Preambule

Overwegende hetgeen volgt:

(1) Kritieke entiteiten spelen als verleners van essentiële diensten een onmisbare rol bij de instandhouding van vitale maatschappelijke functies of economische activiteiten op de interne markt in een economie van de Unie die in toenemende mate onderling afhankelijk is. Daarom is het van essentieel belang een Uniekader vast te stellen om de weerbaarheid van kritieke entiteiten op de interne markt te vergroten door geharmoniseerde minimumvoorschriften vast te stellen en hen bij te staan door middel van coherente en gerichte steun- en toezichtmaatregelen.

(2) Richtlijn 2008/114/EG van de Raad (4 ) voorziet in een procedure voor de aanmerking van Europese kritieke infrastructuur in de sectoren energie en vervoer waarvan de verstoring of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten. Die richtlijn is uitsluitend gericht op de bescherming van dergelijke infrastructuur. Uit de in 2019 verrichte evaluatie van Richtlijn 2008/114/EG is echter gebleken dat, aangezien activiteiten waarbij gebruik wordt gemaakt van kritieke infrastructuur steeds meer met elkaar verweven en grensoverschrijdend van aard zijn, beschermende maatregelen met betrekking tot afzonderlijke bedrijfsmiddelen alleen onvoldoende zijn om alle verstoringen te voorkomen. Daarom moet de aanpak worden verlegd om ervoor te zorgen dat beter rekening wordt gehouden met de risico's, dat de rol en de taken van kritieke entiteiten als verrichters van diensten die essentieel zijn voor de werking van de interne markt, beter worden omschreven en coherenter zijn, en dat voorschriften van de Unie worden vastgesteld om de veerkracht van kritieke entiteiten te vergroten. Kritieke entiteiten zouden in staat moeten zijn hun vermogen te versterken om incidenten die de verlening van essentiële diensten kunnen verstoren, te voorkomen, zich ertegen te beschermen, erop te reageren, er weerstand aan te bieden, ze te beperken, ze op te vangen, eraan het hoofd te bieden en ervan te herstellen.

(3) Hoewel een aantal maatregelen op het niveau van de Unie, zoals het Europees programma voor de bescherming van kritieke infrastructuur, en op nationaal niveau tot doel hebben de bescherming van kritieke infrastructuur in de Unie te ondersteunen, zou meer moeten worden gedaan om de entiteiten die dergelijke infrastructuur exploiteren beter uit te rusten om het hoofd te bieden aan de risico's voor hun activiteiten die zouden kunnen leiden tot de verstoring van de levering van essentiële diensten. Er moet ook meer worden gedaan om dergelijke entiteiten beter uit te rusten, want er is een dynamisch dreigingslandschap, dat evoluerende hybride en terroristische dreigingen en een toenemende onderlinge afhankelijkheid tussen infrastructuur en sectoren omvat. Bovendien is er een toegenomen fysieke risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) ten gevolge van natuurrampen en klimaatverandering, die de frequentie en de omvang van extreme weersomstandigheden doet toenemen en op lange termijn veranderingen in de gemiddelde klimaatomstandigheden met zich meebrengt die de capaciteit, de efficiëntie en de levensduur van bepaalde infrastructuurtypes kunnen verminderen indien er geen klimaataanpassingsmaatregelen worden genomen. Bovendien wordt de interne markt gekenmerkt door versnippering wat de identificatie van kritieke entiteiten betreft, omdat relevante sectoren en categorieën entiteiten niet consequent in alle lidstaten als kritieke entiteiten worden erkend. Deze richtlijn moet daarom een solide niveau van harmonisatie bereiken wat betreft de sectoren en categorieën van entiteiten die onder het toepassingsgebied ervan vallen.

(4) Hoewel bepaalde sectoren van de economie, zoals de energie- en de vervoerssector, reeds worden gereguleerd door sectorspecifieke rechtshandelingen van de Unie, bevatten die rechtshandelingen bepalingen die slechts betrekking hebben op bepaalde aspecten van de veerkracht van entiteiten die in die sectoren actief zijn. Om de veerkracht van de entiteiten die van cruciaal belang zijn voor de goede werking van de interne markt op een omvattende manier aan te pakken, creëert deze richtlijn een overkoepelend kader dat de veerkracht van kritieke entiteiten met betrekking tot alle gevaren aanpakt, ongeacht of het natuurlijke of door de mens veroorzaakte, accidentele of opzettelijke gevaren betreft.

(5) De toenemende onderlinge afhankelijkheid tussen infrastructuur en sectoren is het resultaat van een in toenemende mate grensoverschrijdend en onderling afhankelijk dienstverleningsnetwerk dat gebruik maakt van essentiële infrastructuur in de hele Unie in de sectoren energie, vervoer, bankwezen, drinkwater, afvalwater, productie, verwerking en distributie van levensmiddelen, gezondheid, ruimtevaart, infrastructuur voor de financiële markt en digitale infrastructuur en in bepaalde aspecten van het openbaar bestuur. De ruimtevaartsector valt onder het toepassingsgebied van deze richtlijn voor wat betreft de levering van bepaalde diensten die afhankelijk zijn van grondinfrastructuur die eigendom is van, beheerd wordt door en geëxploiteerd wordt door hetzij lidstaten, hetzij private partijen; infrastructuur die eigendom is van, beheerd wordt door of geëxploiteerd wordt door of namens de Unie als onderdeel van haar ruimtevaartprogramma valt derhalve niet onder het toepassingsgebied van deze richtlijn.

Wat de energiesector en met name de methoden voor elektriciteitsopwekking en -transmissie (met betrekking tot de levering van elektriciteit) betreft, wordt ervan uitgegaan dat elektriciteitsopwekking, waar zulks passend wordt geacht, ook de transmissieonderdelen van kerncentrales kan omvatten, maar niet de specifiek nucleaire elementen die onder verdragen en het recht van de Unie, met inbegrip van de relevante rechtshandelingen van de Unie inzake kernenergie, vallen. Het proces voor de identificatie van kritieke entiteiten in de levensmiddelensector moet de aard van de interne markt in die sector en de uitgebreide voorschriften van de Unie betreffende de algemene beginselen en vereisten van de levensmiddelenwetgeving en de voedselveiligheid adequaat weerspiegelen. Met het oog op een evenredige aanpak en een goede afspiegeling van de rol en het belang van deze entiteiten op nationaal niveau, mogen kritieke entiteiten daarom alleen worden aangemerkt als levensmiddelenbedrijven, met of zonder winstoogmerk en publiek- of privaatrechtelijk, die zich uitsluitend bezighouden met logistiek en groothandel en grootschalige industriële productie en verwerking met een aanzienlijk marktaandeel, zoals waargenomen op nationaal niveau. Deze onderlinge afhankelijkheid houdt in dat elke verstoring van essentiële diensten, zelfs als die in eerste instantie beperkt blijft tot één entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) of één sector, kan op grotere schaal een kettingreactie teweegbrengen, met mogelijk verreikende en langdurige negatieve gevolgen voor de dienstverlening in de hele interne markt. Grote crises, zoals de COVID-19-pandemie, hebben aangetoond hoe kwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) van onze steeds meer onderling afhankelijke samenlevingen in het licht van risico's met een grote impact en een lage waarschijnlijkheid.

