeving inzake gegevensbescherming vallen, zoals gegevens die betrekking hebben op rechtspersonen, openbaar te maken. Voor rechtspersonen moeten de TLD-naamregisters en de entiteiten die domeinnaamregistratiediensten verlenen ten minste de naam van de registrant en het telefoonnummer van de contactpersoon openbaar maken.

Het e-mailadres van de contactpersoon moet ook worden gepubliceerd, mits dit geen persoonsgegevens bevat, zoals in het geval van e-mailaliassen of functionele accounts. TLD-naamregisters en entiteiten die diensten voor domeinnaamregistratie verlenen, dienen tevens legitieme toegangszoekers toegang te verlenen tot specifieke gegevens voor domeinnaamregistratie met betrekking tot natuurlijke personen, overeenkomstig de EU-wetgeving inzake gegevensbescherming. De lidstaten dienen TLD-naamregisters en entiteiten die domeinnaamregistratiediensten verlenen te verplichten zonder onnodige vertraging te reageren op verzoeken om openbaarmaking van domeinnaamregistratiegegevens van legitieme toegangszoekers.

TLD-naamregisters en entiteiten die domeinnaamregistratiediensten verlenen, dienen beleid en procedures vast te stellen voor de bekendmaking en openbaarmaking van registratiegegevens, met inbegrip van overeenkomsten inzake dienstverleningsniveau om verzoeken om toegang van rechtmatige toegangszoekers af te handelen. Bij deze beleidslijnen en procedures moet zoveel mogelijk rekening worden gehouden met richtsnoeren en normen die door de multistakeholder-governancestructuren op internationaal niveau zijn ontwikkeld. De toegangsprocedure kan het gebruik van een interface, portaal of ander technisch instrument omvatten om een efficiënt systeem te bieden voor het aanvragen van en toegang tot registratiegegevens.

Met het oog op de bevordering van geharmoniseerde praktijken in de hele interne markt kan de Commissie, onverminderd de bevoegdheden van het Europees Comité voor gegevensbescherming, richtsnoeren verstrekken met betrekking tot dergelijke procedures, waarbij zoveel mogelijk rekening wordt gehouden met de normen die zijn ontwikkeld door de multistakeholder governancestructuren op internationaal niveau. De lidstaten moeten ervoor zorgen dat alle soorten toegang tot persoonlijke en niet-persoonlijke registratiegegevens van domeinnamen kosteloos zijn.

(113) Entiteiten die onder het toepassingsgebied van deze richtlijn vallen, moeten worden geacht te vallen onder de jurisdictie van de lidstaat waarin zij zijn gevestigd. Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische communicatiediensten moeten echter worden geacht te vallen onder de rechtsmacht van de lidstaat waarin zij hun diensten aanbieden.

DNS-dienstverleners, TLD-naamregisters, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloud computing-diensten, datacenterdiensten, aanbieders van content delivery-netwerken, aanbieders van managed services, aanbieders van managed security-diensten, alsook aanbieders van onlinemarktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten moeten worden geacht onder de rechtsmacht te vallen van de lidstaat waar zij hun hoofdvestiging in de Unie hebben.

Openbaar bestuurlijke entiteiten dienen onder de jurisdictie te vallen van de lidstaat die hen heeft opgericht. Indien de entiteit in meer dan één lidstaat diensten verricht of is gevestigd, dient zij onder de afzonderlijke en gelijktijdige jurisdictie van elk van die lidstaten te vallen. De bevoegde autoriteiten van deze lidstaten dienen samen te werken, elkaar wederzijdse bijstand te verlenen en, in voorkomend geval, gezamenlijk toezicht uit te oefenen. Wanneer de lidstaten rechtsbevoegdheid uitoefenen, mogen zij voor dezelfde gedraging niet meer dan eenmaal handhavingsmaatregelen of sancties opleggen, overeenkomstig het ne bis in idem-beginsel.

(114) Om rekening te houden met de grensoverschrijdende aard van de diensten en activiteiten van DNS-dienstverleners, TLD-naamregisters, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloud computing-diensten, datacenterdiensten, aanbieders van content delivery-netwerken, aanbieders van managed services, aanbieders van managed security-diensten, alsmede aanbieders van online-marktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten, dient slechts één lidstaat bevoegd te zijn voor deze entiteiten. De rechtsmacht moet worden toegewezen aan de lidstaat waar de betrokken entiteit haar hoofdvestiging in de Unie heeft.

