1. Elke lidstaat zorgt ervoor dat essentiële en belangrijke entiteiten zijn CSIRT of, indien van toepassing, zijn bevoegde autoriteit onverwijld in kennis stellen overeenkomstig lid 4 van elk incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) dat een significant effect heeft op de verlening van hun diensten als bedoeld in lid 3 (significant incident). In voorkomend geval stellen de betrokken entiteiten de afnemers van hun diensten zonder onnodige vertraging in kennis van significante incidenten die de verlening van die diensten waarschijnlijk nadelig zullen beïnvloeden. Elke lidstaat zorgt ervoor dat die entiteiten onder meer alle informatie melden die het CSIRT of, in voorkomend geval, de bevoegde autoriteit in staat stelt de grensoverschrijdende gevolgen van het incident te bepalen. Het loutere feit van de melding betekent niet dat de melder entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) tot verhoogde aansprakelijkheid.
Wanneer de betrokken entiteiten de bevoegde autoriteit overeenkomstig de eerste alinea in kennis stellen van een significant incident, zorgt de lidstaat ervoor dat die bevoegde autoriteit de kennisgeving na ontvangst doorstuurt naar het CSIRT.
In het geval van een grensoverschrijdend of sectoroverschrijdend ernstig incident zorgen de lidstaten ervoor dat hun centrale contactpunten tijdig relevante informatie ontvangen waarvan overeenkomstig lid 4 kennis is gegeven.
2. Waar van toepassing, zorgen de lidstaten ervoor dat essentiële en belangrijke entiteiten de afnemers van hun diensten die mogelijk worden getroffen door een belangrijke cyberdreigingAanzienlijke cyberdreiging Een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat ze een ernstige impact kan hebben op het netwerk en de informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door aanzienlijke materiële of immateriële schade te veroorzaken. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) alle maatregelen of oplossingen die deze ontvangers in reactie op die dreiging kunnen nemen. In voorkomend geval informeren de entiteiten die ontvangers ook over de aanzienlijke cyberdreiging zelf.
3. Een incident wordt als significant beschouwd als:
(a) het heeft een ernstige verstoring van de dienstverlening of financieel verlies voor de betrokken entiteit veroorzaakt of kan dit veroorzaken;
(b) andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
4. De lidstaten zorgen ervoor dat de betrokken entiteiten zich voor de in lid 1 bedoelde kennisgeving tot het CSIRT of, indien van toepassing, de bevoegde autoriteit wenden:
(a) zonder onnodige vertraging en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven of het significante incident vermoedelijk is veroorzaakt door onrechtmatige of kwaadwillige handelingen of grensoverschrijdende gevolgen kan hebben;
(b) zonder onnodige vertraging en in elk geval binnen 72 uur nadat zij kennis heeft gekregen van het significante incident, een incidentmelding, waarin, indien van toepassing, de onder a) bedoelde informatie wordt bijgewerkt en een eerste beoordeling van het significante incident wordt gegeven, met inbegrip van de ernst en de gevolgen ervan, alsmede, indien beschikbaar, de indicatoren van compromittering;
(c) op verzoek van een CSIRT of, indien van toepassing, de bevoegde autoriteit, een tussentijds verslag over relevante statusupdates;
(d) een eindrapport uiterlijk een maand na de indiening van de kennisgeving van het incident krachtens punt b), waarin het volgende is opgenomen:
(i) een gedetailleerde beschrijving van het incident, met inbegrip van de ernst en de gevolgen ervan;
(ii) het type bedreiging of de hoofdoorzaak die waarschijnlijk tot het incident heeft geleid;
(iii) toegepaste en lopende risicobeperkende maatregelen;
(iv) indien van toepassing, de grensoverschrijdende gevolgen van het incident;
(e) indien een incident aan de gang is op het moment dat het onder d) bedoelde eindverslag wordt ingediend, zorgen de lidstaten ervoor dat de betrokken entiteiten op dat moment een voortgangsverslag en binnen een maand na de afhandeling van het incident een eindverslag indienen.
In afwijking van de eerste alinea, onder b), kan een verlener van vertrouwensdienstenDienstverlener vertrouwen Een natuurlijke of rechtspersoon die een of meer trustdiensten verleent als gekwalificeerde of als niet-gekwalificeerde verlener van trustdiensten - Definitie overeenkomstig artikel 3, punt 19, van Verordening (EU) nr. 910/2014 stelt, met betrekking tot significante incidenten die gevolgen hebben voor de verlening van zijn vertrouwensdiensten, het CSIRT of, indien van toepassing, de bevoegde autoriteit, zonder onnodige vertraging en in elk geval binnen 24 uur nadat hij van het significante incident kennis heeft gekregen, daarvan in kennis.