(6) De entiteiten die betrokken zijn bij het verlenen van essentiële diensten zijn in toenemende mate onderworpen aan uiteenlopende eisen die worden opgelegd door de nationale wetgeving. Het feit dat sommige lidstaten minder strenge beveiligingseisen aan deze entiteiten stellen, leidt niet alleen tot uiteenlopende niveaus van veerkracht, maar dreigt ook een negatief effect te hebben op de instandhouding van vitale maatschappelijke functies of economische activiteiten in de hele Unie en leidt tot belemmeringen voor de goede werking van de interne markt. Investeerders en bedrijven kunnen vertrouwen op kritieke entiteiten die veerkrachtig zijn, en betrouwbaarheid en vertrouwen zijn de hoekstenen van een goed functionerende interne markt. Vergelijkbare soorten entiteiten worden in sommige lidstaten als kritiek beschouwd, maar in andere niet, en voor entiteiten die als kritiek worden aangemerkt, gelden in de verschillende lidstaten uiteenlopende voorschriften. Dit leidt tot extra en onnodige administratieve lasten voor ondernemingen die grensoverschrijdend actief zijn, met name voor ondernemingen die actief zijn in lidstaten met strengere voorschriften. Een Uniekader zou daarom ook tot gevolg hebben dat het speelveld voor kritieke entiteiten in de hele Unie gelijk wordt getrokken.

(7) Er moeten geharmoniseerde minimumvoorschriften worden vastgesteld om de verlening van essentiële diensten op de interne markt te garanderen, de veerkracht van kritieke entiteiten te vergroten en de grensoverschrijdende samenwerking tussen bevoegde autoriteiten te verbeteren. Het is belangrijk dat deze regels toekomstbestendig zijn wat betreft hun ontwerp en uitvoering, en tegelijkertijd de nodige flexibiliteit mogelijk maken. Het is ook van cruciaal belang dat de capaciteit van kritieke entiteiten om essentiële diensten te verlenen in het licht van uiteenlopende risico's wordt verbeterd.

(8) Om een hoge mate van weerbaarheid te bereiken, moeten de lidstaten kritieke entiteiten aanwijzen waarvoor specifieke eisen en toezicht gelden en die bijzondere steun en begeleiding zullen krijgen met het oog op alle relevante risico's.

(9) Gezien het belang van cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; voor de veerkracht van kritieke entiteiten en in het belang van de consistentie moet waar mogelijk worden gezorgd voor een coherente aanpak tussen deze richtlijn en Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (5). In het licht van de hogere frequentie en de bijzondere kenmerken van cyberrisico's legt Richtlijn (EU) 2022/2555 uitgebreide eisen op aan een grote groep entiteiten om hun cyberbeveiliging te waarborgen. Aangezien cyberbeveiliging voldoende aan bod komt in Richtlijn (EU) 2022/2555, dienen de onder die richtlijn vallende aangelegenheden te worden uitgesloten van het toepassingsgebied van deze richtlijn, onverminderd de bijzondere regeling voor entiteiten in de digitale-infrastructuursector.

(10) Wanneer bepalingen van sectorspecifieke rechtshandelingen van de Unie kritieke entiteiten verplichten maatregelen te nemen om hun veerkracht te vergroten, en wanneer die eisen door de lidstaten worden erkend als ten minste gelijkwaardig aan de overeenkomstige verplichtingen die in deze richtlijn zijn neergelegd, dienen de desbetreffende bepalingen van deze richtlijn niet van toepassing te zijn, teneinde overlapping en onnodige lasten te voorkomen. In dat geval dienen de desbetreffende bepalingen van dergelijke rechtshandelingen van de Unie van toepassing te zijn. Wanneer de desbetreffende bepalingen van deze richtlijn niet van toepassing zijn, dienen de in deze richtlijn vastgestelde bepalingen inzake toezicht en handhaving evenmin van toepassing te zijn.

(11) Deze richtlijn doet geen afbreuk aan de bevoegdheid van de lidstaten en hun autoriteiten op het gebied van bestuurlijke autonomie, noch aan hun verantwoordelijkheid voor de bescherming van de nationale veiligheid en defensie of hun bevoegdheid om andere essentiële staatsfuncties te waarborgen, in het bijzonder met betrekking tot de openbare veiligheid, territoriale integriteit en handhaving van de openbare orde. De uitsluiting van overheidsdiensten van het toepassingsgebied van deze richtlijn dient te gelden voor diensten waarvan de activiteiten in hoofdzaak worden uitgeoefend op het gebied van nationale veiligheid, openbare veiligheid, defensie of wetshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten. Openbaar bestuurlijke entiteiten waarvan de activiteiten slechts zijdelings met deze gebieden verband houden, dienen echter binnen de werkingssfeer van deze richtlijn te vallen. Voor de toepassing van deze richtlijn worden entiteiten met regelgevende bevoegdheden niet geacht activiteiten op het gebied van rechtshandhaving te verrichten en worden zij om die reden niet van de werkingssfeer van deze richtlijn uitgesloten. Openbaar bestuurlijke entiteiten die gezamenlijk met een derde land zijn opgericht in overeenstemming met een internationale overeenkomst, zijn uitgesloten van het toepassingsgebied van deze richtlijn. Deze richtlijn is niet van toepassing op diplomatieke en consulaire missies van lidstaten in derde landen.