Het vestigingscriterium in de zin van deze richtlijn impliceert de daadwerkelijke uitoefening van een activiteit via stabiele constructies. De rechtsvorm van dergelijke constructies, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is in dit verband niet doorslaggevend. Of aan dit criterium is voldaan, mag niet afhangen van de vraag of het netwerk en de informatiesystemen zich fysiek op een bepaalde plaats bevinden; de aanwezigheid en het gebruik van dergelijke systemen vormen op zich geen dergelijke hoofdvestiging en zijn derhalve geen doorslaggevende criteria om te bepalen of er sprake is van een hoofdvestiging.

De hoofdvestiging moet worden geacht zich te bevinden in de lidstaat waar de besluiten in verband met de risicobeheersmaatregelen op het gebied van cyberbeveiliging in de Unie voornamelijk worden genomen. Dit zal doorgaans overeenkomen met de plaats van de centrale administratie van de entiteiten in de Unie. Indien een dergelijke lidstaat niet kan worden vastgesteld of indien dergelijke besluiten niet in de Unie worden genomen, dient de hoofdvestiging te worden beschouwd als gelegen in de lidstaat waar cyberbeveiligingsoperaties worden uitgevoerd.

Indien een dergelijke lidstaat niet kan worden vastgesteld, moet de hoofdvestiging worden beschouwd als de vestiging van de entiteit met het grootste aantal werknemers in de Unie. Wanneer de diensten worden verricht door een groep ondernemingen, moet de belangrijkste vestiging van de zeggenschap uitoefenende onderneming worden beschouwd als de belangrijkste vestiging van de groep ondernemingen.

(115) Wanneer een algemeen beschikbare recursieve DNS-dienst door een aanbieder van openbare elektronische-communicatienetwerken of van algemeen beschikbare elektronische-communicatiediensten alleen als onderdeel van de internettoegangsdienst wordt aangeboden, moet de entiteit worden geacht te vallen onder de jurisdictie van alle lidstaten waar haar diensten worden aangeboden.

(116) Wanneer een DNS-serviceproviderDNS-serviceprovider Een entiteit die voorziet in: (a) openbaar beschikbare recursieve domeinnaamresolutiediensten voor interneteindgebruikers; of (b) autoritatieve domeinnaamresolutiediensten voor gebruik door derden, met uitzondering van rootnaamservers. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)een TLD-naamregister, een entiteit die diensten verleent op het gebied van domeinnaamregistratieEntiteit die diensten verleent op het gebied van domeinnaamregistratie Een registrar of een agent die namens registrars optreedt, zoals een aanbieder van privacy- of volmachtregistratiediensten of wederverkoper. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)een aanbieder van cloud computing-diensten, een aanbieder van datacenterdiensten, een aanbieder van een content delivery-netwerk, een beheerde serviceproviderBeheerde serviceprovider Een entiteit die diensten levert met betrekking tot de installatie, het beheer, de bediening of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via assistentie of actief beheer bij de klant op locatie of op afstand. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn), een aanbieder van beheerde beveiligingsdiensten of een aanbieder van een online marktplaats, van een online zoekmachineOnline zoekmachine Een digitale dienst die gebruikers in staat stelt zoekopdrachten uit te voeren op, in principe, alle websites, of alle websites in een bepaalde taal, op basis van een zoekopdracht over een onderwerp in de vorm van een trefwoord, stemverzoek, zin of andere input, en die resultaten teruggeeft in elk formaat waarin informatie over de gevraagde inhoud kan worden gevonden. - Definitie overeenkomstig artikel 2, punt 5, van Verordening (EU) 2019/1150 van het Europees Parlement en de Raad. of van een dienstenplatform voor sociale netwerkenPlatform voor sociale netwerkdiensten Een platform dat eindgebruikers in staat stelt met elkaar in contact te komen, te delen, te ontdekken en te communiceren op meerdere apparaten, met name via chats, berichten, video's en aanbevelingen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)die niet in de Unie is gevestigd, diensten aanbiedt binnen de Unie, moet zij een vertegenwoordigerVertegenwoordiger Een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een TLD-naamregister, een entiteit die domeinnaamregistratiediensten levert, een aanbieder van cloud computing-diensten, een aanbieder van datacenterdiensten, een aanbieder van een content delivery network, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten of een aanbieder van een online marktplaats, een online zoekmachine of een platform voor sociale netwerkdiensten die niet in de Unie is gevestigd, die door een bevoegde autoriteit of een CSIRT in de plaats van de entiteit zelf kan worden aangesproken met betrekking tot de verplichtingen van die entiteit uit hoofde van deze richtlijn. - Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) in de Unie.

