1. De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen die deze entiteiten gebruiken voor hun activiteiten of voor het leveren van hun diensten, en om de impact van incidenten op de ontvangers van hun diensten en op andere diensten te voorkomen of tot een minimum te beperken.
Rekening houdend met de stand van de techniek en, in voorkomend geval, met de toepasselijke Europese en internationale normen, alsmede met de uitvoeringskosten, zorgen de in de eerste alinea bedoelde maatregelen voor een op de risico's afgestemd niveau van netwerk- en informatiebeveiliging. Bij de beoordeling van de evenredigheid van deze maatregelen wordt naar behoren rekening gehouden met de mate van entiteitde blootstelling van de entiteit aan risico's, de omvang van de entiteit en de waarschijnlijkheid dat incidenten zich voordoen en de ernst ervan, inclusief de maatschappelijke en economische gevolgen.
2. De in lid 1 bedoelde maatregelen zijn gebaseerd op een alle risico's omvattende aanpak die erop gericht is netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen incidenten, en omvatten ten minste het volgende:
(a) beleid inzake risico analyse en beveiliging van informatiesystemen;
(b) incidentafhandeling;
(c) bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer;
(d) beveiliging van de toeleveringsketen, met inbegrip van veiligheidsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners;
(e) beveiliging bij de aanschaf, ontwikkeling en het onderhoud van netwerken en informatiesystemen, waaronder kwetsbaarheid behandeling en openbaarmaking;
(f) beleid en procedures om de effectiviteit van cyberbeveiliging risicobeheersmaatregelen;
(g) elementaire cyberhygiënepraktijken en cyberbeveiligingstraining;
(h) beleid en procedures voor het gebruik van cryptografie en, indien van toepassing, versleuteling;
(i) personeelsbeveiliging, toegangscontrolebeleid en activabeheer;
(j) het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.
3. De lidstaten zorgen ervoor dat de entiteiten, wanneer zij nagaan welke van de in lid 2, onder d), van dit artikel bedoelde maatregelen passend zijn, rekening houden met de specifieke kwetsbaarheden van elke directe leverancier en dienstverlener en met de algemene kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, met inbegrip van hun veilige ontwikkelingsprocedures. De lidstaten zorgen er ook voor dat de entiteiten, wanneer zij nagaan welke van de in dat punt bedoelde maatregelen passend zijn, rekening moeten houden met de resultaten van de overeenkomstig artikel 22, lid 1, uitgevoerde gecoördineerde beveiligingsrisicobeoordelingen van kritieke bevoorradingsketens.
4. De lidstaten zorgen ervoor dat een entiteit die vaststelt dat zij de in lid 2 bedoelde maatregelen niet naleeft, zonder onnodige vertraging alle noodzakelijke, passende en evenredige corrigerende maatregelen neemt.
5. Uiterlijk op 17 oktober 2024 stelt de Commissie uitvoeringshandelingen vast tot bepaling van de technische en methodologische vereisten van de in lid 2 bedoelde maatregelen met betrekking tot DNS-dienstverleners, TLD-naamregisters, cloudcomputingservice aanbieders, datacenterservice aanbieders, content delivery netwerk aanbieders, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van online marktplaatsen, online zoekmachines en platforms voor sociale netwerkdiensten, en vertrouwensdienst aanbieders.
De Commissie kan uitvoeringshandelingen vaststellen tot bepaling van de technische en methodologische voorschriften, alsmede de sectorale voorschriften, voor zover nodig, van de in lid 2 bedoelde maatregelen met betrekking tot andere dan de in de eerste alinea van dit lid bedoelde belangrijke en essentiële entiteiten.
Bij de voorbereiding van de in de eerste en tweede alinea van dit lid bedoelde uitvoeringshandelingen volgt de Commissie zoveel mogelijk de Europese en internationale normen, alsmede de relevante technische specificaties. De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep en het ENISA aan de ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, onder e).
Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 39, lid 2, bedoelde onderzoeksprocedure.