1. De lidstaten dragen er zorg voor dat de toezichts- of handhavingsmaatregelen die met betrekking tot de in deze richtlijn neergelegde verplichtingen aan essentiële entiteiten worden opgelegd, doeltreffend, evenredig en afschrikkend zijn, rekening houdend met de omstandigheden van elk individueel geval.
2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun toezichthoudende taken met betrekking tot essentiële entiteiten de bevoegdheid hebben om die entiteiten ten minste te onderwerpen aan:
(a) inspecties op locatie en toezicht daarbuiten, met inbegrip van willekeurige controles door getrainde professionals;
(b) regelmatige en gerichte beveiligingsaudits door een onafhankelijke instantie of een bevoegde autoriteit;
(c) ad-hocaudits, ook wanneer deze gerechtvaardigd zijn op grond van een significant incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) of een inbreuk op deze richtlijn door de essentiële entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn);
(d) veiligheidsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) beoordelingscriteria, waar nodig met medewerking van de betrokken entiteit;
(e) verzoeken om informatie die nodig is om de cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; de door de betrokken entiteit vastgestelde risicobeheersmaatregelen, met inbegrip van gedocumenteerd beleid inzake cyberbeveiliging, alsook de naleving van de verplichting om informatie te verstrekken aan de bevoegde autoriteiten overeenkomstig artikel 27;
(f) verzoeken om toegang tot gegevens, documenten en informatie die zij nodig hebben om hun toezichthoudende taken uit te voeren;
(g) verzoeken om bewijs van de tenuitvoerlegging van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die zijn uitgevoerd door een gekwalificeerde auditor en de respectieve onderliggende bewijsstukken.
De in de eerste alinea, onder b), bedoelde gerichte beveiligingsaudits worden gebaseerd op risicobeoordelingen die door de bevoegde autoriteit of de gecontroleerde entiteit worden uitgevoerd, of op andere beschikbare risicogerelateerde informatie.
De resultaten van alle gerichte beveiligingsaudits worden ter beschikking gesteld van de bevoegde autoriteit. De kosten van een dergelijke gerichte beveiligingsaudit, die wordt uitgevoerd door een onafhankelijk orgaan, worden betaald door de entiteit waarop de audit betrekking heeft, behalve in naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit anders beslist.
3. Bij de uitoefening van hun bevoegdheden krachtens lid 2, onder e), f) of g), vermelden de bevoegde autoriteiten het doel van het verzoek en specificeren zij de gevraagde informatie.
4. De lidstaten zorgen ervoor dat hun bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van essentiële entiteiten ten minste de bevoegdheid hebben om:
(a) waarschuwingen geven bij inbreuken op deze richtlijn door de betrokken entiteiten;
(b) bindende instructies vast te stellen, onder meer met betrekking tot de maatregelen die nodig zijn om een incident te voorkomen of te verhelpen, alsook termijnen voor de tenuitvoerlegging van dergelijke maatregelen en voor de rapportage over de tenuitvoerlegging ervan, of een bevel waarbij de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuken op deze richtlijn te verhelpen;
(c) de betrokken entiteiten te gelasten een einde te maken aan gedragingen die een inbreuk vormen op deze richtlijn en dergelijke gedragingen niet meer te herhalen;
(d) de betrokken entiteiten gelasten ervoor te zorgen dat hun risicobeheersmaatregelen op het gebied van cyberbeveiliging voldoen aan artikel 21 of aan de rapportageverplichtingen van artikel 23, op een bepaalde wijze en binnen een bepaalde termijn;
(e) de betrokken entiteiten te gelasten de natuurlijke personen of rechtspersonen ten aanzien van wie zij diensten verrichten of activiteiten ontplooien en die mogelijk getroffen worden door een belangrijke cyberdreigingAanzienlijke cyberdreiging Een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat ze een ernstige impact kan hebben op het netwerk en de informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door aanzienlijke materiële of immateriële schade te veroorzaken. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) van de aard van de bedreiging en van alle mogelijke beschermende of corrigerende maatregelen die deze natuurlijke of rechtspersonen in reactie op die bedreiging kunnen nemen;
(f) de betrokken entiteiten opdragen de aanbevelingen die naar aanleiding van een beveiligingsaudit zijn gedaan, binnen een redelijke termijn uit te voeren;
(g) een met welomschreven taken belaste toezichthoudende functionaris aanwijzen die gedurende een bepaalde periode toeziet op de naleving van de artikelen 21 en 23 door de betrokken entiteiten;
(h) de betrokken entiteiten gelasten aspecten van inbreuken op deze richtlijn op een gespecificeerde wijze openbaar te maken;
(i) naast de onder a) tot en met h) van dit lid genoemde maatregelen, een bestuurlijke boete opleggen, of verzoeken dat de betrokken instanties, rechtbanken of gerechtshoven overeenkomstig het nationale recht een dergelijke boete opleggen, in aanvulling op de onder a) tot en met h) van dit lid genoemde maatregelen.