Om te bepalen of een dergelijke entiteit diensten aanbiedt binnen de Unie, moet worden nagegaan of de entiteit voornemens is diensten aan te bieden aan personen in een of meer lidstaten. De loutere toegankelijkheid in de Unie van de website van de entiteit of een tussenpersoon of van een e-mailadres of andere contactgegevens, of het gebruik van een taal die algemeen wordt gebruikt in het derde land waar de entiteit is gevestigd, moet als onvoldoende worden beschouwd om een dergelijk voornemen vast te stellen.

Factoren zoals het gebruik van een taal of een valuta die algemeen wordt gebruikt in een of meer lidstaten met de mogelijkheid om diensten in die taal te bestellen, of de vermelding van klanten of gebruikers die zich in de Unie bevinden, kunnen echter duidelijk maken dat de entiteit van plan is diensten binnen de Unie aan te bieden. De vertegenwoordiger moet namens de entiteit optreden en de bevoegde autoriteiten of de CSIRT's moeten zich tot de vertegenwoordiger kunnen richten. De vertegenwoordiger moet uitdrukkelijk door een schriftelijk mandaat van de entiteit worden aangewezen om namens de entiteit op te treden met betrekking tot de in deze richtlijn neergelegde verplichtingen van de entiteit, met inbegrip van de melding van incidenten.

(117) Om te zorgen voor een duidelijk overzicht van DNS-dienstverleners, TLD-naamregisters, entiteiten die domeinnaamregistratiediensten aanbieden, aanbieders van cloud computing-diensten, datacenterdiensten, aanbieders van content delivery-netwerken, aanbieders van managed services, aanbieders van managed security-diensten, alsook aanbieders van online marktplaatsen, online zoekmachines en platforms voor sociale netwerkdiensten, die in de hele Unie diensten aanbieden die onder het toepassingsgebied van deze richtlijn vallen, moet ENISA een register van dergelijke entiteiten opzetten en bijhouden, op basis van de informatie die door de lidstaten wordt ontvangen, in voorkomend geval via nationale mechanismen waarmee entiteiten zichzelf kunnen registreren.

Het centrale contactpunt moet de informatie en eventuele wijzigingen daarin aan ENISA doorgeven. Teneinde de nauwkeurigheid en volledigheid van de in dat register op te nemen informatie te garanderen, kunnen de lidstaten aan ENISA de informatie voorleggen die beschikbaar is in nationale registers over die entiteiten. ENISA en de lidstaten dienen maatregelen te nemen om de interoperabiliteit van dergelijke registers te vergemakkelijken en tegelijkertijd de bescherming van vertrouwelijke of gerubriceerde informatie te waarborgen. ENISA moet passende protocollen voor informatieclassificatie en -beheer opstellen om de veiligheid en vertrouwelijkheid van bekendgemaakte informatie te garanderen en de toegang, opslag en verzending van dergelijke informatie te beperken tot de beoogde gebruikers.

(118) Wanneer informatie die volgens het recht van de Unie of het nationale recht gerubriceerd is, in het kader van deze richtlijn wordt uitgewisseld, gerapporteerd of anderszins gedeeld, moeten de overeenkomstige regels inzake de behandeling van gerubriceerde informatie worden toegepast. Daarnaast moet ENISA beschikken over de infrastructuur, procedures en regels om gevoelige en gerubriceerde informatie te verwerken in overeenstemming met de toepasselijke veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-gegevens.