5. Het CSIRT of de bevoegde autoriteit verstrekt zonder onnodige vertraging en zo mogelijk binnen 24 uur na ontvangst van de in lid 4, onder a), bedoelde vroegtijdige waarschuwing een reactie aan de kennisgevende entiteit, met inbegrip van initiële feedback over het significante incident en, op verzoek van de entiteit, richtsnoeren of operationeel advies over de uitvoering van mogelijke risicobeperkende maatregelen. Wanneer het CSIRT niet de oorspronkelijke ontvanger van de in lid 1 bedoelde melding is, worden de richtsnoeren verstrekt door de bevoegde autoriteit in samenwerking met het CSIRT. Het CSIRT biedt aanvullende technische ondersteuning indien de betrokken entiteit daarom verzoekt. Wanneer wordt vermoed dat het ernstige incident van criminele aard is, verstrekt het CSIRT of de bevoegde autoriteit ook richtsnoeren voor de melding van het ernstige incident aan rechtshandhavingsinstanties.
6. In voorkomend geval, en met name wanneer het ernstige incident twee of meer lidstaten betreft, stelt het CSIRT, de bevoegde autoriteit of het centrale contactpunt de andere betrokken lidstaten en ENISA onverwijld in kennis van het ernstige incident. Daarbij wordt vermeld welk type informatie overeenkomstig lid 4 is ontvangen. Daarbij beschermt het CSIRT, de bevoegde autoriteit of het centrale contactpunt, overeenkomstig het recht van de Unie of het nationale recht, de veiligheids- en commerciële belangen van de entiteit, alsook de vertrouwelijkheid van de verstrekte informatie.
7. Wanneer de bewustmaking van het publiek noodzakelijk is om een ernstig incident te voorkomen of een lopend ernstig incident aan te pakken, of wanneer de openbaarmaking van het ernstige incident anderszins in het algemeen belang is, kan het CSIRT van een lidstaat of, indien van toepassing, de bevoegde autoriteit van die lidstaat en, indien van toepassing, de CSIRT's of de bevoegde autoriteiten van andere betrokken lidstaten, na overleg met de betrokken entiteit, het publiek over het ernstige incident informeren of de entiteit verplichten dit te doen.
8. Op verzoek van het CSIRT of de bevoegde autoriteit stuurt het ene loket de overeenkomstig lid 1 ontvangen kennisgevingen door naar de ene loketten van andere getroffen lidstaten.
9. Het centraal aanspreekpunt dient om de drie maanden bij ENISA een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen en bijna-ongelukken waarvan overeenkomstig lid 1 van dit artikel en artikel 30 kennis is gegeven. Om bij te dragen tot het verstrekken van vergelijkbare informatie kan ENISA technische richtsnoeren vaststellen voor de parameters van de informatie die in het samenvattend verslag moet worden opgenomen. ENISA informeert de samenwerkingsgroep en het CSIRT-netwerk om de zes maanden over zijn bevindingen inzake de ontvangen kennisgevingen.
10. De CSIRT's of, indien van toepassing, de bevoegde autoriteiten verstrekken de bevoegde autoriteiten uit hoofde van Richtlijn (EU) 2022/2557 informatie over significante incidenten, incidenten, cyberdreigingen en bijna-ongelukken die overeenkomstig lid 1 van dit artikel en artikel 30 zijn gemeld door entiteiten die uit hoofde van Richtlijn (EU) 2022/2557 als kritieke entiteiten zijn aangemerkt.
11. De Commissie kan uitvoeringshandelingen vaststellen ter nadere bepaling van het soort informatie, het formaat en de procedure van een overeenkomstig lid 1 van dit artikel en artikel 30 ingediende kennisgeving en van een overeenkomstig lid 2 van dit artikel ingediende mededeling.
Uiterlijk op 17 oktober 2024 zal de Commissie, met betrekking tot DNS-dienstverleners, TLD-naamregisters, cloudcomputingserviceCloud computing service Een digitale dienst die on-demand beheer en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook als deze bronnen over verschillende locaties zijn verspreid. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders, datacenterserviceDatacenterservice Een dienst die structuren of groepen van structuren omvat voor de gecentraliseerde accommodatie, interconnectie en werking van IT- en netwerkapparatuur die gegevensopslag, -verwerking en -transportdiensten levert, samen met alle faciliteiten en infrastructuren voor energiedistributie en omgevingscontrole. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders, content delivery netwerkNetwerk voor inhoudsoverdracht Een netwerk van geografisch gedistribueerde servers om namens aanbieders van inhoud en diensten te zorgen voor een hoge beschikbaarheid, toegankelijkheid of snelle levering van digitale inhoud en diensten aan internetgebruikers. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsook aanbieders van online markten, online zoekmachines en platforms voor sociale netwerkdiensten, uitvoeringshandelingen vaststellen waarin nader wordt bepaald in welke gevallen een incident als significant wordt beschouwd als bedoeld in lid 3. De Commissie kan dergelijke uitvoeringshandelingen vaststellen met betrekking tot andere essentiële en belangrijke entiteiten.
De Commissie wisselt overeenkomstig artikel 14, lid 4, onder e), advies uit en werkt samen met de samenwerkingsgroep aan de in de eerste en tweede alinea van dit lid bedoelde ontwerpuitvoeringshandelingen.
Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 39, lid 2, bedoelde onderzoeksprocedure.