1. De lidstaten dragen er zorg voor dat de toezichts- of handhavingsmaatregelen die met betrekking tot de in deze richtlijn neergelegde verplichtingen aan essenti\u00eble entiteiten worden opgelegd, doeltreffend, evenredig en afschrikkend zijn, rekening houdend met de omstandigheden van elk individueel geval.<\/p>\n\n\n\n
2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun toezichthoudende taken met betrekking tot essenti\u00eble entiteiten de bevoegdheid hebben om die entiteiten ten minste te onderwerpen aan:<\/p>\n\n\n\n
(a) inspecties op locatie en toezicht daarbuiten, met inbegrip van willekeurige controles door getrainde professionals;<\/p>\n\n\n\n
(b) regelmatige en gerichte beveiligingsaudits door een onafhankelijke instantie of een bevoegde autoriteit;<\/p>\n\n\n\n
(c) ad-hocaudits, ook wanneer deze gerechtvaardigd zijn op grond van een significant incidentIncident<\/span> Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span> of een inbreuk op deze richtlijn door de essenti\u00eble entiteitEntiteit<\/span> Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span>;<\/p>\n\n\n\n (d) veiligheidsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicoRisico<\/span> Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span> beoordelingscriteria, waar nodig met medewerking van de betrokken entiteit;<\/p>\n\n\n\n (e) verzoeken om informatie die nodig is om de cyberbeveiligingCyberbeveiliging<\/span> \"cyberbeveiliging\": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019\/881; - \"cyberbeveiliging\": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019\/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a>\r\r\"cyberbeveiliging\": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019\/881;<\/span><\/span><\/span> de door de betrokken entiteit vastgestelde risicobeheersmaatregelen, met inbegrip van gedocumenteerd beleid inzake cyberbeveiliging, alsook de naleving van de verplichting om informatie te verstrekken aan de bevoegde autoriteiten overeenkomstig artikel 27;<\/p>\n\n\n\n (f) verzoeken om toegang tot gegevens, documenten en informatie die zij nodig hebben om hun toezichthoudende taken uit te voeren;<\/p>\n\n\n\n (g) verzoeken om bewijs van de tenuitvoerlegging van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die zijn uitgevoerd door een gekwalificeerde auditor en de respectieve onderliggende bewijsstukken.<\/p>\n\n\n\n De in de eerste alinea, onder b), bedoelde gerichte beveiligingsaudits worden gebaseerd op risicobeoordelingen die door de bevoegde autoriteit of de gecontroleerde entiteit worden uitgevoerd, of op andere beschikbare risicogerelateerde informatie.<\/p>\n\n\n\n De resultaten van alle gerichte beveiligingsaudits worden ter beschikking gesteld van de bevoegde autoriteit. De kosten van een dergelijke gerichte beveiligingsaudit, die wordt uitgevoerd door een onafhankelijk orgaan, worden betaald door de entiteit waarop de audit betrekking heeft, behalve in naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit anders beslist.<\/p>\n\n\n\n 3. Bij de uitoefening van hun bevoegdheden krachtens lid 2, onder e), f) of g), vermelden de bevoegde autoriteiten het doel van het verzoek en specificeren zij de gevraagde informatie.<\/p>\n\n\n\n 4. De lidstaten zorgen ervoor dat hun bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van essenti\u00eble entiteiten ten minste de bevoegdheid hebben om:<\/p>\n\n\n\n (a) waarschuwingen geven bij inbreuken op deze richtlijn door de betrokken entiteiten;<\/p>\n\n\n\n (b) bindende instructies vast te stellen, onder meer met betrekking tot de maatregelen die nodig zijn om een incident te voorkomen of te verhelpen, alsook termijnen voor de tenuitvoerlegging van dergelijke maatregelen en voor de rapportage over de tenuitvoerlegging ervan, of een bevel waarbij de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuken op deze richtlijn te verhelpen;<\/p>\n\n\n\n (c) de betrokken entiteiten te gelasten een einde te maken aan gedragingen die een inbreuk vormen op deze richtlijn en dergelijke gedragingen niet meer te herhalen;<\/p>\n\n\n\n (d) de betrokken entiteiten gelasten ervoor te zorgen dat hun risicobeheersmaatregelen op het gebied van cyberbeveiliging voldoen aan artikel 21 of aan de rapportageverplichtingen van artikel 23, op een bepaalde wijze en binnen een bepaalde termijn;<\/p>\n\n\n\n (e) de betrokken entiteiten te gelasten de natuurlijke personen of rechtspersonen ten aanzien van wie zij diensten verrichten of activiteiten ontplooien en die mogelijk getroffen worden door een belangrijke cyberdreigingAanzienlijke cyberdreiging<\/span> Een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat ze een ernstige impact kan hebben op het netwerk en de informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door aanzienlijke materi\u00eble of immateri\u00eble schade te veroorzaken. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span> van de aard van de bedreiging en van alle mogelijke beschermende of corrigerende maatregelen die deze natuurlijke of rechtspersonen in reactie op die bedreiging kunnen nemen;<\/p>\n\n\n\n (f) de betrokken entiteiten opdragen de aanbevelingen die naar aanleiding van een beveiligingsaudit zijn gedaan, binnen een redelijke termijn uit te voeren;<\/p>\n\n\n\n (g) een met welomschreven taken belaste toezichthoudende functionaris aanwijzen die gedurende een bepaalde periode toeziet op de naleving van de artikelen 21 en 23 door de betrokken entiteiten;<\/p>\n\n\n\n (h) de betrokken entiteiten gelasten aspecten van inbreuken op deze richtlijn op een gespecificeerde wijze openbaar te maken;<\/p>\n\n\n\n (i) naast de onder a) tot en met h) van dit lid genoemde maatregelen, een bestuurlijke boete opleggen, of verzoeken dat de betrokken instanties, rechtbanken of gerechtshoven overeenkomstig het nationale recht een dergelijke boete opleggen, in aanvulling op de onder a) tot en met h) van dit lid genoemde maatregelen.<\/p>\n\n\n\n 5. Wanneer de overeenkomstig lid 4, onder a) tot en met d) en f), genomen handhavingsmaatregelen niet doeltreffend zijn, dragen de lidstaten er zorg voor dat hun bevoegde autoriteiten een termijn kunnen vaststellen waarbinnen de essenti\u00eble entiteit wordt verzocht de nodige maatregelen te nemen om de tekortkomingen te verhelpen of aan de eisen van die autoriteiten te voldoen. Indien de gevraagde maatregelen niet binnen de gestelde termijn zijn genomen, zorgen de lidstaten ervoor dat hun bevoegde autoriteiten de bevoegdheid hebben om:<\/p>\n\n\n\n (a) een certificatie- of autorisatie-instantie of een rechterlijke instantie overeenkomstig de nationale wetgeving tijdelijk schorsen of verzoeken een certificatie of autorisatie tijdelijk te schorsen voor een deel of het geheel van de betrokken diensten die door de essenti\u00eble entiteit worden geleverd of activiteiten die door de essenti\u00eble entiteit worden uitgevoerd;<\/p>\n\n\n\n