(119) Nu cyberdreigingen steeds complexer en geraffineerder worden, zijn een goede detectie van dergelijke dreigingen en preventiemaatregelen grotendeels afhankelijk van een regelmatige uitwisseling van informatie over dreigingen en kwetsbaarheden tussen entiteiten. Het delen van informatie draagt bij tot een groter bewustzijn van cyberdreigingen, waardoor entiteiten beter in staat zijn om te voorkomen dat dergelijke dreigingen uitmonden in incidenten en waardoor entiteiten de gevolgen van incidenten beter kunnen beheersen en efficiënter kunnen herstellen. Bij gebrek aan richtsnoeren op het niveau van de Unie lijken verschillende factoren een dergelijke uitwisseling van informatie te hebben belemmerd, met name onzekerheid over de verenigbaarheid met de mededingings- en aansprakelijkheidsregels.

(120) Entiteiten moeten door de lidstaten worden aangemoedigd en bijgestaan om hun individuele kennis en praktische ervaring op strategisch, tactisch en operationeel niveau collectief in te zetten voor het vergroten van hun capaciteit om incidenten adequaat te voorkomen, op te sporen, erop te reageren, zich te herstellen of de gevolgen ervan te beperken. Het is dus noodzakelijk om op het niveau van de Unie vrijwillige regelingen voor het delen van informatie over cyberbeveiliging tot stand te brengen.

Daartoe dienen de lidstaten entiteiten, zoals die welke diensten en onderzoek op het gebied van cyberbeveiliging verrichten, alsook relevante entiteiten die niet onder de werkingssfeer van deze richtlijn vallen, actief bij te staan en aan te moedigen om deel te nemen aan dergelijke regelingen voor het delen van informatie op het gebied van cyberbeveiliging. Die regelingen moeten worden opgezet in overeenstemming met de mededingingsregels van de Unie en de wetgeving van de Unie inzake gegevensbescherming.

---

(121) De verwerking van persoonsgegevens, voor zover noodzakelijk en evenredig met het oog op de beveiliging van netwerk- en informatiesystemen door essentiële en belangrijke entiteiten, zou als rechtmatig kunnen worden beschouwd op grond van het feit dat deze verwerking voldoet aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke is onderworpen, overeenkomstig de vereisten van artikel 6, lid 1, onder c), en artikel 6, lid 3, van Verordening (EU) 2016/679.

De verwerking van persoonsgegevens kan ook noodzakelijk zijn voor rechtmatige belangen die worden nagestreefd door essentiële en belangrijke entiteiten en door aanbieders van beveiligingstechnologieën en -diensten die namens die entiteiten optreden, overeenkomstig artikel 6, lid 1, onder f), van Verordening (EU) 2016/679, onder meer wanneer die verwerking noodzakelijk is voor regelingen voor het delen van informatie over cyberbeveiliging of de vrijwillige kennisgeving van relevante informatie overeenkomstig deze richtlijn.

Maatregelen met betrekking tot preventie, detectie, identificatie, inperking, analyse en reactie op incidenten, maatregelen om het bewustzijn met betrekking tot specifieke cyberdreigingen te vergroten, uitwisseling van informatie in het kader van het verhelpen van kwetsbaarheden en gecoördineerde bekendmaking van kwetsbaarheden, de vrijwillige uitwisseling van informatie over deze incidenten, en cyberdreigingen en -kwetsbaarheden, compromitteringsindicatoren, tactieken, technieken en procedures, cyberbeveiligingswaarschuwingen en configuratiehulpmiddelen kan de verwerking van bepaalde categorieën persoonsgegevens vereisen, zoals IP-adressen, uniform resources locators (URL's), domeinnamen, e-mailadressen en, wanneer deze persoonsgegevens onthullen, tijdstempels.

De verwerking van persoonsgegevens door de bevoegde autoriteiten, de centrale aanspreekpunten en de CSIRT's kan een wettelijke verplichting vormen of noodzakelijk worden geacht voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de voor de verwerking verantwoordelijke is opgedragen overeenkomstig artikel 6, lid 1, onder c) of e), en artikel 6, lid 3, van Verordening (EU) 2016/679, of voor de behartiging van een gerechtvaardigd belang van de essentiële en belangrijke entiteiten, als bedoeld in artikel 6, lid 1, onder f), van die verordening.