Bepaalde kritieke entiteiten verrichten activiteiten op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten, of verlenen uitsluitend diensten aan overheidsinstanties die hoofdzakelijk op die gebieden actief zijn. In het licht van de verantwoordelijkheid van de lidstaten voor het vrijwaren van de nationale veiligheid en defensie moeten de lidstaten kunnen besluiten dat de in deze richtlijn neergelegde verplichtingen voor kritieke entiteiten geheel of gedeeltelijk niet van toepassing zijn op deze kritieke entiteiten indien de diensten die zij verlenen of de activiteiten die zij uitoefenen overwegend verband houden met de nationale veiligheid, de openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten. Kritische entiteiten waarvan de diensten of activiteiten slechts marginaal verband houden met deze gebieden, dienen onder het toepassingsgebied van deze richtlijn te vallen. Van geen enkele lidstaat mag worden verlangd dat hij informatie verstrekt waarvan de openbaarmaking strijdig zou zijn met de wezenlijke belangen van zijn nationale veiligheid. Nationale of EU-voorschriften voor de bescherming van gerubriceerde informatie en geheimhoudingsovereenkomsten zijn van belang.

(12) Om de nationale veiligheid of de veiligheids- en commerciële belangen van kritieke entiteiten niet in gevaar te brengen, moet gevoelige informatie op voorzichtige wijze worden opgevraagd, uitgewisseld en behandeld, waarbij bijzondere aandacht moet worden besteed aan de gebruikte transmissiekanalen en opslagcapaciteit.

(13) Teneinde een alomvattende aanpak van de veerkracht van kritieke entiteiten te garanderen, dient elke lidstaat over een strategie te beschikken om de veerkracht van kritieke entiteiten te vergroten (de "strategie"). In de strategie moeten de strategische doelstellingen en de ten uitvoer te leggen beleidsmaatregelen worden vastgesteld. Met het oog op coherentie en efficiëntie moet de strategie zo worden ontworpen dat bestaande beleidsmaatregelen er naadloos in worden geïntegreerd, waarbij waar mogelijk wordt voortgebouwd op relevante bestaande nationale en sectorale strategieën, plannen of soortgelijke documenten. Om tot een alomvattende aanpak te komen, moeten de lidstaten ervoor zorgen dat hun strategieën voorzien in een beleidskader voor versterkte coördinatie tussen de bevoegde autoriteiten in het kader van deze richtlijn en de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2555 in de context van informatie-uitwisseling over cyberrisico's, cyberdreigingen en cyberincidenten en niet-cyberrisico's, -dreigingen en -incidenten en in de context van de uitoefening van toezichthoudende taken. Bij het opzetten van hun strategieën dienen de lidstaten terdege rekening te houden met het hybride karakter van bedreigingen voor kritieke entiteiten.

(14) De lidstaten moeten hun strategieën en wezenlijke actualiseringen daarvan aan de Commissie meedelen, met name om de Commissie in staat te stellen de correcte toepassing van deze richtlijn met betrekking tot beleidsbenaderingen inzake de veerkracht van kritieke entiteiten op nationaal niveau te beoordelen. Zo nodig kunnen de strategieën als gerubriceerde informatie worden meegedeeld. De Commissie dient een samenvattend verslag op te stellen van de door de lidstaten meegedeelde strategieën, dat als basis kan dienen voor uitwisselingen om beproefde methoden en aangelegenheden van gemeenschappelijk belang vast te stellen in het kader van een Groep weerbaarheid kritieke entiteiten. Gezien de gevoelige aard van de al dan niet gerubriceerde geaggregeerde informatie in het samenvattend verslag, dient de Commissie bij het beheer van het samenvattend verslag de nodige aandacht te besteden aan de beveiliging van kritieke entiteiten, de lidstaten en de Unie. Het samenvattend verslag en de strategieën moeten worden beschermd tegen onwettige of kwaadwillige handelingen en mogen alleen toegankelijk zijn voor gemachtigde personen teneinde de doelstellingen van deze richtlijn te verwezenlijken. De mededeling van de strategieën en van wezenlijke actualiseringen daarvan moet de Commissie ook helpen inzicht te verwerven in de ontwikkelingen op het gebied van de aanpak van de veerkracht van kritieke entiteiten en moet bijdragen tot het toezicht op het effect en de toegevoegde waarde van deze richtlijn, die de Commissie periodiek dient te evalueren.

(15) De maatregelen van de lidstaten om de veerkracht van kritieke entiteiten in kaart te brengen en te helpen verzekeren, dienen een risicogebaseerde aanpak te volgen waarbij de nadruk ligt op de entiteiten die het meest relevant zijn voor het vervullen van vitale maatschappelijke functies of economische activiteiten. Teneinde een dergelijke gerichte aanpak te garanderen, dient elke lidstaat binnen een geharmoniseerd kader een beoordeling uit te voeren van de relevante natuurlijke en door de mens veroorzaakte risico's, met inbegrip van risico's van sectoroverschrijdende of grensoverschrijdende aard, die de verstrekking van essentiële diensten kunnen beïnvloeden, zoals ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid zoals pandemieën en hybride dreigingen of andere antagonistische dreigingen, met inbegrip van terroristische misdrijven, criminele infiltratie en sabotage ("risicobeoordeling van de lidstaat"). Bij de uitvoering van de risicobeoordelingen van de lidstaten moeten de lidstaten rekening houden met andere algemene of sectorspecifieke risicobeoordelingen die zijn uitgevoerd krachtens andere rechtshandelingen van de Unie en moeten zij rekening houden met de mate waarin sectoren van elkaar afhankelijk zijn, met inbegrip van sectoren in andere lidstaten en derde landen. De resultaten van de risicobeoordelingen van de lidstaten moeten worden gebruikt om kritieke entiteiten te identificeren en deze entiteiten bij te staan bij het voldoen aan hun veerkrachtvereisten. Deze richtlijn is alleen van toepassing op lidstaten en kritieke entiteiten die binnen de Unie actief zijn. Niettemin kunnen de deskundigheid en de kennis die door de bevoegde autoriteiten, met name via risicobeoordelingen, en door de Commissie, met name via diverse vormen van ondersteuning en samenwerking, worden gegenereerd, waar passend en in overeenstemming met de toepasselijke rechtsinstrumenten, worden gebruikt ten behoeve van derde landen, met name die in de onmiddellijke nabijheid van de Unie, door deel te nemen aan de bestaande samenwerking op het gebied van veerkracht.