5. Wanneer de overeenkomstig lid 4, onder a) tot en met d) en f), genomen handhavingsmaatregelen niet doeltreffend zijn, dragen de lidstaten er zorg voor dat hun bevoegde autoriteiten een termijn kunnen vaststellen waarbinnen de essentiële entiteit wordt verzocht de nodige maatregelen te nemen om de tekortkomingen te verhelpen of aan de eisen van die autoriteiten te voldoen. Indien de gevraagde maatregelen niet binnen de gestelde termijn zijn genomen, zorgen de lidstaten ervoor dat hun bevoegde autoriteiten de bevoegdheid hebben om:
(a) een certificatie- of autorisatie-instantie of een rechterlijke instantie overeenkomstig de nationale wetgeving tijdelijk schorsen of verzoeken een certificatie of autorisatie tijdelijk te schorsen voor een deel of het geheel van de betrokken diensten die door de essentiële entiteit worden geleverd of activiteiten die door de essentiële entiteit worden uitgevoerd;
(b) te verzoeken dat de betrokken organen, rechtbanken of gerechtshoven, in overeenstemming met het nationale recht, een tijdelijk verbod uitvaardigen voor natuurlijke personen die belast zijn met het dragen van leidinggevende verantwoordelijkheid op het niveau van de algemeen directeur of de juridisch adviseur vertegenwoordigerVertegenwoordiger Een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een TLD-naamregister, een entiteit die domeinnaamregistratiediensten levert, een aanbieder van cloud computing-diensten, een aanbieder van datacenterdiensten, een aanbieder van een content delivery network, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten of een aanbieder van een online marktplaats, een online zoekmachine of een platform voor sociale netwerkdiensten die niet in de Unie is gevestigd, die door een bevoegde autoriteit of een CSIRT in de plaats van de entiteit zelf kan worden aangesproken met betrekking tot de verplichtingen van die entiteit uit hoofde van deze richtlijn. - Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) niveau in de essentiële entiteit van het uitoefenen van leidinggevende functies in die entiteit.
Overeenkomstig dit lid opgelegde tijdelijke schorsingen of verboden worden slechts toegepast totdat de betrokken entiteit de nodige maatregelen neemt om de tekortkomingen te verhelpen of te voldoen aan de eisen van de bevoegde autoriteit waarvoor deze handhavingsmaatregelen werden toegepast. Het opleggen van dergelijke tijdelijke schorsingen of verboden is onderworpen aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het recht van de Unie en het Handvest, met inbegrip van het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, het vermoeden van onschuld en de rechten van de verdediging.
De in dit lid bedoelde handhavingsmaatregelen zijn niet van toepassing op overheidsdiensten die onder deze richtlijn vallen.
6. De lidstaten zorgen ervoor dat een natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijk vertegenwoordiger van een essentiële entiteit op grond van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om zeggenschap over deze entiteit uit te oefenen, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn naleeft. De lidstaten zorgen ervoor dat deze natuurlijke personen aansprakelijk kunnen worden gesteld voor schending van hun plicht om de naleving van deze richtlijn te verzekeren.