Voorts zouden in de nationale wetgeving regels kunnen worden vastgesteld op grond waarvan de bevoegde autoriteiten, de centrale aanspreekpunten en de CSIRT's, voor zover dat noodzakelijk en evenredig is met het oog op het waarborgen van de beveiliging van netwerk- en informatiesystemen van essentiële en belangrijke entiteiten, bijzondere categorieën persoonsgegevens mogen verwerken overeenkomstig artikel 9 van Verordening (EU) 2016/679, met name door te voorzien in passende en specifieke maatregelen om de fundamentele rechten en belangen van natuurlijke personen te waarborgen, met inbegrip van technische beperkingen op het hergebruik van dergelijke gegevens en het gebruik van geavanceerde beveiligings- en privacybeschermende maatregelen, zoals pseudonimisering, of versleuteling wanneer anonimisering het beoogde doel aanzienlijk kan beïnvloeden.

(122) Ter versterking van de toezichtbevoegdheden en -maatregelen die een effectieve naleving helpen waarborgen, dient deze richtlijn te voorzien in een minimumlijst van toezichtmaatregelen en -middelen waarmee de bevoegde autoriteiten toezicht kunnen uitoefenen op essentiële en belangrijke entiteiten. Daarnaast dient deze richtlijn een differentiatie van de toezichtregeling tussen essentiële en belangrijke entiteiten vast te stellen om een billijk evenwicht van verplichtingen voor deze entiteiten en voor de bevoegde autoriteiten te waarborgen.

Daarom dienen essentiële entiteiten onderworpen te zijn aan een alomvattend ex ante en ex post toezichtregime, terwijl belangrijke entiteiten onderworpen dienen te zijn aan een licht, uitsluitend ex post, toezichtregime. Van belangrijke entiteiten mag daarom niet worden verlangd dat zij de naleving van maatregelen voor risicobeheer op het gebied van cyberbeveiliging systematisch documenteren, terwijl de bevoegde autoriteiten een reactieve ex-postbenadering van het toezicht moeten toepassen en dus geen algemene verplichting hebben om toezicht op die entiteiten uit te oefenen.

Het toezicht achteraf op belangrijke entiteiten kan worden uitgeoefend op grond van bewijzen, indicaties of informatie die ter kennis van de bevoegde autoriteiten worden gebracht en die door deze autoriteiten worden geacht te wijzen op mogelijke inbreuken op deze richtlijn. Dergelijke bewijzen, aanwijzingen of informatie kunnen bijvoorbeeld van het type zijn dat door andere autoriteiten, entiteiten, burgers, media of andere bronnen of publiek beschikbare informatie aan de bevoegde autoriteiten wordt verstrekt, of kunnen blijken uit andere activiteiten die de bevoegde autoriteiten bij de uitoefening van hun taken verrichten.

(123) De uitvoering van toezichttaken door de bevoegde autoriteiten mag de bedrijfsactiviteiten van de betrokken entiteit niet onnodig hinderen. Wanneer de bevoegde autoriteiten hun toezichthoudende taken met betrekking tot essentiële entiteiten uitvoeren, met inbegrip van het uitvoeren van inspecties ter plaatse en toezicht buiten het terrein, het onderzoeken van inbreuken op deze richtlijn en het uitvoeren van beveiligingsaudits of beveiligingsscans, dienen zij de gevolgen voor de bedrijfsactiviteiten van de betrokken entiteit tot een minimum te beperken.

(124) Bij de uitoefening van het toezicht vooraf moeten de bevoegde autoriteiten kunnen beslissen op welke wijze prioriteit wordt gegeven aan de toezichtmaatregelen en -middelen waarover zij beschikken. Dit houdt in dat de bevoegde autoriteiten tot een dergelijke prioritering kunnen besluiten op basis van toezichtmethoden waarbij een risicogebaseerde benadering wordt gevolgd.