(16) Om ervoor te zorgen dat alle relevante entiteiten aan de voorschriften van deze richtlijn inzake de veerkracht van kritieke infrastructuur worden onderworpen en om verschillen in dat verband te beperken, is het van belang geharmoniseerde regels vast te stellen die een consistente identificatie van kritieke entiteiten in de hele Unie mogelijk maken en tegelijkertijd de lidstaten in staat stellen de rol en het belang van die entiteiten op nationaal niveau adequaat weer te geven. Bij de toepassing van de in deze richtlijn neergelegde criteria dient elke lidstaat de entiteiten te identificeren die een of meer essentiële diensten verlenen en die kritieke infrastructuur exploiteren en zich op zijn grondgebied bevinden. Een entiteit wordt geacht actief te zijn op het grondgebied van een lidstaat waar zij activiteiten verricht die nodig zijn voor de betrokken essentiële dienst(en) en waar zich de kritieke infrastructuur van die entiteit bevindt die wordt gebruikt om die dienst(en) te verlenen. Wanneer in een lidstaat geen entiteit aan deze criteria voldoet, is die lidstaat niet verplicht een kritieke entiteit in de overeenkomstige sector of subsector aan te wijzen. Met het oog op doeltreffendheid, efficiëntie, consistentie en rechtszekerheid moeten passende voorschriften worden vastgesteld om entiteiten ervan in kennis te stellen dat zij als kritieke entiteit zijn aangemerkt.

(17) De lidstaten dienen de Commissie, op een wijze die beantwoordt aan de doelstellingen van deze richtlijn, een lijst voor te leggen van essentiële diensten, het aantal kritieke entiteiten dat is geïdentificeerd voor elk van de in de bijlage genoemde sectoren en subsectoren en voor de essentiële dienst of diensten die elke entiteit levert en, indien van toepassing, drempels. Het moet mogelijk zijn om drempels als zodanig of in geaggregeerde vorm te presenteren, wat betekent dat de informatie kan worden gemiddeld per geografisch gebied, per jaar, per sector, per subsector of op een andere manier, en informatie kan bevatten over het bereik van de verstrekte indicatoren.

(18) Er moeten criteria worden vastgesteld om de ernst te bepalen van een verstorend effect dat wordt veroorzaakt door een incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn). Deze criteria moeten voortbouwen op de criteria die zijn vastgesteld in Richtlijn (EU) 2016/1148/EG van het Europees Parlement en de Raad (6 ) om te profiteren van de inspanningen van de lidstaten om exploitanten van essentiële diensten zoals gedefinieerd in die richtlijn te identificeren en van de ervaring die in dat verband is opgedaan. Grote crises, zoals de COVID-19-pandemie, hebben aangetoond hoe belangrijk het is de veiligheid van de bevoorradingsketen te waarborgen en hoe de verstoring ervan negatieve economische en maatschappelijke gevolgen kan hebben in een groot aantal sectoren en over de grenzen heen. Daarom moeten de lidstaten bij het bepalen van de mate waarin andere sectoren en subsectoren afhankelijk zijn van de essentiële dienst die door een kritieke entiteit wordt verleend, voor zover mogelijk ook rekening houden met de gevolgen voor de bevoorradingsketen.

(19) Overeenkomstig het toepasselijke recht van de Unie en de lidstaten, met inbegrip van Verordening (EU) 2019/452 van het Europees Parlement en de Raad (7 ), waarbij een kader voor de screening van buitenlandse directe investeringen in de Unie wordt vastgesteld, moet de potentiële dreiging die uitgaat van buitenlands eigendom van kritieke infrastructuur in de Unie worden erkend, omdat diensten, de economie en het vrije verkeer en de veiligheid van burgers van de Unie afhankelijk zijn van de goede werking van kritieke infrastructuur.

(20) Op grond van Richtlijn (EU) 2022/2555 moeten entiteiten die behoren tot de digitale-infrastructuursector en die op grond van deze richtlijn als kritieke entiteiten kunnen worden aangemerkt, passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de digitale-infrastructuursector te beheren. beveiliging van netwerk- en informatiesystemenBeveiliging van netwerk- en informatiesystemen Het vermogen van netwerk- en informatiesystemen om met een gegeven mate van betrouwbaarheid bestand te zijn tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door deze netwerk- en informatiesystemen worden aangeboden of via deze toegankelijk zijn, in gevaar kunnen brengen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) en aanzienlijke incidenten en cyberdreigingen te melden. Aangezien bedreigingen voor de veiligheid van netwerk- en informatiesystemen verschillende oorzaken kunnen hebben, wordt in Richtlijn (EU) 2022/2555 een alle risico's omvattende aanpak gehanteerd die zowel de veerkracht van netwerk- en informatiesystemen als de fysieke componenten en de omgeving van die systemen omvat.

Aangezien de desbetreffende voorschriften van Richtlijn (EU) 2022/2555 ten minste gelijkwaardig zijn aan de overeenkomstige verplichtingen van deze richtlijn, dienen de verplichtingen van artikel 11 en de hoofdstukken III, IV en VI van deze richtlijn niet van toepassing te zijn op entiteiten die tot de digitale-infrastructuursector behoren, teneinde overlapping en onnodige administratieve lasten te voorkomen. Gezien het belang van de diensten die entiteiten uit de digitale-infrastructuursector verlenen aan kritieke entiteiten uit alle andere sectoren, dienen de lidstaten echter op basis van de criteria en met gebruikmaking van de procedure waarin deze richtlijn voorziet, entiteiten uit de digitale-infrastructuursector als kritieke entiteiten aan te merken. Bijgevolg dienen de strategieën, de risicobeoordelingen van de lidstaten en de ondersteunende maatregelen van hoofdstuk II van deze richtlijn van toepassing te zijn. De lidstaten moeten bepalingen van nationaal recht kunnen vaststellen of handhaven om een hoger niveau van veerkracht voor deze kritieke entiteiten te bereiken, mits deze bepalingen in overeenstemming zijn met het toepasselijke recht van de Unie.

(21) De wetgeving van de Unie inzake financiële diensten bevat uitgebreide voorschriften voor financiële entiteiten om alle risico's waarmee zij worden geconfronteerd, met inbegrip van operationele risico's, te beheren en de bedrijfscontinuïteit te waarborgen. Deze wetgeving omvat de Verordeningen (EU) nr. 648/2012 (8 ), (EU) nr. 575/2013 (9 ) en (EU) nr. 600/2014 (10 ) van het Europees Parlement en de Raad en de Richtlijnen 2013/36/EU (11 ) en 2014/65/EU (12 ) van het Europees Parlement en de Raad. Dat rechtskader wordt aangevuld door Verordening (EU) nr. 2022/2554 van het Europees Parlement en de Raad (13 ), waarin de eisen zijn vastgesteld die gelden voor financiële entiteiten om risico's op het gebied van informatie- en communicatietechnologie (ICT) te beheren, onder meer met betrekking tot de bescherming van fysieke ICT-infrastructuur. Aangezien de weerbaarheid van deze entiteiten derhalve alomvattend is, dienen artikel 11 en de hoofdstukken III, IV en VI van deze richtlijn niet op deze entiteiten van toepassing te zijn om overlapping en onnodige administratieve lasten te voorkomen.