Wat de entiteiten van het openbaar bestuur betreft, laat dit lid de nationale wetgeving inzake de aansprakelijkheid van ambtenaren en verkozen of benoemde ambtenaren onverlet.
7. Bij het nemen van een van de in lid 4 of lid 5 bedoelde handhavingsmaatregelen eerbiedigen de bevoegde autoriteiten de rechten van de verdediging en houden zij rekening met de omstandigheden van elk individueel geval, waarbij zij ten minste naar behoren rekening houden met:
(a) de ernst van de inbreuk en het belang van de geschonden bepalingen, waarbij onder meer het volgende in ieder geval een ernstige inbreuk vormt:
(i) herhaalde overtredingen;
(ii) het nalaten om belangrijke incidenten te melden of te verhelpen;
(iii) het niet verhelpen van tekortkomingen na bindende instructies van bevoegde autoriteiten;
(iv) het belemmeren van audits of monitoringactiviteiten waartoe de bevoegde autoriteit opdracht heeft gegeven na vaststelling van een inbreuk;
(v) het verstrekken van onjuiste of kennelijk onnauwkeurige informatie met betrekking tot risicobeheersmaatregelen voor cyberbeveiliging of rapportageverplichtingen overeenkomstig de artikelen 21 en 23;
(b) de duur van de inbreuk;
(c) eventuele relevante eerdere inbreuken door de betrokken entiteit;
(d) alle veroorzaakte materiële of immateriële schade, inclusief financieel of economisch verlies, effecten op andere diensten en het aantal getroffen gebruikers;
(e) opzet of nalatigheid van de pleger van de inbreuk;
(f) alle maatregelen die de entiteit heeft genomen om de materiële of immateriële schade te voorkomen of te beperken;
(g) eventuele naleving van goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen;
(h) de mate waarin de verantwoordelijk gehouden natuurlijke of rechtspersonen samenwerken met de bevoegde autoriteiten.
8. De bevoegde autoriteiten motiveren hun handhavingsmaatregelen uitvoerig. Alvorens dergelijke maatregelen vast te stellen, stellen de bevoegde instanties de betrokken entiteiten in kennis van hun voorlopige bevindingen. Zij geven deze entiteiten ook een redelijke termijn om opmerkingen te maken, behalve in naar behoren gemotiveerde gevallen waarin onmiddellijk optreden om incidenten te voorkomen of te bestrijden anders zou worden belemmerd.
9. De lidstaten zorgen ervoor dat hun overeenkomstig deze richtlijn bevoegde autoriteiten de relevante overeenkomstig Richtlijn (EU) 2022/2557 bevoegde autoriteiten in dezelfde lidstaat inlichten wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een entiteit die overeenkomstig Richtlijn (EU) 2022/2557 als kritieke entiteit is aangemerkt, aan deze richtlijn voldoet. In voorkomend geval kunnen de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2557 de bevoegde autoriteiten in het kader van deze richtlijn verzoeken hun toezichts- en handhavingsbevoegdheden uit te oefenen met betrekking tot een entiteit die overeenkomstig Richtlijn (EU) 2022/2557 als kritieke entiteit is aangemerkt.
10. De lidstaten zorgen ervoor dat hun bevoegde autoriteiten in het kader van deze richtlijn samenwerken met de relevante bevoegde autoriteiten van de betrokken lidstaat in het kader van Verordening (EU) nr. 2022/2554. De lidstaten zorgen er in het bijzonder voor dat hun overeenkomstig deze richtlijn bevoegde autoriteiten het bij artikel 32, lid 1, van Verordening (EU) nr. 2022/2554 opgerichte Oversight Forum inlichten wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een essentiële entiteit die overeenkomstig artikel 31 van Verordening (EU) nr. 2022/2554 als kritieke ICT-dienstverlener is aangemerkt, deze richtlijn naleeft.