Meer in het bijzonder zouden dergelijke methodologieën criteria of benchmarks kunnen omvatten voor de indeling van essentiële entiteiten in risicocategorieën en overeenkomstige toezichtmaatregelen en -middelen die per risicocategorie worden aanbevolen, zoals het gebruik, de frequentie of de soorten inspecties ter plaatse, gerichte beveiligingsaudits of beveiligingsscans, het soort informatie dat moet worden opgevraagd en de mate van gedetailleerdheid van die informatie. Dergelijke toezichtmethodologieën zouden ook vergezeld kunnen gaan van werkprogramma's en regelmatig geëvalueerd en herzien kunnen worden, onder meer met betrekking tot aspecten zoals de toewijzing van middelen en behoeften. Met betrekking tot overheidsinstanties moeten de toezichtbevoegdheden worden uitgeoefend in overeenstemming met de nationale wetgevende en institutionele kaders.

(125) De bevoegde autoriteiten moeten ervoor zorgen dat hun toezichthoudende taken met betrekking tot essentiële en belangrijke entiteiten worden uitgevoerd door opgeleide professionals, die over de nodige vaardigheden moeten beschikken om deze taken uit te voeren, in het bijzonder met betrekking tot het uitvoeren van inspecties ter plaatse en het toezicht buiten het terrein, met inbegrip van het opsporen van zwakke plekken in databases, hardware, firewalls, encryptie en netwerken. Deze inspecties en dit toezicht moeten op objectieve wijze worden uitgevoerd.

(126) In naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit op de hoogte is van een aanzienlijke cyberdreiging of een dreigend risico, moet zij onmiddellijk handhavingsbesluiten kunnen nemen om een incident te voorkomen of te bestrijden.

(127) Om de handhaving doeltreffend te maken, moet een minimumlijst van handhavingsbevoegdheden worden vastgesteld die kunnen worden uitgeoefend wegens inbreuken op de in deze richtlijn vastgestelde risicobeheersmaatregelen voor cyberbeveiliging en rapportageverplichtingen, waarbij een duidelijk en samenhangend kader voor een dergelijke handhaving in de hele Unie wordt opgezet. Er moet naar behoren rekening worden gehouden met de aard, de ernst en de duur van de inbreuk op deze richtlijn, de veroorzaakte materiële of immateriële schade, of de inbreuk opzettelijk of uit onachtzaamheid is gepleegd, de maatregelen die zijn genomen om de materiële of immateriële schade te voorkomen of te beperken, de mate van verantwoordelijkheid of eventuele relevante eerdere inbreuken, de mate van samenwerking met de bevoegde autoriteit en eventuele andere verzwarende of verzachtende factoren.

De handhavingsmaatregelen, waaronder administratieve geldboeten, moeten evenredig zijn en het opleggen ervan moet onderworpen zijn aan passende procedurele waarborgen in overeenstemming met de algemene beginselen van het recht van de Unie en het Handvest van de grondrechten van de Europese Unie (het "Handvest"), waaronder het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, het vermoeden van onschuld en de rechten van de verdediging.

(128) Deze richtlijn verplicht de lidstaten niet te voorzien in strafrechtelijke of wettelijke aansprakelijkheid ten aanzien van natuurlijke personen die ervoor moeten zorgen dat een entiteit aan deze richtlijn voldoet, voor schade die derden lijden als gevolg van een inbreuk op deze richtlijn.

(129) Teneinde een doeltreffende handhaving van de in deze richtlijn neergelegde verplichtingen te waarborgen, moet elke bevoegde autoriteit de bevoegdheid hebben om administratieve boeten op te leggen of om de oplegging van administratieve boeten te verzoeken.

(130) Wanneer een bestuurlijke boete wordt opgelegd aan een essentiële of belangrijke entiteit die een onderneming is, moet voor die doeleinden onder onderneming worden verstaan een onderneming in de zin van de artikelen 101 en 102 VWEU. Wanneer een administratieve geldboete wordt opgelegd aan een persoon die geen onderneming is, moet de bevoegde autoriteit bij de vaststelling van het passende bedrag van de geldboete rekening houden met het algemene inkomensniveau in de lidstaat en met de economische situatie van de persoon. Het is aan de lidstaten om te bepalen of en in welke mate aan overheidsinstanties administratieve boeten moeten worden opgelegd. Het opleggen van een bestuurlijke boete doet geen afbreuk aan de toepassing van andere bevoegdheden van de bevoegde autoriteiten of van andere sancties die zijn neergelegd in de nationale voorschriften tot omzetting van deze richtlijn.