Gezien het belang van de diensten die entiteiten in de financiële sector verlenen aan kritieke entiteiten die tot alle andere sectoren behoren, dienen de lidstaten echter, op basis van de criteria en met gebruikmaking van de procedure waarin deze richtlijn voorziet, entiteiten in de financiële sector als kritieke entiteiten aan te merken. Bijgevolg dienen de strategieën, de risicobeoordelingen van de lidstaten en de ondersteunende maatregelen van hoofdstuk II van deze richtlijn van toepassing te zijn. De lidstaten moeten bepalingen van nationaal recht kunnen vaststellen of handhaven om een hoger niveau van veerkracht voor deze kritieke entiteiten te bereiken, mits deze bepalingen in overeenstemming zijn met het toepasselijke Unierecht.

(22) De lidstaten moeten autoriteiten aanwijzen of oprichten die bevoegd zijn voor het toezicht op de toepassing en, indien nodig, de handhaving van de voorschriften van deze richtlijn en ervoor zorgen dat deze autoriteiten over voldoende bevoegdheden en middelen beschikken. In het licht van de verschillen in nationale governancestructuren, teneinde bestaande sectorale regelingen of toezichthoudende en regelgevende instanties van de Unie te vrijwaren en overlapping te voorkomen, moeten de lidstaten meer dan één bevoegde autoriteit kunnen aanwijzen of oprichten. Wanneer de lidstaten meer dan één bevoegde autoriteit aanwijzen of oprichten, dienen zij de respectieve taken van de betrokken autoriteiten duidelijk af te bakenen en ervoor te zorgen dat deze soepel en doeltreffend samenwerken. Alle bevoegde autoriteiten moeten ook meer in het algemeen samenwerken met andere relevante autoriteiten, zowel op het niveau van de Unie als op nationaal niveau.

(23) Teneinde grensoverschrijdende samenwerking en communicatie te vergemakkelijken en een doeltreffende tenuitvoerlegging van deze richtlijn mogelijk te maken, dient elke lidstaat, onverminderd de voorschriften van sectorspecifieke rechtshandelingen van de Unie, één contactpunt aan te wijzen dat verantwoordelijk is voor het coördineren van kwesties in verband met de veerkracht van kritieke entiteiten en grensoverschrijdende samenwerking op het niveau van de Unie ("één contactpunt"), in voorkomend geval binnen een bevoegde autoriteit. Elk één-loket moet in voorkomend geval contact onderhouden en de communicatie coördineren met de bevoegde autoriteiten van zijn lidstaat, met de één-loketten van andere lidstaten en met de Groep weerbaarheid kritieke entiteiten.

(24) De bevoegde autoriteiten in het kader van deze richtlijn en de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2555 dienen samen te werken en informatie uit te wisselen met betrekking tot cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten en niet-cyberrisico's, -dreigingen en -incidenten die kritieke entiteiten treffen, alsook met betrekking tot relevante maatregelen die door de bevoegde autoriteiten in het kader van deze richtlijn en de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2555 zijn genomen. Het is van belang dat de lidstaten ervoor zorgen dat de voorschriften waarin deze richtlijn en Richtlijn (EU) 2022/2555 voorzien, op complementaire wijze ten uitvoer worden gelegd en dat kritieke entiteiten niet worden onderworpen aan administratieve lasten die verder gaan dan nodig is om de doelstellingen van deze richtlijn en die richtlijn te verwezenlijken.

(25) De lidstaten dienen kritieke entiteiten, met inbegrip van die welke als kleine of middelgrote ondernemingen kunnen worden aangemerkt, te ondersteunen bij het versterken van hun veerkracht, in overeenstemming met de in deze richtlijn neergelegde verplichtingen van de lidstaten, onverminderd de eigen wettelijke verantwoordelijkheid van de kritieke entiteiten om voor die naleving te zorgen en daarbij buitensporige administratieve lasten te voorkomen. De lidstaten zouden met name richtsnoeren en methodologieën kunnen ontwikkelen, de organisatie van oefeningen om de veerkracht van kritieke entiteiten te testen kunnen ondersteunen en advies en opleiding aan het personeel van kritieke entiteiten kunnen verstrekken. Waar nodig en gerechtvaardigd door doelstellingen van algemeen belang, zouden de lidstaten financiële middelen ter beschikking kunnen stellen en zouden zij de vrijwillige uitwisseling van informatie en van goede praktijken tussen kritieke entiteiten kunnen vergemakkelijken, onverminderd de toepassing van de mededingingsregels die zijn neergelegd in het Verdrag betreffende de werking van de Europese Unie (VWEU).

(26) Teneinde de veerkracht van de door de lidstaten geïdentificeerde kritieke entiteiten te vergroten en de administratieve lasten voor deze kritieke entiteiten te beperken, dienen de bevoegde autoriteiten elkaar waar nodig te raadplegen om ervoor te zorgen dat deze richtlijn op consistente wijze wordt toegepast. Dit overleg dient op verzoek van een belanghebbende bevoegde autoriteit plaats te vinden en dient erop gericht te zijn een convergente aanpak te garanderen met betrekking tot onderling verbonden kritieke entiteiten die gebruikmaken van kritieke infrastructuur die fysiek verbonden is tussen twee of meer lidstaten, die deel uitmaken van dezelfde groepen of bedrijfsstructuren, of die in een lidstaat zijn geïdentificeerd en die essentiële diensten verlenen aan of in andere lidstaten.

(27) Wanneer bepalingen van Unierecht of nationaal recht voorschrijven dat kritieke entiteiten de voor de toepassing van deze richtlijn relevante risico's moeten beoordelen en maatregelen moeten nemen om hun eigen veerkracht te waarborgen, moet met deze voorschriften terdege rekening worden gehouden bij het toezicht op de naleving van deze richtlijn door kritieke entiteiten.

(28) Kritische entiteiten dienen een volledig inzicht te hebben in de relevante risico's waaraan zij zijn blootgesteld en dienen de plicht te hebben deze risico's te analyseren. Daartoe dienen zij risicobeoordelingen uit te voeren telkens wanneer dat nodig is in het licht van hun specifieke omstandigheden en de ontwikkeling van die risico's, en in elk geval om de vier jaar, om alle relevante risico's te beoordelen die de verrichting van hun essentiële diensten zouden kunnen verstoren ("risicobeoordeling van een kritieke entiteit"). Wanneer kritieke entiteiten andere risicobeoordelingen hebben uitgevoerd of documenten hebben opgesteld krachtens verplichtingen die zijn neergelegd in andere wetgevingsbesluiten en die relevant zijn voor hun risicobeoordeling van kritieke entiteiten, moeten zij van die beoordelingen en documenten gebruik kunnen maken om te voldoen aan de in deze richtlijn neergelegde vereisten inzake risicobeoordelingen van kritieke entiteiten. Een bevoegde autoriteit moet kunnen verklaren dat een bestaande risicobeoordeling die door een kritieke entiteit is uitgevoerd en die betrekking heeft op de relevante risico's en de relevante mate van afhankelijkheid, geheel of gedeeltelijk in overeenstemming is met de in deze richtlijn neergelegde verplichtingen.

(29) Kritieke entiteiten dienen technische, organisatorische en beveiligingsmaatregelen te nemen die passend zijn en in verhouding staan tot de risico's waarmee zij worden geconfronteerd, teneinde een incident te voorkomen, er bescherming tegen te bieden, erop te reageren, weerstand te bieden, de gevolgen ervan te beperken, het te absorberen, zich erbij neer te leggen en ervan te herstellen. Hoewel kritieke entiteiten deze maatregelen in overeenstemming met deze richtlijn moeten nemen, moeten de details en de omvang van deze maatregelen op passende en evenredige wijze de verschillende risico's weerspiegelen die elke kritieke entiteit in het kader van haar risicobeoordeling van een kritieke entiteit heeft vastgesteld, alsmede de specifieke kenmerken van die entiteit. Teneinde een samenhangende EU-aanpak te bevorderen, dient de Commissie, na raadpleging van de werkgroep weerbaarheid kritieke entiteiten, niet-bindende richtsnoeren vast te stellen om deze technische, beveiligings- en organisatorische maatregelen nader te specificeren. De lidstaten dienen erop toe te zien dat elke kritieke entiteit een verbindingsfunctionaris of een gelijkwaardige functionaris aanwijst als contactpunt met de bevoegde autoriteiten.

(30) In het belang van de doeltreffendheid en de verantwoordingsplicht moeten kritieke entiteiten de maatregelen die zij nemen, gelet op de geïdentificeerde risico's, beschrijven in een weerbaarheidsplan of in een document of documenten die gelijkwaardig zijn aan een weerbaarheidsplan, met een mate van detail waarmee de doelstellingen van doeltreffendheid en verantwoordingsplicht voldoende worden verwezenlijkt, en moeten zij dat plan in de praktijk toepassen. Wanneer een kritieke entiteit reeds technische, organisatorische en beveiligingsmaatregelen heeft genomen en documenten heeft opgesteld krachtens andere wetgevingsbesluiten die relevant zijn voor de veerkrachtverhogende maatregelen in het kader van deze richtlijn, moet zij, om dubbel werk te voorkomen, van die maatregelen en documenten gebruik kunnen maken om aan de eisen inzake veerkrachtmaatregelen in het kader van deze richtlijn te voldoen. Om doublures te voorkomen, moet een bevoegde autoriteit bestaande weerbaarheidsmaatregelen van een kritieke entiteit die betrekking hebben op haar verplichting om overeenkomstig deze richtlijn technische, beveiligings- en organisatorische maatregelen te nemen, geheel of gedeeltelijk in overeenstemming met de eisen van deze richtlijn kunnen verklaren.

(31) Bij Verordening (EG) nr. 725/2004 (14) en Verordening (EG) nr. 300/2008 (15 ) van het Europees Parlement en de Raad en Richtlijn 2005/65/EG van het Europees Parlement en de Raad (16 ) zijn eisen vastgesteld die van toepassing zijn op entiteiten in de sectoren lucht- en zeevervoer om incidenten veroorzaakt door wederrechtelijke daden te voorkomen en om weerstand te bieden aan dergelijke incidenten en de gevolgen ervan te beperken. Hoewel de krachtens deze richtlijn vereiste maatregelen ruimer zijn wat betreft de risico's die worden aangepakt en de soorten maatregelen die moeten worden genomen, dienen de kritieke entiteiten in die sectoren in hun weerbaarheidsplan of gelijkwaardige documenten de maatregelen weer te geven die krachtens die andere rechtshandelingen van de Unie zijn genomen. Kritische entiteiten moeten ook rekening houden met Richtlijn 2008/96/EG van het Europees Parlement en de Raad (17 ), die voorziet in een wegenbeoordeling voor het hele netwerk om het risico op ongevallen in kaart te brengen en een gerichte verkeersveiligheidsinspectie om gevaarlijke omstandigheden, defecten en problemen op te sporen die het risico op ongevallen en verwondingen verhogen, gebaseerd op bezoeken ter plaatse aan bestaande wegen of weggedeelten. Het waarborgen van de bescherming en veerkracht van kritieke entiteiten is van het grootste belang voor de spoorwegsector en bij de tenuitvoerlegging van veerkrachtmaatregelen in het kader van deze richtlijn worden kritieke entiteiten aangemoedigd om te verwijzen naar niet-bindende richtsnoeren en documenten met goede praktijken die zijn ontwikkeld in het kader van sectorale werkstromen, zoals het bij Besluit 2018/C 232/03 van de Commissie (18 ) opgerichte EU-platform voor de beveiliging van treinreizigers.

(32) Het risico dat werknemers van kritieke entiteiten of hun contractanten misbruik maken van bijvoorbeeld hun toegangsrechten binnen de organisatie van de kritieke entiteit om schade te berokkenen, is een punt van toenemende zorg. De lidstaten dienen derhalve de voorwaarden te specificeren waaronder kritieke entiteiten, in naar behoren gemotiveerde gevallen en rekening houdend met risicobeoordelingen van de lidstaten, verzoeken kunnen indienen om achtergrondcontroles van personen die tot specifieke categorieën van hun personeel behoren. Er moet voor worden gezorgd dat de betrokken autoriteiten dergelijke verzoeken binnen een redelijke termijn beoordelen en behandelen in overeenstemming met de nationale wetgeving en procedures en het relevante en toepasselijke recht van de Unie, onder meer inzake de bescherming van persoonsgegevens. Ter bevestiging van de identiteit van een persoon die aan een antecedentenonderzoek wordt onderworpen, is het passend dat de lidstaten overeenkomstig het toepasselijke recht een identiteitsbewijs verlangen, zoals een paspoort, een nationale identiteitskaart of een digitale vorm van identificatie.

Achtergrondcontroles moeten een controle van het strafregister van de betrokken persoon omvatten. De lidstaten dienen gebruik te maken van het Europees Strafregister Informatiesysteem overeenkomstig de procedures die zijn vastgesteld in Kaderbesluit 2009/315/JBZ van de Raad (19 ) en, indien relevant en van toepassing, Verordening (EU) 2019/816 van het Europees Parlement en de Raad (20 ) om informatie te verkrijgen uit strafregisters die in het bezit zijn van andere lidstaten. De lidstaten kunnen, voor zover relevant en van toepassing, ook gebruikmaken van het Schengeninformatiesysteem van de tweede generatie (SIS II) dat is ingesteld bij Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (21 ), van inlichtingen en van alle andere beschikbare objectieve informatie die nodig kan zijn om de geschiktheid van de betrokken persoon te bepalen om te werken in de functie waarvoor de kritische entiteit om een antecedentenonderzoek heeft verzocht.

(33) Er dient een mechanisme voor de melding van bepaalde incidenten te worden ingesteld om de bevoegde autoriteiten in staat te stellen snel en adequaat op incidenten te reageren en een volledig overzicht te krijgen van de impact, aard, oorzaak en mogelijke gevolgen van incidenten waarmee de kritieke entiteiten te maken hebben. Kritische entiteiten dienen de bevoegde autoriteiten onverwijld in kennis te stellen van incidenten die de verlening van essentiële diensten in aanzienlijke mate verstoren of kunnen verstoren. Tenzij zij hiertoe operationeel niet in staat zijn, dienen kritieke entiteiten uiterlijk 24 uur nadat zij kennis hebben gekregen van een incident een eerste kennisgeving in te dienen. De eerste melding mag alleen de informatie bevatten die strikt noodzakelijk is om de bevoegde autoriteit op de hoogte te brengen van het incident en om de kritieke entiteit in staat te stellen zo nodig bijstand te vragen. Waar mogelijk moet de vermoedelijke oorzaak van het incident worden vermeld. De lidstaten dienen ervoor te zorgen dat de verplichting om die eerste kennisgeving in te dienen de middelen van de kritieke entiteit niet afleidt van activiteiten die verband houden met incidentafhandelingIncidentafhandeling Alle acties en procedures om een incident te voorkomen, op te sporen, te analyseren en in te dammen of om te reageren op en te herstellen van een incident. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)die prioriteit moeten krijgen. De eerste melding moet, indien van toepassing, worden gevolgd door een gedetailleerd rapport, uiterlijk een maand na het incident. Het gedetailleerde rapport moet de initiële melding aanvullen en een vollediger overzicht geven van het incident.

(34) Normalisatie moet in de eerste plaats een marktgestuurd proces blijven. Er kunnen zich echter nog steeds situaties voordoen waarin het passend is de naleving van specifieke normen voor te schrijven. De lidstaten moeten, waar dat nuttig is, het gebruik aanmoedigen van Europese en internationale normen en technische specificaties die relevant zijn voor de beveiligings- en veerkrachtmaatregelen die op kritieke entiteiten van toepassing zijn.

(35) Hoewel kritieke entiteiten over het algemeen functioneren als onderdeel van een steeds nauwer verweven netwerk van dienstverlening en infrastructuur en vaak essentiële diensten verlenen in meer dan één lidstaat, zijn sommige van deze kritieke entiteiten van bijzonder belang voor de Unie en haar interne markt omdat zij essentiële diensten verlenen aan of in zes of meer lidstaten en derhalve in aanmerking zouden kunnen komen voor specifieke steun op het niveau van de Unie. Daarom moeten voorschriften worden vastgesteld voor adviesopdrachten met betrekking tot dergelijke kritieke entiteiten van bijzonder Europees belang. Deze voorschriften laten de in deze richtlijn vastgestelde voorschriften inzake toezicht en handhaving onverlet.

(36) Op een met redenen omkleed verzoek van de Commissie of van een of meer lidstaten waaraan of waarin de essentiële dienst wordt verleend, dient de lidstaat die een kritieke entiteit van bijzonder Europees belang als kritieke entiteit heeft aangemerkt, wanneer aanvullende informatie nodig is om een kritieke entiteit te kunnen adviseren bij het nakomen van haar verplichtingen uit hoofde van deze richtlijn of om te kunnen beoordelen of een kritieke entiteit van bijzonder Europees belang deze verplichtingen nakomt, de Commissie bepaalde in deze richtlijn omschreven informatie te verstrekken. In overleg met de lidstaat die de kritieke entiteit van bijzonder Europees belang als kritieke entiteit heeft aangemerkt, moet de Commissie een adviesmissie kunnen organiseren om de door die entiteit genomen maatregelen te beoordelen. Om ervoor te zorgen dat dergelijke adviesmissies naar behoren worden uitgevoerd, moeten aanvullende voorschriften worden vastgesteld, met name betreffende de organisatie en de uitvoering van de adviesmissies, de te nemen follow-upmaatregelen en de verplichtingen voor de betrokken kritieke entiteiten van bijzonder Europees belang. Onverminderd de noodzaak dat de lidstaat waar de adviserende missie plaatsvindt en de betrokken kritieke entiteit de in deze richtlijn neergelegde voorschriften naleven, moet de adviserende missie worden uitgevoerd met inachtneming van de gedetailleerde voorschriften van het recht van die lidstaat, bijvoorbeeld betreffende de precieze voorwaarden waaraan moet worden voldaan om toegang te krijgen tot relevante gebouwen of documenten en betreffende beroep op de rechter. Specifieke deskundigheid die nodig is voor dergelijke adviesmissies kan, indien van toepassing, worden opgevraagd via het bij Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad (22 ) opgerichte coördinatiecentrum voor respons in noodsituaties.

(37) Teneinde de Commissie te ondersteunen en de samenwerking tussen de lidstaten en de uitwisseling van informatie, met inbegrip van beproefde methoden, betreffende aangelegenheden die met deze richtlijn verband houden, te vergemakkelijken, dient bij wijze van deskundigengroep van de Commissie een Groep weerbaarheid kritieke entiteiten te worden opgericht. De lidstaten dienen ernaar te streven dat de door hun bevoegde autoriteiten in de Groep weerbaarheid kritieke entiteiten aangewezen vertegenwoordigers daadwerkelijk en efficiënt samenwerken, onder meer door in voorkomend geval vertegenwoordigers met een veiligheidsmachtiging aan te wijzen. De groep voor de veerkracht van kritieke entiteiten dient zo spoedig mogelijk met de uitvoering van zijn taken te beginnen, teneinde tijdens de omzettingsperiode van deze richtlijn over extra middelen voor passende samenwerking te beschikken. De Groep weerbaarheid kritieke entiteiten dient te interageren met andere relevante sectorspecifieke werkgroepen van deskundigen.

(38) De Groep weerbaarheid kritieke entiteiten dient samen te werken met de bij Richtlijn (EU) 2022/2555 opgerichte samenwerkingsgroep ter ondersteuning van een alomvattend kader voor de cyber- en niet-cyberveerkracht van kritieke entiteiten. De Groep weerbaarheid kritieke entiteiten en de bij Richtlijn (EU) 2022/2555 opgerichte samenwerkingsgroep dienen een regelmatige dialoog aan te gaan om de samenwerking tussen de bevoegde autoriteiten in het kader van deze richtlijn en de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2555 te bevorderen en de uitwisseling van informatie te vergemakkelijken, met name over onderwerpen die voor beide groepen van belang zijn.

(39) Teneinde de doelstellingen van deze richtlijn te bereiken en onverminderd de wettelijke verantwoordelijkheid van de lidstaten en de kritieke entiteiten om ervoor te zorgen dat zij hun respectieve verplichtingen uit hoofde van deze richtlijn nakomen, dient de Commissie, wanneer zij dit passend acht, de bevoegde autoriteiten en de kritieke entiteiten te ondersteunen teneinde de naleving van hun respectieve verplichtingen te vergemakkelijken. Bij het verlenen van steun aan lidstaten en kritieke entiteiten voor de uitvoering van verplichtingen uit hoofde van deze richtlijn dient de Commissie voort te bouwen op bestaande structuren en instrumenten, zoals die in het kader van het EU-mechanisme voor civiele bescherming, dat is ingesteld bij Besluit nr. 1313/2013/EU, en het Europees referentienetwerk voor de bescherming van kritieke infrastructuur. Daarnaast moet zij de lidstaten informeren over de middelen die op het niveau van de Unie beschikbaar zijn, zoals in het kader van het Fonds voor interne veiligheid, dat is opgericht bij Verordening (EU) 2021/1149 van het Europees Parlement en de Raad (23 ), Horizon Europe, dat is opgericht bij Verordening (EU) 2021/695 van het Europees Parlement en de Raad (24 ), of andere instrumenten die relevant zijn voor de veerkracht van kritieke entiteiten.

(40) De lidstaten moeten ervoor zorgen dat hun bevoegde autoriteiten over bepaalde specifieke bevoegdheden beschikken voor de correcte toepassing en handhaving van deze richtlijn met betrekking tot kritieke entiteiten, voor zover deze entiteiten onder hun rechtsmacht vallen, zoals gespecificeerd in deze richtlijn. Deze bevoegdheden omvatten in het bijzonder de bevoegdheid om inspecties en audits uit te voeren, de bevoegdheid om toezicht uit te oefenen, de bevoegdheid om van kritieke entiteiten te verlangen dat zij informatie en bewijsmateriaal verstrekken met betrekking tot de maatregelen die zij hebben genomen om aan hun verplichtingen te voldoen en, waar nodig, de bevoegdheid om bevelen uit te vaardigen om vastgestelde inbreuken ongedaan te maken. Bij het uitvaardigen van dergelijke bevelen mogen de lidstaten geen maatregelen eisen die verder gaan dan wat noodzakelijk en evenredig is om de naleving door de betrokken kritieke entiteit te waarborgen, met name rekening houdend met de ernst van de inbreuk en de economische capaciteit van de betrokken kritieke entiteit. Meer in het algemeen moeten deze bevoegdheden vergezeld gaan van passende en doeltreffende waarborgen die overeenkomstig het Handvest van de grondrechten van de Europese Unie in de nationale wetgeving moeten worden gespecificeerd. Wanneer zij nagaan of een kritieke entiteit voldoet aan de in deze richtlijn neergelegde verplichtingen, moeten de bevoegde autoriteiten uit hoofde van deze richtlijn de bevoegde autoriteiten uit hoofde van Richtlijn (EU) 2022/2555 kunnen verzoeken hun toezichts- en handhavingsbevoegdheden uit te oefenen met betrekking tot een entiteit uit hoofde van die richtlijn die overeenkomstig deze richtlijn als kritieke entiteit is aangemerkt. De bevoegde autoriteiten in het kader van deze richtlijn en de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2555 moeten daartoe samenwerken en informatie uitwisselen.

(41) Teneinde deze richtlijn op doeltreffende en samenhangende wijze toe te passen, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen ter aanvulling van deze richtlijn door een lijst van essentiële diensten op te stellen. Die lijst moet door de bevoegde autoriteiten worden gebruikt voor het uitvoeren van risicobeoordelingen door de lidstaten en het aanmerken van kritieke entiteiten overeenkomstig deze richtlijn. In het licht van de minimale harmonisatieaanpak van deze richtlijn is deze lijst niet uitputtend en kunnen de lidstaten deze aanvullen met bijkomende essentiële diensten op nationaal niveau teneinde rekening te houden met specifieke nationale kenmerken bij de verlening van essentiële diensten. Het is van bijzonder belang dat de Commissie tijdens haar voorbereidende werkzaamheden passende raadplegingen houdt, onder meer op deskundigenniveau, en dat deze raadplegingen plaatsvinden overeenkomstig de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 "Beter wetgeven" (25). Om gelijke deelname aan de voorbereiding van gedelegeerde handelingen te waarborgen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde moment als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van gedelegeerde handelingen.

(42) Om eenvormige voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Deze bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (26).

(43) Aangezien de doelstellingen van deze richtlijn, namelijk ervoor te zorgen dat diensten die van essentieel belang zijn voor de instandhouding van vitale maatschappelijke functies of economische activiteiten ongehinderd op de interne markt worden verricht en de veerkracht te vergroten van kritieke entiteiten die dergelijke diensten verrichten, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de gevolgen van het optreden beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel 5 neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstellingen te verwezenlijken.

(44) De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (27 ) en heeft op 11 augustus 2021 advies uitgebracht.

(45) Richtlijn 2008/114/EG moet daarom worden ingetrokken,

HEBBEN DEZE RICHTLIJN AANGENOMEN: